Curso · 13 módulos

Curso de Defensa y Bastionado de Active Directory

Curso de Defensa y Bastionado de Active Directory

Active Directory es la columna vertebral de la identidad en el 95% de las empresas del mundo. Y, precisamente por eso, es el objetivo número uno de cualquier atacante: quien controla el dominio controla toda la organización. Un solo error de configuración —una plantilla de certificado abierta, una delegación no restringida, una contraseña de administrador local reutilizada— puede convertir un compromiso menor en el control total del bosque en cuestión de horas.

Este curso te enseña a defender Active Directory de forma exhaustiva y profesional: no solo qué endurecer, sino cómo hacerlo paso a paso y cómo monitorizarlo para detectar al atacante antes de que sea tarde. Cubre todo el espectro real de las empresas: desde los entornos legacy con controladores de dominio Windows Server 2003/2008 que aún hay que securizar sin romper producción, hasta los entornos híbridos modernos sincronizados con Microsoft Entra ID.

¿A quién va dirigido este curso?

  • Administradores de sistemas Windows responsables de uno o varios dominios que quieren dejar de improvisar y aplicar un modelo de seguridad serio.
  • Arquitectos de identidad que diseñan o migran entornos AD y híbridos.
  • Equipos de Blue Team y analistas de SOC que necesitan detectar los ataques a AD y responder a ellos.
  • Responsables de seguridad que deben evaluar y reducir la exposición del directorio.
  • Profesionales que preparan certificaciones de seguridad de Windows/identidad o que vienen del curso de DFIR y quieren el lado de la defensa de la identidad.

¿Qué sabrás hacer al terminar?

  • Entender la superficie de ataque de AD y cómo ha evolucionado de Windows Server 2003 a 2025.
  • Securizar entornos legacy: erradicar SMBv1, NTLMv1, RC4 y LDAP sin firma, y elevar niveles funcionales sin romper nada.
  • Implementar el modelo de administración por niveles (Tiering) y estaciones de administración privilegiada (PAW).
  • Endurecer los controladores de dominio con baselines de GPO (Microsoft Security Baselines, CIS).
  • Fortalecer Kerberos y NTLM (migración a AES, restricción de NTLM, rotación de krbtgt).
  • Proteger las credenciales con Protected Users, Authentication Silos, LAPS y gMSA.
  • Defenderte de los ataques clásicos: Kerberoasting, AS-REP Roasting, DCSync, Golden/Silver Ticket, delegación y abuso de AD CS (ESC1-ESC16).
  • Montar la auditoría y la detección: Event IDs críticos, reglas Sigma, Microsoft Defender for Identity, honey accounts y herramientas de postura (PingCastle).
  • Proteger el entorno híbrido (Entra ID Connect, Conditional Access, PIM) frente a los ataques on-prem → cloud.
  • Recuperar un dominio comprometido o destruido (Papelera de reciclaje de AD, Forest Recovery, respuesta post-compromiso).

Requisitos previos

  • Administración de Windows Server y AD a nivel operativo: crear usuarios, OUs, GPO y entender la replicación.
  • PowerShell: manejar el módulo ActiveDirectory y leer/escribir scripts sencillos.
  • Redes y protocolos: DNS, LDAP, Kerberos y NTLM a nivel conceptual.
  • Recomendable haber visto cómo ataca el adversario (nuestro Curso de Hacking Web y el de DFIR son excelentes complementos).
  • Un laboratorio con capacidad de virtualización (16 GB de RAM recomendados).

El laboratorio que montarás

Todo se practica en un laboratorio aislado. A lo largo del curso construirás y endurecerás:

  • Uno o dos controladores de dominio (idealmente uno moderno —Windows Server 2022/2025— y, si puedes, uno legacy para ver el contraste real de configuración).
  • Servidores miembro y estaciones cliente con telemetría (auditoría avanzada y Sysmon) para generar y detectar ataques.
  • Una CA de AD CS para practicar el hardening de plantillas.
  • Un tenant de pruebas de Microsoft Entra ID con Entra Connect para la parte híbrida.
  • Herramientas de defensa: RSAT, PingCastle, BloodHound (en modo azul), Sysmon y las Security Baselines de Microsoft.
  • Una red aislada y uso disciplinado de snapshots.

Metodología del curso

Cada módulo sigue el mismo patrón profesional: la explicación conceptual rigurosa, el endurecimiento paso a paso con comandos reales (PowerShell, GPO, auditpol, registro) y su correspondiente monitorización para detectar el abuso. Todos los comandos, atributos, Event IDs y técnicas MITRE ATT&CK son exactos y verificables, y en cada punto se contrasta el estado legacy (lo que había en 2003/2008) con el objetivo moderno. No hay recetas de papel: defensa real, aplicable en producción.

Ética y legalidad

Aviso obligatorio: este es un curso defensivo. Las técnicas de ataque se explican únicamente para poder detectarlas y prevenirlas, y deben reproducirse solo en laboratorios propios o en sistemas para los que tengas autorización expresa. El acceso no autorizado a sistemas ajenos es un delito en España (art. 197 bis del Código Penal).

¿Por dónde empiezo?

El Módulo 1 es obligatorio: establece la arquitectura de AD y su superficie de ataque, la base sobre la que se entiende todo lo demás. A partir de ahí el temario avanza en un orden lógico: primero securizas lo que ya tienes (legacy y modelo de administración), luego endureces los mecanismos (autenticación, credenciales, delegación, AD CS), después montas la vigilancia (auditoría y detección), y terminas con el entorno híbrido y la recuperación ante desastres. Empieza ahora y convierte tu Active Directory en un objetivo mucho más caro de atacar.

Temario del curso

  1. 01 Módulo 1: Arquitectura de Active Directory y su superficie de ataqueComponentes de AD, roles FSMO, protocolos, niveles funcionales de WS2003 a 2025 y por qué AD es el objetivo número uno.
  2. 02 Módulo 2: Securizar entornos legacy (de Windows Server 2003 al presente)Erradicar SMBv1, NTLMv1, RC4 y LDAP sin firma por fases, inventariar lo legacy y elevar niveles funcionales sin romper producción.
  3. 03 Módulo 3: Modelo de administración por niveles (Tiering) y PAWEl modelo de niveles (Tier 0/1/2) y el Enterprise Access Model, las estaciones de administración privilegiada (PAW) y el aislamiento de credenciales.
  4. 04 Módulo 4: Hardening de controladores de dominio y baselines de GPOEndurecer los DCs con las Security Baselines de Microsoft y CIS, proteger LSASS y NTDS, y desplegar GPO de seguridad sin romper.
  5. 05 Módulo 5: Endurecer la autenticación — Kerberos y NTLM (de RC4 a AES)Migrar a AES, restringir y auditar NTLM, gestionar los SPN y rotar la cuenta krbtgt para blindar la autenticación del dominio.
  6. 06 Módulo 6: Protección de cuentas privilegiadas y credenciales (Protected Users, LAPS, gMSA)Blindar credenciales de alto valor con Protected Users, Authentication Silos, Windows LAPS y gMSA para frenar el pass-the-hash.
  7. 07 Módulo 7: Ataques clásicos a Active Directory y cómo defenderseKerberoasting, AS-REP Roasting, DCSync, Golden/Silver Ticket, pass-the-hash: cómo funcionan, cómo se detectan y cómo se previenen.
  8. 08 Módulo 8: Delegación de Kerberos — riesgos y endurecimientoDelegación no restringida, restringida y RBCD: por qué son peligrosas, cómo inventariarlas y cómo endurecerlas.
  9. 09 Módulo 9: Seguridad de Active Directory Certificate Services (AD CS)Por qué AD CS es Tier 0, las vías de escalada ESC1-ESC16 en clave defensiva y cómo endurecer plantillas y la CA.
  10. 10 Módulo 10: Monitorización de AD I — auditoría avanzada y Event IDs críticosConfigurar la auditoría avanzada, los Event IDs críticos que hay que vigilar en los DCs y cómo centralizarlos en un SIEM.
  11. 11 Módulo 11: Monitorización de AD II — detección de ataques, deception y herramientasReglas Sigma, Microsoft Defender for Identity, honey accounts y herramientas de postura (PingCastle) para detectar el abuso de AD.
  12. 12 Módulo 12: Proteger el entorno híbrido — Entra ID Connect y ataques on-prem a cloudSeguridad de la identidad híbrida: Entra ID Connect como Tier 0, PHS/PTA/ADFS, Golden SAML, Conditional Access y PIM.
  13. 13 Módulo 13: Copias de seguridad, recuperación y respuesta al compromiso del dominioBackups correctos, Papelera de reciclaje de AD, Forest Recovery y el plan de respuesta cuando el atacante tuvo Domain Admin.

Empezar el curso →