ADAttack : (in)Seguridad en Directorio Activo






  El Directorio Activo... una tecnología crítica para la empresa, omnipresente... pero diseñada hace ya muchos años.

  Muchas empresas lo tienen configurado 'por defecto' (de serie). Se instala DNS, se lanza (el antiguo) DCPROMO... se definen administradores, y a trabajar. Empresas con necesidades muy diferentes, pero que acaban con la misma instalación standard... altamente insegura.

  El Directorio Activo fue diseñado con una idea de seguridad en mente : que el enemigo está fuera de mi red.

  Y en los tiempos que corren, esto es sólo parcialmente cierto.

  Además de los clásicos hackers que atacan nuestros sistemas desde el exterior, podemos encontrar otros tipos de ataques y problemas :

    - Administradores 'legales' dentro de algunos de nuestros dominios, pero que de vez en cuando cometen errores... quizás no intencionados, pero con efectos devastadores.
    - Usuarios que, consciente o inconscientemente, ejecutan código maligno en nuestro dominio...
    - El enemigo en casa : Usuarios que, aunque están oficialmente en nómina dentro de nuestra empresa, realmente trabajan para la competencia, para un gobierno extranjero, o para una organización criminal...

 

Infiltrados, topos, durmientes... las empresas no hablan mucho de ello pero son mucho más frecuentes de lo que parece. Para devastar una empresa, es más fácil sobornar o mejor infiltrar a un Administrador, que atacarla desde fuera.
  

Si hacemos Administrador a un usuario, ¿ tenemos alguna manera de limitar sus acciones ? ¿ De controlar y limitar todo lo que hace ? ¿ De separar las acciones propias de su trabajo de sus errores... o ataques ?  ¿ De loggear todas sus actividades y movimientos ? ¿ Puede borrar dichos logs ? ¿ Cómo evitar que cree cuentas falsas para sus 'amigos' ? ¿ De que ejecute código que nos destruya la empresa un día en el que se lo ordenen ?

 

 

     ¿ Conocemos a todos nuestros Administradores ? ¿ Nos fiamos totalmente de todos ellos ?

    ¿ Y si no son personas sino cuentas de servicio ? ¿ O usuarios con el permiso de DEBUG ? ¿ Desarrolladores en el entorno en producción ?

    ¿ Nos salvará un buen antivirus si el usuario está ejecutando código como Administrador ? ¿ No será peor el remedio que la enfermedad ?  

    ¿ Tenemos usuarios con permisos locales en su máquina, y un buen conocimiento de los últimos ataques ?

Cualquier usuario que tenga acceso físico a su máquina (cualquier Local Admin, desarrollador, Administrador de un subdominio) puede leer y reusar las credenciales de otros usuarios pues éstas podrían estar en su memoria, e incluso convertirse en Enterprise Admin.

El proceso es trivial (ya hay numerosos scripts que lo hacen), y abre un millar de puertas a otros ataques.

¿ Hay una solución efectiva, y que no involucre migrar todos mis ordenadores a Windows 10 y 2016 ?



   Este curso intensivo se dedica a la seguridad del Directorio Activo, y los protocolos y mecanismos usados en Windows.

   Pero en especial a su inseguridad. Se cubren las últimas vulnerabilidades que afectan a todo el diseño del Directorio Activo, permitiendo que cualquier administrador local de una máquina pueda convertirse en Enterprise Admin. Se comentan también las concepciones erróneas, y errores de diseño, configuraciones válidas hace años pero que ahora ya no lo son.

  Se comentan los diferentes protocolos, su arquitectura y relaciones, la manera de atacarlos, algunas herramientas, la filosofía de ataques persistentes, y su posible mitigación.

   Y la filosofía de una posible solución : Restricted Endpoints, que permiten evitar en lo posible el perfil de Administrador. Incluso se podrían eliminar todos los administradores mediante JEA  (Just Enough Administrators)


   El curso es totalmente presencial, y como es habitual, combina teoría, conceptos, demostraciones prácticas basados en casos reales, ejercicios, discusión sobre opciones, dudas y preguntas.


   Impartido por Juan Carlos Ruiz. Formador altamente cualificado, con amplia experiencia en docencia en el mundo Windows. Previamente PFE Master Trainer en Microsoft Corporation, ha colaborado en la creación de cursos similares, e impartido los mismos en innumerables ocasiones a clientes Premier en todo EMEA.

Destinado a :

    Administradores de Directorio Activo y Seguridad Informática.

Debido a la naturaleza sensible de esta formación, recomendamos seleccionar la audiencia. El CIO o responsable de IT o Seguridad deberá designar al personal de confianza para esta sesión.

   El instructor y todos los alumnos firmarán un acuerdo de no-agresión mutua : el instructor se compromete a no utilizar los conocimientos para atacar ninguno de los entornos de la empresa. El cliente se compromete a no demandar al instructor o su empresa por infundir el conocimiento de modos de ataque. Los alumnos se comprometen a usar los materiales proporcionados con unos fines concretos.

Prerrequisitos :

Conocimientos de Windows y del Directorio Activo. Experiencia en su gestión.

 Algunos ejemplos usarán PowerShell, ya que los hackers usan herramientas automáticas en sus ataques. Un conocimiento mínimo de esta tecnología de scripting no es estrictamente necesario, pero altamentee recomendado. En caso de no tenerlo, se puede dedicar una sesión introductoria, subconjunto del curso “Conceptos de PowerShell”. 


Duración:

A determinar, en función de las necesidades y nivel de los asistentes. (Orientativo : 2 a 4 días).

Agenda :


Más información y detalles bajo demanda.


Get-JC © August 2016
Todos los derechos reservados.

Get-PowerShell | Use-PowerShell -Force