Cómo auditar permisos después de una migración de Windows

0
26

El ransomware a menudo aprovecha una contraseña de administrador descifrada para obtener acceso a través de una red, o establece permisos en una red para que los atacantes puedan obtener acceso. Por eso es importante administrar los permisos en Windows con cuidado.

Por ejemplo, podría estar en el proceso de migrar a una versión más nueva, o recientemente ha completado una migración desde Windows 7 o Server 2009R2. Como parte de ese proceso, es común cambiar los permisos predeterminados para copiar archivos, mover datos y migrar servidores. ¿Ha regresado para asegurarse de haber eliminado todos los excesos de permisos una vez completada la migración? Es posible que usted haya dejado alguna puerta abierta para un atacante.

Verifique la configuración de permisos antes de migrar
Get-Acl es el comando básico de PowerShell para obtener información sobre la seguridad de un recurso. En las redes heredadas, los permisos del Sistema de archivos NT (NTFS) a menudo se establecen bajo estándares más flexibles. A menos que los haya auditado, es posible no darse cuenta de cómo están configurados. Si está migrando desde un sistema operativo anterior, los permisos se establecieron para una era diferente y es posible que deban cambiar.

Antes de comenzar un proceso de migración, revise los permisos establecidos. Comience con un Comando Get-Acl PowerShell para ver cómo se configuran los permisos NTFS. Para revisar los permisos de todos los usuarios o grupos de usuarios en una red, realice una NTFS Directory Effective Permissions Audit.

Permisos al exportar máquinas virtuales
Al exportar máquinas virtuales (VM, por sus siglas en inglés), a menudo es necesario cambiar los permisos para migrar. Si no cambia los permisos, recibirá un mensaje de error «Error al copiar el archivo de ‘<ruta de origen del archivo VHD>’ a ‘<recurso compartido de red>’: Error de acceso general denegado (0x80070005)». Debido a que la cuenta del sistema del host Hyper-V ejecuta la exportación, el host Hyper-V no tiene permiso para compartir la red. Por lo tanto, se recomienda cambiar los permisos para permitir que los sistemas accedan entre sí.

Otra opción común para exportar recursos a través de una red es usar PsTools de Sysinternals. Siga estos pasos para asegurarse de no dejar permisos peligrosos:

  • Instale PsTools en el directorio de trabajo desde el que ejecutará los siguientes comandos.
  • Abra una ventana del símbolo del sistema con privilegios elevados y acepte la solicitud de Control de acceso de usuario (UAC).
  • Ejecute psexec.exe \\<localServerName>/s cmd.exe, que le proporciona otro símbolo del sistema que se ejecuta en el contexto del sistema, no en el contexto del usuario.
  • Ejecute el comando net use \\<remoteServerName>\<sharename> /user:<domain>\<userName> <password>. Este comando autentica la cuenta del sistema a través de la red en el recurso compartido al que necesita exportar la VM.
  • Regrese a la consola de administración de Microsoft Hyper-V (MMC) y se completará la exportación.
  • Una vez que haya terminado, use el comando net use \\<remoteServerName>\<sharename> /delete para eliminar las credenciales de la cuenta del sistema o reinicie la computadora para eliminar los permisos.
Centro de seguridad y cumplimiento de Office 365. Permisos al migrar a Office 365

Permisos al migrar a Office 365
Muchas organizaciones están trasladando archivos y recursos a Office 365. Una vez que migra a recursos en la nube, puede usar diferentes herramientas para revisar el uso compartido y los permisos. La auditoría NTFS ya no significa tanto como lo hizo con los archivos compartidos tradicionales.

Con Microsoft 365 puede revisar lo que se ha compartido con otros en OneDrive y SharePoint. Sharing auditing compartido en Office 365 le permite al administrador generar una lista de recursos compartidos. Para habilitar este informe, vaya al Centro de seguridad y cumplimiento de Microsoft e inicie sesión. En el panel izquierdo, haga clic en «Buscar” y luego haga clic en «Búsqueda de registro de auditoría”. En «Actividades”, seleccione «Compartir y solicitar actividades de acceso” para buscar eventos relacionados con el uso compartido.

Ahí puede realizar búsquedas que van desde crear enlaces de acceso hasta compartir el archivo, carpeta o sitio.

Búsqueda de registro de auditoría.

Revise el acceso a SharePoint buscando una consulta «ViewableByExternalUsers=True” y «ViewableByAnonymousUsers=true” en la barra de búsqueda de Office 365. Estos comandos le darán una descripción general de los archivos o carpetas que se han compartido fuera de su organización. Para una revisión más profunda del acceso, descargue Netwrix Auditor para Office 365 para que le proporcione un informe del acceso de Office 365. Proporcionan una versión comunitaria limitada que puede configurar para informarle sobre el acceso a sus bienes en la nube y alertarle de cambios.

Ya sea que esté migrando a servicios locales o en la nube, debe confirmar que los permisos se configuran de la manera prevista. El exceso de permisos accidentales puede conducir a eventos de seguridad como la exposición de 885 millones de registros de hipotecas en First American Financial Corporation. Una configuración incorrecta en su servidor web permitió a los usuarios acceder a registros a los que no deberían haber podido acceder. Si alguien hubiera auditado los permisos establecidos en el servidor web, es posible que se hubiesen salvado de los titulares. Tómese el tiempo para revisar los permisos y el acceso para asegurarse de que estén configurados de la manera que se pretende que estén.

Susan Bradley, CSOonline