En muchas oportunidades dentro de nuestros roles como personal de áreas de IT nos vemos con situaciones se seguridad como son los intentos no autorizados de inicio de sesión en nuestro dominio para acceder al mismo y realizar tareas que no están permitidas o autorizadas y que pueden afectar gravemente el rendimiento del sistema y de todos los objetos que forman parte de la organización.
Sabemos que los intrusos o aquellas personas que quieren acceder al sistema de manera no autorizada intentan ingresar ya sea externamente o desde la misma organización tratando de suplantar la identidad de alguno de los usuarios activos de la organización razón por la cual en esta oportunidad vamos a analizar cómo podemos supervisar quien ha intentado resetear la contraseña de algún usuario (obviamente debemos validar con el usuario si no fue él) y de esta manera tomar medidas de seguridad o las que sean pertinentes según la gravedad de la situación.
Para este análisis vamos a usar un entorno Windows Server 2016.
1. Abriendo editor de directivas de grupo GPO
El primer paso que realizaremos es abrir el Administrador de directivas de grupo usando cualquiera de las siguientes opciones:
- Ingresando en la ruta:
inicio / Todas las aplicaciones / Herramientas administrativas / Administración de directivas de grupo
- Usando el comando Ejecutar (Combinación de teclas + R) e ingresando el término:
gpmc.msc
Desde allí vamos a editar la política relacionada con los intentos e inicio de sesión.
2. Editando la política de grupo
Para proceder con la edición de la política de grupo vamos a desplegar nuestro dominio, en este caso solvetic.com, y daremos clic derecho sobre Default Domain Policy y allí seleccionaremos la opción Editar.
En la ventana desplegada iremos a la siguiente ruta:
- Configuración del equipo
- Directivas
- Configuración de Windows
- Configuración de seguridad
- Directivas locales
Damos doble clic sobre Directiva de auditoría y ubicaremos la política llamada “Auditar la administración de cuentas”. Veremos que el valor por defecto es “No está definido”. Pulsamos doble clic sobre ella o damos clic derecho y seleccionamos Propiedades y veremos que se despliega la siguiente ventana:
3. Habilitación de la política de auditoría
Para habilitar esta política basta con marcar la casilla “definir esta configuración de directiva” y marcar las casillas que consideremos necesarias (Correcto / Error).
Una vez definidos estos valores pulsamos Aplicar y posteriormente Aceptar para que los cambios sean guardados. Podemos ver que se ha modificado nuestra política de manera satisfactoria.
4. Comprobando los intentos de cambio de contraseña
Podemos forzar las políticas en el dominio abriendo CMD e ingresando el comando:
gpupdate /forcePara que las políticas sean actualizadas.
Para realizar la comprobación de que usuario ha intentado realizar alguna modificación de contraseña vamos a abrir el visor de eventos usando cualquiera de las siguientes opciones:
- Desde el comando Ejecutar ingresando el término:
eventvwr
Y pulsando Enter o Aceptar.
- Desde el menú Herramientas en el administrador del servidor y seleccionando la opción Visor de eventos.
Veremos que se abre la siguiente ventana:
Vamos a seleccionar, del costado izquierdo, la opción Registros de Windows / Seguridad. Una vez seleccionemos Seguridad del costado derecho elegimos la opción Filtrar registro actual y en el campo Todos los IDs de evento ingresaremos el ID 4724 el cual es un ID de seguridad relacionado con los intentos de cambios de contraseña.
Pulsamos Aceptar para ver todos los eventos asociados. El resultado obtenido será el siguiente:
Podemos ver la fecha y hora exacta del evento donde se indica que fue un intento de restablecimiento de contraseña. Podemos pulsar doble clic sobre el evento para ver más detalles acerca del mismo.
Notamos que está la cuenta que intentó realizar el cambio, en este caso SolvAdm y la cuenta a la que se intentó efectuar el cambio, en este ejemplo solvetic2.
De esta manera podemos auditar todos los intentos de cambio en las contraseñas de los usuarios, tanto correctos como erróneos y de esta manera visualizar detalladamente quién y cuándo hizo o intentó realizar el cambio y así tomar las medidas necesarias.
Si quieres entrar en la rama de auditorias de análisis forense, os dejamos enlace sobre herramienta práctica muy usada para ello.