Índice

Diseño de una arquitectura segura

1. Enfoque centrado en terceros de confianza

Del puesto de trabajo del usuario a una cuenta de administrador de dominio

Durante la lectura de los diferentes elementos mencionados anteriormente, sin ninguna duda adivinará que puede ser muy complicado proteger un Active Directory.

Tomemos como ejemplo un usuario de soporte de proximidad. Su cuenta es miembro de un grupo de dominio que a su vez es miembro del grupo Administrador local de todos los puestos de trabajo. Por la naturaleza de sus funciones, es normal que un usuario como este pueda acceder como administrador a los puestos de trabajo.

Por tanto, esto significa que a lo largo de sus diferentes intervenciones, el hash de su cuenta se va a encontrar en un número importante de puestos. Será suficiente que con que uno de puestos esté bajo el control de un usuario de la herramienta mimikatz (o equivalente), para que se muestre la contraseña de este usuario y que el usuario malintencionado pueda reutilizar esta cuenta para conectarse como administrador en cualquier otro puesto de trabajo.

Si entre estos puestos de trabajo hay algún puesto de cuentas de administradores que se encargan de administrar los servidores (o peor, Active Directory), entonces el atacante podrá ejecutar mimikatz en los puestos en cuestión y, de esta manera, recuperar la contraseña de un administrador de servidores o de dominio.

Una vez como administrador de dominio, el atacante puede generar un «Golden Ticket» y obtener un acceso prácticamente ...