Proteger cuentas criticas de Servidores y estaciones

H0l@,



Doy a conocer esta serie de Procedimientos de buenas practicas de seguridad para los Dominios y Forest de Windows que sugiere Microsoft y que generalmente trato de aplicar en las Implementaciones o Instalaciones que he ejecutado, con la finalidad de evitar el suceso anterior para disminuir la zona de impacto, proteger los recursos y hacer actualizaciones seguras. Puede que hallan mas, pero solo me acuerdo de estos por que son los que mas trato de tener en cuenta aunque no sea siempre.
XDDDDDD

La admon es una cuenta muy usada y no se tiene en cuenta en muchas implementaciones de seguridad unos procedimientos adecuados para protegerlas. Siendo que en muchas ocasiones es el premio en un intento de penetracion.

En la mayoria de las Empresas no se tiene conciencia sobre el uso adecuado de dicha cuenta y muchos exigen su uso ya sea por funcionalidad o por productos que instalemos o creen indispensables el uso de la cuenta como por ejemplo los Desarrolladores o personas de soporte. El objetivo primordial es lograr reducir el area de impacto que robe la contraseña del administrador y vulnere el sistema con algun exploit o se ataque alguna vulnerabilidad.

La cuenta local o de Dominio a Nivel de AD, permite acceder a todos los recursos de la Empresa
si obtengo la cuenta del administrador puedo acceder a cualquier dominio del bosque. Mas si se tienen los relaciones de confianza y replicaciones a punto. Pienso, que no se debe subestimar el uso de la cuenta, y ser cuidadosos, debido a que si se logra su captura el poder es total sobre la plataforma, muchas veces los desarrolladores dicen que no pueden trabajar o usuarios para ejecutar ciertas tareas, o aplicativos que necesitan
de permisos de admon. El problema es que no se lleva una administracion adecuada de las cuentas y monitoreo de las cuentas para reducir los riesgos, siendo que se pueden utilizar herramientas propias del sistema, la idea es evitar la ejecucion de cuentas locales que permitan puertas traseras o instalar o sea bajado y reproducido un virus o codigo malicioso. Si se tiene la cuenta local , se pueden escalar privilegios y acrecentar el daño.


8. En las politicas del AD se puede evitar que sean enumerados los usuarios o tambien que se conecten de
manera anonima, hay que tener en cuenta que clientes 9X, no se puedan conectar al Dominio debe hacerse
con cuidado.

1. La cuenta original creada por el sistema operativo se debe inhabilitar, solo una vez se halla creado
la cuenta alterna con un nombre que no tenga relevancia. Y nos cercioremos que su aplicacion y uso es total,
para evitar que aplicaciones o servicios no queden sin uso, solo despues de haber comprobado su
funcionalidad total debe borrarse la cuenta Integrada en el Sistema del Administrador.


2. No utilizar contraseñas en blanco, cuentas sin password o de seguridad baja. Ahora el Sistema apartir de 2003
exige que tenga una contraseña.

3. Renombrar las cuentas de Administracion con nombres que no sean nemotecnicos. Hay herramientas que
permiten conocer el SID del administrador por lo tanto es solo una precaucion, pero no total puesto que
siempre se vera al SID (Terminacion 500). Existen herramientas que permiten determinar cual es el SID del
administrador.

4. La cuenta original creada por el sistema operativo se debe inhabilitar, solo una vez se halla creado
la cuenta alterna con un nombre que no tenga relevancia. Y nos cercioremos que su aplicacion y uso es total,
para evitar que aplicaciones o servicios no queden sin uso, solo despues de haber comprobado su
funcionalidad total debe borrarse la cuenta Integrada en el Sistema del Administrador.

5. Crear contraseñas solidas, utilizando las politicas de cuenta para hacerlas mas complejas, ejemplo dos
AA##$%zz o utilizar pass phrases (frases) para hacer mas dificil las tecnicas de fuerza bruta cambio cada cierto
periodo uno o dos meses.

6. Crear un usuario con permisos basicos con el nombre Administrador, y elevar los niveles de auditoria de
seguridad para ver los logs, de usuarios que han intentado usarla y el por que?

7. Separar las cuentas de usuario y las administrativas, Si hablamos de una plataforma mas grande
en la cual implica la cuenta del Enterprise Admin, crearla a un solo usuario que no sea la cuenta
del Administrador y debidamente protegida. Una cuenta para el Enterprise Admin y dos cuentas para el
Administrador asi.

8. Crear dos cuentas para el administrador, una estandar para uso diario del administrador y la otra para uso
de tareas de administracion, aplicar el uso del Runas (EJecutar Como) para aquellas tareas que es algo asi
como el su de *NIX o sudo de Linux. Por medio de este puede correr programas o consolas MMC (Microsoft
Management Console) o elementos del Panel de control de una manera segura.


9. Los usuarios que tengan permisos de admon no deben navegar en Internet, para evitar el que les sea
descargado un codigo mailicioso y sea distribuido por la red como un virus o spyware,etc


10. No utilizar la delegacion de cuentas

11. La Proteccion del Inicio de Sesion se puede combinar con el uso de Token o Smart Card. Como tambien
se puede hacer el uso de credenciales compartidas, de tal forma que la responsabilida sea compartida
y deben estar presente las dos personas que comparten la contraseña. Se debe restringir en que
equipos o Dominios se pueda utilizar los Token, con la finalidad de evitar su robo y se trate de hacer sesion
sobre alguna estacion de trabajo.

12. Por ultimo utilizar herramientas como Baseline Security Analyzer (MBSA). para explorar los equipos
buscando que configuraciones de seguridad han sido mal implementadas y ha que vulnerabilidades y que
actualizaciones hacen falta, como se encuentra expuesto nuestro Dominio en sus distintos roles (Internet
Information Services, SQL Server, Exchange Server.



Saludos


Dino

PD: Se me olvidaba el texto es mio asi que no me den duro, con base en las recomendaciones de Microsoft
XDDDDDDDDDDDDDDD