1 .- Deshabilitar les macros
És recomanable desactivar les macros de tots els documents de l'Office. Tal com s'indica a la documentació de Microsoft és possible fer-ho via GPO o per canvis en claus de registre.
Pels usuaris que hagin de fer ús de les macros es pot plantejar l'opció de fer ús de les “Localitzacions Confiables” d'Office. Aquests són espais dins del sistema (carpetes locals o de xarxa) on es poden emmagatzemar fitxers, els quals no es desitja que siguin analitzats pel centre de confiança ni obrir-lo per un visor protector (aquest permet obrir els fitxers de llocs que són potencialment insegurs en mode de només lectura, de manera que queda desactivada la funció d'editar reduint així el risc. Si sabem que el fitxer prové d'una font fiable i sabem que no conté cap fitxer maliciós, és preferible enviar el fitxer directament a una localització confiable en lloc de canviar la configuració del centre de confiança a una de menys segura. L'Office no aplica cap check de seguretat en una localització confiable i per tant s'ha de monitoritzar tot el que caigui en aquesta ubicació.
2 .- Reduir els administradors de domini
Atès que un dels objectius dels atacants és aconseguir les credencials d'un administrador de domini, una bona pràctica consisteix en la minimització del seu nombre.
Es recomana fer una anàlisi dels comptes d'administrador de domini existents a l'organització per verificar si realment necessiten aquests permisos o si poden funcionar amb un subconjunt de permisos acotat (per exemple, els tècnics del CAU no necessiten ser administradors de domini per crear usuaris o canviar contrasenyes).
3 .- Eliminar privilegis d’administrador
Establir una política que impedeixi que els usuaris dels equips siguin administradors, ja que aquesta mesura obliga els atacants a escalar privilegis si volen executar bona part de les eines (que necessiten aquests permisos).
En el cas que hi hagi determinats usuaris “especials” que necessitin privilegis d'administrador local es recomana fer ús de la solució “MakeMeAdmin” https://makemeadmin.com/ (eina desenvolupada sota llicència GNU General Public License per a Windows), que a través d'un servei que s'executa com a SYSTEM fa admin local durant n minuts a l'usuari. L’objectiu és minimitzar la superfície d’atac (temps de l’usuari amb privilegis d’admin).
És configurable per clau de registre i funciona de la manera següent:
1. Afegeix a l'usuari actual que executa el programa al grup d'administradors del sistema utilitzant l'ordre net
localgroup.
2. Executa mitjançant “Executar com a administrador” una nova finestra de terminal amb la diferència que ara
l'usuari pertany al grup d'administradors pel que disposa dels privilegis esmentats.
3. Elimina el compte del grup d'admins i envia una notificació a l'usuari que ja no disposa dels privilegis esmentats
4 .- Auditoria Directori Actiu
Els atacants solen tenir el Directori Actiu com un objectiu principal, emprant per a això diverses eines open source. Es proposa l'execució d'aquestes eines i l'estudi dels resultats, esmenant les possibles vulnerabilitats trobades i negant així la seva utilitat als atacants.
Algunes de les eines més utilitzades són:
●ACLight (https://github.com/cyberark/ACLight ): Eina que cerca privilegis excessius en comptes d'usuari del domini (que poden ser abusats per aconseguir privilegis addicionals).
●PingCastle (https://www.pingcastle.com/ ): Eina d'auditoria multipropòsit que és capaç de detectar un gran nombre de configuracions errònies de seguretat del Directori Actiu.
●BloodHound (https://github.com/BloodHoundAD/BloodHound ): Eina capaç de localitzar en un parc d'equips el camí més ràpid fins a trobar un usuari privilegiat (principalment administradors de domini)
5 .- Auditoria Powershell
PowerShell és una potent eina de línia de comandes i un llenguatge de scripting que ve instal·lada per defecte en un gran nombre d'entorns Windows. Actualment PowerShell és una eina molt utilitzada per a l'execució de codi maliciós en entorns amb el sistema de Microsoft el que suposa un gran inconvenient pel fet que, per defecte, genera poques pistes de la seva execució el que dificulta per una banda identificar que un sistema està sent atacat i de l'altra l'anàlisi a posteriori dels atacs realitzats amb aquesta eina.
De fet, a les primeres versions de PowerShell només quedava registrada l'execució d'una shell, però no quedava constància de les accions registrades. Microsoft ha anat millorant aquesta qüestió a les diferents versions, sobretot a partir de la versió 5.0 i ara compta amb eines potents per a la creació de logs.
Es recomanable habilitar l'auditoria de Powershell segons el que indica la referència següent:
https://www.mandiant.com/resources/greater-visibilityt
6 .- Eliminació protocols antics
Els protocols antics (LM, SMB1, NTLMv1 i possiblement NTLMv2) són suportats per Microsoft únicament per compatibilitat amb sistemes legacy, però ofereixen als atacants un ventall ampli de possibilitats a l'hora d'atacar els sistemes de l'Organització.
LM i SMB1 haurien de poder ser deshabilitats en pràcticament tots els escenaris. En el cas de NTLMv1 / NTLMv2 hi ha la possibilitat que hi hagi dispositius connectats a xarxa que, per la seva antiguitat, no suportin Kerberos (com ara impressores multifunció corporatives, equipament industrial o altres elements).
7 .- Protecció del correu amb SPF i DKIM
És altament recomanable implementar mesures bàsiques per evitar l'spoofing de correu com ara fent ús de SPF (Sender Privacy Framework) i DKIM (Domain Keys Identified Email).
Mitjançant l’ús de registres SPF (Sender Privacy Framework) els dominis poden declarar des de quines adreces IP envien correus. És a dir, l'objectiu d'un registre SPF és deixar clar a tothom qui ho consulti des de quins servidors un domini envia correus, i des de quins no.
DomainKeys Identified Mail (DKIM) és un mecanisme d'autenticació de correu electrònic que permet a una organització responsabilitzar-se de l'enviament d'un missatge, de manera que aquest pugui ser validat per un destinatari. DKIM utilitza criptografia de clau pública per permetre a l'origen signar electrònicament correus electrònics legítims de manera que puguin ser verificats pels destinataris.
A l'Office 365 és possible configurar de manera senzilla tant SPF com DKIM.
Per activar l’SPF, al nostre gestor de dominis, a la secció de zona DNS avançada s'ha de crear un nou registre de tipus TXT, amb el nom nostredomini.extension. i contingut «v=spf1 ip4:IPnostreservidor include:Domini/DominisaAutenticar ?all» quedaria per exemple: hospital.com TXT v=spf1 ip4:MiIP include:example.mail.net ?all
Això indica que qualsevol correu enviat des d'un compte @hospital. com serà només d'Hospital, sempre que vingui de la IP del servidor (de correu) o del domini que està a l'include, que és el que realitza els enviaments.
El “?all” el que evita és que la resta de dominis i IPs no definides siguin considerades no verificades.
Per a activar DKIM es faria de forma similar, també es crea un registre al DNS de forma similar a:
k1._domainkey.hospital.com. CNAME dkim.example.net
Llámanos, envíanos un email o rellena el formulario. ¡ Te responderemos lo más pronto posible !
Ofrecemos servicios y soluciones estratégicas. Con más de 25 años de actividad y la experiencia necesaria para ayudar a nuestros clientes a innovar y redefinir su estrategia digital.
Creemos en las relaciones a largo plazo por lo que nuestros valores se basan en el compromiso profesional, la transparencia y la claridad de las comunicaciones, el trato directo y el trabajo bien hecho.
Nuestra mayor satisfacción es la confianza de nuestros clientes.