Interferencia de endurecimiento de SYSVOL con Tenable Identity Exposure

SYSVOL es una carpeta compartida que se encuentra en cada controlador de dominio (DC) en un dominio de Active Directory. Allí se almacenan las carpetas y archivos para las políticas de grupo (GPO). El contenido de SYSVOL se replica en todos los controladores de dominio y se accede a él a través de rutas con convención de nomenclatura universal (UNC) como \\<ejemplo.com>\SYSVOL o \\<IP_o_FQDN_de_DC>\SYSVOL.

El endurecimiento de SYSVOL hace referencia al uso del parámetro Rutas endurecidas de UNC, también conocido como “acceso endurecido de UNC”, “rutas de acceso UNC protegidas”, “endurecimiento de rutas UNC”, “rutas protegidas”, etc. Esta funcionalidad surgió para responder a la vulnerabilidad MS15-011 (KB 3000483) en la política de grupo. Muchos estándares de ciberseguridad, como CIS Benchmarks, exigen la aplicación de esta funcionalidad.

Cuando se aplica este parámetro de endurecimiento en los clientes del Bloque de mensajes del servidor (SMB), en realidad aumenta la seguridad de las máquinas unidas a un dominio para garantizar que el contenido del GPO que recuperan de SYSVOL esté libre de manipulación por parte de un atacante en la red. No obstante, en ciertas situaciones, este parámetro también puede interferir con el funcionamiento de Tenable Identity Exposure.

Siga las instrucciones de esta sección de solución de problemas si observa que las rutas de acceso UNC protegidas perturban la conectividad entre Tenable Identity Exposure y el recurso compartido SYSVOL.

Entornos afectados

Las siguientes opciones de implementación de Tenable Identity Exposure pueden experimentar este problema:

  • En el entorno local

  • SaaS con Secure Relay

Esta opción de implementación no se ve afectada:

  • SaaS con VPN

El endurecimiento de SYSVOL es un parámetro del lado del cliente, lo que significa que opera en las máquinas que se conectan al recurso compartido de SYSVOL y no en los controladores de dominio.

Windows habilita este parámetro de manera predeterminada y puede interferir con Tenable Identity Exposure.

Algunas organizaciones también buscan garantizar la activación de este parámetro y aplicarlo mediante la configuración del GPO relacionado o al definir directamente la clave del registro correspondiente.

  • Puede encontrar las claves del registro relacionadas con las rutas de acceso UNC protegidas en “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths”:

  • Puede encontrar la configuración del GPO correspondiente en “Configuración del equipo/Plantillas administrativas/Red/Proveedor de red/Rutas de acceso UNC protegidas”:

La aplicación de medidas de endurecimiento de SYSVOL se produce cuando una ruta de acceso UNC que hace referencia a SYSVOL (por ejemplo, “\\*\SYSVOL”) tiene los parámetros “RequireMutualAuthentication” y “RequireIntegrity” establecidos en el valor “1”.

Señales de problemas de endurecimiento de SYSVOL

Cuando sospeche que el endurecimiento de SYSVOL interfiere con Tenable Identity Exposure, compruebe lo siguiente:

  1. En Tenable Identity Exposure, vaya a Sistema > Gestión de dominios para ver el estado de inicialización de LDAP y SYSVOL para cada dominio.

    Un dominio con conectividad normal muestra un indicador verde, mientras que un dominio con problemas de conectividad puede mostrar un indicador de rastreo que continúa sin cesar.

  2. En la máquina de Directory Listener o Relay, abra la carpeta de registros: <carpeta de instalación>\DirectoryListener\logs.

  3. Abra el archivo de registros de Ceti y busque la cadena “SMB mapping creation failed” o “Access is denied”. Los registros de errores que contienen esta frase indican que es probable que exista un endurecimiento de UNC en la máquina de Directory Listener o Relay.

Opciones de corrección

Hay dos posibles opciones de corrección: Cambiar a la autenticación de Kerberos o Deshabilitar el endurecimiento de SYSVOL.