Si ligas una noche, que no se traiga el cepillo de dientes !!! Pertenencia a grupos temporal en WIndows 2016 !!!

Estimados amigos de Inseguros !!!

Imagina el caso de un noche loca en la que ligas con un tip@, una noche de pasión, y a la mañana siguiente ( dormir toda la noche ya es un ejemplo de persistencia... xD) te ves el cepillo de diente del tip@ en tu aseo !!!. Dios mio !!!


En este pequeño artículo vamos a descubrir una función muy útil de cara a la seguridad en el nuevo Windows Server 2016 que saldrá al mercado en unos días. La pertenencia a grupos temporal.

Seguro que has vivido una instalación compleja en tus instalaciones, tipo ERP, Virtualización, Exchange... lo que sea, en el que convives con el auditor 2 semanas, 3, 1 mes !!! Es normal crear un usuario administrador para que no te llamen cada 2 x 3 con restricciones de seguridad, alertas en los sistemas y demás.

Por pereza, por olvido, por el mantenimiento contratado, al pasar los meses el usuario se queda activo, con pertenencia a un grupo delicado, con el consecuente fallo de seguridad. Además, como son usuarios que se conectan de poco a poco, lo mas extendido es deshabilitar el cambio de contraseña periódico vigente en la política de seguridad de tu empresa...te suena todo esto?

¿Te suena el caso del becario que pertenece al departamento de administración 2 semanas, luego pasa 2 semanas a marketing y termina 2 semanas como ayudante de dirección? He visto cuentas de becario con más permisos que muchos directivos...

Para solucionar este problema yo suelo ejecutar un script que compruebe la última conexión de una cuenta, y que deshabilite las cuentas que llevan más de XXX días/meses sin conexión. De esta manera también solucionamos el típico problema de falta de comunicación con RRHH y el cese de usuarios.

get-aduser -filter * -properties lastlogondate | Where-Object {$_.enabled -eq "true"-and $_.lastlogondate -lt (get-date).adddays(-90)} | Export-csv -path c:\kinomakino\last.csv

Con Windows 2016 podemos configurar una cuenta con permanencia a un grupo por un tiempo. PERFECTO para los escenarios que comento.

Lo primero es habilitar la característica:

Enable-ADOptionalFeature ‘Privileged Access Management Feature’ -Scope ForestOrConfigurationSet -Target inseguros.local

Luego añadir el usuario en cuestión al grupo necesario, con el TTL que necesitamos:

Add-ADGroupMember -Identity ‘administradores de dominio’ -Members ‘consultor’ -MemberTimeToLive (New-TimeSpan -Days 5)

Por último comprobamos la configuración:


Espero que estas ideas os sirvan de algo.

Un saludo y gracias por leerme !!!