[22/09/2022] Muchas empresas aún se encuentran firmemente en el mundo de Active Directory (AD). Es posible que hayan trasladado algunas aplicaciones a la nube, pero las aplicaciones más importantes de la línea de negocios todavía usan AD. ¿Recuerda la última vez que revisó su posición de seguridad de Active Directory? Microsoft no se ha mantenido actualizado con sus prácticas recomendadas para proteger la página web de Active Directory, ya que parte es esta tienen advertencias de que no se han actualizado desde el 2013. Afortunadamente, existen otros recursos disponibles para aquellos que necesitan orientación para proteger y fortalecer AD. A continuación, algunos de los sitios que sigo y brindan una excelente orientación:
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Active Directory Security
Lo primero y más importante es el blog de Sean Metcalf sobre Active Directory Security. Si tiene la suerte de escuchar sus charlas en persona, encontrará que están llenas de consejos y explicaciones sobre cómo ocurren los ataques, y qué puede hacer ahora para proteger su red. Hace varios meses, Metcalf y algunos colegas grabaron un seminario web sobre las 10 formas principales de mejorar la seguridad de Active Directory que se pueden ejecutar rápidamente.
Esas recomendaciones incluyen revisar periódicamente la membresía del grupo administrativo de AD y eliminar cualquier cuenta inactiva. Si bien indican que se deben aplicar cambios anuales de contraseña, diría que también debe implementar la autenticación multifactorial en esas cuentas administrativas. Restrinja las cuentas que pueden agregar estaciones de trabajo. Con todas las herramientas que tenemos para implementar estaciones de trabajo, no es necesario dejar SeMachineAccountPrivilege en el valor predeterminado, lo que permite a los usuarios agregar cuentas de computadora. Los atacantes pueden abusar de esto para obtener más acceso a una red. Los oradores también recomiendan que revise las cuentas que tienen delegación sin restricciones y elimine las que no tengan un SPN de Kerberos asociado.
Un elemento que podemos olvidar verificar es minimizar los servicios en los controladores de dominio y los servidores externos. Los atacantes a menudo comienzan con un punto de entrada de la estación de trabajo, y luego usan servicios como un administrador de trabajos de impresión para obtener más acceso. Limite el servicio de cola de impresión para que se ejecute solo en aquellas estaciones de trabajo y servidores que necesitan que se ejecute el servicio.
Revise qué procesos utilizan usted y los consultores para administrar la red. Si los servicios de escritorio remotos se usan regularmente, use el firewall nativo de Windows para limitar quién puede y quién no puede iniciar sesión en la red, y asegúrese de haber implementado un objeto de política de grupo que bloquee el inicio de sesión de las cuentas de administrador local en la red.
A continuación, inicie un proyecto para fomentar procesos más seguros para la gestión remota. Puede usar Remote Server Administration Tools (RSAT) junto con Windows Admin Center (WAC). WAC también prepara a sus administradores de red para administrar las propiedades de la nube desde la misma plataforma.
hackndo
Si necesita obtener más información sobre los conceptos básicos de Active Directory, lea hackndo. Este blog cubre conceptos tales como Kerberoasting y retransmisión NTLM.
dirkjanm.io
Dirk-jan Mollema es otro bloguero que brinda inmersiones profundas en temas de AD. También es un recurso excelente en Azure Active Directory y recientemente hizo una presentación en la conferencia de seguridad Black Hat sobre backdooring y secuestro de cuentas de Azure AD abusando de identidades externas.
Microsoft 365 Security
Otro excelente recurso que recomiendo marcar es el blog de Huy sobre Microsoft 365 Security. Tiene un excelente recurso sobre cómo recuperar un Active Directory después de haber sido comprometido. Si nunca ha reconstruido una instancia de AD después de un ataque, considérese afortunado. Es probable que su empresa necesite que funcione en algún momento. Recomiendo que sus equipos de tecnología realicen estos ejercicios de "qué pasaría si”.
Backdoors and Breaches
Si necesita orientación para realizar ejercicios de simulación de emergencias, le recomiendo el juego de cartas Black Hills Information Security llamado Backdoors and Breaches. Usando el mazo de cartas, puede preparar un escenario con una variedad de los ataques que podrían ocurrir en su organización. Las tarjetas incluyen recursos, así como recomendaciones para la detección y herramientas utilizadas.
Practical 365 y SpecterOps
Otro recurso que recomiendo, que incluye recursos tanto para Active Directory como para Azure AD, es el blog Practical 365, que está a cargo de consultores que se especializan en Exchange, AD y Microsoft 365. El blog de SpecterOps es otro sitio que brinda orientación sobre técnicas de prevención y caza contra Active Directory.
Purple Knight
Idealmente, tiene los recursos para contratar una empresa de pruebas de penetración para ver si su dominio AD es vulnerable a un ataque. Si su presupuesto es limitado, existen herramientas que puede utilizar para realizar un análisis del Active Directory de su empresa. Una de esas herramientas es Purple Knight, que se ha mejorado para incluir orientación tanto para Active Directory como para Azure AD. A continuación, se muestra un ejemplo de informe de evaluación de seguridad de Purple Knight.
Puede revisar su dominio y descubrir que está sujeto a ataques como PetitPotam, que aprovecha una falla en la inscripción web de los servicios de certificados de AD, lo que permite que los ataques de retransmisión NTLM puedan autenticarse como un usuario privilegiado. La herramienta apunta a una guía procesable de Microsoft para mitigar el problema.
La herramienta revisa qué nivel de bosque tiene en su red y le recomienda: "asegúrese de que sus dominios de AD se ejecuten en el nivel funcional más alto disponible para su versión de sistema operativo con el fin de garantizar el acceso a las últimas mejoras de seguridad. Además, considere actualizar el sistema operativo a 2012-R2 o superior, ya que hay nuevos niveles funcionales disponibles”. Con demasiada frecuencia, cuando migramos nuestros controladores de dominio a plataformas más nuevas, elevamos el nivel del bosque al mínimo necesario para realizar la migración y no investigamos si podemos aumentar los niveles funcionales del bosque y del dominio. Investigue las recomendaciones y la orientación de la herramienta, ya que señala varias debilidades que los atacantes pueden usar fácilmente para obtener acceso a su red.
Active Directory sigue sano y salvo en nuestros dominios. Utilice estos recursos para dificultar que el atacante obtenga el acceso que desea.
Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú