Los Controladores de Dominio (DC) controlan las aprobaciones de autenticación del servidor y la verificación de usuarios. El DC controla el acceso al Directorio Activo, por lo tanto, tener un DC vulnerable significa estar expuesto a algunos de los ataques más devastadores que pueden sufrir las organizaciones.
Existen muchas tácticas y mecanismos para proteger los DC, ya que son un eslabón tan crítico en la red. Pero la mayoría de las organizaciones pasan por alto el hecho de que, configurando los Controladores de Dominio con mayor seguridad, podrán prevenir la mayoría de los ataques.
Este artículo detallará los ajustes especiales de configuración de derechos de usuario en el DC para acometer sus singulares necesidades y amenazas de seguridad.
Configure “Acceder a esta computadora desde la red” para aceptar “Administradores, Usuarios Autenticados, CONTROLADORES DE DOMINIO EMPRESARIALES”:
La configuración predeterminada de esta opción incluye “Todos”, lo que significa que los usuarios no autenticados pueden leer archivos como impresoras y carpetas compartidas.
Configure “Agregar estaciones de trabajo al dominio” para “Administradores”:
El valor predeterminado de esta configuración es permitir que todos los usuarios autenticados agreguen estaciones de trabajo al dominio. Si este es el caso en un DC, se puede usar una cuenta que no sea de administrador que haya sido comprometida para agregar una computadora maliciosa que permita al atacante inmiscuirse en la red.
Configure “Permitir el inicio de sesión a través de Servicios de Escritorio Remoto” para “Administradores”:
Este es el valor predeterminado de esta configuración, así que asegúrese de que no se cambie si es posible. En caso de que necesite tener un grupo de usuarios con acceso de Escritorio Remoto (Remote Desktop) al DC (por ejemplo, usuarios del disco de ayuda), puede permitir que el grupo de usuarios de Escritorio Remoto tenga acceso. Asegúrese de que solo los usuarios relevantes estén en este grupo.
Asegúrese de que solo los Administradores puedan “Crear enlaces simbólicos”:
Este parámetro está configurado de forma predeterminada para Administradores. Asegúrese de que siga siendo así o estará expuesto a ataques de enlaces simbólicos.
Create Symbolic Link in Windows is set to 'Administrators' (DC only) – The Policy Expert:
Asegúrese que el objeto “Denegar el acceso a esta computadora desde la red” incluye a “Invitados”:
Este es el valor predeterminado de esta configuración. Si bien es conveniente mantener esta configuración predeterminada por ser una buena práctica en términos de seguridad, esta puede limitar la realización de tareas administrativas específicas de algunos usuarios. Debe examinar el impacto de cada regla de su política antes de implementarla.
Deny Access to This Computer From the Network – Best Practices for DC and Member Server
Asegúrese que “Denegar el inicio de sesión a través de Servicios de Escritorio Remoto” incluya “Invitados”:
Este parámetro está configurado de forma predeterminada para no incluir a nadie. Una vez que un Servidor Miembro básico se une al dominio, no hay razón para que las cuentas locales tengan acceso remoto al DC.
Asegúrese de que “Permitir que las cuentas de usuario y de computadora sean confiables para delegar” esté configurado solo para “Administradores”:
Este parámetro está configurado de forma predeterminada para permitir que solo se confíe en los administradores para la delegación. Cambiar esta configuración puede hacer que los atacantes obtengan acceso a la red de una manera que será muy difícil de rastrear y detectar.
Asegúrese de que “Suplantar a un cliente después de la autenticación” esté configurado para “Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO”:
De forma predeterminada, solo los Administradores, los Servicios Locales, los Servicios de Red y el Servicio pueden hacerse pasar por un cliente después de su autenticación, por lo que debe asegurarse de que esto no se haya cambiado. Esta configuración es crítica para la seguridad. Si un atacante compromete a un usuario con el derecho de suplantar después de la autenticación, puede engañar a un cliente y hacer que se conecte al servicio, y luego suplantar a este cliente y elevar sus privilegios al nivel del cliente. Lo bueno es que no hay un impacto esperado en la producción al establecer este valor, pero debe verificar el 100% de certeza.
Configure “Iniciar sesión como un trabajo por lotes” para “Administradores”:
La configuración predeterminada de esta opción es permitir que tanto los Administradores como los Operadores de Copias de Respaldo inicien sesión como un trabajo por lotes. Aunque presenta solo una vulnerabilidad de bajo riesgo, debe restringirse en entornos de alta seguridad como los Controladores de Dominio.
Asegúrese de que “Administrar el registro de auditoría y seguridad” esté configurado para “Administradores”:
Ésta es la configuración predeterminada de este parámetro. En caso de que Exchange se ejecute en el entorno, también debe permitir que los “Servidores de Exchange” administren los registros de auditoría y seguridad.
Dar la capacidad de administrar registros de auditoría y seguridad puede permitir a los atacantes borrar la evidencia de su actividad maliciosa, que es fundamental para la organización para detener y recuperarse de los ataques.
Asegúrese de que “Sincronizar datos del servicio de directorio” esté configurado como “Nadie”:
Aunque “Nadie” es la configuración predeterminada de esta opción, en el Controlador de Dominio, la capacidad de sincronizar los datos del servicio de directorio es parte de las funciones principales. Los Controladores de Dominio pueden realizar la sincronización del Directorio Activo de forma inherente. Esta configuración es especialmente crítica ya que, si un atacante obtiene este derecho de usuario, puede leer toda la información del directorio.
Las recomendaciones de configuración anteriores son exclusivas de los Controladores de Dominio y difieren de los Servidores Miembro. Adoptando estas recomendaciones de Derechos de Usuario lo ayudará a mejorar la postura de seguridad de sus DC. Pero debe tener en cuenta que implementar estas configuraciones sin hacer un análisis de impacto puede tener resultados devastadores e incluso terminar por interrumpir la actividad de sus DC. Por lo tanto, debe verificar cuál será el impacto de cada valor (incluso si está configurado como su política por defecto).
Puede generar un informe de análisis de impacto o verificar manualmente cada valor en un entorno de laboratorio, automatizando todo el proceso. Una herramienta de automatización de Hardening generará automáticamente un análisis de impacto al aprender su entorno de producción. Impulsará la política deseada a su ambiente de producción desde un único punto de control. Finalmente, monitoreará su postura de cumplimiento, alertará y remediará cada cambio de configuración.
