Protocolos de administración remota de Windows

Los servidores Windows se pueden administrar localmente mediante las tareas de administración del Administrador de Servidor en servidores remotos. La administración remota está habilitada de forma predeterminada a partir de Windows Server 2016. La administración remota es un componente de las funciones de administración de hardware de Windows que gestionan el hardware del servidor local y remotamente. Estas funciones incluyen un servicio que implementa el protocolo WS-Management, diagnóstico y control de hardware mediante controladores de administración de placa base, y una API COM y objetos de script que permiten crear aplicaciones que se comunican remotamente mediante el protocolo WS-Management.

Los principales componentes utilizados para la gestión remota de servidores Windows y Linux son los siguientes:

• Protocolo de Escritorio Remoto ( RDP)

• Administración remota de Windows ( WinRM)

• Instrumental de administración de Windows ( WMI)

RDP

El Protocolo de Escritorio Remoto ( RDPRDP) es un protocolo desarrollado por Microsoft para el acceso remoto a un ordenador con el sistema operativo Windows. Este protocolo permite la transmisión de comandos de visualización y control mediante la interfaz gráfica de usuario (GUI) cifrada a través de redes IP. RDP funciona en la capa de aplicación del modelo de referencia TCP/IP, utilizando normalmente el puerto TCP 3389 como protocolo de transporte. Sin embargo, el protocolo UDP sin conexión también puede utilizar el puerto 3389 para la administración remota.

Para establecer una sesión RDP, tanto el firewall de red como el del servidor deben permitir conexiones externas. Si se utiliza la Traducción de Direcciones de Red ( NAT) en la ruta entre el cliente y el servidor, como suele ocurrir con las conexiones a Internet, el equipo remoto necesita la dirección IP pública para acceder al servidor. Además, se debe configurar el reenvío de puertos en el router NAT hacia el servidor.

RDP gestiona la Seguridad de la Capa de Transporte ( TLS/SSL) desde Windows Vista, lo que significa que todos los datos, y especialmente el proceso de inicio de sesión, están protegidos en la red gracias a su buen cifrado. Sin embargo, muchos sistemas Windows no insisten en esto, sino que siguen aceptando un cifrado inadecuado mediante la Seguridad RDP . No obstante, incluso con esto, un atacante aún está lejos de ser bloqueado, ya que los certificados que proporcionan identidad son simplemente autofirmados por defecto. Esto significa que el cliente no puede distinguir un certificado genuino de uno falsificado y genera una advertencia de certificado para el usuario.

El Remote Desktopservicio se instala de forma predeterminada en servidores Windows y no requiere aplicaciones externas adicionales. Se puede activar mediante [nombre del host] Server Managery viene con la configuración predeterminada para permitir conexiones solo a hosts con autenticación de nivel de red ( NLA).

Footprinting del servicio

Analizar el servicio RDP puede proporcionarnos rápidamente mucha información sobre el host. Por ejemplo, podemos determinar si NLAestá habilitado en el servidor, la versión del producto y el nombre del host.

Nmap

nmap -sV -sC <ip> -p3389 --script rdp*

Además, podemos --packet-tracerastrear los paquetes individuales e inspeccionar su contenido manualmente. Vemos que el RDP cookies( mstshash=nmap) que Nmap utiliza para interactuar con el servidor RDP puede ser identificado por threat huntersvarios servicios de seguridad, como Endpoint Detection and Response ( EDR), y puede bloquearnos como evaluadores de penetración en redes reforzadas.

nmap -sV -sC <ip> -p3389 --packet-trace --disable-arp-ping -n

Cisco CX Security Labs también ha desarrollado un script de Perl llamado rdp-sec-check.pl que puede identificar de forma no auténtica las configuraciones de seguridad de los servidores RDP basándose en los protocolos de enlace.

Comprobación de seguridad de RDP: instalación

sudo cpan

Comprobación de seguridad de RDP

git clone https://github.com/CiscoCXSecurity/rdp-sec-check.git && cd rdp-sec-check

./rdp-sec-check.pl <ip>

La autenticación y la conexión a estos servidores RDP se pueden realizar de varias maneras. Por ejemplo, podemos conectarnos a servidores RDP en Linux mediante xfreerdp, rdesktop, o Remminae interactuar con la interfaz gráfica del servidor según corresponda.

Iniciar una sesión RDP

xfreerdp /u:<user> /p:"<password>" /v:<ip>

Tras la autenticación exitosa aparecerá una nueva ventana con el acceso al escritorio del servidor al que nos hemos conectado.

WinRM

Administración remota de Windows ( WinRM) es un protocolo simple de administración remota integrado en Windows basado en la línea de comandos. WinRM utiliza el Protocolo simple de acceso a objetos ( SOAP) para establecer conexiones con hosts remotos y sus aplicaciones. Por lo tanto, WinRM debe habilitarse y configurarse explícitamente a partir de Windows 10. WinRM se basa en TCPlos puertos 5985y 5986para la comunicación, siendo el último puerto 5986 using HTTPS, ya que anteriormente se utilizaban los puertos 80 y 443 para esta tarea. Sin embargo, dado que el puerto 80 estaba bloqueado principalmente por razones de seguridad, actualmente se utilizan los puertos 5985 y 5986, más recientes.

Otro componente que WinRM utiliza para la administración es Windows Remote Shell ( WinRS), que permite ejecutar comandos arbitrarios en el sistema remoto. El programa viene incluido por defecto en Windows 7. Por lo tanto, con WinRM, es posible ejecutar un comando remoto en otro servidor.

Servicios como sesiones remotas con PowerShell y la fusión de registros de eventos requieren WinRM. Está habilitado de forma predeterminada a partir de la Windows Server 2012versión, pero primero debe configurarse para versiones de servidor y clientes anteriores, y crear las excepciones de firewall necesarias.

Footprinting del servicio

Como ya sabemos, WinRM usa los puertos TCP 5985( HTTP) y 5986( HTTPS) por defecto, que podemos escanear con Nmap. Sin embargo, a menudo veremos que solo TCP 5985se usa HTTP ( ) en lugar de HTTPS ( TCP 5986).

Nmap WinRM

nmap -sV -sC <ip> -p5985,5986 --disable-arp-ping -n

Si queremos averiguar si se puede acceder a uno o más servidores remotos mediante WinRM, podemos hacerlo fácilmente con PowerShell. El cmdlet Test-WsMan se encarga de ello y se le pasa el nombre del host en cuestión. En entornos Linux, podemos usar la herramienta evil-winrm , otra herramienta de pruebas de penetración diseñada para interactuar con WinRM.

evil-winrm -i <ip> -u <user> -p <password>

WMI

Instrumental de Administración de Windows ( WMIWMI) es la implementación de Microsoft y también una extensión del Modelo de Información Común ( CIMCMN), funcionalidad esencial de la Administración Empresarial Web estandarizada (WMI WBEM) para la plataforma Windows. WMI permite acceso de lectura y escritura a prácticamente todas las configuraciones de los sistemas Windows. Como es lógico, esto la convierte en la interfaz más importante del entorno Windows para la administración y el mantenimiento remoto de equipos Windows, ya sean PC o servidores. Se suele acceder a WMI mediante PowerShell, VBScript o la Consola de Instrumental de Administración de Windows (WMI WMIC). WMI no es un único programa, sino que consta de varios programas y bases de datos, también conocidos como repositorios.

Footprinting del servicio

La comunicación WMI siempre se inicializa en TCPel puerto 135y, tras establecerse correctamente la conexión, se transfiere a un puerto aleatorio. Por ejemplo, se puede usar el programa wmiexec.py del kit de herramientas Impacket.

WMIexec.py

/usr/share/doc/python3-impacket/examples/wmiexec.py <user>:"<password>"@<ip> "hostname"

Nuevamente, es necesario mencionar que el conocimiento adquirido al instalar estos servicios y experimentar con las configuraciones en nuestra propia máquina virtual de Windows Server para adquirir experiencia y desarrollar el principio funcional y la perspectiva del administrador no puede reemplazarse con la lectura de manuales. Por lo tanto, recomendamos encarecidamente configurar su propio Windows Server, experimentar con la configuración y analizar estos servicios repetidamente para ver las diferencias en los resultados.