Extendiendo funciones del Active Directory S4

Extendiendo funciones del Active Directory

8. Solucionando Problemas de Identidad y de Acceso

En esta sección, nos centraremos en la resolución de problemas asociados con la identidad y el acceso en un entorno de Active Directory. La capacidad para diagnosticar y resolver estos problemas es crucial para mantener la integridad y la seguridad de los sistemas. La sección se desglosa en cuatro áreas principales: Active Directory Certificate Services (AD CS), Active Directory Lightweight Directory Services (AD LDS), Active Directory Federation Services (AD FS) y Active Directory Rights Management Services (AD RMS). Cada una de estas tecnologías presenta desafíos únicos que los profesionales de TI deben ser capaces de manejar eficazmente.

8.1. Solucionando AD CS

Active Directory Certificate Services (AD CS) proporciona servicios de certificación y gestión de certificados digitales en un entorno de Active Directory. Los problemas comunes con AD CS incluyen:

• Certificados Caducados o Revocados: Los certificados pueden caducar o ser revocados, lo que puede causar problemas de autenticación y comunicación segura. Los administradores deben verificar la fecha de caducidad de los certificados y revisar las listas de revocación para resolver estos problemas.
• Errores en la Infraestructura de Certificación: Los problemas en la configuración de la infraestructura de certificación, como errores en los servicios de autoridad de certificación (CA) o en los certificados intermedios, pueden causar fallos en la emisión y validación de certificados. Es crucial revisar los registros de eventos de la CA y las configuraciones de la CA para identificar y solucionar estos errores.
• Problemas de Configuración en la Cadena de Certificación: Los errores en la cadena de certificación pueden impedir que los certificados sean validados correctamente. Los administradores deben asegurarse de que todos los certificados en la cadena estén correctamente instalados y que los certificados intermedios estén correctamente configurados.
• Problemas de Políticas de Certificación: Las políticas de certificación mal configuradas pueden afectar la emisión y el uso de certificados. Es necesario revisar y ajustar las políticas de certificados para garantizar que cumplan con los requisitos de seguridad y funcionalidad.

8.2. Solucionando AD LDS

Active Directory Lightweight Directory Services (AD LDS) es una implementación de servicio de directorio que no depende del dominio de Active Directory. Los problemas comunes en AD LDS incluyen:

• Problemas de Sincronización: Los problemas en la sincronización de datos entre instancias de AD LDS pueden causar inconsistencias en la información del directorio. Los administradores deben verificar la configuración de replicación y los registros de eventos para solucionar estos problemas.
• Errores en la Configuración de Instancias: Los errores en la configuración de instancias de AD LDS, como problemas con los contenedores de datos o las configuraciones de seguridad, pueden afectar el funcionamiento del servicio. Revisar y corregir la configuración de las instancias puede resolver estos problemas.
• Problemas de Rendimiento: Los problemas de rendimiento en AD LDS pueden ser causados por configuraciones inadecuadas o problemas con el hardware. Los administradores deben revisar los recursos del sistema y las configuraciones de AD LDS para identificar y solucionar problemas de rendimiento.
• Problemas de Acceso a Datos: Los problemas de acceso a los datos en AD LDS pueden ser causados por configuraciones incorrectas de permisos o problemas con los datos almacenados. Es importante revisar las configuraciones de permisos y la integridad de los datos para resolver estos problemas.

8.3. Solucionando AD FS

Active Directory Federation Services (AD FS) permite la autenticación y autorización de usuarios en diferentes dominios y aplicaciones. Los problemas comunes con AD FS incluyen:

• Problemas de Autenticación: Los problemas de autenticación pueden ser causados por errores en la configuración de las reglas de confianza, problemas con los tokens de seguridad o errores en la configuración de la autenticación multifactor. Los administradores deben revisar la configuración de AD FS y los registros de eventos para solucionar estos problemas.
• Errores en la Configuración de Relying Party Trusts: Los errores en la configuración de las relaciones de confianza con los relying parties pueden impedir que los usuarios accedan a las aplicaciones. Es crucial revisar y corregir la configuración de las relaciones de confianza para resolver estos problemas.
• Problemas de Replicación de Datos de Configuración: Los problemas de replicación de datos de configuración entre los servidores AD FS pueden causar inconsistencias en la autenticación y autorización. Los administradores deben verificar la replicación de datos y solucionar cualquier problema detectado.
• Problemas con Certificados: Los problemas con los certificados utilizados por AD FS, como certificados caducados o mal configurados, pueden afectar la capacidad de AD FS para funcionar correctamente. Es necesario revisar y actualizar los certificados según sea necesario.

8.4. Solucionando AD RMS

Active Directory Rights Management Services (AD RMS) protege la información confidencial mediante la aplicación de políticas de derechos y cifrado. Los problemas comunes con AD RMS incluyen:

• Errores en la Configuración de Servicios de Derechos: Los problemas en la configuración de AD RMS pueden afectar la aplicación de políticas de derechos. Los administradores deben revisar y corregir la configuración de los servicios de derechos para garantizar su correcto funcionamiento.
• Problemas con los Servicios de Licencia: Los problemas con los servicios de licencia, como fallos en la emisión o revocación de licencias, pueden afectar la protección de la información. Es crucial revisar la configuración de los servicios de licencia y solucionar cualquier problema detectado.
• Problemas de Integración con Aplicaciones: La integración de AD RMS con aplicaciones puede presentar problemas si las aplicaciones no están configuradas correctamente para utilizar las políticas de derechos. Los administradores deben asegurarse de que las aplicaciones estén configuradas correctamente y puedan interactuar con AD RMS.
• Problemas de Rendimiento: Los problemas de rendimiento en AD RMS pueden ser causados por configuraciones inadecuadas o problemas con los recursos del sistema. Los administradores deben revisar los recursos del sistema y la configuración de AD RMS para identificar y resolver problemas de rendimiento.

7 errores de configuración de Active Directory que debe detectar y corregir ahora mismo

Explotar las desconfiguraciones de Active Directory es una vía muy utilizada por los atacantes. Según Microsoft, 95 millones de cuentas de Active Directory son atacadascada día. Los atacantes utilizan  las vulnerabilidades de seguridad  de Active Directory para obtener acceso privilegiado y moverse por los sistemas comprometidos, cosechando activos valiosos, instalando malware o plantando ransomware, entre otras tácticas. Proteja su organización solucionando estos errores de configuración habituales de AD lo antes posible. 1. responsables no predeterminados con derechos DCSync La función DCSync suplanta la identidad de un controlador de dominio (DC) y solicita datos de contraseñas a un DC objetivo mediante el protocolo remoto de servicios de replicación de directorios. Detectar el problema

• Busque cuentas en las que se deleguen los siguientes derechos:
• Replicación de cambios de directorio (DS-Replication-Get-Changes)
• Replicación de todos los cambios de directorio (DS-Replication-Get-Changes-All)
• Replicación de cambios de directorio en conjunto filtrado (DS-Replication-Get-Changes)

7 errores de configuración de Active Directory que debe detectar y corregir ahora mismo

• Determine si DCSync se está utilizando para alojar otros controladores de dominio.
• Determina si alguna cuenta que no sea miembro de Administradores de dominio o Controladores de dominio tiene estos derechos.

Remediación Para un análisis en profundidad de este problema y de cómo solucionarlo, consulte este artículo sobre Seguridad AD 101. 2. Cambios de permisos en el objeto AdminSDHolder AdminSDHolder proporciona permisos de plantilla para cuentas y grupos protegidos. A diferencia de la mayoría de los objetos del dominio de Active Directory, el AdminSDHolder es propiedad del grupo Administradores del dominio. De forma predeterminada, los grupos Enterprise Admins, Domain Admins y Administrators pueden realizar cambios en cualquier objeto AdminSDHolder del dominio. Además, los miembros de los grupos Administrators o Enterprise Admins pueden tomar posesión del objeto. Los permisos de plantilla de AdminSDHolder también son persistentes, lo que significa que se vuelven a aplicar cada 60 minutos.

7 errores de configuración de Active Directory que debe detectar y corregir ahora mismo

Detección Para encontrar configuraciones erróneas de Active Directory de este tipo, busque cuentas de usuario inusuales a las que se hayan asignado permisos en las listas de control de acceso AdminSDHolder. Normalmente, descubrirá esto eliminando un titular de permisos desconocido, como "harry_the_frog", sólo para ver que ese mismo titular aparece 60 minutos después. Esto debería ser un disparador para recordarle la persistencia de AdminSDHolder. Remediación

• Utilice ADSIEdit para conectarse al contexto de nomenclatura por defecto y localizar el contenedor AdminSDHolder.
• Seleccione Propiedades.
• En Seguridad avanzada, haga clic en Restaurar valores predeterminados.
• Forzar la replicación mediante repadmin/syncall.

3. Contraseñas reversibles en objetos de directiva de grupo La configuración de directiva Almacenar contraseña mediante cifrado reversible ofrece compatibilidad con aplicaciones que usan protocolos que requieren la contraseña del usuario para la autenticación. Esto es un problema porque el cifrado reversible es, bueno, reversible. Esto significa que un atacante que rompa este cifrado puede comprometer la cuenta.

7 errores de configuración de Active Directory que debe detectar y corregir ahora mismo

Detección Revise sus políticas de grupo y determine si la opción Almacenar código de acceso mediante cifrado reversible está activada. Remediación La solución es bastante sencilla: Basta con desactivarla. Sin embargo, antes de hacerlo, debe averiguar qué romperá la acción. Es probable que la remediación se haya activado porque algunas aplicaciones la requieren. La compatibilidad de aplicaciones es una deuda tecnológica impagable que afecta a todo el mundo. A menos que la aplicación pueda reescribirse, es posible que te veas obligado a mitigar los problemas de seguridad que la aplicación pueda causar. 4. Acceso anónimo a Active Directory El acceso anónimo significa que los usuarios no autentificados pueden leer y acceder a los datos. Este acceso está desactivado por defecto, pero puede ser necesario en algunos casos legítimos. Con este acceso, un usuario no autorizado puede hacer una lista anónima de nombres de cuenta y utilizar la información para intentar adivinar contraseñas o realizar ataques de ingeniería social.

7 errores de configuración de Active Directory que debe detectar y corregir ahora mismo

Detección

• Utilizando ADSIEdit, compruebe la siguiente lista para dSHeuristics configurado como 0000002:
• CN=Servicio de directorio
• CN=Windows NT
• CN=Servicios
• CN=Configuración
• DC=<my domain>
• Determine si el acceso anónimo está habilitado (asignado a "NT Authority/Anonymous" en el dominio o contenedor mediante Active Directory Users and Computers (ADUC).

Remediación

• Cambia el valor del atributo de 0000002 a 1 o 0.
• Elimina el acceso anónimo al dominio o al contenedor.

5. Vulnerabilidades de Zerologon

7 errores de configuración de Active Directory que debe detectar y corregir ahora mismo

La vulnerabilidad Zerologon es un exploit en el protocolo de netlogon de Active Directory (MS-NRPC) que permite el acceso a servidores que utilizan NTLM. Este ataque permite a un atacante hacerse pasar por cualquier ordenador del sistema, incluido el DC raíz. La vulnerabilidad también permite desactivar funciones de seguridad en el proceso de autenticación netlogon. Utilizado por un atacante competente, también puede generar un Golden Ticket, que permite a un atacante hacerse con el control de la cuenta KRBTGT. Detección La detección puede ser difícil porque los tokens Kerberos parecen legítimos. Los vales TGT son válidos y están firmados por KRBTGT. Remediación La autenticación NTLM es funcional en el producto de envío y está activada por defecto. Desactivar la autenticación NTLM puede romper las aplicaciones. Determine qué aplicaciones utilizan este antiguo protocolo y corríjalas. A continuación, deshabilite NTLM y empiece a utilizar Kerberos en su dominio de Active Directory. 6. Contraseñas de cuentas de servicio no caducadas

7 errores de configuración de Active Directory que debe detectar y corregir ahora mismo

Las cuentas de servicio se configuran con contraseñas que nunca caducan. Las cuentas de servicio con contraseñas estándar que no cambian son más fáciles de comprometer. Hoy en día existen mejores opciones de gestión de contraseñas para permitir el acceso sin introducir este nivel de riesgo. Detección Busque cuentas con contraseñas que no caduquen para poder identificarlas y tratarlas. Remediación Implementa la práctica de cambiar tus cuentas de servicios a cuentas de servicios gestionadas por grupos. No necesitas conocer la contraseña; el sistema la gestionará por ti, y tu seguridad mejorará con el cambio. 7. Acceso de administradores no pertenecientes al dominio a los controladores del dominio Los usuarios que no son administradores de dominio pueden iniciar sesión de forma remota en un DC a través de RDP o PowerShell. Los atacantes pueden iniciar sesión de forma remota en un DC mediante PowerShell o servicios de escritorio remoto.

7 errores de configuración de Active Directory que debe detectar y corregir ahora mismo

Detección Compruebe la asignación de derechos de usuario en los ajustes de configuración. Remediación Microsoft recomienda los siguientes pasos para solucionar este tipo de errores de configuración de Active Directory:

• Vaya a la sección GPO Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Asignación de derechos de usuario.
• Busque la directiva Permitir inicio de sesión a través de servicios de Escritorio remoto.
• Después de que el servidor sea promovido a controlador de dominio, sólo el grupo Administradores (Domain Admins) debe permanecer en esta política local.