Como opción predeterminada, Windows registra el éxito de los sucesos de inicio de sesión de cuentas y de inicio de sesión.
¡Revise los registros de sucesos! Recuerde que el solo hecho de auditar los sucesos de inicio de sesión no es una defensa suficiente contra las intrusiones: los registros deben revisarse de mane- ra periódica, si las entradas generadas por esa configuración habrán de tener algún significado. En un entorno grande, la revisión de los registros de manera mensual puede ser una tarea titá- nica. Busque herramientas automatizadas de vigilancia e informe de registros para que realice esta tarea. Recomendamos estos productos:
• Event Log Monitor (ELM) de TNT Software ELM consolida los registros de sucesos en un depósito central en tiempo real, para proporcionar correlación de todos los sucesos en un origen de datos. Debe instalarse un agente en cada equipo que habrá de monitorearse.
• EventAdmin de Aelita Software, ahora Quest Software EventAdmin realiza muchas de las mismas funciones que ELM, sin necesidad de que haya un agente en cada equipo.
(En la sección “Referencias y lecturas adicionales”, al final de este capítulo, se encuentran víncu- los a los sitios Web de cada una de estas empresas).
También puede obtener mayor conocimiento y, por tanto, controlar sus redes al usar siste- mas de administración de sucesos de seguridad e información (SEM o SIEM), que proporcionan información de diferentes orígenes de registro, como sistemas operativos, enrutadores, fire- walls, sistemas de detección de intrusiones y sistemas de protección ante intrusiones. Para cons- truir buenas defensas, debe saber primero lo que necesita proteger.
Deshabilite la verdadera cuenta Administrador y cree un señuelo La cuenta Administrador resulta es- pecialmente problemática cuando se trata de ataques de adivinación de contraseñas. En primer lugar, tiene un nombre estándar que se conoce ampliamente (los intrusos suelen asegurarse de que por lo menos tienen el nombre de cuenta correcto cuando atacan esta cuenta). El cam- bio de nombre ofrece cierta protección, pero no es a prueba de tontos (ya hemos mostrado en el capítulo 4 cómo las técnicas creativas de enumeración pueden determinar el verdadero nombre del Administrador). En segundo lugar, como opción predeterminada, la cuenta Administrador no está sujeta a los parámetros de bloqueo de cuentas en Windows Server 2003 y versiones an- teriores, sin importar cómo se hayan configurado estos parámetros. Esto significa que puede hacerse un número ilimitado de adivinaciones de contraseñas contra la cuenta Administrador sin bloqueo, si la cuenta está mal configurada.
Aun se debate cuánto valor tiene el cambio de nombre de la cuenta Administrador desde la perspectiva de la seguridad, porque al verdadero Administrador siempre puede identificársele por su SID, si es posible la enumeración, sin importar su nombre (consulte el capítulo 4). Sin em- bargo, recomendamos que la cuenta integrada Administrador sólo se use cuando sea explícita- mente necesario, como en el caso de la realización de tareas administrativas locales cuando el dominio no está disponible. Si es posible deshabilitar o cambiar el nombre de la cuenta (que es la opción predeterminada en las modernas versiones de Windows, incluidas XP y posteriores), lo recomendamos. Todo lo que hace a un lado de los atacantes la información conocida es bueno.
Recomendamos que se configure una cuenta “señuelo” de Administrador exactamente como la verdadera cuenta Administrador. Esto identificará rápidamente a los ataques torpes de adivi- nación de contraseñas en los registros. No haga que el Administrador falso sea parte de ningún
grupo, y asegúrese de llenar el campo Descripción de la cuenta con el valor apropiado (Cuenta
integrada para la administración del equipo o dominio). En cuanto a la deshabilitación de la verdade-
ra cuenta Administrador, las versiones de Windows, a partir de XP, permiten el cambio de nom- bre y la deshabilitación de esta cuenta utilizando la Directiva de seguridad (secpol.msc).
Cuando se trata del bloqueo de cuentas, el Administrador integrado siempre ha sido un blanco jugoso porque no está sujeto a la directiva de bloqueo de cuentas como opción predeter- minada. (Por ejemplo, el Administrador no se bloqueará sin importar cuantas suposiciones falli- das de contraseña se hagan). El kit de recursos de NT 4 incluía una utilería llamada passprop que podía usarse para configurar el bloqueo de cuentas para la cuenta Administrador (RID 500). Passprop cambia el comportamiento predeterminado para que la cuenta Administrador pueda bloquearse como cualquiera otra después de un número prescrito de malas suposiciones. (La verdadera cuenta Admin siempre tendrá la opción de iniciar una sesión interactivamente). La herramienta passprop dejó de trabajar con Windows 2000 hasta el Service Pack 2 (aunque parecía funcionar). Versiones posteriores de Windows pueden lograr lo mismo con parámetros disponibles como parte de la directiva de seguridad local, que pueden imponerse utilizando Di- rectiva de grupo en escenarios de dominio. En una instalación independiente de Vista, la cuenta Administrador integrada está deshabilitada y, como en Windows XP, requiere una modificación del Registro para que la cuenta sea seleccionable en la pantalla de inicio de sesión.
La ejecución de passprop para establecer el bloqueo de Administrador es fácil:
C:\>passprop /adminlockout
Password must be complex
The Administrator account may be locked out except for interactive logons on a domain controller.
Para estar completamente seguro, elimine en forma manual el privilegio Acceder a este equi- po desde la red, de la cuenta Administrador. Esto asegura que la verdadera cuenta Admin no tendrá acceso de manera remota al sistema. Si se ha cambiado el nombre de Admin, será doble- mente difícil para los atacantes descubrirlo.
Obtenga la herramienta de passprop para Windows 2000 paquete de recursos; ésta no se incluye en el paqute profesional.
Deshabilite las cuentas inactivas Hemos encontrado que las organizaciones en que resulta más difícil entrar son las que usan bloqueo de cuentas, además de expiración de cuentas. Los contra- tistas, asesores u otros trabajadores temporales que sólo están contratados por un periodo corto deben recibir cuentas que están configuradas para expirar después de un lapso. También debe hacer lo mismo con las cuentas usadas para actividades temporales como migraciones. Esto ase- gura al administrador del sistema que la cuenta se deshabilitará cuando el trabajo temporal esté completo y la cuenta ya no sea necesaria, en oposición a cuando el departamento de recursos humanos le indica a alguien que deshabilite o elimine la cuenta después de unos meses (o años, dependiendo de la eficiencia del departamento de RH). Si el contrato de trabajo temporal se ex- tiende, la cuenta puede volver a habilitarse, otra vez por un periodo definido. Es mucho más difícil irrumpir, mediante adivinación de contraseñas de cuentas de usuario, en organizaciones que implementan esta directiva, porque son menos las cuentas que se toman como blanco en cualquier momento. Más aún, las cuentas que se retiran son las que tienen las peores contrase- ñas: ¡las cuentas temporales!