Consejos para evitar el RDP y otros ataques remotos en las redes de Microsoft
El gigante tecnológico está desplegando nuevas funciones y elementos predeterminados para evitar que los ciberdelincuentes accedan a las redes de forma remota. Pero tú puedes hacer más y aquí te lo contamos.
Desde hace tiempo, una de las formas preferidas del ransomware para entrar en el sistema es a través de los ataques de protocolo de escritorio remoto (RDP) de Microsoft. Hace años, cuando utilizábamos Terminal Services de Microsoft (de los que evolucionó el RDP) para el acceso remoto compartido dentro o fuera de una oficina, los atacantes utilizaban una herramienta llamada TSGrinder. Primero revisaba una red en busca de tráfico de Terminal Services en el puerto 3389. A continuación, los atacantes utilizarían herramientas para adivinar la contraseña y obtener acceso a la red. Primero irían a por las cuentas de administrador. Incluso si cambiamos el nombre de la cuenta de administrador o movemos el protocolo de Terminal Services a otro puerto, los atacantes a menudo olfatean el tráfico TCP/IP e identifican a dónde fue movido.
Los atacantes siguen persiguiendo nuestro acceso remoto, ahora a través de RDP. Con las técnicas de ransomware operadas por humanos, los atacantes obtienen acceso y luego utilizan privilegios más altos para obtener más acceso en una red. Existen varias formas de proteger tu red contra la fuerza bruta u otros ataques remotos dirigidos.
Utiliza cuentas de administrador con contraseñas en blanco
Lo creas o no, una forma de bloquear estos ataques es tener una contraseña en blanco para la cuenta de administrador. Utilizando la configuración de Política de Grupo ‘Cuentas: Limitar el uso de contraseñas en blanco en la cuenta local sólo para el inicio de sesión en la consola’, se bloquea la posibilidad de que cualquiera pueda entrar en la red de forma remota con una contraseña en blanco. Aunque claramente no es una protección ideal, es interesante que esté disponible desde Server 2003.
Establece las políticas de bloqueo de Windows 11
Incluido en las versiones Insider de Windows 11 y, en última instancia, llegando a Windows 11 22H2 habrá una nueva política que establecerá un bloqueo más granular que el que tenemos actualmente con Windows 10 o las plataformas de servidor.
En Windows 10 y Windows 11 tienes tres políticas de bloqueo: ‘Duración del bloqueo de la cuenta’, ‘Umbral de bloqueo de la cuenta’, y una para restablecer el contador de bloqueo de la cuenta después de un número determinado de minutos. Windows 11 22H2 vendrá con una configuración de política más y con los siguientes valores predeterminados:
- La duración del bloqueo de la cuenta se establecerá en 10 minutos.
- El umbral de bloqueo de la cuenta se establecerá en 10 intentos de inicio de sesión no válidos.
- Restablecer el contador de bloqueo de cuentas después de 10 minutos.
Además, hay una nueva configuración: 'Permitir el bloqueo de la cuenta del administrador'. En las redes sociales, David Weston, vicepresidente de Microsoft para la seguridad de las empresas y los sistemas operativos, indicó que esto se trasladaría a Windows 10.
Añade herramientas de autenticación multifactor y de bloqueo de cuentas
¿Qué debería hacer mientras tanto? El RDP es responsable de entre el 70% y el 80% de las violaciones de la red, por lo que recomiendo aumentar la apuesta. Esto comienza con la adición de la autenticación multifactorial al proceso remoto.
TS_Block es una herramienta que bloquea los intentos de inicio de sesión de Terminal Services por fuerza bruta. Como señala el desarrollador, en el archivo readme hay "un programa VBScript que actúa como un sumidero de eventos WMI para recibir eventos registrados por Windows en respuesta a inicios de sesión inválidos de Terminal Services". Lo que hará será:
- Bloquear los inicios de sesión desde una dirección IP con un nombre de usuario marcado como 'bloquear inmediatamente'.
- Bloquear las direcciones IP si se realizan más intentos de inicio de sesión que la asignación preestablecida en un período de tiempo.
Los nombres de usuario 'bloquear inmediatamente' y los umbrales asociados a los intentos repetidos de inicio de sesión son configurables con estos ajustes predeterminados:
- Bloquear inmediatamente los nombres de usuario: administrador, root, invitado.
- Intentos de inicio de sesión permitidos: 5 en 120 segundos (2 minutos).
- Duración del bloqueo: 300 segundos (5 minutos)
También viene con un archivo de plantilla administrativa de Política de Grupo.
El bloqueo de cuentas no es nuevo. De hecho, se ha discutido durante muchos años, pero a menudo no nos tomamos el tiempo de revisar las líneas de base de seguridad de los usuarios y otros valores predeterminados como recomiendan Microsoft o el NIST. Un ejemplo es un artículo del blog de 2014 sobre la configuración de los umbrales de bloqueo de cuentas.
Revisa tus políticas de contraseñas
Fomenta el uso de tarjetas inteligentes u otros procesos que no dependan de las contraseñas. También deberías establecer normas sobre la longitud y complejidad de las contraseñas.
Microsoft establecerá políticas de contraseñas por defecto a partir de ahora, pero debes ajustarlas y adaptarlas a tus necesidades. Si recibes muchas llamadas del servicio de asistencia para restablecer las contraseñas, revisa cuál es la causa principal. ¿No tienes una política de contraseñas razonable? ¿No tienes un proceso de autocambio y restablecimiento de contraseñas? ¿Confías sólo en las contraseñas y no utilizas una tecnología más moderna que permita un proceso de autenticación más fácil para el usuario final, pero al mismo tiempo más seguro por su diseño? Si después de desplegar estos valores predeterminados en tu entorno de Windows 11 descubres que causa más problemas en tu entorno, es posible que tengas que revisar y añadir tecnología en lugar de eliminar las políticas predeterminadas.
