Hoy vamos a continuar con la serie de notas sobre como securizar nuestra arquitectura de Active Directory. Obviamente este tema es un tema conocido por todos y nosotros vamos a cubrir muchoa de los aspectos y mejores practicas propuestas por Microsoft, ya que si bien son conocidos no siempre son aplicados. Estas mejores practicas nos ayudaran mucho ya que nunca, por mas seguro que estemos, nadie esta 100% seguro frente a las amenazas existentes o por venir. La primera nota la pueden encontrar Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 1] [HowTo] y hoy veremos la segunda parte sobre las cosas comunes que nos afectan a nuestra seguridad.
En organizaciones que han experimentado eventos de compromiso catastróficos, las evaluaciones generalmente revelan que las organizaciones tienen una visibilidad limitada del estado real de sus infraestructuras de TI, que pueden diferir significativamente de sus estados "documentados". Estas variaciones introducen vulnerabilidades que exponen al entorno a un compromiso, a menudo con poco riesgo de descubrimiento hasta que el compromiso haya progresado hasta el punto en el cual los atacantes "poseen" efectivamente el entorno.
Las evaluaciones detalladas de la configuración de AD DS de estas organizaciones, infraestructuras de clave pública (PKI), servidores, estaciones de trabajo, aplicaciones, listas de control de acceso (ACL) y otras tecnologías revelan configuraciones erróneas y vulnerabilidades que, de ser corregidas, podrían haber evitado el compromiso inicial.
El análisis de la documentación, procesos y procedimientos de TI identifica las vulnerabilidades introducidas por las lagunas en las prácticas administrativas que fueron aprovechadas por los atacantes para eventualmente obtener privilegios que se utilizaron para comprometer completamente el bosque de Active Directory. Un bosque completamente comprometido es aquel en el que los atacantes no solo comprometen sistemas individuales, aplicaciones o cuentas de usuario, sino que escalan su acceso para obtener un nivel de privilegio en el que pueden modificar o destruir todos los aspectos del bosque. Cuando una instalación de Active Directory se ha visto comprometida hasta ese punto, los atacantes pueden realizar cambios que les permitan mantener una presencia en todo el entorno, o lo que es peor, destruir el directorio y los sistemas y cuentas que administra.
Aunque varias de las vulnerabilidades comúnmente explotadas en las descripciones que siguen no son ataques contra Active Directory, permiten a los atacantes establecer un punto de apoyo en un entorno que puede usarse para ejecutar ataques de escalada de privilegios y también para atacar y comprometer AD DS.
Esta sección de este documento se centra en describir los mecanismos que los atacantes generalmente utilizan para obtener acceso a la infraestructura y, finalmente, para lanzar ataques de elevación de privilegios. Ver también las siguientes secciones:
-
Reducción de la superficie de ataque de Active Directory Recomendaciones detalladas para la configuración segura de Active Directory.
-
Monitoreo de Active Directory en busca de signos de compromiso Recomendaciones para ayudar a detectar el compromiso
-
Planificación para el compromiso. Enfoques de alto nivel para ayudar a prepararse para los ataques contra la infraestructura desde las perspectivas de TI y de negocios.
NOTA: Aunque este documento se centra en los sistemas de Active Directory y Windows que forman parte de un dominio de AD DS, los atacantes rara vez se centran únicamente en Active Directory y Windows. En entornos con una combinación de sistemas operativos, directorios, aplicaciones y repositorios de datos, es común encontrar que los sistemas que no son de Windows también se han visto comprometidos. Esto es particularmente cierto si los sistemas proporcionan un "puente" entre entornos Windows y no Windows, como servidores de archivos a los que acceden clientes de Windows y UNIX o Linux, directorios que proporcionan servicios de autenticación a múltiples sistemas operativos o metadirectorios que sincronizan datos en diferentes directorios.
AD DS está enfocado debido a las capacidades de administración de configuración y acceso centralizado que proporciona no solo a los sistemas Windows, sino a otros clientes. Cualquier otro directorio o aplicación que proporcione servicios de autenticación y gestión de configuración puede, y será dirigido por atacantes determinados. Aunque este documento se centra en las protecciones que pueden reducir la probabilidad de un compromiso de las instalaciones de Active Directory, todas las organizaciones que incluyen computadoras, directorios, aplicaciones o repositorios de datos que no son de Windows también deben prepararse para ataques contra esos sistemas.
Saludos, Roberto Di Lello.