Seguridad de Microsoft Energetic Listing para administradores de Advert



Microsoft Energetic Listing (Advert) es el producto de servicios de directorio más común en el mundo, utilizado por la mayoría de las empresas Fortune 1000 para la administración de identidades y accesos. Desafortunadamente, también puede ser una pesadilla asegurarlo. Además, sus administradores a menudo desconocen las ramificaciones de seguridad de sus acciones, no es que la seguridad sea necesariamente su responsabilidad, o cómo pueden fortalecer sus entornos.

Este artículo explorará algunos de los problemas de seguridad de Advertisement generalizados que enfrentan los administradores y explicará qué pueden hacer para prevenirlos o mitigarlos.

Comprender las rutas de ataque de Ad
Casi todos los entornos de Advertisement son vulnerables a una técnica poderosa y difícil de detectar llamada rutas de ataque. Es posible que los haya escuchado llamar «ataques de bola de nieve de identidad”Porque primero ponen en peligro un host y luego utilizan los privilegios de los usuarios conectados a ese host para lanzar ataques contra otros hosts. Los atacantes se mueven de una máquina a otra de esta manera hasta que alcanzan sus objetivos (generalmente un controlador de dominio) y completan sus objetivos, ya sea robar datos confidenciales, implementar malware u otra cosa.

El entorno de Ad promedio tiene cientos o miles de rutas de ataque y, por lo common, son un «desconocido desconocido», donde los administradores no comprenden el problema o ni siquiera se dan cuenta de que tienen uno. Pero esto no es una crítica a los administradores de Ad: las características que hacen que Advertisement sea útil para las empresas son las mismas que lo hacen atractivo para los atacantes y difícil de defender. Obtener el manage de un entorno de Ad casi siempre les dará a los atacantes el acceso que necesitan para alcanzar sus objetivos, ya sea tomando el manage directo de los puntos finales o usando Advert para validarse a sí mismos como usuarios con acceso al sistema que necesitan.

Dado que Ad se united states of america ampliamente entre las principales empresas, los atacantes pueden reutilizar las mismas técnicas contra múltiples objetivos. Y debido a que las herramientas de los piratas informáticos solían progresar a lo largo de una ruta de ataque (como Mimikatz y Responder) abusan de las funciones integradas en Windows y Advertisement en lugar de las vulnerabilidades de software, es difícil para los defensores detectarlas.

El tamaño y el alcance de Advertisement también dificultan su seguridad. Las empresas pueden tener fácilmente miles de rutas de ataque, que cambian constantemente a medida que se agregan o eliminan nuevos usuarios y los grupos y los permisos cambian. Mapear todos ellos es difícil y cerrarlos todos es prácticamente imposible. Si bien las rutas de ataque individuales se pueden cerrar modificando un permiso unique o la pertenencia a un grupo de seguridad, eliminar uno logra muy poco. Los atacantes tienen muchas rutas alternativas hacia el mismo objetivo. Piense en Advert como en Google Maps, con un atacante que comienza en Los Ángeles e intenta llegar a Washington, DC. Hay miles de rutas específicas que pueden tomar, por lo que cerrar una carretera no les impedirá llegar allí.

Hacer que Active Directory sea más seguro
Entonces, ¿simplemente levantamos nuestras manos ante este abrumador problema? Por supuesto no. Hay muchas cosas que los administradores de Advert pueden hacer para ayudar a que sus entornos sean más seguros que no requieren conocimientos de seguridad detallados. Dos de los pasos más importantes son obtener una mejor visibilidad de Advertisement y comprender los grupos de seguridad anidados.

Ad hace que sea muy difícil auditar los permisos de los usuarios. Home windows solo informará qué directores tener una relación directa de «derechos de administrador» con una computadora o con el command de un objeto. Un director puede ser un individuo o un grupo, y no hay forma de «desenrollar» estos grupos en Ad el administrador debe pasar por un proceso separado para ver la membresía del grupo. Si hay otro grupo anidado en el primero, el administrador tendrá que repetir el proceso.

Esto hace que los permisos de auditoría sean torpes y lentos, hasta el punto de que impide que la mayoría de los administradores de Advert comprendan verdaderamente sus propios entornos. El uso de herramientas o scripts de terceros para obtener más información sobre qué usuarios tienen qué permisos y el seguimiento de grupos de seguridad anidados es un excelente punto de partida para mejorar la seguridad de Ad. Una herramienta de mapeo de Advertisement de código abierto y gratuita llamada Sabueso
tiene esta funcionalidad (soy un co-creador de la misma), y otras herramientas como PingCastle
también son útiles.

Otros pasos útiles hacia una mejor seguridad de Advertisement incluyen definir los activos de nivel cero de una organización (esto normalmente incluye administradores de dominio de Ad, controladores de dominio, PKI y cualquier persona con acceso a sistemas de alto valor específicos para la organización en cuestión) y desarrollar un método para medir su riesgo de exposición. Además, piénselo dos veces al otorgar permisos a nuevos usuarios: si bien es tentador darles acceso a todo lo que puedan necesitar, los usuarios con privilegios excesivos crean más rutas de ataque.

Para obtener más información sobre las rutas de ataque y la seguridad de Ad, recomiendo Microsoft’s Protección de la documentación de acceso privilegiado y el sitio internet ADSecurity.org. Ya sea que lo sepan o no, los defensores han estado plagados de rutas de ataque durante décadas, por lo que comprenderlos es el primer paso para reducir el riesgo para toda la empresa.



Enlace a la noticia unique