jueves, 5 de diciembre de 2019

Las 5 Configuraciones de Windows Indispensables para Proteger Identidades en un Entorno de Microsoft

Proteger las identidades de una organización no es una tarea sencilla, los entornos actuales son cada vez mas complejos, la gestión de identidades, procesos de autenticación y autorización es clave para mantener una infraestructura en unos niveles aceptables de seguridad.

A continuación vamos a explicar cinco configuraciones de Windows que debes conocer para mejorar considerablemente la seguridad de una infraestructura informática... 

Gestión de Grupos de Administración Local 
La gestión de las cuentas de usuarios locales de los equipos puede ser un problema de seguridad para cualquier organización, Microsoft dispone de soluciones especificas para administrar de forma adecuada las cuentas de usuarios locales de los equipos de forma eficiente y segura.

Grupos Restringidos
La directiva de Grupos Restringidos permite administrar la pertenencia y configuración de grupos de ámbito de seguridad local, se habilita en la siguiente ruta:
ComputerConfiguration/Policies/Windows Settings/SecuritySettings/RestrictedGroups


Esta directiva No permite gestionar cuentas de Dominio, solo cuentas locales de equipo. Una vez configurada la directiva de Grupos Restringidos se puede controlar la administración de los equipos locales y la gestión de pertenencia a los diferentes grupos de forma segura. Configuración de Grupos Restringidos en Windows Server.

Local Administrator Password Solution LAPS
Otra solución para la administración de cuentas locales es Local Administrator Password Solution LAPS una herramienta de libre descarga publicada por Microsoft para la administración centralizada de las contraseñas de las cuentas locales de equipos unidos a un dominio.

¿Cómo funciona LAPS?
LAPS determina si la contraseña de la cuenta del administrador local ha caducado. Si la contraseña ha caducado, LAPS realiza los siguientes pasos:
  • Cambia la contraseña del administrador local a un nuevo valor aleatorio.
  • Transmite la nueva contraseña y la fecha de caducidad a Active Directory, donde se almacena en un atributo confidencial especial asociado con la cuenta de equipo de la computadora.

En el siguiente enlace dispones de la guía paso a paso para instalar y configurar Local Administrator Password Solution LAPS Step by Step

Protección de Grupos con Privilegios
La protección de las identidades con privilegios dentro de Active Directory es otro factor muy relevante para mejorar la seguridad de nuestra infraestructura informática.

Protected Users Security Group
Microsoft dispone de un grupo de seguridad denominado Protected Users Security Group o Usuarios Protegidos, los usuarios de este grupo No tienen permitido utilizar de protocolos para la gestión de credenciales, sensibles de ser atacados. Esta disponible para equipos con Windows Server 2012R2, Windows 8.1 y versiones posteriores del sistema operativo con controladores de dominio Windows Server 2012R2.

Los usuarios protegidos por la pertenencia a este grupo tienen las siguientes restricciones:
  • El dominio debe admitir el cifrado Advanced Encryption Standard AES. Kerberos no usará los tipos de cifrado Data Encryption Standard DES o RC4. Tampoco admite delegación restringida o sin restricciones de Kerberos.
  • No está permitida la autenticación con NTLM, Digest authentication o Credential Security Support Provider CredSSP.
  • Las contraseñas no se almacenan en caché, por lo que los dispositivos que utilizan uno de estos proveedores de soporte de seguridad SSP, no podrán autenticarse en un dominio.
  • El valor vida útil de los tickets de Kerberos TGTs, por defecto de cuatro horas, se puede configurar utilizando Políticas de autenticación y Silos.

Disponible información de esta característica en Protected Users Security Group

Credential Guard
Credential Guard es una nueva característica de seguridad que permite aislar mediante virtualización las credenciales basadas en contraseñas NTLM y los tickets de Kerberos. Los sistemas Windows almacenan con Local Security Authority LSA las credenciales en la memoria del proceso, Credential Guard protege las credenciales en un nuevo componente denominado isolated LSA, un proceso que permanece aislado del resto del sistema operativo mediante virtualización.

El proceso de isolated LSA solo contiene un pequeño conjunto de binarios firmados con un certificado de confianza, necesarios para su funcionamiento y se comunica con LSA mediante RPC. Credential Guard se administra con WMI, PowerShell o símbolo del sistema, para la implementación se deben cumplir los siguientes requisitos:
  • Arquitectura x64. 
  • Firmware UEFI versión 2.3.1 
  • Trusted Platform Module, versión 1.2 o 2.0 TPM 
  • Sistemas Windows Server 2016, Windows Enterprise IoT, Windows 10 Enterprise o Education. 
  • Extensiones de Virtualizacion Intel VT-x o AMD-V y Second Level Address Translation SLAT. 
  • Proceso de actualización segura de firmware. 
  • Securing Boot, Secure MOR, Firmware con soporte para SMM protection y actualización de Firmware mediante Windows Update. 
  • La opción de Protección de DMA y arranque seguro en la configuración de directiva de grupo requiere Hardware compatible con IOMMU input/output memory management unit.
Credential Guard no permite la delegación de Kerberos sin restricciones, ni cifrado DES, tampoco admite los siguientes protocolos NTLMv1, MS-CHAPv2, Digest y CredSSP. Credential Guard se puede habilitar con directivas de grupo en la siguiente ruta: Computer Configuration/Administrative Templates/System/Device Guard

Seleccionando Enabled with UEFI lock o Enabled without lock  para permitir apagar Credential Guard de forma remota. Step By Step Credential Guard

Remote Credential Guard
Remote Credential Guard ayuda a proteger las credenciales en una conexión de escritorio remoto, las credenciales de usuario permanecen en el lado cliente y no se exponen en el servidor, también proporciona inicio de sesión único para conexiones a escritorio remoto. Cuando el usuario inicia la conexión, la solicitud de Kerberos se redirige de nuevo al host de origen para la autenticación, de forma que no se entregan credenciales en el host remoto.

Los requisitos para implementar Remote Credential Guard son:
  • Entorno en el mismo dominio de Active Directory o un dominio con una relación de confianza. 
  • Autenticación Kerberos. 
  • Sistemas operativos Windows 10, versión 1607 o Windows Server 2016. 
  • Remote Desktop Universal Windows Platform no está soportado con RCG.
Remote Credential Guard se habilita en la siguiente ruta del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

La configuración de esta característica esta disponible mediante objetos de directiva de grupo o GPO aprende a Configurar Remote Credential Guard 

Si estáis interesados en saber cómo mejorar la protección de infraestructuras basadas en tecnología de Microsoft apuntaros a nuestro curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel HCHSW, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016: Administración, seguridad y operaciones. Editorial 0xWord

Seguridad a lo Jabalí para Todo!!

2 comentarios:

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias