November 14, 2009

Y dónde está???

Alguna vez les ha pasado que llegan a ver un ambiente y no encuentran algo… por ejemplo el grupo de Enterprise Admins?! Y lo mejor, cuando preguntan te ven como si tuvieras 3 ojos!!!
Desafortunadamente es muy común que los informáticos hagamos cosas y no las documentemos… o bien, algunos documentamos vía email y la gente simplemente no lee los correos… desgraciados…
Ok, mantengámonos en lo expuesto anteriormente ya que es algo muy común, ahora bien, a resolverlo.
Existe una categoría especial de entidades predefinidas controladas por el sistema interno de seguridad de Windows, estas existen en todos los equipos, aunque varían ligeramente según la versión del sistema operativo; no importa si es un equipo en un workgroup o en un dominio, siempre encontraremos algunos de los llamados Well Know Security Principals, como son por ejemplo el grupo Everyone, Creator Owner, Administrators.
Estos son simple y sencillamente necesarios para el funcionamiento de nuestro sistema, además no podemos crear nuestros propios Well Know Security Principals.
Ok y que hacen estas entidades, básicamente agregan un SID a nuestro token de acceso, lo cual nos dará ciertos derechos predeterminados. Esto del SID y token entonces me lleva a mencionar ciertos puntos, el SID o Security Identifier es como lo que los ticos conocemos como el numero de cedula o identificación, en este caso esa cedula es un conjunto de valores alfanumérico que nos identifica, ahora bien, el hecho de renombrar un objeto no significa que el SID cambien, así como cambiarnos de nombre no varía nuestro numero de cedula (por lo cual esta técnica no me sirve para evadir mis deudas :-[ que mal).
Entonces para hacer una historia larga corta pensemos que al iniciar sesión se crea un token, el cual contiene nuestro SID y los SIDs de los grupos a los que pertenecemos, con esto el sistema sabe quién es y a que grupos de seguridad pertenece esa entidad y así puede otorgar los permisos adecuados. Realmente eso es un tema mucho más complejo que esto, pero hoy Sábado no creo que mi esposa quiera que pase toda la noche en la computadora escribiendo, a si que luego ahondamos en todas esas maravillas de la seguridad.
Habiendo dicho esto entendemos que el SID del Well Know Security Principal se suma al nuestro y así se dan ciertos permisos, algo como “mi número de identificación + el número de identificación de los Domain Admins = daemonRoot es Domain Admin = peligro!”
Bien pero como mencione anteriormente algún sonajas renombro alguno de estos grupos y ahora no sabemos donde están entonces vamos a rastrearlos. Cómo?! Pero ya les di la clave, por el SID! Primero necesitamos saber el SID de nuestro dominio, esto por la forma en que un SID está compuesto, para esto vamos a usar la herramienta llamada ADFind http://joeware.net/freetools/tools/adfind/index.htm luego necesitaremos otra herramienta que nos de el displayName del objeto que buscamos, el SidToName http://joeware.net/freetools/tools/sidtoname/index.htm .
El primer paso es ejecutar este comando en al consola adfind –f “objectClass=domain” –samdc objectSID este nos va a dar el SID del domino, que es algo como S-1-5-21-3922922491-1485192142-2417811997.
Ahora bien para saber cómo están formado los SIDs de los Well Know Security Principals podemos consultar el KB 243330.
Entonces el siguiente paso es ejecutar este otro comando en la consola sidtoname S-1-5-21-3922922491-1485192142-2417811997-519 el cual nos va a dar el displayName del grupo llamado Enterprise Admins o talvez queramos probar con el -512 que pertenece a los Domain Admins <:0)
Si lo analizan un poco, esa tendencia que tenemos de renombrar la cuenta Administror “por seguridad” pues no lo es tanto, ya que el SID del Administrator siempre va a ser S-1-5-21-(SID del dominio)-500… lero-lero ^_^ !
Espero estas gotas de información les sea útil, si alguien gusta discutir más a fondo algún tema, pues bienvenido! Realmente trato de expresarme y explicar las cosas de una forma simple y sencilla pero di… cada cabeza es un mundo, hasta pronto!
~D~

3 comments:

  1. A mí me paso algo parecido, pero diferente...

    Haciendo una mejor organización del AD, cree OU's para cada una de mis compañías donde quería organizar (computadoras, grupos de seguridad, grupos de distribución y usuarios), en mi sano juicio cree una OU "Corporativo" donde escondí todos los grupos como Enterprise Admin (Exc y AD), el usuario Admin del dominio y todos los grupos que no correspondían de ninguna de las compañías... Al final me quedo muy bonito :-)

    Unos días después me toco reiniciar el servidor de correo y nunca más volvió a levantar :-(... Después de noches... horas... incansables de trabajo se determino que el servidor de correo no funcionaba por los cambios que había hecho en AD....

    La moraleja de esta historia es: NUNCA mueva los grupos y usuarios relacionados con Exc de la carpeta Default....

    ReplyDelete
  2. Un servicio mas de daemonRoot :)

    ReplyDelete