lunes, 23 de mayo de 2016

Cambiar Cuenta de Administrador Active Directory MCSA Server 2012

Una de las mejores formas que conozco de aprender es impartir clase, generar un buen ambiente en el aula favorece el proceso de enseñanza aprendizaje, donde la pregunta de un alumno es una excelente oportunidad para que todo el grupo (incluido el docente) aprenda.

En el proceso de Hardening de un entorno de Directorio Activo Microsoft una de las recomendaciones es renombrar la cuenta de administrador, una tarea sencilla mediante Directivas de Grupo GPO y las plantillas de seguridad.


En la imagen se muestra la ruta completa para renombrar la cuenta de administrador en el directorio activo, puedes hacer click en la imagen para aumentar.


Ahora la cuenta de administrador  tiene otro nombre, en el caso de que un atacante quisiera utilizar ese recurso debe averiguar el nombre de usuario además de la clave, ¿pero que ha cambiado realmente en el sistema?


De momento, con la cuenta administrador no se puede acceder al sistema, es necesario saber el nuevo nombre de la cuenta de administrador del dominio.


En la imagen se puede observar como en las propiedades de la cuenta de administrador, en la pestaña Account se muestra el User logon name: Adatum\Master
 
En la pestaña Object esta el Canonical name of object: Adatum.com/Users/Administrator

Se puede consultar más detalles en la pestaña de Atributos, pero en esta ocasión utilizaremos otra herramienta, incluida en Server 2012, Active Directory Administrative Center


En el Active Directory Administrative Center se observa el User SamAccountName Logon que es Adatum\Master
 

En la sección de Extensiones se puede ver con más detalle los atributos de un objeto del sistema, en este caso se puede apreciar DistinguishedName no ha cambiado...
CN=Administrator,CN=Users,DC=Adatum,DC=com


¿Qué sucede si generamos un recurso, una carpeta, con este usuario?
 

En las propiedades de seguridad de la carpeta se puede ver el nombre con el que nos referimos a la cuenta de administrador, algo lógico debido a que es el nombre que se asocia para iniciar sesión en el archivo SAM,  pero que puede delatar la cuenta de administrador si generamos recursos mediante esta cuenta.

Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias