En este artículo, he intentado recopilar las principales reglas organizativas y técnicas del uso de cuentas privilegiadas / administrativas en la organización para mejorar la seguridad en la red de Windows. Siguiendo estas recomendaciones, aumentará significativamente la protección de las computadoras y servidores en el dominio de Active Directory contra los ataques similares al incidente de verano con el ransomware Petya, que penetró las computadoras del dominio de forma remota utilizando credenciales de administrador obtenidas de la memoria LSASS (mediante herramientas similares a Mimikatz ) y la vulnerabilidad SMB v1.0. Algunas de las recomendaciones pueden ser discutibles o no aplicables en casos específicos, pero es mejor que las siga.

Entonces, en el artículo anterior, consideramos las técnicas básicas de protección contra la extracción de contraseñas de la memoria usando Mimikatz. Sin embargo, todos estos medios técnicos pueden ser inútiles si no sigue las reglas básicas de seguridad para mantener las cuentas administrativas en el dominio de Windows.

La regla principal que debe utilizar es la máxima restricción de los privilegios administrativos, tanto para usuarios como para administradores. Debe otorgar a los usuarios y equipos de soporte solo los permisos mínimos necesarios para realizar las tareas diarias.

Aquí está la lista básica de reglas:

  • Las cuentas de administrador de dominio / empresa deben usarse solo para administrar el dominio o los controladores de dominio. No use estas cuentas para acceder y administrar sus estaciones de trabajo. Se aplica un requisito similar a las cuentas de administrador del servidor.
  • Vale la pena utilizar la autenticación de dos factores (2FA) para las cuentas de administrador de dominio
  • Los administradores deben iniciar sesión en sus estaciones de trabajo utilizando cuentas de usuario regulares (restringidas)
  • Para proteger cuentas privilegiadas (dominios, Exchange, servidores, administradores), considere usar la función de Usuarios protegidos grupo
  • Nunca use las cuentas administrativas compartidas despersonalizadas. Todas las cuentas de administrador deben estar personificadas
  • Nunca ejecute ningún servicio usando cuentas de administrador (lo mismo se aplica a la cuenta de administrador de dominio), es mejor usar cuentas dedicadas o cuentas de servicio administradas
  • No permita que los usuarios trabajen con privilegios de administrador local.

Al usar el GPO, debe habilitar las políticas de contraseñas que brindan suficiente longitud y complejidad de contraseñas tanto para usuarios como para administradores, así como la configuración de bloqueo de cuentas. Estas políticas se encuentran en el Configuración de la computadora -> Configuración de Windows -> Configuración de seguridad -> Políticas de cuenta sección:

  • Política de contraseñas
  • Política de bloqueo de cuenta

Puede establecer requisitos más estrictos para la longitud y el historial de contraseñas almacenadas para los administradores con la ayuda de las políticas de contraseñas detalladas.

En cuanto a las cuentas integradas en las computadoras de los usuarios, nunca debe usar las mismas contraseñas de administrador local en todas las computadoras. Es mejor deshabilitar completamente (o al menos cambiar el nombre) de la cuenta de administrador local. Para proporcionar un cambio de contraseña regular para esta cuenta a una única en cada computadora en su red, puede usar LAPS.

Con la ayuda de GPO, evite el acceso remoto a las computadoras con cuentas locales y el acceso remoto usando RDP (NT AUTHORITY cuentas locales y miembro del grupo de administradores). Estas configuraciones se encuentran en GPO: Configuración de la computadora -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Asignación de derechos de usuario.

  1. Denegar el acceso a esta computadora desde la red
  2. Denegar el inicio de sesión a través de los servicios de escritorio remoto
  3. Denegar el inicio de sesión como trabajo por lotes
  4. Negar Iniciar sesión en como a Servicio

Una vez finalizada la sesión administrativa (instalación de software, configuración del sistema, etc.), es mejor reiniciar la computadora del usuario. Además, puede terminar de forma forzada las sesiones inactivas / desconectadas en los servidores RDS utilizando las políticas de la siguiente sección: Configuración del equipo -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Servicios de escritorio remoto -> Host de sesión de escritorio remoto -> Límites de tiempo de sesión.

En el dominio de Windows Server 2016, puede usar la nueva característica de pertenencia temporal a grupos para otorgar privilegios administrativos temporales.

En este artículo he descrito las reglas más importantes que le ayudarán a mejorar la protección de las cuentas administrativas en su dominio de Windows. De hecho, este artículo no proporciona pautas completas sobre la restricción de seguridad y privilegios de las cuentas de administrador, pero puede usarse como punto de partida para construir una infraestructura segura. Para obtener más información, recomiendo comenzar con la documentación de Microsoft. Prácticas recomendadas para proteger Active Directory.

Recomendado para ti