Conociendo la Seguridad en el Directorio Activo

Conociendo la Seguridad en el Directorio Activo

Active Directory

El servicio de Directorio Activo de Microsoft es el corazón de la administración y autenticación de la mayoría de las empresas del mundo con una base instalada de equipos Windows.  Es el servicio que, en adición a la autenticación, les permite a las empresas compartir recursos como impresoras, carpetas compartidas en entornos en premisas o ya dependientes de la nube.

Este es el primero de una serie de siete publicaciones que haremos en relación a un tema que nos apasiona en Greenfence Security, la seguridad del Directorio Activo. De la mano de los expertos de GreenFence Security y nuestros socios de negocios te llevaremos por el largo proceso de entender, evaluar y endurecer la configuración de tu Directorio Activo.

¿Qué es el Active Directory?

Los servicios de Directorio Activo fueron primero liberados al público con Windows Server 2000. A medida que pasó el tiempo han desarrollado diferentes funcionalidades adicionales hasta convertirse en el corazón de la autenticación y autorización de muchas empresas ya que, como hemos mencionado antes, permite a las empresas compartir autenticar a sus colaboradores y compartir recursos en la nube de una forma centralizada.

Últimas versiones del Active Directory

Cuando evaluamos la seguridad de un Directorio Activo lo primero que miramos es la versión de Windows Server en la cual se corre el servicio. Por favor tomar nota de la siguiente tabla de fechas de soporte de Windows Server:

ProductoInicio de SoporteFin de SoporteFin de Soporte Extendido
Versiones inferiores a Win Server 2012Soporte vencido. Debe migrar de inmediato.
Win Server 201230-oct-20129-oct-201810-oct-2023
Win Server 2012 R225-nov-20139-oct-201810-oct-2023
Win Server  201615-oct-201611-ene-202212-ene-2027
Win Server 201913-nov-20189-ene-20249-ene-2029
Fuente: https://support.microsoft.com/en-gb/lifecycle/search/1163

Lo segundo que es evaluado es el estado de instalación de actualizaciones de seguridad. Es importantísimo mantener sus controladores de dominio y en sí, toda su infraestructura totalmente actualizada.  La lista de vulnerabilidades publicadas que pueden ser eliminadas con correcto parcheo es altísima.  Información sobre los parches y vulnerabilidades de Windows puedes encontrarlas aquí.

Principales hallazgos encontrados al evaluar la seguridad de un Directorio Activo

Abajo encontrarán los principales hallazgos que hemos encontrado al cuando evaluamos la seguridad del Directorio Activo o cuando realizamos pruebas de penetración internas y también las mitigaciones que aplican para cada uno de ellos.

  • Hallazgo: Métodos de almacenamiento de contraseñas obsoletos.
    • Detalles: En Directorios Activos que han ido actualizándose en el tiempo es común ver protocolos vulnerables como LAN Manager.
    • Mitigación: Configura Directorio Activo y equipos para que solamente utilicen NTLMv2 o Kerberos.
  • Hallazgo: Deficientes Políticas de Contraseñas.
    • Detalles: Métodos de almacenamiento de contraseñas obsoletos se conjugan con políticas de contraseñas deficientes para formar la tormenta perfecta que permitan el “cracking” de contraseñas.
    • Mitigación: Políticas de complejidad de contraseñas para usuarios normales, administradores y cuentas de servicios.
  • Hallazgo: Demasiados Administradores de Dominio.
    • Detalles: Quizás el más frecuente de los hallazgos es la presencia de demasiados administradores del dominio. También es común que los grupos administrativos tengan usuarios innecesarios.
    • Mitigación: Reducir al mínimo el número el número de administradores de dominios y otras cuentas con privilegios administrativos.
  • Hallazgo: Contraseña Única de Usuario Administrador Local.
    • Detalles: Usar la misma contraseña para el usuario administrador local de equipos de usuarios y servidores hace que de vulnerarse dicha credencial la red esté en manos de sus atacantes.
    • Mitigación: Implementar Microsoft LAPS.
  • Hallazgo: Servicios inseguros en controladores de dominio.
    • Detalles: Es muy frecuente en pequeñas empresas activar servicios adicionales como impresión, DNS, DHCP y otros en los controladores de dominio.
    • Mitigación: Reducir lo máximo posible el número de servicios que se ejecutan en los controladores de dominio.
  • Hallazgo: Seguridad deficiente en Group Policy Objects.
    • Detalles: La publicación de credenciales administrativas en SYSVOL pone riesgo dichas credenciales.
    • Mitigación: Eliminar el uso de Group Policy Objects para gestionar credenciales.
  • Hallazgo: Seguridad deficiente de cuentas de servicio.
    • Detalles: Es un error utilizar como cuentas de servicio a cuentas privilegiadas y para que dichas cuentas se utilicen contraseñas de menos de 20 caracteres.
    • Mitigación: Aplicar políticas de seguridad especiales para cuentas de servicio.

En las siguientes publicaciones daremos más detalles sobre estas vulnerabilidades comunes y otras no tan comunes.

Nos vemos en la próxima.

Sebastián

¿Qué opinas sobre este tema? ¿Hay alguna vulnerabilidad del Directorio Activo que quisieras conocer?

Si te interesa solicitar una cotización personalizada para un servicio de Evaluación de Seguridad de Directorio Activo llena el formulario en el siguiente enlace o déjanos tu comentario en la parte de debajo de este post.

Imagen de Hikaroshita Hikari vía unsplash.com bajo licencia creative commons.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.