Sospechamos que nuestra infraestructura de Active Directory en la empresa se ha visto comprometida. Si esto es cierto, será un gran dolor de cabeza ya que tenemos unos miles de usuarios.
Si efectivamente resulta que hemos sido violados, ¿cómo implementamos un cambio de contraseña para los usuarios de la empresa?
Obviamente, esto va a ser difícil ya que el supuesto atacante podría intentar recuperar el acceso a la red a medida que empujamos el cambio de contraseñas a los usuarios.
El primer paso debe ser seguir el Plan de respuesta a incidentes de seguridad de la información de su organización. Si nunca lo has probado antes, es probable que falten algunas cosas, así que asegúrate de tomar notas sobre la marcha y actualizarlo después del incidente. El siguiente paso de su compañía debe ser traer una empresa de respuesta de seguridad externa para ayudar a resolver el problema.
Hasta que lleguen, debes comenzar por bloquear al atacante por completo. Aísle todo el bosque de servidores de Active Directory del resto de la red. Cree nuevas cuentas dedicadas para que los administradores de su dominio las utilicen estrictamente para fines de administración de dominios y luego elimine la autoridad de administrador de dominio de todos los usuarios de todos , incluido usted. Obtenga una copia de los registros de Active Directory, para que pueda averiguar a qué cuentas pudo haber accedido, cambiado o utilizado. Esas cuentas son obviamente su prioridad para cambiar la contraseña.
Ahora puede volver a conectar sus servidores AD a la red. Desde este punto en adelante, use solo esas cuentas especiales para tareas de administración de dominio; y nunca use esas cuentas especiales para iniciar sesión en cualquier máquina que no sea un servidor AD.
Nunca otorgue privilegios de administrador de dominio a ninguna cuenta que pueda usarse para iniciar sesión fuera de los servidores de AD. En su lugar, use las nuevas cuentas para administrar el dominio solo con inicio de sesión local. La razón de esto es que es probable que el atacante haya comprometido una estación de trabajo en la que uno de los administradores de su dominio había iniciado sesión. Luego, el atacante usó un ataque de paso por hash para iniciar sesión en sus servidores de AD, y ahí fue cuando terminó el juego para usted. Nunca desea que sus credenciales de administrador de dominio estén expuestas fuera del entorno del servidor de AD.
A continuación, cierre los puntos de entrada y salida de los atacantes. Apague o desconecte de la red cualquier máquina comprometida; Dependiendo de los datos en esas máquinas, es posible que tenga que conservarlos como evidencia. También deberá averiguar qué tomó, reunir pruebas, informar a las autoridades correspondientes, enviar notificaciones de incumplimiento si es necesario, etc., etc., etc.
Solo después de haber realizado esos primeros pasos de respuesta, es hora de pensar en que los usuarios cambien sus contraseñas.
Hay una forma fácil de hacer que el resto de su gente cambie sus contraseñas personales: envíe una notificación a todas las personas para informarles que les pedirá que las cambien, luego configure "El usuario debe cambiar la contraseña en el próximo inicio de sesión" Marca en todas las cuentas que permiten el inicio de sesión interactivo. Unos días después de haberlos notificado, debe bloquear las cuentas que aún tengan contraseñas sin cambios. Cualquier usuario afectado restante tendrá que llamar a su mesa de ayuda para desbloquear su cuenta antes de que puedan iniciar sesión.
También es probable que tenga muchas credenciales de no usuario en su organización. Estas son las cuentas de servicio para todos sus sistemas de back-end, y todas deben ser cambiadas también. Definitivamente, deberá encontrar a los propietarios técnicos de cada uno de esos sistemas y trabajar con ellos para realizar los cambios. Cambiar docenas de contraseñas de no usuarios es una cosa, pero cambiar miles de ellas es una tarea demasiado grande para una sola persona. Necesitarás organización. Querrá asignar personal de seguridad a cada uno de los que manejan una o más de las distintas divisiones y departamentos. Si no tiene suficiente personal de seguridad, tendrá que delegar a algunas de sus personas técnicas de confianza.
También deberá escanear todas las máquinas en su dominio; revise cada miembro de los grupos de administradores que encuentre; y descubra cualquier cuenta local (administradores o no). Las cuentas locales también deben cambiar sus contraseñas. Puede aplicar esto enviando una política de grupo a las máquinas unidas al dominio para exigir que las cuentas locales obliguen a cambiar la contraseña.
Pero no involucre a sus usuarios hasta que esté absolutamente seguro de haber protegido sus sistemas y sepa que el intruso no puede regresar. No solo estás perdiendo el tiempo si los haces hacerlo dos veces, sino que les estás pareciendo como si estuvieras luchando. Hay un gran golpe psicológico para las personas cuando han sido violados, y tendrá que proyectar una imagen de control situacional. "Uh, hey chicos, ¿pueden cambiar sus contraseñas de nuevo?" no es un generador de confianza entre las tropas.
Lea otras preguntas en las etiquetas passwords attacks active-directory