CARGANDO

Escribe para buscar

Seguridad en el dominio I. Bloqueando rutas

Seguridad en Active Directory

En el mundo profesional, encontrarse con un dominio en AD (Active Directory) de Microsoft es algo bastante normal. Es más, la gran mayoría de empresas implementan esta solución.

Lo que no se hace con tanta normalidad es aplicar seguridad directamente con el AD. Mas sabiendo que es una herramienta que tiene gestión sobre todo el parque tecnológico y ofrece herramientas para ello.

Evitar la ejecución de aplicaciones en determinadas rutas

Determinadas aplicaciones maliciosas necesitan de la escritura y ejecución en determinadas rutas de Windows. Algunas de estas rutas pueden ser:

  • C:\Windows\Temp\*
  • C:\Users\ADMINI~1\AppData\*\
  • C:\Temp\*
  • %USERPROFILE%\Local Settings\*
  • %USERPROFILE%\Application Data\*
  • %USERPROFILE%\Appdata\*

Es mucho el software legítimo que utiliza estas rutas para ejecutarse. El problema es que también hay software malicioso que utiliza estas mismas ubicaciones para ejecutarse.

Aplicando GPO

Como hablábamos, mediante el AD se puede aplicar una GPO para evitar la ejecución del software malicioso. Para ello, nos creamos una nueva GPO en el dominio y en su configuración vamos a,

User Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies > Additional Rules

Dentro de esta ruta creamos las diferentes rutas denegadas:

Aplicando GPO

Esta es una medida bastante buena y recomendable, pero también es muy agresiva. Es decir, mucho software legítimo utiliza estas rutas, sobre todo para su instalación. Aplicar esta política significa provocar incidencias y evitar, en algunas ocasiones, software bueno.

Cuando se producen estos casos tendremos que empezar a crear excepciones. En primer lugar, si identificamos un equipo con esta problemática tendremos que buscar en el visor de eventos por el evento con ID 866:

Esto nos confirmará el bloqueo y nos dará la ruta que tenemos que excluir. Es entonces cuando tendremos que añadir la ruta legítima en la GPO y marcarla como permitida:

Como se puede observar se pueden crear rutas con variables de entorno y wildcard, lo que nos da una mayor flexibilidad.

Conclusiones

Como veníamos comentando esta medida es bastante recomendable pero hay que tener en cuenta la afectación en los equipos. No es un medida transparente pudiendo generar bastantes incidencias.
close

Ah, hola 👋
Un placer conocerte.

Veo que te gusta la tecnología, ¿quieres que te mandemos una newsletter semanal?.

¡No enviamos spam!. yo también lo odio a muerte!.

Tags:

También podría gustarte

1 Comentario

  1. pcspain febrero 12, 2022

    Muy buen contenido y de utilidad. UN 10 COMO SIEMPRE!.

    Responder

Deja un Comentario

Your email address will not be published. Required fields are marked *