{"id":3626,"date":"2018-03-30T04:10:00","date_gmt":"2018-03-30T07:10:00","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=3626"},"modified":"2018-03-31T16:11:36","modified_gmt":"2018-03-31T19:11:36","slug":"las-mejores-prcticas-para-securizar-nuestra-arquitectura-de-active-directory-parte-2-camino-al-desastre-howto","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=3626","title":{"rendered":"Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 2] – Camino al desastre [HowTo]"},"content":{"rendered":"

\"www.radians.com.ar\"Hoy vamos a continuar con la serie de notas sobre como securizar nuestra arquitectura de Active Directory. Obviamente este tema es un tema conocido por todos y nosotros vamos a cubrir muchoa de los aspectos y mejores practicas propuestas por Microsoft, ya que si bien son conocidos no siempre son aplicados.  Estas mejores practicas nos ayudaran mucho ya que nunca, por mas seguro que estemos, nadie esta 100% seguro frente a las amenazas existentes o por venir.  La primera nota la pueden encontrar Las mejores pr\u00e1cticas para Securizar nuestra arquitectura de Active Directory [Parte 1] [HowTo]<\/a> y hoy veremos la segunda parte sobre las cosas comunes que nos afectan a nuestra seguridad.<\/p>\n

En organizaciones que han experimentado eventos de compromiso catastr\u00f3ficos, las evaluaciones generalmente revelan que las organizaciones tienen una visibilidad limitada del estado real de sus infraestructuras de TI, que pueden diferir significativamente de sus estados "documentados". Estas variaciones introducen vulnerabilidades que exponen al entorno a un compromiso, a menudo con poco riesgo de descubrimiento hasta que el compromiso haya progresado hasta el punto en el cual los atacantes "poseen" efectivamente el entorno.<\/p>\n

Las evaluaciones detalladas de la configuraci\u00f3n de AD DS de estas organizaciones, infraestructuras de clave p\u00fablica (PKI), servidores, estaciones de trabajo, aplicaciones, listas de control de acceso (ACL) y otras tecnolog\u00edas revelan configuraciones err\u00f3neas y vulnerabilidades que, de ser corregidas, podr\u00edan haber evitado el compromiso inicial.<\/p>\n

El an\u00e1lisis de la documentaci\u00f3n, procesos y procedimientos de TI identifica las vulnerabilidades introducidas por las lagunas en las pr\u00e1cticas administrativas que fueron aprovechadas por los atacantes para eventualmente obtener privilegios que se utilizaron para comprometer completamente el bosque de Active Directory. Un bosque completamente comprometido es aquel en el que los atacantes no solo comprometen sistemas individuales, aplicaciones o cuentas de usuario, sino que escalan su acceso para obtener un nivel de privilegio en el que pueden modificar o destruir todos los aspectos del bosque. Cuando una instalaci\u00f3n de Active Directory se ha visto comprometida hasta ese punto, los atacantes pueden realizar cambios que les permitan mantener una presencia en todo el entorno, o lo que es peor, destruir el directorio y los sistemas y cuentas que administra.<\/p>\n

Aunque varias de las vulnerabilidades com\u00fanmente explotadas en las descripciones que siguen no son ataques contra Active Directory, permiten a los atacantes establecer un punto de apoyo en un entorno que puede usarse para ejecutar ataques de escalada de privilegios y tambi\u00e9n para atacar y comprometer AD DS.<\/p>\n

Esta secci\u00f3n de este documento se centra en describir los mecanismos que los atacantes generalmente utilizan para obtener acceso a la infraestructura y, finalmente, para lanzar ataques de elevaci\u00f3n de privilegios. Ver tambi\u00e9n las siguientes secciones:<\/p>\n