Consejo rápido: rastree las cuentas de usuario inactivas

Las nuevas cuentas de usuario se pueden configurar rápidamente, pero ¿cuál es la mejor manera de vigilarlas? Muchos cuerpos de archivos pueden permanecer en el sótano virtual de Active Directory durante años.

Maike Renner forma parte del equipo de administración de una empresa mediana. Por lo general, es la responsable de administrar las cuentas de los usuarios. Sin embargo, después de que recientemente se conocieron varias brechas de seguridad graves en el servidor de correo de la compañía, tuvo que ayudar con poca antelación como saltadora en otros equipos. Dos semanas después, la calma ha vuelto – pensó. Una noche, recibe una llamada del gerente que no puede iniciar sesión en el servidor de terminal. Al parecer, se desconocen el nombre de usuario y la contraseña. Una mirada a la consola de administrador de Active Directory debería aclarar esto, pero ni siquiera Maike puede iniciar sesión. Como vive a solo cinco minutos de la oficina, a pesar de la hora, eran más de las 9:00 p.m., partió con un mal presentimiento. Tu corazonada debe confirmarse: ransomware ha cifrado todas las bases de datos y servidores de archivos. El catálogo global, el corazón de Active Directory, también se ve afectado. Un buen consejo es valioso ahora.

Investigación de la causa raíz

Cuatro días después, las operaciones casi han vuelto a la normalidad. Una copia de seguridad que se estaba ejecutando poco antes de que llegara el malware se pudo restaurar y solo se destruyeron unos pocos archivos no críticos.

El proveedor de servicios de respuesta a incidentes, a quien también informó de inmediato esa noche, descubrió rápidamente que un servidor de terminal expuesto había sido el punto de partida del ataque. La contraseña de un ex empleado que no había trabajado en la empresa durante dos años se vio comprometida. Mediante la automatización, los atacantes simplemente adivinaron la contraseña hasta que tuvieron éxito. Aunque la contraseña no se puede reconstruir posteriormente, el mero hecho de que la cuenta de usuario aún no se haya desactivado y aún se pueda usar para la marcación remota fue un problema.

Pero revisar todas las cuentas que están disponibles en Active Directory es una tarea casi imposible: cientos, si no miles, de cuentas de usuario existen aquí: empleados activos, autónomos, casas de sistemas, empleados jubilados, colegas con licencia parental, cuentas de servicio para la base de datos. servidores: la lista es larga. Pasar por todos ellos llevaría semanas. Afortunadamente, esto es fácil de automatizar y no se necesitan programas de pago adicionales. Un simple script de PowerShell puede ayudar aquí a Maike y a todos los demás administradores que necesitan un inventario.

Para casos especiales …

Ahora Maike sabe al menos una vez qué cuentas de usuario debe vigilar y desactivar si es necesario. Sin embargo, cuando se trata de descubrir actividades sospechosas más rápidamente, también se puede utilizar otra información de Active Directory. En general, hay muchos datos disponibles aquí que pueden ser de gran ayuda, solo tienes que usarlos.

Una señal bastante segura de que algo posiblemente no va bien son los intentos fallidos de inicio de sesión. Si esto ocurre con frecuencia durante un período de tiempo muy corto (por ejemplo, docenas de intentos de inicio de sesión en unos pocos segundos), las campanas de alarma deberían sonar. Otras actividades, por otro lado, no son muy sospechosas, porque a menudo hay intentos fallidos de inicio de sesión cuando los usuarios acaban de cambiar su contraseña o cuando regresan de unas vacaciones más largas.

Active Directory registra los intentos fallidos de inicio de sesión y los guarda en un contador interno. Esto se restablecerá tan pronto como el registro se haya realizado correctamente. Si un atacante ya ha comprometido un acceso, no aparece aquí. Sin embargo, hay un inconveniente: en entornos de red más grandes, a menudo se usa más de un controlador de dominio (DC). Si inicia sesión de forma remota, no siempre termina con el mismo controlador de dominio, dependiendo de qué DC esté actualmente más o menos ocupado. El número de intentos fallidos de inicio de sesión es una de las piezas de información que no siempre se sincroniza entre un DC. Así que tenemos que obtener la información de cada uno de los países en desarrollo. Esto es exactamente lo que hace el siguiente script.

Sugerencia de publicación: el resultado de este script enumera todas las cuentas que no han tenido ninguna actividad de inicio de sesión durante un cierto período de tiempo

Evaluación

El segundo tipo de cuenta merece una mirada aún más crítica: las cuentas que utilizan los proveedores de servicios, como las casas de sistemas. Aunque no están en uso permanente, a menudo tienen amplias autorizaciones, incluida la función de administrador de dominio. Si un atacante logra apoderarse de dicha cuenta de usuario, casi todas las puertas dentro de la red se le abren. Por lo tanto, estas cuentas también deben desactivarse siempre que no sean necesarias. Si esto no es posible por razones prácticas, el acceso debe restringirse a las ventanas de mantenimiento previamente definidas, como un tiempo determinado.

El guión anterior debe entenderse como una sugerencia. La salida que genera debe evaluarse de manera significativa. Dos tipos de cuentas merecen una atención especial aquí: las cuentas de los empleados que ya han dejado la empresa y las que son utilizadas de forma irregular por proveedores de servicios externos. Las cuentas de los ex empleados deberían al menos estar desactivadas, de modo que un atacante ya no pueda utilizarlas para iniciar sesión en la red. Eliminar dichas cuentas puede ser el primer impulso, pero esto perdería permanentemente cierta información, especialmente la afiliación de ciertos datos o archivos. Además, los períodos de almacenamiento legales también pueden aplicarse a cierta información.

Resumen

Obviamente, un artículo como este no puede crear un enfoque integral para rastrear y administrar las cuentas de los usuarios. No obstante, este texto debería servir como sugerencia para tener en cuenta este aspecto en el futuro. Los consejos más importantes se resumen nuevamente aquí:

  1. Busque regularmente en Active Directory cuentas de usuario inactivas
  2. Elimine o desactive las cuentas no utilizadas
  3. Preste especial atención al acceso para proveedores de servicios externos; si es necesario, actívelo solo cuando sea necesario. Si finaliza la colaboración con un proveedor de servicios: ¡asegúrese de desactivar la cuenta!
  4. Si un empleado deja la empresa: cierre la cuenta de usuario inmediatamente; esto puede requerir una consulta con el departamento de recursos humanos.

Enlace: https://www.gdata.de/blog/2021/04/36728-inaktive-nutzerkonten-aufspueren Blog de G DATA