Escalar Privelegios en Windows

[julk]

hola todos,

resulta que administro una red con plataformas microsoft en la cual todos los usuarios son administradores de su propia máquina, a parte de miembros del dominio.

Por otra parte la arquitectura básica que existe consiste en unos firewalls internos y otros externos, y diferentes vlan´s. Tambien he visto que el tráfico netbios está permitido!!.

Bien, el tema es que soy consciente de que esto es un agujero de seguridad muy grande pero no se como un usuario a partir de la administración de su máquina puede ir escalando privilegios hasta poder hacer un daño real. ¿me podéis dirigir a algún link, curso, foro.... que hable sobre esto con casos prácticos?

Muchas gracias por vuestra ayuda.

[j8k6f4v9j]

Hola julk.

Bueno, en realidad nadie en esa red necesita escalar privilegios. Se suele llamar escalar privilegios a cuando un usuario sin privilegios (limitado en su capacidad para actuar o manejar programas o hacer uso de servicios) consigue derechos o privilegios de administrador.

Como te digo, si ya todos los usuarios son administradores nadie necesita escalar privilegios.

Por otro lado, si todos son administradores de su propia máquina y el netbios está permitido, entonces ¿cuáles son los mecanismos de seguridad implementados? Quiero decir, ¿qué es lo que tienes que proteger si todo está permitido?

Salu2

Keep on Rollin'

[julk]

Hombre, una cosa es ser administradores de la máquina, y otra diferente serlo del dominio. De estar forma podría entrar en los servidores y hacer lo que quisiese.

[j8k6f4v9j]

Ah, vale, te refieres a la escalada de privilegios en los servidores entonces, o en el controlador de dominio. Porque el dominio no es más que una estructura lógica de una serie de recursos.

Por lo que, que yo sepa (no soy ningún erudito en temas güindous ) no tiene que ver que cada usuario sea administrador de su máquina con la escalada de privilegios en el controlador de dominio.

Salu2

Keep on Rollin'

[julk]

Eso es. Me refiero a que por ejemplo instalándose no se qué herramienta pues por ejemplo ataque a la sam del dominio y me salte las contraseñas... A estar abierto netbios, puede intentar conectarse a otra máquina, pero en principio necesitaría ser administrador de esa otra máquina para hacer cosas...

[j8k6f4v9j]

Así es, claro que si en el controlador de dominio cualquiera tiene permisos de escritura sobre los archivos no es muy difícil paa un atacante cambiar algún archivo de configuración que ejecute una rutina que proporciones una shell con la que trabajar con permisos de administrador. Sinceramente, viendo cómo están protegidas las estaciones en sí mismas me extrañaría bastante que el controlador de dominio o el resto de servidores en caso de que los haya estén mucho mejor protegidos.

Yo comenzaría por donde siempre lo hago: cerrar todo en las máquinas críticas (primero el controlador de dominio) para luego abrir lo estrictamente necesario con unas buenas políticas de seguridad (comenzando por los sistemas de autenticación)

También has de tener en cuenta que cualquier usuario en una de esas estaciones de trabajo puede instalar los programas que desee, por lo que puede realizar ataques por envenenamiento de IP, de MAC, de dns (!!!) Y por tanto esnifar contraseñas y demás historias. Un buen control sobre los archivos de registro, las fechas de modificación de los mismos para comprobar que son coherentes con los accesos legítimos a los mismos.

De todos modos, mejor te podrá orientar alguien más ducho en el uso y administración de estos sistemas

Salu2

Keep on Rollin'