Mejores prácticas para asegurar implementaciones de ID de usuario

Resumen

ID de usuario de servicios permite asignación de direcciones IP a usuarios y cuando activa proporciona a los administradores de red control granular sobre lo que varios usuarios se les permite hacer filtrado por un Firewall de próxima generación de redes de Palo Alto.  Como con la habilitación de los servicios de red, siguiendo las mejores prácticas y pautas de configuración despliegue de ID de usuario puede ayudar a reducir y eliminar la exposición al riesgo.  Este artículo pretende ayudar a la red y los administradores de seguridad Evite una mala configuración y con seguridad servicios de ID de usuario en entornos de red.

Detalles

Sólo permiten usuario ID en las zonas de confianza

Sólo para activar ID de usuario en las zonas de interiores y de confianza, no existe exposición de estos servicios a Internet, que ayuda a mantener este servicio protegido contra cualquier ataque potencial.  Si ID de usuario y de sondeo de WMI están habilitados en una zona de confianza externa (como Internet), se podrían enviar sondas fuera de la red protegida, resultando en una divulgación de la información del nombre de la cuenta de servicio de agente de ID de usuario, nombre de dominio y hash de la contraseña cifrada.  Esta información tiene el potencial para ser agrietado y explotado por un atacante para obtener acceso no autorizado a recursos protegidos.  Por esta importante razón, ID de usuario no debe habilitarse en una zona de confianza.

.

Especificar redes incluidas y excluidas cuando se configura el ID de usuario

El incluir y excluir las listas disponibles en el agente de identificación del usuario, así como agentes ID de usuario en bandeja de firewalls pueden utilizarse para limitar el alcance de la identificación de usuario.  Por lo general, los administradores sólo se refiere a la porción de espacio de direcciones IP utilizado en su organización.  Especificando explícitamente redes para ser incluidos con o excluidos de ID de usuario, podemos ayudar a asegurar que son sondeados activos sólo confianza y propiedad de la compañía, y que no asignaciones no deseadas se crea inesperadamente.

.

Deshabilitar el sondeo de WMI en redes de alta seguridad

WMI, o instrumental de administración de Windows, es un mecanismo que puede utilizarse para sonda activamente gestionado sistemas de Windows para obtener las asignaciones de IP-usuario.  Porque confía en los datos de sondeo de WMI informó desde el extremo, no es un método recomendado para obtener la información de ID de usuario en una red de alta seguridad.  También generalmente no es necesario.  En ambientes que contienen asignaciones de IP usuario relativamente estáticas, como las que se encuentran en común entornos de oficina con estaciones de trabajo fijas, no es necesario activa de sondeo de WMI.  Clientes móviles roaming y otros pueden identificarse fácilmente incluso cuando se mueve entre direcciones mediante la integración de ID de usuario usando la API de XML o Syslog y puede capturar las asignaciones de IP-usuario de plataformas que no sean de Windows, así.  En redes de sensibles y de alta seguridad, WMI sonda aumenta la superficie de ataque general y los administradores se recomiendan deshabilitar el sondeo de WMI y en su lugar se basan en las asignaciones de identificador de usuario obtenidas de fuentes más aisladas y de confianza, tales como controladores de dominio. Si está utilizando al agente de usuario para analizar registros de sucesos de seguridad de AD mensajes de syslog y la API XML para obtener las asignaciones de identificador de usuario, luego sondeo WMI debe deshabilitarse.  Portal cautivo puede utilizarse como un mecanismo de respaldo para volver a autenticar a los usuarios donde los datos de registro de sucesos de seguridad pueden ser obsoletos.

Si se utiliza el sondeo de WMI, debe no se permitió en interfaces externas que, como esto causaría WMI sondas para enviarse fuera de la red que contienen información sensible como el nombre de usuario, nombre de dominio y hash de la contraseña de la cuenta de servicio configurada para el uso por el agente de usuario.  Potencialmente, esta información podría ser aprovechada por un atacante que luego podría penetrar la red para obtener más acceso.

.

Utilizar una cuenta de servicio para los servicios de identificador de usuario con los permisos mínimos necesarios

Implementaciones de ID de usuario se pueden endurecer por incluyendo solamente el conjunto mínimo de permisos necesarios para el servicio funcione correctamente.  Esto incluye usuarios de DCOM, lectores del registro de eventos y operadores de servidores.  Si la cuenta de servicio de ID de usuario debían estar comprometida por un atacante, tener administrativo y otros privilegios innecesarios expondría la empresa al riesgo de destrucción o robo de datos sensibles.  Los derechos de administrador de dominio y administración de empresa no son necesarios para leer registros de eventos de seguridad y, por consiguiente, no deben concederse.

.

Denegar inicio de sesión interactivo para la cuenta de servicio de identificación de usuario

Mientras que la cuenta de servicio de ID de usuario requieren determinados permisos para leer y analizar los registros de sucesos de seguridad de Active Directory, no requiere la capacidad de acceder a servidores o sistemas de dominio interactivamente.  Este privilegio se puede restringir utilizando políticas de grupo, o mediante una cuenta de servicio administrada con ID de usuario (ver Microsoft Technet para obtener más información sobre la configuración de directivas de grupo y cuentas de servicio administrado.)  Si la cuenta de servicio de ID de usuario debían estar comprometida por un usuario malintencionado, la superficie de ataque potencial se reducirá grandemente al denegar inicio de sesión interactivo.

.

Negar acceso remoto para la cuenta de servicio de identificación de usuario

Por lo general, las cuentas de servicio no deben ser miembros de ningún grupo de seguridad que se utiliza para conceder acceso remoto. Si las credenciales de cuenta de servicio de ID de usuario fueron a verse comprometida, esto impediría que el atacante utilizando la cuenta para acceder a la red desde el exterior mediante una VPN.

.

Configurar salida filtrado de tráfico saliente interno

Evitar que cualquier tráfico no deseado (incluyendo tráfico de ID de usuario agente potencialmente no deseado) dejando sus redes protegidas fuera a Internet mediante la aplicación de salida filtrado en firewalls perimetrales.  En entornos sensibles, confiado en listado blanco y aplicaciones esenciales disminuye la posibilidad de permitir que el tráfico no deseado y también ayuda a reducir posibles vectores que se podrían utilizar para rendir datos.

.

Ver también

Para obtener más información sobre configuración y configuración de ID de usuario ver los siguientes:

• User-ID sección de la referencia de interfaz Web de pan-os 7,1
• Mejores prácticas de identificación de usuario
• Cómo configurar el ID de usuario sin agentes

. 

Propietario: ggarrison