Uno de los principales ataques a redes Windows es intentar vulnerar un Active Directory robándole sus usuarios y contraseñas, para esta tarea tenemos una herramienta como Mimikatz, esta herramienta permite extraer contraseñas almacenadas en el proceso LSSAS.EXE (Local Security Subsystem Service), actualmente esta herramienta es reconocida por AMSI, el sistema anti malware de Microsoft, pero si se usa acompañada de algún fallo de seguridad reciente, puede hacer mucho daño en una red Windows.
Como protegerse de Mimikatz
Deshabilitar el modo Depuración:
Para deshabilitar el modo depuración hay que ir a Política de Grupo (local o de dominio) y Configuración del Equipo -> Configuración de Windows -> Configuración de seguridad -> Políticas Locales -> Asignación de Derechos de Usuario y habilite la Política del Programa de Depuración
Si un atacante intenta usar el modo depuración a través de Mimikatz, este le devolverá un error.
Deshabilitar WDigest:
WDigest se empezó a usar con Windows XP, permite la autenticación HTTP Digest, esta requiere el uso de la contraseña en texto plano, a partir de Windows server 2012 y Windows 8.1 LSASS ya no almacena ninguna contraseña sin cifrar. Para evitar que WDigest se almacene en memoria hay que poner a “0” el valor de la clave de registro HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\SecurityProviders\WDigest
Proteger con LSA módulos de terceros:
LSA es un protección que hay a partir de Windows 8.1 y Windows Server 2012 que se encarga de que no se pueda acceder a LSASS con módulos de terceros.
Para activar esta protección hay que crear la clave RunAsPPL con valor 1 en HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA, dentro del regsitro de Windows.
Deshabilitar NTLMv1:
Para desactivar NTLMv1 hay que ir a Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad – Seguridad de red: Restringir NTLM
No usar cifrado reversible:
Para deshabilitar el uso de cifrado reversible hay que ir a Configuración del Equipo -> Configuración de Windows -> Configuración de Seguridad -> Políticas de cuenta -> Política de Contraseña y establezca su valor en Deshabilitado.
Usar el grupo de usuarios protegidos:
A partir de Windows server 2012 R2 se permite el uso de un grupo especial para aumentar la seguridad de los usuarios con altos privilegios, los usuario que pertenecen a este grupo pueden autenticarse de distintas formas.
No usar contraseñas almacenadas:
Para evitar que los usuarios almacenen sus contraseñas en recursos compartidos de red hay que ir a Configuración del Equipo -> Configuración de Windows -> Configuración de Seguridad -> Políticas locales -> Opciones de Seguridad para evitar el almacenamiento de contraseñas.
Deshabilitar el almacenamiento en cache de contraseñas:
Una de las formas en las que Mimikatz obtiene hashes de los usuarios del sistema, es ir a recuperar los que se almacenan en HKEY_LOCAL_MACHINE\SECURITY \Cache, estos hashes se usan para autenticar a los usuarios del dominio en caso de que el controlador de domino no este disponible.
Para deshabilitar el almacenamiento en cache hay que ir a Configuración del Equipo -> Configuración de Windows -> Política Local -> Opciones de seguridad, donde deberemos cambiar el valor de este parámetro a 0.
Estas son algunas buenas practicas para proteger un entorno de red Windows, pero no solo con esto estas 100% seguro, hay que tener sistemas actualizados, configuraciones de permisos y un largo etc…