Hola, hoy continuaremos la nota que empezamos a ver el protocolo NTLM:

• Entendiendo el protocolo NTLM: Auditor�a y restricci�n del uso [Parte1].
• Entendiendo el protocolo NTLM: Escenarios admitidos para restringir NTLM en un dominio [Parte2]

Identificar sus objetivos para reducir el uso de NTLM

Los entornos de TI pueden ser complicados tanto en alcance como en arquitectura. Los protocolos de autenticaci�n utilizados suelen ser mixtos seg�n las aplicaciones y los sistemas operativos implementados. Es importante comprender sus metas y objetivos al evaluar su entorno de TI para reducir el uso de la autenticaci�n NTLM. La preparaci�n del proyecto y la implementaci�n del plan pueden entonces centrarse en estos objetivos.

El uso de las herramientas proporcionadas con los sistemas operativos Windows compatibles puede ayudarle a lograr muchos de sus objetivos de reducir el uso de NTLM, como se describe en la siguiente lista.

• Actualizar sistemas operativosLa reducci�n de NTLM en su entorno podr�a lograrse como parte de un proyecto m�s amplio para migrar los sistemas operativos a versiones m�s actuales. Deber� investigar si las aplicaciones utilizadas utilizar�n los m�todos de autenticaci�n m�s avanzados o si deben seguir utilizando NTLM.
• Cumplir con las regulaciones gubernamentales o de asociaciones aplicables.Es posible que su organizaci�n deba cumplir con las regulaciones o pr�cticas actuales que excluyen el uso de NTLM para determinadas aplicaciones o en determinados entornos. Deber� determinar qu� regulaciones gubernamentales o industriales deben abordarse, como Sarbanes-Oxley, FFIEC, HIPAA u otras, y luego identificar en qu� �reas debe eliminar el uso de NTLM.
• Eliminar la autenticaci�n NTLMPuede determinar que eliminar NTLM cumplir� todos sus dem�s objetivos y luego tendr� que preparar su entorno para otros protocolos de autenticaci�n a largo plazo, como TLS/SSL o IPsec, mientras utiliza el protocolo Kerberos versi�n 5 a corto plazo. .
• Identificar y comprender el uso actual de NTLMEs posible que determine que eliminar el uso de NTLM es demasiado costoso o requiere mucho tiempo en el corto plazo, pero a�n necesita saber c�mo y d�nde se utiliza NTLM. Puede utilizar esta informaci�n para aumentar la supervisi�n de la seguridad y la planificaci�n futura.
• Modificar aplicaciones para utilizar protocolos de autenticaci�n m�s avanzadosPara mitigar las amenazas de seguridad modernas o cumplir con las regulaciones, su objetivo principal podr�a ser forzar a las aplicaciones existentes a utilizar el protocolo Kerberos v5 en lugar de NTLM.�La investigaci�n del uso de aplicaciones, el estado del ciclo de vida y los cronogramas de retiro de su organizaci�n, y los planes de reemplazo, facilitar�n sus planes para reducir el uso de NTLM.

Determinar la condici�n de su entorno de TI

La evaluaci�n del uso de NTLM requiere una comprensi�n de la red y la arquitectura de Active Directory, el uso de aplicaciones y los elementos de administraci�n de infraestructura, como los sistemas de recopilaci�n de auditor�as.�Los preparativos para auditar el uso de NTLM ser�n m�s efectivos si primero aborda los siguientes temas.

DNS y est�ndares de nombres

La estructura del Sistema de nombres de dominio (DNS) de su organizaci�n afecta sus preparativos para acceder al uso de NTLM. Deber� comprender c�mo el nombre de dominio completo (FQDN), que se devuelve en la auditor�a, se relaciona con los nombres de los servidores y la posici�n jer�rquica de cada servidor. Esto tambi�n afectar� la forma en que se puede estructurar el orden de b�squeda forestal de manera efectiva. Para obtener informaci�n detallada sobre c�mo funciona DNS, consulte Arquitectura DNS . Para comprender c�mo DNS y Active Directory impactan los preparativos para auditar el uso de NTLM, consulte el tema “Dise�o de convenciones de nomenclatura de computadoras y �rdenes de b�squeda en los bosques” en Preparativos para evaluar el uso de NTLM .

1. �Su DNS est� integrado con Active Directory y ambos son manejados por la misma parte operativa de su organizaci�n?
2. �Cu�ntas zonas DNS hay?
3. �Las computadoras cliente requieren sufijos DNS o se utilizan FQDN?
4. �Cu�les son las convenciones de nomenclatura de servidores?��Los nombres se basan en la ubicaci�n o la funci�n y se sigue rigurosamente la convenci�n de nomenclatura?

Implementaci�n de Active Directory y Pol�tica de Grupo

La estructura de dominio y bosque de Active Directory desempe�a un papel importante en su capacidad para comprender la topolog�a y las convenciones de nomenclatura de su entorno. Tambi�n podr�a afectar la forma en que estructura la recopilaci�n de eventos de registro de auditor�a NTLM para su evaluaci�n y mantenimiento continuo. Las pol�ticas integradas que se utilizan para evaluar y reducir el uso de NTLM est�n dise�adas para distribuirse a trav�s de la Pol�tica de grupo, de modo que pueda aprovechar su mecanismo de Pol�tica de grupo existente. Adem�s, es posible que su organizaci�n ya cuente con pol�ticas que afectan el uso del protocolo de autenticaci�n. Para implementar un plan exitoso de reducci�n del uso de NTLM, investigue y documente lo siguiente:

1. �Cu�les son los niveles funcionales del bosque y del dominio?
2. �Cu�les son los niveles de esquema para los controladores de dominio?
3. Para cada dominio, �cu�l es la versi�n del sistema operativo Windows de los controladores de dominio?
4. �Qu� es el dise�o de la pol�tica de grupo?��Ser� l�gico y eficiente utilizar GPO espec�ficos para distribuir la auditor�a y restringir la configuraci�n de las pol�ticas de seguridad?

Estructura de red

Comprender su infraestructura de red puede ayudarlo a comprender c�mo fluye el tr�fico de autenticaci�n entre las computadoras cliente, los servidores miembro y los controladores de dominio. Debe documentar todos los dispositivos que restringen o alteran el tr�fico de autenticaci�n dentro de su entorno.

1. �Qu� firewalls y otros dispositivos de filtrado de red existen para los controladores de dominio, servidores miembro y computadoras cliente en su entorno?
2. �Qu� dispositivos de hardware en su entorno especifican el uso de NTLM? �Se pueden reconfigurar estos dispositivos para usar Kerberos?
3. �Cu�les son los requisitos de su organizaci�n para admitir computadoras cliente que se conectan desde fuera de la red corporativa? Identifique el uso de estas computadoras cliente, como computadoras dom�sticas o port�tiles corporativas, e identifique c�mo se conectan estos dispositivos, como VPN, VPN SSL o publicaci�n web.
4. �Qu� capas adicionales de protecci�n existen para proteger los centros de datos confidenciales?

Infraestructura de operaciones y recolecci�n de eventos.

Es posible que su organizaci�n tenga est�ndares operativos que podr�an afectar la forma en que planifica la reducci�n de NTLM en su entorno. Debe investigar cada componente de su infraestructura operativa para asegurarse de que ninguno de ellos se vea afectado negativamente por la restricci�n de NTLM. Adem�s, resulta beneficioso investigar y analizar las herramientas y procesos de su organizaci�n para la recopilaci�n de eventos de seguridad. Su capacidad para realizar evaluaciones precisas y desarrollarlas en planes efectivos depende de su capacidad para recopilar y analizar datos de uso de NTLM.

1. �Cu�les son los est�ndares e infraestructura de copia de seguridad y restauraci�n?
2. �Cu�les son los est�ndares de monitoreo del sistema?
3. �Cu�l es el proceso de gesti�n de actualizaciones?
4. �Cu�les son los est�ndares y ubicaciones de recolecci�n de eventos de seguridad?
5. �Existen herramientas para recopilar o reenviar eventos de autenticaci�n para realizar an�lisis precisos?
6. �Cu�l ser� el esfuerzo para desarrollar informes de auditor�a personalizados para los intentos de autenticaci�n NTLM y Kerberos?

Computadoras cliente

Comprender su infraestructura de red puede ayudarlo a comprender c�mo fluye el tr�fico de autenticaci�n entre las computadoras cliente, los servidores miembro y los controladores de dominio. Las computadoras cliente generar�n muchas de las solicitudes de autenticaci�n NTLM, y los usuarios de esas mismas computadoras generar�n la mayor�a de las llamadas de soporte si su proyecto para reducir NTLM no se planifica incorrectamente. Una vez documentada la infraestructura de la red, evaluar con precisi�n el uso de la autenticaci�n desde las computadoras cliente ayudar� a que su proyecto tenga �xito.

1. De los sistemas operativos del cliente en uso, �cu�les son compatibles con su organizaci�n?
2. �Qu� equipos cliente est�n unidos a Active Directory?
3. �Todos los usuarios se autentican en Active Directory?
4. �Hay computadoras cliente y servidores en grupos de trabajo en su organizaci�n?
5. �C�mo se distribuyen los paquetes de software y las actualizaciones a las computadoras cliente?

Aplicaciones

Su evaluaci�n de su entorno incluir� qu� aplicaciones pueden utilizar con �xito el protocolo Kerberos y cu�les no. Para aquellos que actualmente usan NTLM, debe decidir si los modifica o actualiza para usar protocolos de autenticaci�n m�s avanzados o permitir su uso continuo sin modificaciones.

1. �Qu� aplicaciones de servidor y cliente son compatibles?
2. �En qu� sistemas operativos se ejecutan?
3. �Cu�l de estas aplicaciones utiliza actualmente la autenticaci�n Kerberos?

Entornos de prueba

Reducir el uso de NTLM sin las pruebas adecuadas puede tener un impacto grave en la productividad dentro de su organizaci�n. Se introdujeron pol�ticas de seguridad en Windows Server 2008 R2 y Windows 7 que simplemente auditan el tr�fico NTLM como si el tr�fico estuviera realmente restringido. Sin embargo, crear y utilizar un entorno de prueba para replicar su entorno de producci�n ayudar� a mitigar los errores de dise�o y las omisiones en su investigaci�n.

1. �La organizaci�n cuenta con alg�n sistema de prueba?
2. �Sus entornos de prueba replican sus entornos de producci�n?
3. �Se siguen las mismas convenciones de nomenclatura?
4. �Est�n todas las aplicaciones disponibles en el entorno de prueba?
5. �La carga de las aplicaciones est� equilibrada o agrupada como en el entorno de producci�n?
6. �Est�n disponibles en el entorno de prueba los mismos sistemas de recopilaci�n de eventos en producci�n?