Академический Документы
Профессиональный Документы
Культура Документы
Un documentacin tcnica de
Randy Franklin Smith
encargado por
Cuando se trata de su infraestructura de Windows, es necesario planificar cuando hay violaciones y mal uso de Active
Directory (AD) y entonces preparar las estrategias que disminuyan el impacto de los ataques externos y amenazas
internas. Si alguien logra un acceso a nivel de administrador, obviamente puede moverse por su red mucho ms
rpido y libremente. Por lo tanto es fundamental vigilar las seales de abuso elevado o la manipulacin de las cuentas
de Windows.
Pero hay muchos niveles "del montn" donde se pueden obtener los privilegios de acceso a nivel de administrador
y hay muchas maneras de obtenerlos. En este informe, exploramos las dimensiones de los riesgos de los privilegios
de acceso a nivel de administrador y le mostramos cmo detectarlos y responder ante ellos.
Para obtener los privilegios de acceso a nivel de administrador se necesita ms que solo ser un miembro de las
administraciones del dominio o adquirir las contraseas de administracin. Vemos el directorio y los niveles del
sistema operativo, incluidos AD, Windows y Linux. Tambin podemos acceder al nivel de la base de datos con SQL
Server, y an ms, hasta a las aplicaciones comunes de Windows como SharePoint y Exchange. Por ltimo,
identificamos cmo se puede obtener (o robar) el privilegio de acceso como administrador y cmo detectar tal
actividad mediante los registros de auditora y otros medios.
Saber qu buscar solo ayuda si puede buscar todos sus registros y otra actividad desde los componentes de la red.
Es imposible hacerlo manualmente, pero las herramientas de terceros, como InTrust de Dell Software le permiten
recopilar, almacenar, buscar y analizar de forma segura cantidades masivas de datos de TI desde numerosas fuentes
de datos, sistemas y dispositivos en un solo sitio. Con InTrust, puede encontrar estas verdaderas agujas en el pajar
y puede detectar los problemas de las cuentas con privilegio de acceso como administrador de Windows antes de
que sufra las consecuencias. Change Auditor de Dell tambin complementa a InTrust al salvar la distancia en los
registros de seguridad nativos para proporcionar registros de auditoria fciles de entender y con alta fidelidad de la
actividad importante en AD, VMWare, Exchange, SharePoint y una variedad de componentes crticos de TI.
AD
SQL Server
SharePoint
Exchange
Administradores
Administradores de
dominio
Administradores de
Enterprise
Administradores de
esquema
Operadores de cuenta
Autoridad privilegiada
controlada por
numerosos roles de
administracin:https://te
chnet.microsoft.com/enus/library/dd298116%28
v=exchg.150%29.aspx?f=
255&MSPPError=2147217396
Nivel de la base de
datos
db_owner
db_securityadmin
db_accessadmin
db_backupoperator
db_ddladmin
Adems de la manipulacin indebida de las cuentas de administrador, la membresa del grupo a nivel de
administrador cambia segn la infraestructura de Windows y los cambios de la postura de seguridad crtica son
poco frecuentes. Por lo tanto, cuando una cuenta se agrega a un grupo o rol de acceso a nivel de administrador,
necesita estar informado para que pueda revisar el cambio.
Los mtodos y capacidades para controlar los cambios del grupo a nivel de administrador varan con cada
producto.
Windows
AD
SQL Server
SharePoint
Exchange
Habilitar
Administracin del grupo
de seguridad de
auditora" en
los servidores
de miembros.
Habilitar
Administracin del
grupo de seguridad de
auditora " en los
controladores de
dominio.
Registro de auditora de
SharePoint le permite
realizar un seguimiento
de los cambios de
permiso y seguridad.
El registro de auditora
de administracin de
Exchange proporciona el
seguimiento de los
cambios de rol de la
administracin.
Controlar el evento
Controlar el
evento ID 4732.
Algunas de las situaciones ms desafiantes del monitoreo de cambios, de los grupos y roles de administracin de
Windows, son la variacin de los modelos de autoridad entre cada sistema, la diferencia tiene cada sistema en el
proceso de auditora, y la naturaleza crptica y voluminosa de cada registro del mismo.
Change Auditor realiza automticamente un seguimiento de las asignaciones de autoridad de la cuenta elevada y
elimina todos los problemas asociados con la auditora nativa. En lugar de luchar para mantener la poltica de
auditora nativa configurada consistentemente en todos los sistemas de Windows y la recopilacin de registros
crpticos voluminosos que no puede entender, puede usar Change Auditor para realizar un seguimiento automtico
de la actividad en 12 productos de TI comunes de su red. Change Auditor puede proporcionar una visin simple,
consistente y unificada de lo que ocurre en un formato fcil de entender.
Si necesita auditar un producto que no est cubierto por Change Auditor, InTrust automatiza el proceso complicado
de recopilar y almacenar registros de auditora masivos. InTrust se integra con Change Auditor, y su nueva funcin
IT Search hace que buscar los registros de auditoras enteros de su red sea tan simple como usar Google.
Exchange y SharePoint tienen menos posibilidades de otorgar directamente permisos administrativos, en lugar de
depender principalmente de los roles integrados descritos anteriormente, lo que hace que sean menos
problemticos. Sin embargo, SQL Server tiene un permiso de objeto/modelo similar a AD que hace que sea
importante controlar los cambios de permiso con los grupos de accin de auditora Cambio de permiso.
Los cambios de permiso directos en las aplicaciones de AD y Windows a menudo son ms difciles de auditar que
las adiciones de membresas en los grupos integrados. Esta es otra manera altamente eficaz en que los
administradores infiltrados maliciosos o los atacantes externos crear una puerta trasera persistente y de bajo perfil
para el acceso elevado en su entorno de Windows.
Con ms de 10 mdulos diferentes, Change Auditor lo libera de aprender todos esos diferentes modelos de
autoridad y auditora. Change Auditor realizar automticamente la auditora para usted y proporciona una vista
consistente y fcil de entender de todas las actividades de AD y Windows en un formato normalizado de "Quin,
Qu, Cundo, Dnde y Por qu". Change Auditor para SQL Server le permite auditar y controlar las actividades del
usuario a nivel de administrador y los cambios en la base de datos a nivel del cdigo.
Cree el acceso a las propiedades gpOptions y gpLink en los objetos domainDNS, sitio y organizationUnit
en AD.
El sistema de archivos escribe permisos en la carpeta SYSVOL (en los controladores de dominio) donde se
almacenan los archivos de poltica actuales para cada objeto de la poltica de grupos.
Exponer el contenido desde Internet al navegar en la web, leer correos electrnicos o abrir documentos,
imgenes u otros archivos descargados desde Internet.
Iniciar sesin en sistemas donde los usuarios finales participan de estas actividades
Puede ejecutar esos controles al requerir que los administradores usen sus cuentas con privilegios de
administrador solo en "casillas de salto" dedicadas para ese fin o mediante soluciones de administracin de
sesiones privilegiadas como Privileged Session Manager de Dell.
Implementar esas medidas introduce un control preventivo eficaz y le permite detectar patrones de inicio de
sesin irregulares de cuentas privilegiadas. Estos patrones pueden indicar que un intruso est tratando de evitar
sus polticas o un atacante externo est suelto en su red pero no conoce sus controles.
Detectar tales incidentes requiere de un anlisis automtico de los eventos de inicio de sesin que puede
responder las siguientes preguntas:
El usuario de este intento de inicio de sesin es un usuario privilegiado? (Responder esta pregunta
requiere una convencin para definicin estndar, integracin con AD para buscar la membresa de grupo
o algn otro medio para identificar los usuarios privilegiados por nombre de inicio de sesin).
Esta computadora, en este evento de intento de inicio de sesin es un sistema adecuado para ser usado
por usuarios privilegiados? (De nuevo, esto requiere que su solucin de anlisis de registro tenga una lista
de los nombres de host de la casilla de salto o algn otro medio para identificar sistemas aprobados para
el inicio de sesin privilegiado).
Los registros de evento de inicio de sesin nativo pueden ser un desafo para recopilar e interpretar, pero InTrust de
Dell hace que sea fcil de administrar cualquier tipo de registro. Y el nuevo Change Auditor para la actividad de
registro inicio de sesin elimina los problemas particularmente molestos con los eventos de inicio de sesin de
Windows. Change Auditor for Logon Activity utiliza una vista centralizada para ofrecer:
Cuentas de servicio.
Tareas programadas y otras operaciones de lote.
Conexiones confiables desde aplicaciones a servidores de nivel n como bases de datos.
Cuentas compartidas para tareas comerciales annimas.
Sistemas tipo quiosco u otras terminales pblicas.
Las primeras tres categoras de cuentas no humanas a menudo tienen autoridad privilegiada y, en ausencia de una
solucin de administracin de cuenta privilegiada (por ejemplo Dell Privileged Password Manager), los
administradores deben conocer las contraseas de esas cuentas para aprovisionarlas y mantenerlas. Esto crea una
oportunidad de usar el acceso privilegiado sin responsabilidad. Adems, los atacantes externos posiblemente
puedan robar las credenciales de estas cuentas, especialmente dado el hecho de que las contraseas de cuentas
humanas tradicionalmente se cambian con poca frecuencia y se documentan en alguna parte de la red.
El riesgo de que las cuentas no humanas privilegiadas se usen mal es real pero hay tres mtodos para eliminarlo.
Tipo de control
Mtodo
Solucin de Dell
Deteccin
InTrust de Dell
Preventivo
En esta situacin, como en muchas otras, los controles de deteccin y las cajas de contraseas proporcionan una
cobertura integral. Los controles preventivos se pueden implementar si es posible de forma ms selectiva.
6. Cuentas locales
Los sistemas operativos (incluidos Windows, Linux y UNIX), SQL Server y otras bases de datos, al igual que algunas
aplicaciones, proporcionan la capacidad de crear cuentas locales que no tienen relacin con un directorio central
como AD. Las cuentas locales son aparentemente ms convenientes y ms fciles, para los administradores del
sistema local, y de las aplicaciones, para ser creadas en poco tiempo y sin la cooperacin de los administradores de
dominio. Sin embargo, el uso de cuentas locales crea vulnerabilidades y se debe evitar.
Las cuentas locales generalmente son nocivas para la seguridad porque:
no estn sujetas a controles de dominio central y procesos de mantenimiento de cuentas tales cmo las
polticas de contraseas y la deteccin de cuentas inactivas.
vuelan bajo el radar en trminos del monitoreo de intentos de inicio de sesin si las operaciones de
seguridad monitorean solo la autenticacin para el controlador de dominio.
Las cuentas locales se deben crear solo como excepciones aprobadas explcitamente, cuando lo requieren las
aplicaciones heredades y otros requerimientos que no se pueden evitar. Pero las polticas escritas no siempre se
siguen, los controles de deteccin son el nico control confiable. La creacin de cuentas locales y los inicios de
sesin son dos de los tantos tipos de eventos importantes que se deben extrados de los registros de todos los
sistemas de importancia.
Change Auditor para la actividad de inicio de sesin e InTrust proporcionan un control integral de la actividad de
autenticacin e inicio de sesin en todo el entorno, adems de auditar eventos de administracin de cuentas para
que pueda detectar fcilmente y responder ante la actividad de la cuenta, incluido el mal uso de las cuentas
integradas y los cambios de nombre en ellas.
7. Cuentas integradas
Las cuentas integradas existen en muchos sistemas de Windows, como se muestra en los siguientes ejemplos. Las
cuentas de Windows integradas a menudo tienen acceso privilegiado ilimitado, se pueden desactivar solo ante el
riesgo de negacin del servicio y son objetivos conocidos y obvios para los atacantes.
AD
Windows
Linux y UNIX
SQL Server
Administrador (dominio)
Administrador (local)
Raz
sa
En muchos casos el uso de las cuentas de Windows integradas se puede evitar en las operaciones diarias, el
mantenimiento y en la administracin Por lo tanto, las polticas escritas deben limitar estrictamente el uso de las
cuentas integradas de Windows a nivel de administracin y esas operaciones que tienen limitaciones fijas.
En algunos sistemas puede implementar los controles tcnicos para limitar el uso del administrador integrado o de
la cuenta raz al uso local solamente, lo que requerir acceso fsico.
De todas formas, el mal uso de la cuenta integrada es otro candidato para los controles de deteccin y prevencin.
Las empresas que siguen las mejores prcticas pueden definir las reglas de monitoreo que las alertan cuando
alguien inicia una sesin con una cuenta integrada. Sin embargo, esto es posible solo mediante una solucin de
monitoreo de registro que puede recopilar eficazmente los registros de los sistemas dispares.
No seguir la convencin para definicin de nombres al crear o mantener cuentas a nivel de administrador
de Windows causa inconsistencias.
La creacin o el cambio de nombres deliberados de las cuentas elevadas puede ocultarlas de las reglas de
control.
Por lo tanto, es importante para su sistema de monitoreo de registros reconocer la creacin de cuentas de
Windows y particularmente los eventos de cambio de nombre para que se puedan revisar siguiendo las polticas
de la convencin para definicin de nombres. Por ejemplo, el evento ID 4781 de AD se registra cuando se cambia
el nombre de la cuenta.
Medidas similares se deben aplicar tambin a los grupos privilegiados.
-
Los grupos privilegiados integrados a los que se les cambia el nombre se deben revisar para asegurarse de
que los grupos luego sean reconocidos por las reglas destinadas a monitorearlos.
Los grupos creados de manera personalizada que estn anidados dentro de grupos privilegiados
integrados deben ser conocidos y deben ser reconocidos por la convencin para definicin de nombres.
Se deben revisar los cambios de nombres de esos grupos.
Windows y AD registran diferentes ID para cada evento, segn el tipo de grupo (seguridad versus
distribucin). Puede estar controlando los cambios de membresa para agrupar los grupos de seguridad
pero si un atacante o administrador malicioso cambia primero un grupo de seguridad importante para el
tipo de distribucin, agrega un miembro no autorizado y luego cambia de nuevo el tipo de seguridad, no
ver el cambio de la membresa. Por lo tanto, es importante controlar los cambios de tipo de grupo con el
ID 4764 de evento, por ejemplo, de AD.
Conclusin final
Las cuentas con privilegios de administrador son poderosas, si no todopoderosas, pero sin las soluciones de
terceros, puede ser difcil para prevenir su uso indebido. Cuando se le otorgan los privilegios de administrador al
usuario, hay pocos o nulos controles preventivos disponibles con las herramientas nativas. Los registros de
auditora son esenciales para ejercer la vigilancia, prevenir el uso indebido y detectar las violaciones de las
polticas, el mal uso y la intrusin. Pero los registros de auditora se deben revisar rpidamente para detectar esos
eventos antes de que sea demasiado tarde para responder. Los registros de auditoras nativas varan ampliamente
entre los sistemas en trminos de capacidad, formato e interpretacin.
Intrust de dell
InTrust de Dell soluciona los desafos de la administracin de registros y le permite recopilar, almacenar, buscar y
analizar de forma segura cantidades masivas de datos de TI desde numerosas fuentes de datos, sistemas y
dispositivos en un solo lugar. Entrese, en tiempo real sobre la actividad del usuario para seguridad, cumplimiento
y visibilidad operativa. Con una visin, se sabe a qu recursos tienen acceso los usuarios, cmo se obtuvo ese
acceso y cmo se us. Con InTrust, puede:
Reducir la complejidad de buscar, analizar y mantener los datos de TI crticos dispersados en silos de
datos.
Acelerar las investigaciones de seguridad y las auditorias de cumplimiento con visibilidad completa en
tiempo real de sus usuarios privilegiados y los datos de mquinas, buscando en un solo lugar.
Solucionar los problemas en todo el entorno, en caso de que ocurra un evento imprevisto.
Ahorrar en costos de almacenamiento y cumplir con los requisitos de registro de evento de cumplimiento
(por ej. HIPAA, SOX, PCI, FISMA) con un repositorio de registro de eventos a largo plazo, en lnea,
indexado y altamente comprimido.
Change auditor
Los registros de inicio de sesin nativos a menudo son demasiado crpticos para entenderlos, demasiado
voluminosos para procesarlos o simplemente no estn disponibles. El registro de eventos o la generacin de
informes de cambios para las aplicaciones y servicios empresariales son engorrosos, consumen tiempo y en
algunos casos imposibles usando herramientas de auditora nativas de TI.
Afortunadamente est Change Auditor de Dell. Con Change Auditor obtiene auditoras en tiempo real de todas las
modificaciones, auditoras forenses detalladas y generacin de informes exhaustivos en todas las configuraciones
clave, los cambios del usuario y del administrador para AD, ADLDS, AD Queries, Exchange, SharePoint, Lync,
VMware, NetApp, Windows File Servers, EMC y SQL Server. Change Auditor tambin realiza un seguimiento de la
actividad detallada del usuario para el almacenamiento en la web y los servicios, el inicio de sesin y la actividad de
autenticacin y otros servicios clave en las empresas. Una consola central elimina la necesidad y la complejidad de
varias soluciones de auditora de TI. Confe en Change Auditor para que lo ayude a lo siguiente:
Alcanzar sus desafos de auditoria de cumplimiento complejos con informes integrados para SOX, PCI DSS,
HIPAA, FISMA, SAS 70 y ms.
Simplificar la direccin de TI para evitar las violaciones de seguridad internos y externos.
Aumentar el rendimiento en la empresa con el software de administracin de cambios que ofrece un
anlisis detallado anterior y posterior con controles fuertes.
Ms informacin
Para obtener ms informacin visite estos sitios:
InTrust: http://www.dell.com/mx/empresas/p/dell-software-intrust/pd?oc=&model_id=dell-softwareintrust&l=es&s=bsd
Change Auditor: http://www.dell.com/mx/empresas/p/dell-software-changeauditor-for-activedirectory/pd?oc=&model_id=dell-software-changeauditor-for-active-directory&l=es&s=bsd
Enterprise Reporter: http://www.dell.com/mx/empresas/p/dell-software-ent-rptr-act-drtry/pd?~ck=anav
Dell GRC: http://software.dell.com/solutions/governance-risk-and-compliance/
Dell Privileged Management: http://software.dell.com/solutions/privileged-management/