November 14, 2009

Y dónde está???

Alguna vez les ha pasado que llegan a ver un ambiente y no encuentran algo… por ejemplo el grupo de Enterprise Admins?! Y lo mejor, cuando preguntan te ven como si tuvieras 3 ojos!!!
Desafortunadamente es muy común que los informáticos hagamos cosas y no las documentemos… o bien, algunos documentamos vía email y la gente simplemente no lee los correos… desgraciados…
Ok, mantengámonos en lo expuesto anteriormente ya que es algo muy común, manos a la obra, a resolverlo.
Existe una categoría especial de entidades predefinidas controladas por el sistema interno de seguridad de Windows, estas existen en todos los equipos, aunque varían ligeramente según la versión del sistema operativo; no importa si es un equipo en un workgroup o en un dominio, siempre encontraremos algunos de los llamados Well Know Security Principals, como son por ejemplo el grupo Everyone, Creator Owner, Administrators.
Estos son simple y sencillamente necesarios para el funcionamiento de nuestro sistema, además no podemos crear nuestros propios Well Know Security Principals.
Ok y que hacen estas entidades, básicamente tienen ciertos privilegios ya predeterminados, cuadnos pertenecemos a uno de estos grupos simplificando (mucho-mucho) estos agregan un SID a nuestro token de acceso, lo cual nos dará ciertos derechos muchas veces elevados. Esto del SID y token entonces me lleva a mencionar ciertos puntos, el SID o Security Identifier es como lo que los ticos conocemos como el número de cedula o identificación (DNI), en este caso esa cédula es un conjunto de valores alfanumérico que nos identifica, debo resaltar que el hecho de renombrar un objeto no significa que el SID cambie, así como cambiarnos de nombre no varía nuestro número de identificación (por lo cual esta técnica no me sirve para evadir mis deudas :-[ que mal).
Entonces para hacer una historia larga corta pensemos que al iniciar sesión se crea un token, el cual contiene nuestro SID y los SIDs de los grupos a los que pertenecemos, con esto el sistema sabe quién es y a que grupos de seguridad pertenece esa entidad y así puede honrar los permisos adecuados. Realmente eso es un tema mucho más complejo que esto, pero hoy Sábado no creo que mi esposa quiera que pase toda la noche en la computadora escribiendo, así que luego ahondamos en todas esas maravillas de la seguridad.
Habiendo dicho esto entendemos que el SID del Well Know Security Principal se suma al nuestro y así se dan ciertos permisos, algo como “mi número de identificación + el número de identificación de los Domain Admins = daemonRoot es Domain Admin = peligro!”
Bien, pero como mencione anteriormente algún sonajas renombro alguno de estos grupos y ahora no sabemos donde están entonces vamos a rastrearlos. ¿Cómo?! Pero ya les di la clave, por el identificador!
El identificador de un objeto en Active Directory está compuesto por una parte que identifica el dominio y otra a la entidad en si, esto es llamado el RID o Identificador Relativo. Recurramos a unas herramientas para que esto sea comprensible de forma sencilla.
ADFind http://joeware.net/freetools/tools/adfind/index.htm es la primer herramienta, luego necesitaremos otra que nos de el displayName del objeto que buscamos, el SidToName http://joeware.net/freetools/tools/sidtoname/index.htm .
El primer paso es ejecutar este comando en al consola adfind –f “objectClass=domain” –samdc objectSID este nos va a dar el SID del domino, que es algo como S-1-5-21-3922922491-1485192142-2417811997.
Ahora bien, para saber cómo están formado los SIDs de los Well Know Security Principals podemos consultar el KB 243330.
Entonces el siguiente paso es ejecutar este otro comando en la consola sidtoname S-1-5-21-3922922491-1485192142-2417811997-519 el cual nos va a dar el displayName del grupo llamado Enterprise Admins o talvez queramos probar con el -512 que pertenece a los Domain Admins <:0 br="">Si lo analizan un poco, esa tendencia que tenemos de renombrar la cuenta Administror “por seguridad” pues no lo es tanto, ya que el SID del Administrator siempre va a ser S-1-5-21-(SID del dominio)-500… lero-lero ^_^ !
Espero estas gotas de información les sean útiles, si alguien gusta discutir más a fondo algún tema, pues bienvenido! Realmente trato de expresarme y explicar las cosas de una forma simple y sencilla pero di… cada cabeza es un mundo, hasta pronto!
~D~

3 comments:

  1. A mí me paso algo parecido, pero diferente...

    Haciendo una mejor organización del AD, cree OU's para cada una de mis compañías donde quería organizar (computadoras, grupos de seguridad, grupos de distribución y usuarios), en mi sano juicio cree una OU "Corporativo" donde escondí todos los grupos como Enterprise Admin (Exc y AD), el usuario Admin del dominio y todos los grupos que no correspondían de ninguna de las compañías... Al final me quedo muy bonito :-)

    Unos días después me toco reiniciar el servidor de correo y nunca más volvió a levantar :-(... Después de noches... horas... incansables de trabajo se determino que el servidor de correo no funcionaba por los cambios que había hecho en AD....

    La moraleja de esta historia es: NUNCA mueva los grupos y usuarios relacionados con Exc de la carpeta Default....

    ReplyDelete
  2. Un servicio mas de daemonRoot :)

    ReplyDelete