Estimados amigos de Inseguros !!!
Hoy vamos a ver un pequeño truco que os puede aportar valor tanto si sois del Red Team y queréis "romper" como si luchas contra esto en el Blue Team.
En un proceso de hacking en sistemas Microsoft el principal elemento a tener en cuenta es la enumeración. No se si el más importante o no, pero al menos es el movimiento inicial una vez te "sientas" en la organización.
Hay mil maneras de enumerar activos en AD, pero el más sencillo es usar el entorno gráfico, el botoncito, y buscar por ahí...
Hay varias configuraciones de seguridad para impedir la enumeración de activos, una de ellas es quitar la rama de Mi red de los acceso directos y así no tener la posibilidad de que aparezca el botón...
Pero los chicos malos saben que haciendo cmd.exe /c rundll32 dsquery,OpenQueryWindow tenemos acceso a esa interface.
La mejor manera de impedir el uso de esta funcionalidad es limitar el tamaño de respuestas que podemos dar al usuario. Podemos definir un valor de 0, y de esta manera podemos evitar que un usuario "curioso" pueda estar cotilleando nuestro AD. El setting es una GPO tan sencilla como esta:
Recuerda activarlo solo para los usuarios que debas, porque por ejemplo, cuando estás haciendo permisos NTFS en un directorio... y quieres aplicarlos a un usuario o grupo... y le das a buscar... ahí también sufres la restricción, no es solo desde ese botón que comento, es sobre todas las búsquedas.
Espero que te sirva de ayuda el levantar el GUI con el comando en alguna auditoría, o si estás en la trinchera sepas un poco más de esta GPO.
Gracias por leerme.