La política de seguridad tiene que tener entre sus pilares el de disponer múltiples capas de seguridad para de alguna manera dificultar los ataques o el posterior movimiento lateral de los atacantes. Un punto siempre útil, y muchas veces olvidado es el de limitar la ventana de login de los diferentes usuarios. Vamos a ver cómo podemos fácilmente configurar esto en este Cybertruco.
Antiguamente recuerdo ataques como los realizados a través de software como realvnc o similares en los que literalmente ibas a parar a la sesión del usuario y tenías el control de su ratón y teclado, como podéis suponer hacer esto en horas de trabajo del país en cuestión más que probablemente acababa en ser pillado rápidamente. En un nivel diferente los atacantes siguen obviamente teniendo muy en cuenta estás posibles horas activas al desplegar RATs y otros malwares, ya que en caso de imprevisto siempre es más seguro lidiar con el problema, como una detección inesperada del antivirus cuando no hay nadie trabajando al mismo tiempo en la máquina o revisando las alertas que se puedan generar en tiempo real.
Una estrategia para disminuir al máximo está ventana de ataque, aunque no sea una panacea absoluta, es la de restringir los horarios en los que se permite a un usuario loguearse o trabajar con tal sistema. Esto se utiliza de manera bastante generalizada en sistemas como Azure en los que podemos tanto limitar horarios de usuario como de gestión de servidores pero también lo podemos realizar en nuestro AD tradicional como vamos a ver a continuación.
Restricción de horarios individual
En Active Directory Users and Computers (ADUC), hacemos click derecho sobre el usuario que queramos restringir y seleccionamos propiedades.
En las propiedades clickeamos en la pestaña de account y luego en el botón de logon hours.
Allí podemos especificar las horas que queremos permitir al usuario. Como vemos en la imagen de cabecera de este post, podemos seleccionar las horas que queramos, aquellas en azul serán para las que se permita el login. En ese ejemplo, vemos un horario nocturno se le permite el acceso de 4 de la tarde a 5 de la mañana de lunes a viernes.
Restricción de horarios para grupos de usuarios
Para aplicar los mismos criterios para un grupo de usuarios simplemente los debemos agrupar dentro de una unidad organizativa (OU). Esto también lo podemos hacer sin, pero organizacionalmente es más sostenible crear diferentes OU dependiendo de tiempos de trabajo que no tener todos mezclados en una sola OU raíz.
- Para empezar crearemos está OU y meteremos dentro de ella todos aquellos usuarios que deban verse afectados por un determinado horario.
- Seleccionaremos todos ellos con ctrl+a y clickeamos con botón derecho de nuevo seleccionando propiedades y seguiremos los mismos pasos que para un usuario individual.
Desconectar a un usuario cuando llegue a su hora límite
Una vez hayamos definido los tiempos para nuestros usuarios debemos también activar que aún cuando estuvieran logueados se desconecten llegado el momento.
- Para esto debemos ejecutar gpmc.msc, clickeamos con el botón derecho sobre Group Policy Objects, y seleccionamos nuevo para crear un nueva GPO.
- Cuando la tengamos creada de nuevo botón derecho sobre ella y seleccionamos propiedades. Una vez dentro navegaremos hasta la siguiente ruta.
- Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options.
- En el panel de políticas, doble click sobre la opción Microsoft network server: Disconnect clients when logon hours expire.
- Clickeamos en las opciones de la política de seguridad y la activamos.
Resultados y temas a tener en cuenta
Cómo siempre a la hora de restringir estos temas es importante primero tener una coordinación interdepartamental y una comunicación previa consistente para evitar reclamaciones o problemas y aún más importante configurarla con cuidado para no provocar que nosotros mismos quedemos fuera del sistema sin posibilidad de loguearnos y arreglar posibles fallos.
Espero os sea de utilidad.
