¿Usas la misma credencial en las cuentas de administrador local? LAPS

 En Ciberseguridad, Microsoft, Sistemas

Evita ataques de movimiento lateral con LAPS

Todos sabemos que el objetivo de un hacker profesional es ganar acceso a la mayor cantidad de recursos informáticos en la infraestructura de la víctima. El objetivo de este artículo se centra en el uso de técnicas de movimiento lateral para ir consiguiendo este objetivo.

Una cadena es tan fuerte como el más débil de sus eslabones. Si nos posicionamos en la mentalidad del hacker, nuestro objetivo inicial sería ganar acceso a un sistema, preferentemente a un equipo de usuario ¿Por qué? Porque es relativamente sencillo hacer “colaborar” a los usuarios mediante técnicas de ingeniería social, que será el vector de ataque inicial.

Una vez ganado acceso al equipo de la víctima, aunque sea somero, tenemos a nuestra disposición otras técnicas que nos permitirán escalar privilegios. En este ejemplo ficticio, donde el objetivo del hacker son las credenciales, podemos usar ataques tipo “pass the hash” o uso de “keyloggers” para obtener la credencial de la cuenta de administrador local de ese sistema.

Usar credenciales vulneradas en otros equipos

Supongamos que el hacker obtiene la credencial de administrador de la máquina atacada. ¿Qué podría ocurrir en nuestra infraestructura si usamos esa misma credencial en otros (por no decir en todos los) equipos de usuario?

Obvio, ¿no? Estamos abriendo de par en par las puertas de nuestra casa a un invitado no deseado. Este movimiento lateral debe ser evitado a toda costa y para ello debemos cumplir lo siguiente:

  1. Usar credenciales DIFERENTES para la cuenta de administrador local de los equipos de los usuarios.
  2. Disponer de una base de datos donde almacenar esta información para cuando un administrador necesite logarse de forma local.
  3. Establecer una política agresiva para cambiar las contraseñas de dichas cuentas con bastante frecuencia.
  4. Conseguir que el acceso a estas credenciales sea seguro y esté limitado al personal apropiado.

Seguro que has tenido todo esto en cuenta en tu organización y además también lo aplicas a los servidores.

La cuestión es: ¿Sabes que Windows ofrece esta solución de forma nativa? Sí, se llama LAPS (Local Administrator Password Solution) y si tu solución es manual, deberías migrar a LAPS.

 

Microsoft LAPS - Local Administrator Password Solution

¿Qué es LAPS?

Las características más sobresalientes de LAPS son:

  • Los passwords de las cuentas locales de administrador gestionadas por LAPS son únicos (no se repiten)
  • El password el muy robusto y LAPS los va cambiando regularmente (Si quieres diariamente)
  • LAPS almacena estos passwords como secretos, de forma segura en AD DS y están replicados en todos los controladores de dominio.
  • Se puede (y se debe) configurar permisos de control de acceso a LAPS.
  • Los passwords que LAPS recupera se transmiten de forma segura al cliente (están encriptados)

Es decir, más o menos lo que vienes haciendo de forma manual, pero automatizado. ¿Y qué requisitos pide?

  • Que el equipo sea miembro del dominio.
  • Nivel funcional del dominio de 2003 o superior.
  • Es necesario ampliar el esquema para poder usar LAPS.
  • Se debe instalar un pequeño agente en los equipos administrados por LAPS.

¿Cómo funciona LAPS?

El proceso de LAPS ocurre cada vez que se refresca la Directiva de Grupo en la máquina (p.e. cada vez que se inicia o cuando hacer “gpupdate”) y consiste en los siguientes pasos:

  1. LAPS determina si el password de la cuenta de administrador local de dicho equipo ha expirado.
  2. Si no ha expirado, entonces LAPS no hace nada y espera al próximo refresco de GPO.
  3. Si el password ha expirado entonces:
    • El agente de LAPS del equipo, cambia el password de la cuenta de administrador local usando un nuevo valor aleatorio (se puede configurar este comportamiento)
    • El agente LAPS transmite el nuevo password a AD DS, que lo almacena en un nuevo atributo confidencial (se amplió es esquema para ello) asociado a la cuenta de equipo.
    • También envía la nueva fecha de expiración del password a ADDS, que se almacena en otro atributo confidencial.

Los usuarios autorizados pueden leer los passwords desde AD DS, así como inicial el cambio del password para un equipo específico.

Tiene buena pinta, pero… ¿Cómo se configura?

Pues los pasos, que no son nada complejos, son:

  • Añadir las cuentas de equipos a una Unidad Organizativa (si todavía se encuentran en el contenedor por defecto “Computers”)
  • Habilitar la(s) UO(s) para que usen LAPS. Esto hay que hacerlo exclusivamente con PowerShell.
  • Configurar las propiedades del password (Complejidad, longitud y caducidad)

Finalmente, comentar que para que un administrador pueda visualizar el password de la cuenta local deseada, puede usar “PowerShell”, “Usuarios y Equipos de Active Directory” o la “Interfaz de usuario” de LAPS.

Os animo ponérselo difícil a los malos. Desplegad LAPS en vuestra infraestructura y ganaréis puntos en las auditorías de seguridad. Aquí tienes un link para ver LAPS funcionando.

Recommended Posts

Dejar un comentario

Escriba lo que desea buscar y pulse ENTER

Formulario de contacto

    “AVANTE FORMACIÓN SLL, como responsable del tratamiento, tratará los datos que aporte en este formulario para la gestión y respuesta de las consultas planteadas. Tiene derecho a ejercer los derechos de acceso, rectificación, supresión y oposición sobre el tratamiento de sus datos a través de la dirección de correo electrónico formacion@avante.es y ante a la Agencia Española de Protección de Datos. Puede consultar información más detallada en nuestra política de privacidad”

    He leído y acepto la política de privacidad.

    ×