Active Directory on Adrián Lois

KrbRelayUp PrivEsc: escalada de privilegios en AD y mitigación

Wed, 11 May 2022 21:40:00 +0000

KrbRelayUp es una herramienta que nos permite en una post-explotación la escalada de privilegios locales en máquinas unidas a un dominio Active Directory y persistencia para realizar este privesc en cualquier máquina del dominio a través de movimientos laterales hasta llegar a la máquina objetivo, de ahí su criticidad y riesgo alto.

No se trata de una vulnerabilidad en sí con un CVE asignado, sino del aprovechamiento de un fallo de configuración por defecto de Windows por parte de los controladores de dominio.

Microsoft LAPS: evitar movimientos laterales en Active Directory

Tue, 11 Jan 2022 13:09:00 +0000

Microsoft LAPS (Local Administrator Password Solution) se trata de una herramienta de Microsoft que pone solución a la gestión de contraseñas administrador local de los equipos unidos a un dominio.

Entendiendo el riesgo de seguridad y escenarios comunes en las organizaciones Link to heading

En la mayoría de compañías es una práctica común establecer la misma contraseña para la cuenta del administrador local en todos los equipos que forman parte de un dominio, principio de localidad entre máquinas, ya puedan ser clientes o servidores (exceptuando los Domain Controller que por defecto carecen de una cuenta de administrador local).

Firmar scripts PowerShell [Parte 2 de 2]: hardening con CA ADCS y despliegue por GPO

Thu, 25 Mar 2021 19:02:00 +0000

Firmar scripts PowerShell Link to heading

Continuando con el artículo sobre cómo firmar scripts PowerShell estableciendo una política de ejecución AllSigned.

En este post comentaré cómo hacer uso de las plantillas de certificados para el propósito de “Firma de código” emitidas por una Entidad de certificación CA implementada en un entorno de dominio haciendo uso del servicio ADCS (Active Directory Certificate Services), desplegando el certificado vía GPO y finalmente realizar una comprobación de integridad del script PowerShell firmado.

Wynis: auditoría de seguridad para Windows y Active Directory

Thu, 18 Feb 2021 18:04:00 +0000

Wynis es un script de auditoría desarrollado por el usuario Sneakysecdoggo que realiza una evaluación de controles de indicadores del CIS (Center for Internet Security) siguiendo los benchmarks del CIS Best Practices Windows 10 y Windows Server 2016. Los puntos de referencia del CIS son reconocidos internacionalmente como estándares de seguridad para la defensa de sistemas y datos de IT contra ciberataques.

Se trata de una herramienta de script similar a Lynis, usada en sistemas basados en Linux.

Instalar RSAT en Windows 10 cuando WSUS bloquea la descarga

Sat, 07 Nov 2020 10:49:00 +0000

A partir de las últimas versiones de Windows 10 las RSAT (Remote Server Administration Tools) ya no se descargan e instalan como un paquete de actualizaciones de Microsoft. Sino que se incorporan como características avanzadas independientes que podemos descargar/instalar directamente desde el nuevo panel de configuración del sistema.

En el caso de que estemos trabajando en una máquina Windows 10 bajo un entorno de actualizaciones controladas por WSUS (Windows Server Update Services) es muy probable que el propio servidor WSUS esté bloqueando la descarga de las características RSAT.

Restringir el inicio de sesión RDP a Administradores y usuarios específicos (hardening)

Thu, 03 Sep 2020 16:02:00 +0000

Por defecto para poder usar los Servicios de escritorio remoto RDP Remote Desktop Protocol necesitamos un usuario, ya sea local en la máquina remota o de dominio, que tenga permisos para poder conectarse. Para ello dicho usuario debe ser miembro del grupo Administradores locales o bien del grupo Usuarios de escritorio remoto.

Agregar o quitar usuarios o grupos a través de las Propiedades del sistema (sysdm.cpl) sería lo mismo que hacerlo a través del propio grupo local “Usuarios de escritorio remoto” que podemos encontrar en la consola lusrmgr.msc.

FakeLogonScreen: phishing de credenciales locales o Active Directory con bloqueo de pantalla falso

Thu, 11 Jun 2020 09:10:00 +0000

FakeLogonScreen es una utilidad desarrollada por @bitsadmin que simula un bloqueo de pantalla de inicio de sesión de Windows 10 falso que se ejecute en el lado del usuario y tiene como finalidad obtener su contraseña de acceso. La contraseña ingresada se valida con Active Directory o la máquina local para asegurarse de que sea correcta.

El usuario y las contraseñas introducidas se envían a la consola (FakeLogonScreen.exe) o se almacenan en un archivo en disco (FakeLogonScreenToFile.exe). Si el usuario configura un fondo personalizado, muestra ese fondo en lugar del predeterminado.

Active Directory: auditar cambios en cuentas de usuario (ID de eventos)

Sun, 09 Feb 2020 10:19:00 +0000

Para poder auditar la creación y cambios de cuentas de usuarios de Active Directory debemos establecer esta política a nivel de dominio en la plantilla Default Domain Controllers Policy situada en Objetos de directiva de grupo.

La editamos y configuramos:

Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría

Habilitamos “Auditar la administración de cuentas” en intentos Correcto y Error.

Password cracking de hashes NTLM (ntds.dit) en Active Directory

Sat, 16 Nov 2019 08:00:00 +0000

Antes de empezar con la parte práctica de password cracking en sistemas Windows, es recomendable un breve resumen sobre las diferencias entre los tipos de hashes de contraseñas (LM, NTHash o NTLM, NTLMv1, NTLMv2) que almacena Windows en su base de datos local SAM (Security Account Manager) o NTDS.DIT (NT Directory Services) si se trata de controladores de dominio de Active Directory.

Existen dos medios de los cuales se puede realizar la extracción de hashes:

WMI Explorer: restricción con filtros WMI en GPO y querys en SCCM

Wed, 04 Sep 2019 05:15:00 +0000

Los filtros WMI (Instrumental de administración de Windows) en las Políticas de grupo (GPO) permiten aplicar políticas de manera más flexible a los clientes mediante el uso de diferentes reglas. Un filtro WMI es un conjunto de consultas WMI (se usa el lenguaje de consulta WMI/WQL) que se puede usar para apuntar a las máquinas a las que se debe aplicar una política de grupo específica.

Por ejemplo, usando el filtro WMI GPO, puede aplicar una política vinculada a una OU solo a las máquinas que ejecutan Windows 10 (una política con dicho filtro WMI no se aplicará a las computadoras con otras versiones de Windows).

Migración FRS → DFSR en controladores de dominio Windows Server (dfsmig)

Wed, 17 Apr 2019 19:30:00 +0000

En el caso que tengamos un controlador de dominio Windows Server 2008 R2 con replicación FRS (File Replication Service) y se necesite migrar a unos nuevos controladores de dominio Windows Server 2019 que haga uso del sistema de replicación DFS (Distributed File System) habría que realizar una migración de los controladores viejos a un sistema de replicación DFS.

Elevar el nivel funcional Link to heading

Primero será necesario elevar el nivel funcional del dominio en los controladores de dominio viejos. El nivel funcional determina las características de los Servicios de dominio de Active Directory (AD DS) que están habilitadas en un dominio o bosque. El nivel funcional del bosque limita al nivel funcional del dominio y solo afecta a los servicios de AD de los controladores de dominio, en el caso de tener un servicio DHCP, IIS, WSUS, etc. no se verían afectados.

Fallos de replicación FRS/DFSR en Active Directory: forzar sincronización (Burflags)

Fri, 12 Apr 2019 17:08:00 +0000

Replicación FRS y DFSR Link to heading

FRS (File Replication Service) servicio para distribuir archivos compartidos y objetos de directiva de grupo entre controladores de dominio a través del recurso C:\Windows\SYSVOL. Windows Server 2003 R2 y Windows Server 2008 son compatibles con DFS (Distributed File System) y el servicio de replicación de archivos.
DFSR (Distributed File System Replication) disponible por defecto a partir de Windows Server 2008 R2, reemplaza al sistema FRS para la replicación del recurso SYSVOL en los servicios de dominio de Active Directory. DFS replica los objetos de configuración almacenados de Active Directory.

Transferir roles FSMO en Windows Server y purgar servicios de Active Directory

Thu, 27 Dec 2018 22:30:00 +0000

Los roles de maestros de operaciones FSMO (Flexible Single Master Operations) es una característica de Active Directory. Se trata de un conjunto de tareas de un controlador de dominio usadas principalmente para la replicación entre controladores de dominio.

Existen 5 roles FSMO en un Active Directory:

Schema Master (Maestro de Esquema). Uno por Bosque.
Domain Naming Master (Maestro de Nomenclatura de Dominios). Uno por Bosque.
RID Master - Relative Identifier Master (Maestro Identificador Relativo). Uno por Dominio.

Servidores y modo de licencias CAL de Servicios de Escritorio Remoto (RDS)

Mon, 09 Jul 2018 19:00:00 +0000

Este ejemplo sería aplicable para un entorno en la que disponemos de varios Windows Server. Uno de ellos será el que tendrá el rol instalado de Administrador de licencias de Servicios de Escritorio remoto (RDS - Remote Desktop Services) en el que instalaremos licencias CAL (Client Access Licenses) ya sean por usuario o por dispositivo.

En este caso habrá 5 licencias CAL por usuario para RDS.

¿Cómo se procesan las GPO en un dominio? (Directivas de grupo)

Fri, 14 Aug 2015 07:42:00 +0000

Competencia entre contenedores.

Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios, dominios y unidades organizativas (en adelante OU).

Como un usuario, por ejemplo, estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.).

Hardening en Windows: habilitar/deshabilitar recursos compartidos administrativos (C$, ADMIN$)

Mon, 10 Sep 2012 22:38:00 +0000

Windows crea una serie de recursos compartidos por defecto que están “ocultos”, pero que en realidad pueden ser accesibles de una forma muy sencilla mediante una ruta UNC tipo \nombreDeEquipo o dirección IP\nombreRecursoCompartido$. Por ejemplo para acceder al disco local del equipo remoto \\192.168.1.12\c$. Si en el equipo hay definido un usuario con password nos solicitará estas credenciales para poder acceder.

En entornos corporativos bajo un dominio Active Directory es habitual que el personal de TI use estos recursos compartidos administrativos para una gestión y administración de las máquinas. En equipos personales (que no estén unidos a un dominio) recomiendo deshabilitar los recursos compartidos administrativos si no son necesarios.