Add to collection(s) Add to saved
  1. No category
Uploaded by Janice Aneli Flores Torres

Active Diectory - Tryhackme

advertisement 
Active Directory
Imagínese administrando la red de una pequeña empresa con solo cinco computadoras y cinco
empleados. En una red tan pequeña, probablemente podrá configurar cada computadora por
separado sin ningún problema. Iniciará sesión manualmente en cada computadora, creará
usuarios para quien los usará y realizará configuraciones específicas para las cuentas de cada
empleado. Si la computadora de un usuario deja de funcionar, probablemente irá a su lugar y
reparará la computadora en el lugar.
Si bien esto suena como un estilo de vida muy relajado, supongamos que su negocio crece
repentinamente y ahora tiene 157 computadoras y 320 usuarios diferentes ubicados en cuatro
oficinas diferentes. ¿Aún podría administrar cada computadora como una entidad separada,
configurar políticas manualmente para cada uno de los usuarios en la red y brindar soporte en
el sitio para todos? Lo más probable es que la respuesta sea no.
Para superar estas limitaciones, podemos usar un dominio de Windows. En pocas palabras, un
dominio de Windows es un grupo de usuarios y computadoras bajo la administración de una
empresa determinada. La idea principal detrás de un dominio es centralizar la administración de
los componentes comunes de una red informática de Windows en un único repositorio llamado
Active Directory (AD). El servidor que ejecuta los servicios de Active Directory se conoce como
controlador de dominio (DC).
Las principales ventajas de tener un dominio de Windows configurado son:


Gestión centralizada de identidades: todos los usuarios de la red se pueden configurar
desde Active Directory con el mínimo esfuerzo.
Administración de políticas de seguridad: puede configurar políticas de seguridad
directamente desde Active Directory y aplicarlas a los usuarios y equipos de la red según
sea necesario.
Un ejemplo del mundo real
Si esto suena un poco confuso, es probable que ya haya interactuado con un dominio de
Windows en algún momento de su escuela, universidad o trabajo.
En las redes escolares/universitarias, a menudo se le proporcionará un nombre de usuario y una
contraseña que puede usar en cualquiera de las computadoras disponibles en el campus. Sus
credenciales son válidas para todas las máquinas porque cada vez que las ingresa en una
máquina, reenviará el proceso de autenticación a Active Directory, donde se verificarán sus
credenciales. Gracias a Active Directory, sus credenciales no necesitan existir en cada máquina
y están disponibles en toda la red.
Active Directory también es el componente que le permite a su escuela/universidad restringirle
el acceso al panel de control en las máquinas de su escuela/universidad. Las políticas
generalmente se implementarán en toda la red para que no tenga privilegios administrativos
sobre esas computadoras.
Bienvenido a THM Inc.
Durante esta tarea, asumiremos el rol del nuevo administrador de TI en THM Inc. Como nuestra
primera tarea, se nos ha pedido que revisemos el dominio actual "THM.local" y realicemos
algunas configuraciones adicionales. Tendrá credenciales administrativas sobre un controlador
de dominio (DC) preconfigurado para realizar las tareas.
Asegúrese de hacer clic en el botón Iniciar máquina ahora, ya que utilizará la misma máquina
para todas las tareas. Esto debería abrir una máquina en su navegador. Si prefiere conectarse a
través de RDP, puede utilizar las siguientes credenciales:
Username
Administrator
Password
Password321
Nota: cuando se conecte a través de RDP, utilice THM\Administrator como nombre de usuario
para especificar que desea iniciar sesión con el usuario Administrador en el dominio THM.
Dado que nos conectaremos a la máquina de destino a través de RDP, este también es un buen
momento para iniciar AttackBox (a menos que esté usando su propia máquina).
En un dominio de Windows, las credenciales se almacenan en un repositorio centralizado
llamado.
Active directory
El servidor encargado de ejecutar los servicios de Active Directory se llama.
Domain Controller
Active Directory
El núcleo de cualquier dominio de Windows es el servicio de dominio de Active Directory (AD
DS). Este servicio actúa como un catálogo que contiene la información de todos los "objetos"
que existen en su red. Entre los muchos objetos admitidos por AD, tenemos usuarios, grupos,
máquinas, impresoras, recursos compartidos y muchos otros. Veamos algunos de ellos:
Usuarios
Los usuarios son uno de los tipos de objetos más comunes en Active Directory. Los usuarios son
uno de los objetos conocidos como principales de seguridad, lo que significa que pueden ser
autenticados por el dominio y se les pueden asignar privilegios sobre recursos como archivos o
impresoras. Se podría decir que un principal de seguridad es un objeto que puede actuar sobre
los recursos de la red.
Los usuarios se pueden utilizar para representar dos tipos de entidades:



Personas: los usuarios generalmente representarán a personas en su organización que
necesitan acceder a la red, como empleados.
Servicios: también puede definir usuarios para ser utilizados por servicios como IIS o
MSSQL. Cada servicio individual requiere un usuario para ejecutarse, pero los usuarios
del servicio son diferentes de los usuarios normales, ya que solo tendrán los privilegios
necesarios para ejecutar su servicio específico.
Máquinas: Las máquinas son otro tipo de objeto dentro de Active Directory; por cada
computadora que se una al dominio de Active Directory, se creará un objeto de
máquina. Las máquinas también se consideran "principales de seguridad" y se les asigna
una cuenta como cualquier usuario normal. Esta cuenta tiene derechos algo limitados
dentro del propio dominio.
Las cuentas de la máquina en sí mismas son administradores locales en la computadora
asignada, generalmente se supone que nadie debe acceder a ellas excepto la computadora
misma, pero como con cualquier otra cuenta, si tiene la contraseña, puede usarla para iniciar
sesión.
Nota: Las contraseñas de las cuentas de máquinas se rotan automáticamente y generalmente
se componen de 120 caracteres aleatorios.
Identificar cuentas de máquina es relativamente fácil. Siguen un esquema de nombres
específico. El nombre de la cuenta de la máquina es el nombre de la computadora seguido de
un signo de dólar. Por ejemplo, una máquina llamada DC01 tendrá una cuenta de máquina
llamada DC01$.
Grupos de seguridad
Si está familiarizado con Windows, probablemente sepa que puede definir grupos de usuarios
para asignar derechos de acceso a archivos u otros recursos a grupos completos en lugar de
usuarios individuales. Esto permite una mejor capacidad de administración, ya que puede
agregar usuarios a un grupo existente y heredarán automáticamente todos los privilegios del
grupo. Los grupos de seguridad también se consideran principales de seguridad y, por lo tanto,
pueden tener privilegios sobre los recursos de la red.
Los grupos pueden tener usuarios y máquinas como miembros. Si es necesario, los grupos
también pueden incluir otros grupos.
Varios grupos se crean de forma predeterminada en un dominio que se puede utilizar para
otorgar privilegios específicos a los usuarios. A modo de ejemplo, estos son algunos de los
grupos más importantes de un dominio:
Directorio activo de usuarios y computadoras
Para configurar usuarios, grupos o máquinas en Active Directory, debemos iniciar sesión en el
controlador de dominio y ejecutar "Usuarios y equipos de Active Directory" desde el menú de
inicio:
1. Activar RSAT en Windows
2. Revisar si está habilitado
Esto abrirá una ventana donde podrá ver la jerarquía de usuarios, equipos y grupos que existen
en el dominio. Estos objetos están organizados en unidades organizativas (OU), que son objetos
contenedores que le permiten clasificar usuarios y máquinas. Las unidades organizativas se
utilizan principalmente para definir conjuntos de usuarios con requisitos de vigilancia similares.
Es probable que las personas del departamento de ventas de su organización tengan un
conjunto diferente de políticas aplicadas que las personas de TI, por ejemplo. Tenga en cuenta
que un usuario solo puede ser parte de una única unidad organizativa a la vez.
Al revisar nuestra máquina, podemos ver que ya existe una unidad organizativa llamada THM
con cuatro unidades organizativas secundarias para los departamentos de TI, administración,
marketing y ventas. Es muy típico ver que las unidades organizativas imitan la estructura de la
empresa, ya que permite implementar de manera eficiente políticas de referencia que se aplican
a departamentos completos. Recuerde que si bien este sería el modelo esperado la mayor parte
del tiempo, puede definir unidades organizativas arbitrariamente. Siéntase libre de hacer clic
con el botón derecho en la unidad organizativa THM y crear una unidad organizativa nueva
debajo llamada Estudiantes solo por el gusto de hacerlo.
Unidad Organizativa
Si abre cualquier OU, puede ver los usuarios que contienen y realizar tareas simples como
crearlas, eliminarlas o modificarlas según sea necesario. También puede restablecer las
contraseñas si es necesario (bastante útil para el servicio de asistencia técnica):
Probablemente ya haya notado que hay otros contenedores predeterminados además de THM
OU. Windows crea estos contenedores automáticamente y contienen lo siguiente:





Builtin: contiene grupos predeterminados disponibles para cualquier host de Windows.
Computers: cualquier máquina que se una a la red se colocará aquí de forma
predeterminada. Puede moverlos si es necesario.
Domain Controllers: unidad organizativa predeterminada que contiene los
controladores de dominio en su red.
Users: usuarios y grupos predeterminados que se aplican a un contexto de todo el
dominio.
Managed Service Accounts: mantiene las cuentas utilizadas por los servicios en su
dominio de Windows.
Grupos de seguridad frente a unidades organizativas
Probablemente se esté preguntando por qué tenemos tanto grupos como unidades
organizativas. Si bien ambos se usan para clasificar usuarios y computadoras, sus propósitos son
completamente diferentes:
Las unidades organizativas son útiles para aplicar políticas a usuarios y equipos, que incluyen
configuraciones específicas que pertenecen a conjuntos de usuarios según su rol particular en
la empresa. Recuerde, un usuario solo puede ser miembro de una unidad organizativa a la vez,
ya que no tendría sentido tratar de aplicar dos conjuntos de políticas diferentes a un solo
usuario.
Los grupos de seguridad, por otro lado, se utilizan para otorgar permisos sobre los recursos. Por
ejemplo, usará grupos si desea permitir que algunos usuarios accedan a una carpeta compartida
o una impresora de red. Un usuario puede ser parte de muchos grupos, lo cual es necesario para
otorgar acceso a múltiples recursos.
Responda las siguientes preguntas
¿Qué grupo normalmente administra todas las computadoras y recursos en un dominio?
Domain Admin
¿Cuál sería el nombre de la cuenta de máquina asociada con una máquina llamada TOM-PC?
Formato de respuesta: *******
TOM-PC$
Supongamos que nuestra empresa crea un nuevo departamento de Garantía de Calidad.
¿Qué tipo de contenedores deberíamos usar para agrupar a todos los usuarios de Control de
calidad para que las políticas se les puedan aplicar de manera consistente?
organizational unit
Manejo de Users en AD
Su primera tarea como administrador del nuevo dominio es comprobar las unidades
organizativas y los usuarios de AD existentes, ya que se han producido algunos cambios
recientes en la empresa. Se le ha proporcionado el siguiente organigrama y se espera que realice
cambios en el AD para que coincida con él:
Eliminación de unidades organizativas y usuarios adicionales
Lo primero que debe notar es que hay una unidad organizativa de departamento adicional en
su configuración de AD actual que no aparece en el gráfico. Nos dijeron que se cerró debido a
recortes presupuestarios y que debería eliminarse del dominio. Si intenta hacer clic con el botón
derecho y eliminar la unidad organizativa, obtendrá el siguiente error:
De forma predeterminada, las unidades organizativas están protegidas contra la eliminación
accidental. Para eliminar la unidad organizativa, debemos habilitar el Advanced Features in the
View menu:
Esto le mostrará algunos contenedores adicionales y le permitirá desactivar la protección contra
eliminación accidental. Para hacerlo, haga clic con el botón derecho en la unidad organizativa y
vaya a Propiedades. Encontrará una casilla de verificación en la pestaña Objeto para desactivar
la protección:
Asegúrese de desmarcar la casilla e intente eliminar la unidad organizativa nuevamente. Se le
pedirá que confirme que desea eliminar la unidad organizativa y, como resultado, también se
eliminarán todos los usuarios, grupos o unidades organizativas que se encuentren debajo de
ella.
Después de eliminar la unidad organizativa adicional, debe notar que para algunos de los
departamentos, los usuarios en AD no coinciden con los de nuestro organigrama. Cree y elimine
usuarios según sea necesario para que coincidan.
Delegation
Una de las cosas buenas que puede hacer en AD es dar a usuarios específicos cierto control
sobre algunas unidades organizativas. Este proceso se conoce como delegación y le permite
otorgar a los usuarios privilegios específicos para realizar tareas avanzadas en las unidades
organizativas sin necesidad de que intervenga un administrador de dominio.
Uno de los casos de uso más comunes para esto es otorgar al soporte de TI los privilegios para
restablecer las contraseñas de otros usuarios con privilegios bajos. De acuerdo con nuestro
organigrama, Phillip está a cargo del soporte de TI, por lo que probablemente querríamos
delegarle el control de restablecer contraseñas en las unidades organizativas de ventas,
marketing y administración.
Para este ejemplo, delegaremos el control sobre la unidad organizativa Ventas a Phillip. Para
delegar el control sobre una unidad organizativa, puede hacer clic con el botón derecho y
seleccionar Delegate Control:
Esto debería abrir una nueva ventana donde primero se le preguntará por los usuarios a los que
desea delegar el control:
Nota: Para evitar escribir mal el nombre del usuario, escriba "phillip" y haga clic en el botón
Verificar nombres. Windows completará automáticamente el usuario por usted.
Haga clic en Aceptar y, en el siguiente paso, seleccione la siguiente opción:
Haga clic en siguiente un par de veces y ahora Phillip debería poder restablecer las contraseñas
de cualquier usuario del departamento de ventas. Si bien probablemente desee repetir estos
pasos para delegar los restablecimientos de contraseña de los departamentos de Marketing y
Administración, lo dejaremos aquí para esta tarea. Puede continuar configurando el resto de las
unidades organizativas si así lo desea.
Ahora usemos la cuenta de Phillip para intentar restablecer la contraseña de Sophie. Aquí están
las credenciales de Phillip para que inicie sesión a través de RDP:
Username
phillip
Password
Claire2008
Nota: cuando se conecte a través de RDP, utilice THM\phillip como nombre de usuario para
especificar que desea iniciar sesión con el usuario phillip en el dominio THM.
Si bien puede tener la tentación de ir a Usuarios y computadoras de Active Directory para probar
los nuevos poderes de Phillip, en realidad no tiene los privilegios para abrirlo, por lo que tendrá
que usar otros métodos para restablecer la contraseña. En este caso, usaremos Powershell para
hacerlo:
New Password: CIXPER.2023.jft
Como no queremos que Sophie siga usando una contraseña que conocemos, también podemos
forzar un restablecimiento de contraseña en el próximo inicio de sesión con el siguiente
comando:
Inicie sesión en la cuenta de Sophie con su nueva contraseña y recupere una bandera del
escritorio de Sophie.
Nota: cuando se conecte a través de RDP, use THM\sophie como nombre de usuario para
especificar que desea iniciar sesión con el usuario sophie en el dominio THM.
Responda las siguientes preguntas
¿Qué era la bandera que se encontró en el escritorio de Sophie?
Formato de respuesta: THM{thanks_for_contacting_support}
El proceso de otorgar privilegios a un usuario sobre alguna unidad organizativa u otro objeto AD
se denomina...
Formato de respuesta: Delegation
Managing computers in AD
De forma predeterminada, todas las máquinas que se unen a un dominio (excepto los DC) se
colocarán en el contenedor denominado "Equipos". Si revisamos nuestro DC, veremos que
algunos dispositivos ya están ahí:
Podemos ver algunos servidores, algunas computadoras portátiles y algunas PC
correspondientes a los usuarios de nuestra red. Tener todos nuestros dispositivos allí no es la
mejor idea, ya que es muy probable que desee políticas diferentes para sus servidores y las
máquinas que los usuarios habituales usan a diario.
Si bien no existe una regla de oro sobre cómo organizar sus máquinas, un excelente punto de
partida es segregar los dispositivos según su uso. En general, esperaría ver dispositivos divididos
en al menos las tres categorías siguientes:
1. Estaciones de trabajo
Las estaciones de trabajo son uno de los dispositivos más comunes dentro de un dominio de
Active Directory. Es probable que cada usuario del dominio inicie sesión en una estación de
trabajo. Este es el dispositivo que usarán para hacer su trabajo o actividades normales de
navegación. Estos dispositivos nunca deben tener un usuario privilegiado que inicie sesión en
ellos.
2. Servidores
Los servidores son el segundo dispositivo más común dentro de un dominio de Active Directory.
Los servidores se utilizan generalmente para proporcionar servicios a los usuarios oa otros
servidores.
3. Controladores de dominio
Los controladores de dominio son el tercer dispositivo más común dentro de un dominio de
Active Directory. Los controladores de dominio le permiten administrar el dominio de Active
Directory. Estos dispositivos a menudo se consideran los dispositivos más sensibles dentro de la
red, ya que contienen contraseñas codificadas para todas las cuentas de usuario dentro del
entorno.
Dado que estamos ordenando nuestro AD, creemos dos unidades organizativas separadas para
estaciones de trabajo y servidores (los controladores de dominio ya están en una unidad
organizativa creada por Windows). Los crearemos directamente bajo el contenedor de dominio
thm.local. Al final, debe tener la siguiente estructura de unidad organizativa:
Ahora, mueva las computadoras personales y portátiles a la unidad organizativa Estaciones de
trabajo y los servidores a la unidad organizativa Servidores desde el contenedor Computadoras.
Si lo hace, nos permitirá configurar políticas para cada unidad organizativa más adelante.
Responda las siguientes preguntas
Después de organizar las computadoras disponibles, ¿cuántas terminaron en la unidad
organizativa de estaciones de trabajo?
Formato de respuesta: 7
¿Es recomendable crear unidades organizativas separadas para servidores y estaciones de
trabajo? (sí/no) si
Group Policies
Hasta ahora, hemos organizado a los usuarios y las computadoras en unidades organizativas por
el simple hecho de hacerlo, pero la idea principal detrás de esto es poder implementar
diferentes políticas para cada unidad organizativa individualmente. De esa manera, podemos
enviar diferentes configuraciones y líneas de base de seguridad a los usuarios según su
departamento.
Windows administra dichas políticas a través de objetos de política de grupo (GPO). Los GPO son
simplemente una colección de configuraciones que se pueden aplicar a las unidades
organizativas. Los GPO pueden contener políticas dirigidas a usuarios o computadoras, lo que le
permite establecer una línea de base en máquinas e identidades específicas.
Para configurar los GPO, puede utilizar la herramienta de administración de directivas de grupo,
disponible en el menú de inicio:
Lo primero que verá al abrirlo es su jerarquía completa de OU, como se definió anteriormente.
Para configurar Políticas de grupo, primero crea un GPO en Objetos de política de grupo y luego
lo vincula al GPO donde desea que se apliquen las políticas. Como ejemplo, puede ver que ya
existen algunos GPO en su máquina:
Podemos ver en la imagen de arriba que se han creado 3 GPO. De ellos, la Política de dominio
predeterminada y la Política RDP están vinculadas al dominio thm.local como un todo, y la
Política de controladores de dominio predeterminados está vinculada solo a la unidad
organizativa Controladores de dominio. Algo importante a tener en cuenta es que cualquier GPO
se aplicará a la unidad organizativa vinculada y a cualquier unidad organizativa secundaria que
se encuentre debajo de ella. Por ejemplo, la unidad organizativa de ventas aún se verá afectada
por la política de dominio predeterminada.
Examinemos la política de dominio predeterminada para ver qué hay dentro de un GPO. La
primera pestaña que verá al seleccionar un GPO muestra su alcance, que es donde se vincula el
GPO en el AD. Para la política actual, podemos ver que solo se ha vinculado al dominio thm.local:
Como puede ver, también puede aplicar el filtrado de seguridad a los GPO para que solo se
apliquen a usuarios/computadoras específicas en una unidad organizativa. De forma
predeterminada, se aplicarán al grupo Usuarios autenticados, que incluye a todos los
usuarios/PC.
La pestaña Configuración incluye el contenido real del GPO y nos permite saber qué
configuraciones específicas aplica. Como se indicó anteriormente, cada GPO tiene
configuraciones que se aplican solo a las computadoras y configuraciones que se aplican solo
a los usuarios. En este caso, la política de dominio predeterminada solo contiene
configuraciones de computadora:
Siéntase libre de explorar el GPO y ampliar los elementos disponibles utilizando los enlaces
"mostrar" en el lado derecho de cada configuración. En este caso, la Política de dominio
predeterminada indica configuraciones realmente básicas que deberían aplicarse a la mayoría
de los dominios, incluidas las políticas de bloqueo de cuentas y contraseñas:
Dado que este GPO se aplica a todo el dominio, cualquier cambio en él afectaría a todas las
computadoras. Cambiemos la política de longitud mínima de la contraseña para requerir que los
usuarios tengan al menos 10 caracteres en sus contraseñas. Para ello, haga clic con el botón
derecho en el GPO y seleccione Editar:
Esto abrirá una nueva ventana donde podremos navegar y editar todas las configuraciones
disponibles. Para cambiar la longitud mínima de la contraseña, vaya a
y cambie el valor de la política requerida:
Como puede ver, se pueden establecer muchas políticas en un GPO. Si bien explicar cada uno
de ellos sería imposible en una sola habitación, siéntase libre de explorar un poco, ya que
algunas de las políticas son sencillas. Si necesita más información sobre cualquiera de las
políticas, puede hacer doble clic en ellas y leer la pestaña Explicar en cada una de ellas:
GPO distribution
Los GPO se distribuyen a la red a través de un recurso compartido de red llamado SYSVOL, que
se almacena en el DC. Todos los usuarios de un dominio normalmente deberían tener acceso a
este recurso compartido a través de la red para sincronizar sus GPO periódicamente. El recurso
compartido SYSVOL apunta de forma predeterminada al directorio C:\Windows\SYSVOL\sysvol\
en cada uno de los DC de nuestra red.
Una vez que se ha realizado un cambio en cualquier GPO, las computadoras pueden tardar hasta
2 horas en ponerse al día. Si desea obligar a cualquier computadora en particular a sincronizar
sus GPO de inmediato, siempre puede ejecutar el siguiente comando en la computadora
deseada:
POWERSHELL:
Creación de algunos GPO para THM Inc.
Como parte de nuestro nuevo trabajo, se nos ha encomendado la implementación de algunos
GPO que nos permitan:



Bloquee a los usuarios que no son de TI para que no accedan al Panel de control.
Haga que las estaciones de trabajo y los servidores bloqueen su pantalla
automáticamente después de 5 minutos de inactividad del usuario para evitar que las
personas dejen sus sesiones expuestas.
Centrémonos en cada uno de ellos y definamos qué políticas debemos habilitar en cada
GPO y dónde deben vincularse.
Restringir el acceso al panel de control
Queremos restringir el acceso al Panel de control en todas las máquinas solo a los usuarios que
forman parte del departamento de TI. Los usuarios de otros departamentos no deberían poder
cambiar las preferencias del sistema.
Vamos a crear un nuevo GPO llamado Restringir el acceso al panel de control y abrirlo para
editarlo. Dado que queremos que este GPO se aplique a usuarios específicos, buscaremos en
Configuración de usuario la siguiente política:
Tenga en cuenta que hemos habilitado la política Prohibir el acceso al panel de control y la
configuración de la PC.
Una vez configurada la GPO, necesitaremos vincularla a todas las OU correspondientes a los
usuarios que no deberían tener acceso al Panel de Control de sus PC. En este caso, vincularemos
las OUs de Marketing, Gestión y Ventas arrastrando la GPO a cada una de ellas:
Auto Lock Screen GPO
Para el primer GPO, con respecto al bloqueo de pantalla para estaciones de trabajo y servidores,
podríamos aplicarlo directamente sobre las unidades organizativas de estaciones de trabajo,
servidores y controladores de dominio que creamos anteriormente.
Si bien esta solución debería funcionar, una alternativa consiste simplemente en aplicar el GPO
al dominio raíz, ya que queremos que el GPO afecte a todas nuestras computadoras. Dado que
las unidades organizativas de estaciones de trabajo, servidores y controladores de dominio son
todas unidades organizativas secundarias del dominio raíz, heredarán sus políticas.
Nota: Es posible que observe que si nuestro GPO se aplica al dominio raíz, también lo heredarán
otras unidades organizativas como Ventas o Marketing. Dado que estas unidades organizativas
solo contienen usuarios, ignorarán cualquier configuración de la computadora en nuestro GPO.
Vamos a crear un nuevo GPO, llamarlo Pantalla de bloqueo automático y editarlo. La política
para lograr lo que queremos se ubica en la siguiente ruta:
Estableceremos el límite de inactividad en 5 minutos para que los equipos se bloqueen
automáticamente si algún usuario deja su sesión abierta. Después de cerrar el editor de GPO,
vincularemos el GPO al dominio raíz arrastrando el GPO hacia él:
Una vez que los GPO se han aplicado a las unidades organizativas correctas, podemos iniciar
sesión como cualquier usuario en Marketing, Ventas o Administración para su verificación. Para
esta tarea, conectémonos a través de RDP usando las credenciales de Mark:
Nota: cuando se conecte a través de RDP, utilice THM\Mark como nombre de usuario para
especificar que desea iniciar sesión con el usuario Mark en el dominio THM.
Si intentamos abrir el Panel de control, debería recibir un mensaje que indica que el
administrador deniega esta operación. También puede esperar 5 minutos para verificar si la
pantalla se bloquea automáticamente si lo desea.
Dado que no aplicamos el GPO del panel de control en TI, aún debería poder iniciar sesión en la
máquina como cualquiera de esos usuarios y acceder al panel de control.
Nota: si creó y vinculó los GPO, pero por algún motivo aún no funcionan, recuerde que puede
ejecutar gpupdate /force para forzar la actualización de los GPO.
Responda las siguientes preguntas
¿Cuál es el nombre del recurso compartido de red utilizado para distribuir GPO a máquinas de
dominio?
SYSVOL
¿Se puede utilizar un GPO para aplicar configuraciones a usuarios y computadoras? (sí/no)
Si
Tarea 7 Métodos de autenticación
Cuando se utilizan dominios de Windows, todas las credenciales se almacenan en los
controladores de dominio. Siempre que un usuario intente autenticarse en un servicio
utilizando credenciales de dominio, el servicio deberá solicitarle al controlador de dominio que
verifique si son correctas. Se pueden utilizar dos protocolos para la autenticación de red en
dominios de Windows:


Kerberos: utilizado por cualquier versión reciente de Windows. Este es el protocolo
predeterminado en cualquier dominio reciente.
NetNTLM: protocolo de autenticación heredado que se mantiene por motivos de
compatibilidad.
Si bien NetNTLM debería considerarse obsoleto, la mayoría de las redes tendrán ambos
protocolos habilitados. Echemos un vistazo más profundo a cómo funciona cada uno de estos
protocolos.
Autenticación Kerberos
La autenticación Kerberos es el protocolo de autenticación predeterminado para cualquier
versión reciente de Windows. A los usuarios que inicien sesión en un servicio utilizando Kerberos
se les asignarán tickets. Piensa en los billetes como prueba de una autenticación previa. Los
usuarios con boletos pueden presentarlos a un servicio para demostrar que ya se han
autenticado en la red anteriormente y, por lo tanto, están habilitados para usarlo.
Cuando se utiliza Kerberos para la autenticación, ocurre el siguiente proceso:
a. El usuario envía su nombre de usuario y una marca de tiempo cifrada mediante una
clave derivada de su contraseña al Centro de distribución de claves (KDC), un servicio
generalmente instalado en el controlador de dominio encargado de crear tickets
Kerberos en la red.
b. El KDC creará y enviará de vuelta un Boleto de Otorgamiento de Boletos (TGT), que
permitirá al usuario solicitar boletos adicionales para acceder a servicios específicos.
La necesidad de un ticket para obtener más tickets puede parecer un poco extraña, pero
permite a los usuarios solicitar tickets de servicio sin pasar sus credenciales cada vez que
quieran conectarse a un servicio. Junto con el TGT, se le entrega al usuario una clave de
sesión, que necesitará para generar las siguientes solicitudes.
c. Observe que el TGT está cifrado utilizando el hash de contraseña de la cuenta krbtgt y,
por lo tanto, el usuario no puede acceder a su contenido. Es esencial saber que el TGT
cifrado incluye una copia de la clave de sesión como parte de su contenido, y el KDC no
necesita almacenar la clave de sesión, ya que puede recuperar una copia descifrando el
TGT si es necesario.
Kerberos paso 1
a. Cuando un usuario desea conectarse a un servicio en la red como un recurso compartido, un
sitio web o una base de datos, utilizará su TGT para solicitar al KDC un Servicio de concesión de
boletos (TGS). Los TGS son boletos que permiten la conexión únicamente al servicio específico
para el que fueron creados. Para solicitar un TGS, el usuario enviará su nombre de usuario y una
marca de tiempo cifrada mediante la Clave de sesión, junto con el TGT y un Nombre principal
del servicio (SPN), que indica el servicio y el nombre del servidor al que pretendemos acceder.
b. Como resultado, el KDC nos enviará un TGS junto con una clave de sesión de servicio, que
necesitaremos para autenticarnos en el servicio al que queremos acceder. El TGS se cifra
utilizando una clave derivada del Hash del propietario del servicio. El propietario del servicio es
la cuenta de usuario o de máquina bajo la cual se ejecuta el servicio. El TGS contiene una copia
de la Clave de sesión del servicio en su contenido cifrado para que el Propietario del servicio
pueda acceder a ella descifrando el TGS.
Kerberos paso 2
Cuando un usuario desea conectarse a un servicio en la red como un recurso compartido, un
sitio web o una base de datos, utilizará su TGT para solicitar al KDC un Servicio de concesión de
boletos (TGS). Los TGS son boletos que permiten la conexión únicamente al servicio específico
para el que fueron creados. Para solicitar un TGS, el usuario enviará su nombre de usuario y una
marca de tiempo cifrada mediante la Clave de sesión, junto con el TGT y un Nombre principal
del servicio (SPN), que indica el servicio y el nombre del servidor al que pretendemos acceder.
Como resultado, el KDC nos enviará un TGS junto con una clave de sesión de servicio, que
necesitaremos para autenticarnos en el servicio al que queremos acceder. El TGS se cifra
utilizando una clave derivada del Hash del propietario del servicio. El propietario del servicio es
la cuenta de usuario o de máquina bajo la cual se ejecuta el servicio. El TGS contiene una copia
de la Clave de sesión del servicio en su contenido cifrado para que el Propietario del servicio
pueda acceder a ella descifrando el TGS.
Kerberos paso 3
Luego, el TGS se puede enviar al servicio deseado para autenticar y establecer una conexión. El
servicio utilizará el hash de contraseña de su cuenta configurada para descifrar el TGS y validar
la clave de sesión del servicio.
Autenticación NetNTLM
NetNTLM funciona mediante un mecanismo de desafío-respuesta. Todo el proceso es el
siguiente:
Autenticación NetNTLM






El cliente envía una solicitud de autenticación al servidor al que desea acceder.
El servidor genera un número aleatorio y lo envía como desafío al cliente.
El cliente combina su hash de contraseña NTLM con el desafío (y otros datos conocidos)
para generar una respuesta al desafío y la envía de regreso al servidor para su
verificación.
El servidor envía el desafío y la respuesta al controlador de dominio para su verificación.
El controlador de dominio utiliza el desafío para recalcular la respuesta y la compara con
la respuesta original enviada por el cliente. Si ambos coinciden, el cliente queda
autenticado; de lo contrario, se deniega el acceso. El resultado de la autenticación se
envía de vuelta al servidor.
El servidor envía el resultado de la autenticación al cliente.

Tenga en cuenta que la contraseña (o hash) del usuario nunca se transmite a través de
la red por motivos de seguridad.
Nota: El proceso descrito se aplica cuando se utiliza una cuenta de dominio. Si se utiliza una
cuenta local, el servidor puede verificar la respuesta al desafío sin necesidad de interacción con
el controlador de dominio, ya que tiene el hash de contraseña almacenado localmente en su
SAM.
Responda las siguientes preguntas
¿La versión actual de Windows utilizará NetNTLM como protocolo de autenticación preferido
de forma predeterminada? (sí/no)
NO
En cuanto a Kerberos, ¿qué tipo de ticket nos permite solicitar más tickets conocidos como TGS?
Ticket Granting Ticket (TGT)
Cuando se utiliza NetNTLM, ¿se transmite la contraseña de un usuario a través de la red en algún
momento? (sí/no)
No
Trees, Forests and Trusts
Hasta ahora, hemos discutido cómo administrar un único dominio, el rol de un Controlador de
Dominio y cómo une computadoras, servidores y usuarios.
Dominio único
A medida que las empresas crecen, también lo hacen sus redes. Tener un único dominio para
una empresa es suficiente para empezar, pero con el tiempo algunas necesidades adicionales
pueden llevarte a tener más de uno.
Árboles
Imagina, por ejemplo, que de repente tu empresa se expande a un nuevo país. El nuevo país
tiene diferentes leyes y regulaciones que requieren que usted actualice sus GPO para cumplirlas.
Además, ahora tienes personal de TI en ambos países, y cada equipo de TI necesita gestionar los
recursos que corresponden a cada país sin interferir con el otro equipo. Si bien se puede crear
una estructura OU compleja y utilizar delegaciones para lograrlo, tener una estructura AD
enorme puede ser difícil de administrar y propenso a errores humanos.
Afortunadamente para nosotros, Active Directory admite la integración de múltiples dominios
para que pueda dividir su red en unidades que se puedan administrar de forma independiente.
Si tiene dos dominios que comparten el mismo espacio de nombres (thm.local en nuestro
ejemplo), esos dominios se pueden unir en un árbol.
Si nuestro dominio thm.local se dividiera en dos subdominios para las sucursales del Reino Unido
y EE. UU., podría crear un árbol con un dominio raíz de thm.local y dos subdominios llamados
uk.thm.local y us.thm.local, cada uno con su AD. , ordenadores y usuarios:
Árbol
Esta estructura particionada nos brinda un mejor control sobre quién puede acceder a qué en
el dominio. El personal de TI del Reino Unido tendrá su propio DC que gestionará únicamente
los recursos del Reino Unido. Por ejemplo, un usuario del Reino Unido no podría gestionar
usuarios de EE. UU. De esa manera, los Administradores de Dominio de cada sucursal tendrán
control total sobre sus respectivos DC, pero no sobre los DC de otras sucursales. Las políticas
también se pueden configurar de forma independiente para cada dominio del árbol.
Es necesario introducir un nuevo grupo de seguridad cuando se habla de árboles y bosques. El
grupo de administradores empresariales otorgará a un usuario privilegios administrativos sobre
todos los dominios de una empresa. Cada dominio todavía tendría sus administradores de
dominio con privilegios de administrador sobre sus dominios individuales y los administradores
empresariales que pueden controlar todo en la empresa.
Bosques
Los dominios que administra también se pueden configurar en diferentes espacios de nombres.
Supongamos que su empresa continúa creciendo y finalmente adquiere otra empresa llamada
MHT Inc. Cuando ambas empresas se fusionen, probablemente tendrá diferentes árboles de
dominios para cada empresa, cada uno administrado por su propio departamento de TI. La
unión de varios árboles con diferentes espacios de nombres en una misma red se conoce como
bosque.
Bosque
Relaciones de confianza
Tener múltiples dominios organizados en árboles y bosques le permite tener una buena red
compartimentada en términos de gestión y recursos. Pero, en cierto momento, es posible que
un usuario de THM UK necesite acceder a un archivo compartido en uno de los servidores de
MHT ASIA. Para que esto suceda, los dominios dispuestos en árboles y bosques se unen
mediante relaciones de confianza.
En términos simples, tener una relación de confianza entre dominios le permite autorizar a un
usuario del dominio THM UK a acceder a recursos del dominio MHT EU.
La relación de confianza más simple que se puede establecer es una relación de confianza
unidireccional. En una confianza unidireccional, si el Dominio AAA confía en el Dominio BBB,
esto significa que un usuario en BBB puede estar autorizado a acceder a recursos en AAA:
Fideicomisos
La dirección de la relación de confianza unidireccional es contraria a la de la dirección de acceso.
También se pueden establecer relaciones de confianza bidireccionales para permitir que ambos
dominios autoricen mutuamente a los usuarios del otro. De forma predeterminada, unir varios
dominios bajo un árbol o bosque formará una relación de confianza bidireccional.
Es importante tener en cuenta que tener una relación de confianza entre dominios no otorga
automáticamente acceso a todos los recursos de otros dominios. Una vez que se establece una
relación de confianza, usted tiene la posibilidad de autorizar usuarios en diferentes dominios,
pero depende de usted qué está realmente autorizado o no.
Responda las siguientes preguntas
¿Cómo se llama un grupo de dominios de Windows que comparten el mismo espacio de
nombres?
Formato de respuesta: ****
¿Qué se debe configurar entre dos dominios para que un usuario del Dominio A acceda a un
recurso del Dominio B?
Formato de respuesta: * ***** ************
Conclusión de la tarea 9
Creado por tryhackme y munra
Esta es una sala gratuita, lo que significa que cualquiera puede implementar máquinas virtuales
en la sala (sin estar suscrito). Hay 74006 usuarios aquí y esta sala tiene 362 días.
Related documents
07-GPO
07-GPO
Download
advertisement