TIPOS DE AUDITORIAS DE SEGURIDAD
No se dispone de acceso lógico o físico a la infraestructura de red de la organización
Se dispone de acceso lógico (o VPN) o físico (infraestructura) a la red de la organización con los siguientes factores:
Lo más normal en una auditoria de Active Directory es estándar que estemos en la infraestructura interna de la organización y tengamos un usuario sin privilegios perteneciente al dominio.
El objetivo de vulnerar una infraestructura se basa en conseguir un usuario con privilegios de administrador del domino.
Para esto vamos a realizar un análisis de información para recopilar datos últiles sobre la estructura del dominio, grupos, usuarios, etc
Recopilación de información dentro de la máquina dentro de la red de dominio.
Lo más interesante es recopilar datos sobre los usuarios y grupos. Para ello se suele recurrir a una base de datos local que administra los usuarios a nivel local dentro de la maquina windows llamada SAM (security account manager).
Esta base de datos se comprueba por LSA (Local security autority) para autenticar el acceso de los usuarios al sistema local.
Las contraseñas de los usuarios se almacenan hasheadas en el registro de windows (HKLM/SAM) en la ruta %SystemRoot%/system32/config/SAM
La SAM puede enumerar de forma local y remotamente aunque a tener en cuenta a partir de windows 10 1607 y windows server 2016 es necesario que el usuario tenga privilegios de administrador para ello aunque en versiones anterior un USUARIO DE DOMINIO si podía enumerar la SAM.
Es la enumeración de la información de ese archivo o base de datos que se crea en el servidor creado como DC o domain controller, en la que se encuentran todos los datos y configuraciones del dominio, políticas, grupos, usuarios, relaciones, etc.
Para esto existen las interfaces que se comunican con este DataControler siendo la más importante para nosotros la LDAP (Lightweight Directory Access Portal) ya que es un protocolo de aplicación que permite interactuar con servicios de directorio para almacenar, leer o modificar información.
Lo interesante de este protocolo es que puede ser utilizado por cualquier usuario independientemente de sus privilegios, (obviamente si se es usuario basico no se podrán modificar los datos pero si consultarlos) y esto supone que con cualquier usuario de dominio podamos consultar la estructura interna del dominio y así ganar información sobre qué usuarios, grupos, unidades organizativas, etc son las más importantes o vulnerables a escalado de privilegio así como sus relaciones.
Como dato curioso es que este protocolo no puede ser desactivado y si así fuese sería un problema a la hora de crear usuarios o que los usuarios utilizasen servicios dentro del dominio ya que cualquier usuario debe conocer sus relaciones y su posición para poder acatar las políticas y restricciones asignadas a si mismo, grupos pertenecientes o aplicaciones a las que tenga acceso, por lo que es una buena herramienta desde el punto de vista de recaudación de información para una auditoría.