a aplicación de controles de seguridad perimetrales en cada capa de una

infraestructura y medidas de hardening en los sistemas permite limitar el

movimiento lateral de un intruso en la red, incluso cuando este se ha
producido mediante la explotación de una vulnerabilidad 0day.

Controlar completamente la seguridad de la red es una tarea tediosa que

requiere un número significativo de recursos y modificar la forma en la
que los administradores y operadores de red interactúan con los
sistemas. La definición de qué medidas de seguridad debe ser
complementada con el análisis, de forma continuada, del correcto
funcionamiento de los elementos de seguridad y de las capacidades de
detección.

A grandes rasgos este artículo identifica algunas estrategias de

protección frente a intrusiones y de prevención de desplazamiento lateral
en entornos windows. Se debe asumir que la erradicación completa de la
elevación de privilegios en red no es posible y por tanto es necesario
centrarse en medidas de protección y de monitorización:

Segregación de funciones de usuarios y del personal de IT.

Acciones que deben llevar a cabo los administradores de sistemas para

proteger los sistemas informáticos de la compañía y evitar la elevación
de privilegios entre roles y sistemas:

 Separación de roles 1: La cuenta de usuario para actividades cotidianas

será distinta que las de labores de administración (Ej: DOMAIN\atarasco
y DOMAIN\adm.atarasco). La cuenta de administrador no tendrá buzón
de correo, permisos de navegación.
 Separación de roles 2: Las labores de administración estarán
compartimentalizadas, de tal forma un único administrador no debe tener
acceso a la plataforma, el almacenamiento y backups al mismo
tiempo. También se pueden usar estrategias de aislamiento en base a
distribución geográfica.
 Separación de entornos: Las cuentas de administradores no deberán
loguearse en los mismos escritorios donde se utiliza la navegación y el
correo. Por tanto deberán utilizarse «máquinas de salto» dedicadas y
aisladas para las labores de administración.
 Aislamiento vlan de administración: Los equipos de escritorio no
deben tener conectividad directa con los servidores y dmz. Sólo deben
alcanzar a las «máquinas de salto» situadas en la vlan de administración
serán estas las que puedan conectar a los servidores. Deberán crearse
 las máquinas de salto necesarias para compartimentalizar la
administración en distintos segmentos.
 Principio del mínimo privilegio para cuentas de servicio: Las cuentas
de servicio deberán poder iniciar sesión únicamente en el parque de
servidores destinado a ese servicio. Se establecerán las medidas de
monitorización que alerten cuando estas son usadas desde / hacia otras
ubicaciones o cuando el tipo de inicio de sesión no coincide con el
esperado.
 Utilización de herramientas de monitorización hostids, seguridad
endpoints y elementos de red para la detección de patrones de escalada
de privilegios y explotación hacia otros sistemas.

El uso de máquinas virtuales para llevar a cabo las tareas no

privilegiadas, como la navegación, es una buena práctica de seguridad.

Bloqueos y controles de seguridad a nivel de red

Acciones a nivel de red con las que bloquear tráfico malicioso.

 Segmentación: Segmentar la red en vlanes y aplicar reglas de filtrado a

nivel de red y de puestos de trabajo y servidores, limitando por ejemplo
las conexiones RDP y SMB.
 Servicios de reputación IP: Bloquear trafico de navegación a TOR o a
sistemas no clasificados. Se puede hace uso de servicios gratutitos
como https://check.torproject.org/cgi-
bin/TorBulkExitList.py o https://www.dan.me.uk/torlist/, así como de feeds
comerciales que identifiquen VPNS o IPs de dudosa reputación.
 Bloqueo de tráfico a internet: Los sistemas internos (tanto servidores
como puestos de trabajo) no deberían tener acceso directo a internet. El
tráfico DNS, HTTP y HTTPs debe estar restringido al proxy de
navegación, que incluya ACLs restrictivas.
 Estudio de de rutas de compromiso: Realización de una auditoría de
seguridad periódica o de ejercicios de red team para descubrir rutas de
compromiso y mejorar los procedimientos de respuesta ante incidentes.
 Monitorizar accesos remotos: Monitorizar y controlar las conexiones
VPN, Citrix, RDP o VDI entrantes. Es recomendable agregar doble factor
de autenticación a todos los grupos autorizados para establecer
conexiones remotas y notificar al usuario de la conexión.

Medidas de seguridad a nivel de sistemas:

 Acciones que se pueden llevar a cabo para lograr la protección del
puesto de trabajo.

 Firewall del sistema operativo: Bloqueo de tráfico y comunicaciones a

servicios de SMB , tanto a nivel de firewall como de aislamiento de
estaciones de trabajo dentro de su mismo segmento de red.

 Actualizaciones de seguridad: Controlar de forma centralizada las

actualizaciones de seguridad de estaciones de trabajo y servidores
haciendo uso de soluciones de control de actualizaciones como WSUS.
 Contraseñas: La gestión de contraseñas es otro de esos aspectos que
puede suponer un artículo en mismo. A grandes rasgos, no permitir la
compartición de contraseñas de administrador local ni de usuarios
administrativos entre grupos de servidores y de estaciones de trabajo.
Además, las directivas de contraseñas deben evitar patrones predecibles
(meses, años, nombre de la empresa). Esto se puede complementar con
el reseteo periódico de tickets de kerberos para prevenir ataques de
persistencia.
 Bloqueos de ejecución: Bloqueo de herramientas de volcado de
contraseñas de memoria(como la protección LSA Protection frente a
mimikatz, que se activa con el valor
RunAsPPL”=dword:00000001mimikatz en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa )
mediante políticas de dominio (GPO) y con bloqueo de ejecución de
software (applocker).
 Hardening: La creación y mantenimiento de guías de bastionado para
garantizar cifrado de comunicaciones, protecciones frente a ataques de
main in the middle es fundamental.

En el caso puntual de un servidor de ficheros, se pueden prevenir las

acciones maliciosas llevas a cabo por un ramsomware o por un
atacante y definir una estrategia de prevención en servidores de ficheros
con la implantación de FSRM. FSRM es un ROL de los servidores de
ficheros de microsoft que permite definir acciones y ejecutar scripts frente
la escritura de ciertos tipos de ficheros. algunas referencias:

– https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-
Server-f3722fce

– https://fsrm.experiant.ca/
– https://community.spiceworks.com/how_to/128744-prevent-
ransomware-byusing-fsrm

– https://blog.netwrix.com/2016/04/11/ransomware-protection-using-fsrm-
andpowershell/