Seguridad en el dominio I. Bloqueando rutas

En el mundo profesional, encontrarse con un dominio en AD (Active Directory) de Microsoft es algo bastante normal. Es más, la gran mayoría de empresas implementan esta solución.

Lo que no se hace con tanta normalidad es aplicar seguridad directamente con el AD. Mas sabiendo que es una herramienta que tiene gestión sobre todo el parque tecnológico y ofrece herramientas para ello.

Determinadas aplicaciones maliciosas necesitan de la escritura y ejecución en determinadas rutas de Windows. Algunas de estas rutas pueden ser:

• C:\Windows\Temp\*
• C:\Users\ADMINI~1\AppData\*\
• C:\Temp\*
• %USERPROFILE%\Local Settings\*
• %USERPROFILE%\Application Data\*
• %USERPROFILE%\Appdata\*

Es mucho el software legítimo que utiliza estas rutas para ejecutarse. El problema es que también hay software malicioso que utiliza estas mismas ubicaciones para ejecutarse.

Como hablábamos, mediante el AD se puede aplicar una GPO para evitar la ejecución del software malicioso. Para ello, nos creamos una nueva GPO en el dominio y en su configuración vamos a,

User Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies > Additional Rules

Dentro de esta ruta creamos las diferentes rutas denegadas:

Esta es una medida bastante buena y recomendable, pero también es muy agresiva. Es decir, mucho software legítimo utiliza estas rutas, sobre todo para su instalación. Aplicar esta política significa provocar incidencias y evitar, en algunas ocasiones, software bueno.

Cuando se producen estos casos tendremos que empezar a crear excepciones. En primer lugar, si identificamos un equipo con esta problemática tendremos que buscar en el visor de eventos por el evento con ID 866:

Esto nos confirmará el bloqueo y nos dará la ruta que tenemos que excluir. Es entonces cuando tendremos que añadir la ruta legítima en la GPO y marcarla como permitida:

Como se puede observar se pueden crear rutas con variables de entorno y wildcard, lo que nos da una mayor flexibilidad.

Como veníamos comentando esta medida es bastante recomendable pero hay que tener en cuenta la afectación en los equipos. No es un medida transparente pudiendo generar bastantes incidencias.