RaDians.com.ar

Microsoft MVP – Microsoft 365, Trainer, Mentor and Technical Writer. MCP, MCSA: Messaging, Microsoft Certified and former MCT and Xbox gamer…

2016 Directory Services Seguridad

Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 2] – Camino al desastre [HowTo]

Avatar photo

ByRoberto Di Lello

Mar 30, 2018

www.radians.com.arHoy vamos a continuar con la serie de notas sobre como securizar nuestra arquitectura de Active Directory. Obviamente este tema es un tema conocido por todos y nosotros vamos a cubrir muchoa de los aspectos y mejores practicas propuestas por Microsoft, ya que si bien son conocidos no siempre son aplicados.  Estas mejores practicas nos ayudaran mucho ya que nunca, por mas seguro que estemos, nadie esta 100% seguro frente a las amenazas existentes o por venir.  La primera nota la pueden encontrar Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 1] [HowTo] y hoy veremos la segunda parte sobre las cosas comunes que nos afectan a nuestra seguridad.

En organizaciones que han experimentado eventos de compromiso catastróficos, las evaluaciones generalmente revelan que las organizaciones tienen una visibilidad limitada del estado real de sus infraestructuras de TI, que pueden diferir significativamente de sus estados "documentados". Estas variaciones introducen vulnerabilidades que exponen al entorno a un compromiso, a menudo con poco riesgo de descubrimiento hasta que el compromiso haya progresado hasta el punto en el cual los atacantes "poseen" efectivamente el entorno.

Las evaluaciones detalladas de la configuración de AD DS de estas organizaciones, infraestructuras de clave pública (PKI), servidores, estaciones de trabajo, aplicaciones, listas de control de acceso (ACL) y otras tecnologías revelan configuraciones erróneas y vulnerabilidades que, de ser corregidas, podrían haber evitado el compromiso inicial.

El análisis de la documentación, procesos y procedimientos de TI identifica las vulnerabilidades introducidas por las lagunas en las prácticas administrativas que fueron aprovechadas por los atacantes para eventualmente obtener privilegios que se utilizaron para comprometer completamente el bosque de Active Directory. Un bosque completamente comprometido es aquel en el que los atacantes no solo comprometen sistemas individuales, aplicaciones o cuentas de usuario, sino que escalan su acceso para obtener un nivel de privilegio en el que pueden modificar o destruir todos los aspectos del bosque. Cuando una instalación de Active Directory se ha visto comprometida hasta ese punto, los atacantes pueden realizar cambios que les permitan mantener una presencia en todo el entorno, o lo que es peor, destruir el directorio y los sistemas y cuentas que administra.

Aunque varias de las vulnerabilidades comúnmente explotadas en las descripciones que siguen no son ataques contra Active Directory, permiten a los atacantes establecer un punto de apoyo en un entorno que puede usarse para ejecutar ataques de escalada de privilegios y también para atacar y comprometer AD DS.

Esta sección de este documento se centra en describir los mecanismos que los atacantes generalmente utilizan para obtener acceso a la infraestructura y, finalmente, para lanzar ataques de elevación de privilegios. Ver también las siguientes secciones:

NOTA: Aunque este documento se centra en los sistemas de Active Directory y Windows que forman parte de un dominio de AD DS, los atacantes rara vez se centran únicamente en Active Directory y Windows. En entornos con una combinación de sistemas operativos, directorios, aplicaciones y repositorios de datos, es común encontrar que los sistemas que no son de Windows también se han visto comprometidos. Esto es particularmente cierto si los sistemas proporcionan un "puente" entre entornos Windows y no Windows, como servidores de archivos a los que acceden clientes de Windows y UNIX o Linux, directorios que proporcionan servicios de autenticación a múltiples sistemas operativos o metadirectorios que sincronizan datos en diferentes directorios.

AD DS está enfocado debido a las capacidades de administración de configuración y acceso centralizado que proporciona no solo a los sistemas Windows, sino a otros clientes. Cualquier otro directorio o aplicación que proporcione servicios de autenticación y gestión de configuración puede, y será dirigido por atacantes determinados. Aunque este documento se centra en las protecciones que pueden reducir la probabilidad de un compromiso de las instalaciones de Active Directory, todas las organizaciones que incluyen computadoras, directorios, aplicaciones o repositorios de datos que no son de Windows también deben prepararse para ataques contra esos sistemas.

Saludos, Roberto Di Lello.

Post Relacionados:

  1. Recuperacion de los Servicios de dominio de Active Directory {ADDS} – Parte 1
  2. Windows Server 2016 AD DS {Active Directory Domain Services} –Parte1-
  3. Windows Server 2016, Azure AD Join {Parte-2}
  4. AD DS Descripcion de Instalaciones y Removal Wizard {Teoria} (parte3) –Opciones DNS-
  5. Windows Server 2016, instalando y configurando nuestro servidor DFS {HowTo}
Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Related Post

Copilot-IA Seguridad Tools Windows 11 Windows 365

Windows Recall: como verificar si esta habilitado y como deshabilitarlo desde linea de comando [HowTo] {Screencast}

Dic 5, 2024 Roberto Di Lello
Seguridad Windows 11

Conoce la función gratuita de Gmail que se activa en segundos y evita cualquier estafa

Oct 14, 2024 Roberto Di Lello
Seguridad Windows 11

Microsoft EDGE con VPN gratis (?)

Jun 4, 2024 Roberto Di Lello

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

You missed

Intune Windows 365

Como agregar un equipo a nuestro tenant de Azure con Microsof Intune (MDM)-Windows Device Enrollment- [HowTo]

Feb 17, 2025 Roberto Di Lello
Windows 11

Windows 11 2024 Update (24H2) Build 26120.3000 (canal de desarrollo)

Ene 24, 2025 Roberto Di Lello
Windows 11

Windows 11 2024 Update (24H2) Build 26120.2992, búsqueda mejorada de Windows en PC Copilot+

Ene 17, 2025 Roberto Di Lello
Azure Intune ScreenCasts Tools Windows 10 Windows 11 Windows 365

Microsoft Intune – Windows Device Enrollment (MDM) y Hello for Business

Ene 10, 2025 Roberto Di Lello