Active Directory es la columna vertebral de la identidad en el 95% de las empresas del mundo. Y, precisamente por eso, es el objetivo número uno de cualquier atacante: quien controla el dominio controla toda la organización. Un solo error de configuración —una plantilla de certificado abierta, una delegación no restringida, una contraseña de administrador local reutilizada— puede convertir un compromiso menor en el control total del bosque en cuestión de horas.
Este curso te enseña a defender Active Directory de forma exhaustiva y profesional: no solo qué endurecer, sino cómo hacerlo paso a paso y cómo monitorizarlo para detectar al atacante antes de que sea tarde. Cubre todo el espectro real de las empresas: desde los entornos legacy con controladores de dominio Windows Server 2003/2008 que aún hay que securizar sin romper producción, hasta los entornos híbridos modernos sincronizados con Microsoft Entra ID.
¿A quién va dirigido este curso?
- Administradores de sistemas Windows responsables de uno o varios dominios que quieren dejar de improvisar y aplicar un modelo de seguridad serio.
- Arquitectos de identidad que diseñan o migran entornos AD y híbridos.
- Equipos de Blue Team y analistas de SOC que necesitan detectar los ataques a AD y responder a ellos.
- Responsables de seguridad que deben evaluar y reducir la exposición del directorio.
- Profesionales que preparan certificaciones de seguridad de Windows/identidad o que vienen del curso de DFIR y quieren el lado de la defensa de la identidad.
¿Qué sabrás hacer al terminar?
- Entender la superficie de ataque de AD y cómo ha evolucionado de Windows Server 2003 a 2025.
- Securizar entornos legacy: erradicar SMBv1, NTLMv1, RC4 y LDAP sin firma, y elevar niveles funcionales sin romper nada.
- Implementar el modelo de administración por niveles (Tiering) y estaciones de administración privilegiada (PAW).
- Endurecer los controladores de dominio con baselines de GPO (Microsoft Security Baselines, CIS).
- Fortalecer Kerberos y NTLM (migración a AES, restricción de NTLM, rotación de krbtgt).
- Proteger las credenciales con Protected Users, Authentication Silos, LAPS y gMSA.
- Defenderte de los ataques clásicos: Kerberoasting, AS-REP Roasting, DCSync, Golden/Silver Ticket, delegación y abuso de AD CS (ESC1-ESC16).
- Montar la auditoría y la detección: Event IDs críticos, reglas Sigma, Microsoft Defender for Identity, honey accounts y herramientas de postura (PingCastle).
- Proteger el entorno híbrido (Entra ID Connect, Conditional Access, PIM) frente a los ataques on-prem → cloud.
- Recuperar un dominio comprometido o destruido (Papelera de reciclaje de AD, Forest Recovery, respuesta post-compromiso).
Requisitos previos
- Administración de Windows Server y AD a nivel operativo: crear usuarios, OUs, GPO y entender la replicación.
- PowerShell: manejar el módulo
ActiveDirectoryy leer/escribir scripts sencillos. - Redes y protocolos: DNS, LDAP, Kerberos y NTLM a nivel conceptual.
- Recomendable haber visto cómo ataca el adversario (nuestro Curso de Hacking Web y el de DFIR son excelentes complementos).
- Un laboratorio con capacidad de virtualización (16 GB de RAM recomendados).
El laboratorio que montarás
Todo se practica en un laboratorio aislado. A lo largo del curso construirás y endurecerás:
- Uno o dos controladores de dominio (idealmente uno moderno —Windows Server 2022/2025— y, si puedes, uno legacy para ver el contraste real de configuración).
- Servidores miembro y estaciones cliente con telemetría (auditoría avanzada y Sysmon) para generar y detectar ataques.
- Una CA de AD CS para practicar el hardening de plantillas.
- Un tenant de pruebas de Microsoft Entra ID con Entra Connect para la parte híbrida.
- Herramientas de defensa: RSAT, PingCastle, BloodHound (en modo azul), Sysmon y las Security Baselines de Microsoft.
- Una red aislada y uso disciplinado de snapshots.
Metodología del curso
Cada módulo sigue el mismo patrón profesional: la explicación conceptual rigurosa, el endurecimiento paso a paso con comandos reales (PowerShell, GPO, auditpol, registro) y su correspondiente monitorización para detectar el abuso. Todos los comandos, atributos, Event IDs y técnicas MITRE ATT&CK son exactos y verificables, y en cada punto se contrasta el estado legacy (lo que había en 2003/2008) con el objetivo moderno. No hay recetas de papel: defensa real, aplicable en producción.
Ética y legalidad
Aviso obligatorio: este es un curso defensivo. Las técnicas de ataque se explican únicamente para poder detectarlas y prevenirlas, y deben reproducirse solo en laboratorios propios o en sistemas para los que tengas autorización expresa. El acceso no autorizado a sistemas ajenos es un delito en España (art. 197 bis del Código Penal).
¿Por dónde empiezo?
El Módulo 1 es obligatorio: establece la arquitectura de AD y su superficie de ataque, la base sobre la que se entiende todo lo demás. A partir de ahí el temario avanza en un orden lógico: primero securizas lo que ya tienes (legacy y modelo de administración), luego endureces los mecanismos (autenticación, credenciales, delegación, AD CS), después montas la vigilancia (auditoría y detección), y terminas con el entorno híbrido y la recuperación ante desastres. Empieza ahora y convierte tu Active Directory en un objetivo mucho más caro de atacar.
