Consejo rápido: Realizar un seguimiento de las cuentas de usuario inactivas

Las nuevas cuentas de usuario se crean rápidamente, pero ¿cuál es la mejor manera de vigilarlas? Algunos índices de tarjetas todavía pueden estar en el sótano virtual de Active Directory en los próximos años.

Maike Renner forma parte del equipo de administración de una empresa mediana. Por lo general, es responsable de administrar las cuentas de usuario. Sin embargo, después de que se conocieran recientemente varias vulnerabilidades de seguridad graves en el servidor de correo de la compañía, tuvo que ayudar como saltadora en otros equipos a corto plazo. Dos semanas después, la calma ha regresado, pensó. Una noche, recibe una llamada del director gerente, que no puede iniciar sesión en el servidor de Terminal Server. Supuestamente, el nombre de usuario y la contraseña no se conocen. Un vistazo a la consola de administrador de Active Directory debería proporcionar claridad aquí, pero incluso Maike no puede iniciar sesión. Como vive a solo cinco minutos de la oficina, se va con una sensación incómoda a pesar de la hora: después de todo, fue después de las 21:00. Su corazonada debe ser confirmada: un ransomware ha cifrado todas las bases de datos y servidores de archivos. Y el catálogo global, el corazón de Active Directory, también se ve afectado. Ahora un buen consejo es caro.

Cómo encontrar cuentas de usuario inactivas en Active Directory 【2022】

Investigación de la causa raíz

Cuatro días después, la operación casi ha vuelto a la normalidad. Una copia de seguridad que se estaba ejecutando poco antes de que el malware golpeara podía restaurarse y solo se destruyeron un puñado de archivos no críticos.

El proveedor de servicios de respuesta a incidentes, a quien también había informado inmediatamente esa noche, descubrió rápidamente que un servidor de terminales expuesto había sido el punto de partida del ataque. La contraseña de un exempleado que lleva dos años sin estar en la empresa había sido comprometida. Por medio de la automatización, los atacantes simplemente habían adivinado la contraseña hasta que tuvieron éxito. Aunque la contraseña ya no se puede reconstruir después, el mero hecho de que la cuenta de usuario aún no se haya desactivado y aún pueda usarse para accesos telefónicos remotos plantea un problema.

Pero revisar todas las cuentas que existen en Active Directory es una tarea casi irresoluble: aquí existen cientos, si no miles, de cuentas de usuario: empleados activos, trabajadores independientes, casas del sistema, empleados jubilados, colegas con licencia parental, cuentas de servicio para servidores de bases de datos: la lista es larga. Repasarlos todos llevaría semanas. Afortunadamente, esto es fácil de automatizar y no se necesitan programas de pago adicionales. Un script de PowerShell simple proporciona un remedio para Maike y todos los demás administradores que necesitan un inventario.

Sugerencia de servicio: La salida de este script enumera todas las cuentas que no han tenido ninguna actividad de inicio de sesión durante un cierto período de tiempo.

Para casos especiales….

Ahora Maike al menos sabe qué cuentas de usuario debe vigilar y desactivar si es necesario. Sin embargo, cuando se trata de detectar actividades sospechosas más rápido, también se puede usar otra información de Active Directory. En general, hay una gran cantidad de datos disponibles aquí, lo que puede ser de gran ayuda, solo tiene que usarlos.

Una señal bastante segura de que algo puede estar mal son los intentos fallidos de inicio de sesión. Si estos ocurren con más frecuencia durante un período de tiempo muy corto (por ejemplo.B docenas de intentos de inicio de sesión en unos pocos segundos), las alarmas deberían sonar. Otras actividades, por otro lado, son bastante poco auspiciosas, porque los intentos fallidos de inicio de sesión a menudo ocurren cuando los usuarios acaban de cambiar su contraseña o incluso si acaban de regresar de unas vacaciones más largas.

Active Directory registra los intentos de inicio de sesión fallidos y los almacena en un contador interno. Esto se restablecerá tan pronto como el inicio de sesión se haya realizado correctamente. Si un atacante ya ha comprometido un acceso, no aparece aquí. Sin embargo, hay una trampa: en entornos de red más grandes, a menudo se usa más que solo un controlador de dominio (DC). Si inicia sesión de forma remota, no necesariamente termina con el mismo controlador de dominio, dependiendo de qué DC se utilice actualmente más o menos. El número de intentos fallidos de inicio de sesión es una de las piezas de información que no siempre se sincroniza entre un DC. Así que tenemos que consultar la información de cada DC individual. Eso es exactamente lo que hace el siguiente guión.

Evaluación

El guión anterior debe entenderse como una sugerencia. El resultado que genera debe evaluarse con sensatez. Dos tipos de cuentas merecen una atención especial aquí: las cuentas de los empleados que ya han abandonado la empresa y las que son utilizadas irregularmente por proveedores de servicios externos. Las cuentas de los ex empleados deben al menos desactivarse, por lo que un atacante ya no puede usarlas para iniciar sesión en la red. Eliminar tales cuentas puede ser el primer impulso, pero perdería permanentemente cierta información, especialmente la afiliación de ciertos datos o archivos. Además, cierta información también puede estar sujeta a períodos de retención legales.

El segundo tipo de cuenta merece una mirada aún más crítica: cuentas que son utilizadas por proveedores de servicios como las casas de sistemas. Aunque estos no están en uso permanentemente, a menudo tienen permisos extensos, hasta el rol de un administrador de dominio. Si un atacante logra hacerse cargo de dicha cuenta de usuario, casi todas las puertas dentro de la red están abiertas para él. Por lo tanto, dichas cuentas también deben desactivarse siempre que no sean necesarias. Si esto no es posible por razones prácticas, el acceso debe limitarse a ventanas de mantenimiento predefinidas, como un tiempo determinado.

Resumen

Por supuesto, no puede crear un concepto integral para rastrear y administrar cuentas de usuario como parte de un artículo como este. No obstante, este texto pretende servir de sugerencia para tener en cuenta este aspecto en el futuro. Los consejos más importantes se resumen aquí:

  • Buscar regularmente cuentas de usuario inactivas en Active Directory
  • Eliminar o desactivar cuentas no utilizadas
  • Vigile en particular el acceso de los proveedores de servicios externos; si es necesario, solo desbloquee según sea necesario. Finaliza la cooperación con un proveedor de servicios: ¡asegúrese de desactivar la cuenta!
  • Si un empleado abandona la empresa: cierre la cuenta de usuario inmediatamente; es posible que se requiera un acuerdo con el departamento de recursos humanos aquí.

Enlace: Consejo rápido: ¿Cómo encontrar cuentas de usuario inactivas? | G DATOS (gdata.de) Blog de G DATA Tim Berghoff