Llegamos a ustedes gracias a:



Reportajes y análisis

9 nuevas configuraciones de seguridad para Windows Server

[20/02/2020] Las mejores prácticas para configurar las características de seguridad en Windows Server han cambiado en los últimos años. Acabamos de despedirnos (oficialmente) de Windows Server 2008 R2, y deberíamos estar preparándonos para despedirnos de Server 2012 R2 cuando el soporte finalice en tres años. Es difícil para los servidores más antiguos lidiar con las amenazas actuales, como las nuevas formas de obtener acceso mediante la manipulación y falsificación de certificados de firma de código.

Aquí hay nueve configuraciones de seguridad que ya no tienen el mismo impacto, dependiendo del servidor o plataforma en la nube que esté usando, y las configuraciones o políticas que debería usar además de ellas o en su lugar.

1. Consejo antiguo: Cambie el nombre de la cuenta de administrador

Antes, el consejo principal era cambiar el nombre de la cuenta de administrador. Esto incluso se convirtió en un proceso del asistente en algunas plataformas de servidor. Hace unos años, los atacantes iban detrás de los nombres de las cuentas, y si cambiaba el nombre de la cuenta del administrador a otra cosa, era más difícil para los atacantes. Hoy en día, cambiar el nombre de la cuenta de administrador ya no es tan impactante, porque los atacantes pueden usar el phishing y la recolección de credenciales dejadas en los sistemas para ganar control dentro de su sistema.

Nuevo consejo: Use contraseñas de administrador diferentes. En su lugar, le recomiendo que no use la misma contraseña de administrador local en su red. ¿Quiere facilitarles a los atacantes de ransomware realizar movimientos laterales en su red? Use la misma contraseña en cada estación de trabajo. Debe implementar Local Administrators Password Solution (LAPS) para asegurarse de que haya una contraseña aleatoria asignada. Al implementarlo, no olvide que los atacantes saben que deben ir tras los usuarios con "all extended rights que pueden ver las contraseñas y todas las computadoras con LAPS habilitado.

Configure la Política de grupo para evitar que las cuentas de administrador local se autentiquen en la red. Se recomiendan los siguientes objetos de política de grupo (GPO):

  • Denegar el acceso a esta computadora desde la red: cuenta local, administradores empresariales, administradores de dominio
  • Denegar el inicio de sesión a través de los Servicios de escritorio remoto: cuenta local, administradores empresariales, administradores de dominio
  • Denegar el inicio de sesión localmente: administradores empresariales, administradores de dominio

2. Consejo antiguo: Deshabilitar las cuentas de invitado

Windows una vez sacó sistemas operativos con la cuenta de invitado habilitada. Ahora Windows 10 llega tan lejos como para instar a sus usuarios a no instalar una cuenta con derechos administrativos. La cuenta de administrador principal también está deshabilitada. Por lo tanto, deshabilitar las cuentas de invitado sigue siendo un buen consejo, pero no llega lo suficientemente lejos.

Nuevo consejo: Minimice el número de cuentas con derechos administrativos. La pregunta que debe hacer es si puede implementar máquinas sin elevar los derechos para implementar o instalar software. Chrome ha liderado el camino de no necesitar derechos de administrador mediante la instalación en la carpeta "Datos de aplicación" del usuario. Los derechos de los usuarios de Windows han sido trasgredidos tanto por los usuarios como por los atacantes. Nunca otorgue a nadie derechos de cuentas de invitado en un dominio, y tampoco recomiende el uso de cuentas de invitado en redes domésticas. Los usuarios que comparten recursos, incluso en redes domésticas, deben configurarse explícitamente para tener derechos sobre cada recurso.

3. Consejo antiguo: Deje de usar LAN Manager y NTLM v1

Espero que ya no esté usando LAN Manager (LM) ni la autenticación NTLMv1, ya que se conoce que tienen vulnerabilidades de seguridad. Este es otro caso en el que el consejo sigue siendo válido, pero es necesario mirar más allá.

Nuevo consejo: Revise todos los protocolos de red. El 2020 debería ser el año en que revise los protocolos utilizados en su red. Vaya un paso más allá y revise el uso de SMBv1 y desactívelo si puede. En marzo del 2020, Microsoft implementará el enlace de canales LDAP y la firma LDAP. Revise su red en busca de LDAP y SMBv1 sin firmar, y elimínelos.

También debería preocuparse por los ataques fuera de línea hacia el ticket de servicio Kerberos Ticket Granting Server (TGS) (Kerberoast), y es recomendable que mitigue este riesgo con contraseñas de cuentas de servicio de más de 25 caracteres. Managed Service Accounts y Group Managed Service Accounts son un buen método para garantizar que las contraseñas de las cuentas de servicios sean largas, complejas y cambien regularmente.

4. Consejo antiguo: No almacene hashes LM en el servidor

Ahora está predeterminado que los hashes LM no se almacenan en el servidor.

Nuevo consejo: Compruebe si hay hashes LM almacenados en ubicaciones heredadas. Audite para encontrar cualquier hash LM que haya quedado en ubicaciones heredadas revisando Active Directory (AD). Usando una herramienta de PowerShell puede escanear y chequear todas las cuentas en su AD Forest, y revisar la higiene de las cuentas y contraseñas.

5. Consejo antiguo: Implemente una longitud mínima de contraseña y una antigüedad máxima de contraseña

Una política de exigir a los empleados que usen contraseñas más largas y las cambien regularmente ha sido considerada la mejor práctica por mucho tiempo.

Nuevo consejo: Habilite la autenticación multifactor. Los empleados odian elegir y cambiar las contraseñas, lo que dificulta la aplicación de una política de longitud mínima de contraseña y antigüedad máxima de contraseña. Obligar a las personas a cambiar las contraseñas significa que elegirán contraseñas más fáciles de adivinar. La habilitación de la autenticación multifactor (MFA) en todas las cuentas, dificulta que el atacante aproveche las contraseñas comprometidas. Puede usar la aplicación de autenticación de Microsoft o Google para configurar MFA.

6. Consejo antiguo: Active los registros de eventos

Encender y verificar regularmente los registros de eventos sigue siendo una buena manera de detectar actividad maliciosa en la red.

Nuevo consejo: Aproveche las nuevas herramientas de registro de eventos de Microsoft. Microsoft presentó recientemente una nueva herramienta en línea para consolidar y rastrear eventos llamada Azure Sentinel. Incluso sin agregar ese producto a su arsenal en la nube, otras nuevas capacidades de registro van desde System Monitor (Sysmon) hasta Windows Defender Advanced Threat Protection (ATP), que también está disponible para servidores y en vista previa para máquinas virtuales de Azure (VM).

7. Consejo antiguo: Deshabilite la enumeración anónima del identificador de seguridad (SID)

Antes, cualquier usuario podía consultarle a AD sobre SIDs asignados a usuarios, grupos y otros temas de seguridad. Microsoft deshabilitó esta enumeración.

Nuevo consejo: Revise si en su red se puede aplicar la recolección (harvesting). Ahora, los atacantes pueden usar ubicaciones de redes sociales para obtener nombres de usuario, y luego usar ataques de phishing para obtener acceso a un usuario de dominio. Desde ahí, pueden lanzar ataques para pasar de usuarios de dominio a administradores de dominio mediante la recolección de contraseñas dejadas en la carpeta de volumen del sistema (SYSVOL) y en las preferencias de la Política de grupo.

Deberá revisar sus prácticas anteriores y asegurarse de que las contraseñas no se guarden en las preferencias o tareas de la política de grupo. Una contraseña confidencial abandonada puede ser una forma fácil de acceso para los atacantes. Nuevamente, implemente LAPS como una buena práctica de manejo de contraseñas para la administración de la red.

8. Consejo antiguo: No autorice una cuenta anónima en el grupo de todos

A partir del 2000, Microsoft eliminó la cuenta anónima del grupo de todos. Asignar la cuenta anónima era fácil de hacer y permitía que todo funcionara para las aplicaciones. También les facilitaba el proceso a los atacantes.

Nuevo consejo: Audite y elimine las cuentas de invitado. A medida que avanza hacia la nube, revise si ha agregado cuentas de invitado a los recursos y no las ha eliminado. Audite el uso, y la falta de limpieza, de las cuentas de invitados en Microsoft Office 365.

9. Consejo antiguo: Habilite el Control de cuentas de usuario (UAC)

UAC otorga a los no administradores algunos derechos administrativos de manera segura. Se introdujo en Windows 7 porque los desarrolladores exigieron derechos de administrador, y ahora está habilitado de forma predeterminada.

Nuevo consejo: Haga una lista de las aplicaciones autorizadas y bloquee el acceso a la cuenta local. Hoy en día los atacantes están acostumbrados a no tener derechos de administrador disponibles y utilizan otros medios para obtener mayores privilegios. Una vez que obtienen derechos de administrador, los atacantes tienen muchas más formas de evitar la detección y permanecer persistentes en un sistema.

Entonces, ¿cómo los detiene? La lista blanca de aplicaciones ayudará a evitar que los atacantes utilicen ejecutables no autorizados en la red, pero para muchas organizaciones es difícil exigir una lista de aplicaciones específicas. Herramientas como AaronLocker funcionan más fácilmente en sistemas sin derechos de administrador.

No pase por alto lo fundamental. Los criterios básicos de seguridad de Windows de Microsoft recomiendan negar el inicio de sesión de la red a cuentas locales y, por lo tanto, bloquear la amenaza de movimiento lateral a través de éstas. Los atacantes se están volviendo más inteligentes, así que debemos ser más inteligentes al defender nuestras redes.