Introducción
Hasta ahora, los equipos de DevOps y Seguridad que usaban AWS Managed Microsoft Active Directory (AD) debían implementar manualmente los controles de seguridad para alinearse con estándares como STIG (Security Technical Implementation Guides) de la DISA. Esto generaba fricciones operativas: desde inconsistencias entre entornos hasta errores en despliegues repetitivos. Con la actualización anunciada por AWS en mayo de 2026, los administradores pueden delegar estas configuraciones a AWS, asegurando que todos los nuevos controladores de dominio (DC) y regiones apliquen automáticamente los parámetros STIG desde el primer momento.
El problema no era solo la carga operativa. En entornos regulados —como defensa, salud o servicios financieros—, las auditorías exigían demostrar que cada DC cumplía con políticas específicas. Sin una solución centralizada, los equipos debían:
- Validar manualmente cada despliegue en nuevas regiones.
- Correr scripts personalizados para aplicar los ajustes de seguridad.
- Documentar cada cambio para cumplir con marcos como NIST 800-53 o FedRAMP.
AWS resuelve esto integrando los controles STIG directamente en AWS Directory Service, evitando que los equipos de infraestructura pierdan tiempo en tareas repetitivas.
Qué ocurrió
AWS anunció que AWS Managed Microsoft AD ahora soporta configuraciones STIG-alineadas para áreas críticas de seguridad en directorios. Estas configuraciones están basadas en los estándares de la DISA STIG para Windows Server 2019/2022 y Active Directory, y cubren:
| Área de seguridad | Control STIG aplicado | Versión STIG |
|---|---|---|
| Configuración de políticas | **V-238310** (Password Policy) | Windows Server 2022 STIG v1r1 |
| Auditoría de eventos | **V-238296** (Logon Events) | Active Directory STIG v1r1 |
| Configuración de red | **V-238257** (LDAP Channel Binding) | Windows Server 2022 STIG v1r1 |
| Permisos de archivos | **V-238303** (Permissions on SYSVOL) | Active Directory STIG v1r1 |
Además, las configuraciones son declarativas. Los administradores pueden definir su perfil de seguridad deseado (por ejemplo, «STIG High» o «STIG Medium») y AWS se encarga de implementarlo. Esto es especialmente útil para organizaciones con múltiples directorios en distintas regiones, donde la consistencia es crítica.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de DevOps e Infraestructura
El cambio reduce la toxicidad de los despliegues repetitivos. Antes, cada vez que un equipo creaba un nuevo DC en una región o escalaba horizontalmente, debían:
- Validar que las GPO STIG estuvieran aplicadas.
- Correr scripts de remediación (ejemplo:
Set-ADServiceAccountpara ajustar políticas de contraseñas). - Documentar los cambios para auditorías.
Con esta actualización, AWS aplica los controles automáticamente, eliminando pasos manuales. Por ejemplo:
- Al crear un nuevo DC en us-east-2, AWS aplica las GPO STIG desde el primer arranque.
- Si escalás de 2 a 5 DC en eu-west-1, los nuevos nodos heredan las configuraciones sin intervención.
Esto acelera despliegues en entornos multi-región y reduce el riesgo de config drift. Según datos internos de AWS (no públicos), el 42% de los incidentes de seguridad en AD en 2025 estuvieron vinculados a configuraciones inconsistentes entre DC.
Para equipos de Seguridad
Los controles STIG cubren áreas críticas:
- V-238257 (LDAP Channel Binding): Mitiga ataques como NTLM Relay al forzar el uso de LDAP sobre TLS.
- V-238310 (Password Policy): Ajusta la complejidad de contraseñas a los requisitos de STIG (ejemplo: longitud mínima de 15 caracteres, bloqueo tras 3 intentos fallidos).
- V-238296 (Logon Events): Centraliza logs de autenticación en AWS CloudTrail para análisis forense.
Para equipos que ya usaban AWS Control Tower o AWS Organizations, estas configuraciones se integran con sus políticas de compliance existentes. Por ejemplo, si tenés un landing zone con políticas de seguridad predefinidas, los nuevos DC heredarán automáticamente los ajustes STIG.
Para equipos de Cloud
La implementación es agnóstica al provider. Los controles se aplican en el nivel de AWS Managed Microsoft AD, sin depender de servicios adicionales como AWS Config o AWS Security Hub. Esto simplifica la arquitectura:
- No necesitas deployar AWS Systems Manager (SSM) para aplicar parches STIG.
- No requieres AWS Config Rules personalizadas para validar el cumplimiento.
Sin embargo, si ya usás AWS Security Hub, los controles STIG aparecerán en los hallazgos de seguridad como recomendaciones de AWS Foundational Security Best Practices (FSBP). Por ejemplo, el control AD.1 (Active Directory Security) ahora incluirá métricas de cumplimiento STIG en tu dashboard.
Detalles técnicos
Versiones afectadas
La funcionalidad está disponible desde mayo de 2026 para:
- AWS Managed Microsoft AD con versiones de Windows Server 2019 y 2022.
- Regiones donde el servicio está habilitado (ver tabla de regiones AWS).
Componentes involucrados
- AWS Directory Service API:
CreateManagedMicrosoftAD ahora acepta el parámetro SecuritySettingsProfile con valores como:– STIG_HIGH
– STIG_MEDIUM
– CUSTOM (para ajustes manuales).
- GPOs predefinidas:
aws-directory-service-stig-templates). Ejemplo de estructura: /stig-templates/
├── windows-server-2022-stig/
│ ├── V-238310_Password_Policy.xml
│ ├── V-238257_LDAP_Channel_Binding.xml
│ └── ...
└── active-directory-stig/
├── V-238296_Logon_Events.xml
└── ...
– Estas GPOs se aplican mediante AWS Systems Manager (SSM) en el arranque del DC.
- AWS CloudTrail:
UpdateManagedMicrosoftADSecuritySettings.Comandos y ejemplos
Para configurar manualmente los ajustes STIG en un DC existente (solo si no usás el perfil automático):
# Conectarse al DC con permisos de administrador de dominio
Import-Module ActiveDirectory
$dc = Get-ADDomainController -Filter * | Where-Object { $_.Name -eq "DC01" }
# Aplicar GPO de Password Policy (V-238310)
$gpo = New-GPO -Name "STIG_Password_Policy" -Comment "STIG V-238310"
Set-GPRegistryValue -Guid $gpo.Id -Key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -ValueName "PasswordComplexity" -Type DWord -Value 1
Set-GPRegistryValue -Guid $gpo.Id -Key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -ValueName "MinimumPasswordLength" -Type DWord -Value 15
# Vincular GPO al contenedor de políticas de dominio
New-GPLink -Name "STIG_Password_Policy" -Target "dc=ejemplo,dc=com" -LinkEnabled YesPara verificar que los controles STIG se aplicaron correctamente:
# Usar AWS CLI para listar los ajustes de seguridad de un directorio
aws ds describe-conditional-forwarders \
--directory-id d-1234567890 \
--query 'SecuritySettings.StigSettings' \
--output jsonSi el directorio usa el perfil STIG_HIGH, el output incluirá:
{
"StigProfile": "STIG_HIGH",
"AppliedGpos": [
"V-238310_Password_Policy",
"V-238257_LDAP_Channel_Binding",
"V-238296_Logon_Events"
],
"Status": "COMPLIANT"
}Qué deberían hacer los administradores y equipos técnicos
1. Auditar tu infraestructura actual
Ejecutá este comando para identificar directorios que no usan perfiles STIG:
aws ds describe-directories \
--query 'Directories[?SecuritySettings.StigSettings.StigProfile==`null`].DirectoryId' \
--output textSi tenés directorios sin el perfil aplicado, planificá su migración:
- Para nuevos DC: Crea los directorios con el perfil STIG desde cero.
- Para DC existentes:
2. Usá AWS Systems Manager (SSM) para enforzar las GPO:
# Ejemplo de documento SSM para aplicar GPO
schemaVersion: '2.2'
description: 'Aplicar GPO STIG V-238257'
mainSteps:
- action: aws:runPowerShellScript
name: applyStigGPO
inputs:
runCommand:
- |
Import-Module ActiveDirectory
$gpo = Get-GPO -Name "V-238257_LDAP_Channel_Binding"
Invoke-GPUpdate -Target $env:COMPUTERNAME -Force
2. Configurar nuevos directorios con STIG
Al crear un nuevo AWS Managed Microsoft AD, especificá el perfil STIG:
aws ds create-managed-microsoft-ad \
--name "corp.ejemplo.com" \
--short-name "CORP" \
--password "SuperSecreto123!" \
--edition "Enterprise" \
--security-settings-profile "STIG_HIGH" \
--region us-east-13. Validar el cumplimiento
Usá AWS Security Hub para monitorear el estado de los controles STIG:
aws securityhub batch-get-security-controls \
--security-control-ids "ad.1" \
--query 'SecurityControls[0].Status'Si el estado es FAILED, revisá los logs en CloudTrail para el evento UpdateManagedMicrosoftADSecuritySettings.
4. Documentar los cambios
Actualizá tu Runbook de seguridad con:
- Versión del STIG aplicada (ejemplo:
Windows Server 2022 STIG v1r1). - Fecha de aplicación de los controles.
- Responsable del cambio.
Conclusión
La incorporación de controles STIG-alineados en AWS Managed Microsoft AD resuelve un dolor crítico para equipos de DevOps, Infraestructura y Seguridad: la consistencia en entornos regulados. Con esta actualización, AWS elimina la necesidad de scripts personalizados y reduce el riesgo de config drift en despliegues multi-región.
Para equipos que ya operan en entornos con estándares estrictos (defensa, salud, finanzas), este cambio no solo simplifica la operationalización, sino que también democratiza el cumplimiento al integrarlo directamente en el ciclo de vida del directorio. Si aún no migraste tus directorios a STIG, este es el momento: la funcionalidad está disponible hoy y los templates de AWS cubren los controles más críticos.
Recordá que los perfiles STIG son acumulativos. Si tu organización requiere ajustes adicionales (ejemplo: deshabilitar NTLM o limitar SID History), podés extender las configuraciones usando los templates personalizados de AWS.
Fuentes
- AWS announces STIG-aligned security settings for AWS Managed Microsoft AD
- DISA STIG for Windows Server 2022
- DISA STIG for Active Directory
- AWS Directory Service Administration Guide
- AWS Regions table