none
Clientes de Active Directory / Caen todos los servicios del equipo. RRS feed

  • Pregunta

  • Clientes de Active Directory / Caen todos los servicios del equipo.

    Buenas tardes estimados.

    Les comento, soy del área de IT en una empresa. Estamos teniendo un problema que no logramos resolver y luego de consultarlo con distintos agentes de otros sectores estimamos que el problema puede derivar en Certificados que contienen ciertos Usuarios.

    Detalle del error:

    Hay ciertos usuarios que al logearse en cualquier equipo de la red del dominio, automáticamente o de forma paulatina generan una perdida de servicios del equipo de forma critica, la perdida de servicios de red es el denominador común de los casos.

    Por ejemplo:

    -Pierde todos los servicios de TCP/IP. (desaparecen literalmente)

    -Comienzan a cerrarse procesos como explorer.exe.

    -El equipo se reinicia solo y constantemente.

    Se verificó que una parte de estos usuarios conflictivos poseían uno o varios certificados que corresponden a otras áreas de la empresa (OU) y que al logearse en otro equipo (circunstancial) este comenzaba a presentar los síntomas anteriormente descritos. 

    Muchas gracias.

    jueves, 23 de mayo de 2019 18:10

Respuestas

  • Hola SebastianProseg, 

    Es evidente que el conflicto con los certificados es lo que esta fallando de prevenir dicho comportamiento anómalo.

    Si ya has verificado que los sistemas no se encuentren infectados con un malware que nos este provocando dicho comportamiento o que no es la solución AV que está mandando dichas operaciones.

    Me gustaría conocer un poco más sobre su infraestructura

    ¿Tienen un firewall?

    ¿Qué controles se tienen sobre el software que se instala en los equipos?

    ¿Cuál es la relación de equipos con W10, W7, y versiones de servidores que tienen y presentan los comportamientos?

    Una desinfección a este nivel parece una tarea complicada ya que podemos tener afectaciones en la continuidad del servicio y la operación dicho así bajo que entidades certificadoras es que se están emitiendo nuestros certificados, son propias, es una entidad especializada externa, es un proveedor.

    Con valores de GPOs o login scripts pueden inyectar la eliminación de las llaves de registro donde se contienen los certificados anómalos.

    Le doy un ejemplo de cómo es que yo atacaría dicho problema, y así hasta que los análisis heurísticos de su solución AV logren determinar como es que se generan dichos certificados y que proceso los crea y pueda ser detenido y aislado.

    Un ejemplo...

    https://gallery.technet.microsoft.com/scriptcenter/Script-to-delete-expired-8fcfcf48

    https://community.sophos.com/kb/zh-cn/13273

    reg delete "HKLM\Some\Registry\Path" /f

    Y utilizar dicho para realizar las tareas en cada proceso de loggeo de los usuarios y así como implementar los KBS de seguridad y las actualizaciones de seguridad para cerrar la puerta a la explotación de la salida y entrada de información.

    https://answers.microsoft.com/en-us/windows/forum/all/microsoft-april-2019-security-updates/285fd8c7-49f4-4e85-8506-f6060fdf7405

    https://support.microsoft.com/en-us/help/4493435/cumulative-security-update-for-internet-explorer-april-9-2019

    Le comento que es conocido que existen ciertas vulnerabilidades actualmente en internet explorer que no han sido cubiertas al menos para las versiones 9 y 10, y si bien no parece haber claridad sobre si existirá una nueva versión de Internet Explorer posterior a la 11 por parte de Microsoft ya que los planes parecen apuntar en otro nivel como por ejemplo explotar Edge además le comento que dichas recomendaciones podrían valer para servir en los servidores afectados.

    Existen ciertos boletines de seguridad que han sido publicados para evitar contingencias a éste nivel.

    https://support.microsoft.com/en-us/help/2934088/microsoft-security-advisory-vulnerability-in-internet-explorer-could-a

    Y le comento que ese seria un camino a seguir o buscar emitir nuevos certificados y que remplacen los que posiblemente estén expirados y en dicho propósito estén no bloqueando los loggeos de entidades no reconocidas por el servidor de dominio en cuyo caso, quieres descartar infección pero sí validar que no existan detecciones de seguridad que por mismo motivo nieguen los certificados de la PKI

    https://searchsecurity.techtarget.com/definition/PKI

    Déjeme saber sus comentarios.

    No dudes en ampliar más sobre este tema si es que aún lo requirieras o de abrir una nueva consulta en caso de tener alguna situación o necesitarla con algún otro de los productos de Microsoft.

     

    Adicional le invito a consultar los siguientes recursos:

    Guía para formular preguntas en el foro

    Channel 9 - donde puedes encontrar una sección de:

     

    Gracias por usar los foros de TechNet.

    Erick Rivera

     ____

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft. 

    jueves, 23 de mayo de 2019 19:42
  • Hola Sebastianproseg, dudo mucho que ese comportamiento sea por certificados, la autenticación en un Dominio no usa certificados, usa Kerberos

    A mí parecer, o hay un "bicho", o el usuario carga alguna aplicación/servicio que hace lo que comentas

    Revisa el visor de eventos que tienen que estar errores logueados

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 23 de mayo de 2019 20:11
    Moderador
  • Hola "SebastianProseg",

    Veo que hace varias cosas...
    Realiza lo siguiente a ver si puedes tomar un poco de ventaja:

    1 - Informa que monitoreen el rango de IPs de clientes al sector de seguridad
    2 - Desde un cliente, actualiza el antivirus y realiza un full scan (contacta al fabricante tmb)
    3 - Deploya un nuevo cliente y ve si sucede lo mismo

    Aplica:

    Malicious Software Removal Tool
    https://www.microsoft.com/es-ar/download/malicious-software-removal-tool-details.aspx

    Help protect my PC with Windows Defender Offline
    https://support.microsoft.com/en-us/help/17466/windows-defender-offline-help-protect-my-pc

    Microsoft Safety Scanner
    https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

    Adicional:

    Microsoft’s Free Security Tools – Summary
    https://www.microsoft.com/security/blog/2012/10/04/microsofts-free-security-tools-summary/

    Saludos.
    jueves, 23 de mayo de 2019 20:30
  • Erick Rivera

    Muchas gracias por su respuesta.

    Como comenté anteriormente, mi sector es el laboratorio IT con un nivel de soporte técnico destinado a usuarios en un 1er y 2do nivel.

    Esto claramente limita mi incumbencia en cuanto a análisis globales de la red, y al no tener respuestas de los grupos dedicados a estas incidencias (Grupos internos "Windows" y "Linux") quedo limitado a buscar alguna pista que acercar al laboratorio a partir de los equipos mismos y su reacción ante el Logeo del usuario en cuestión.

    EN RESPUESTA A TUS PREGUNTAS:

    Es una red global corporativa.

    La implementación cuenta con un sistema de replicado en los soft's:

    - Active directory - administrando Usuarios, GPO's 

    - System Center - Para la distribución e complementación del maquetado corporativo (Imagen) por Red.

    - OCS - Como registro de componentes físicos del equipo y actividades.

    No contamos con firewall, utilizamos un agente corporativo de MCafee.

    -En cuanto a la imagen corporativa esta implementada con W10, sin embargo existen diversos usuarios con diferentes versiones y esto no presentó un problema en cuanto al funcionamiento dentro de la red. Si que esta incidencia se presenta en diferentes SO.

    Entiendo que hay poco que pueda hacer al respecto como técnico de soporte, pero si existe algún indicio del origen del problema en el comportamiento de la Pc debería poder identificarlo. Voy a echar un vistazo a los enlaces que me dejaste y si esta información te dio alguna otra pista no dudes en comentarlo.

    Muchas gracias. 



    viernes, 24 de mayo de 2019 0:05
  • Hola SebastianProseg

    Mire mi conocimiento sobre cómo atacar lo que yo sospecho de manera más fuerte como infección consiste en intentar detener el comportamiento y dejar al antivirus haga lo suyo.

    Te comento mis teoris

    Si ciertos usuarios al loggearse en cualquier equipo pierden conexión de red podría significar que tus equipos están infectados y esos usuarios tienen un nivel superior de actividades que pueden hacer en el dominio, entonces el directorio activo es defendido por el antivirus y los clientes en los equipos eliminando los procesos.

    Necesitarías correr un https://docs.microsoft.com/en-us/sysinternals/downloads/procmon process monitor para conocer si es McAffee quien está efectivamente "matando los procesos" los motivos de McAffe los desconocemos pero si ustedes apuntan a ciertos certificados puede que estos estén expirados, corruptos o los perfiles de los usuarios dañados.

    Pero trabajando sobre la idea de que estos certificados son generados por una infección McAffe no sabe qué los creo pero con el loggin script forzaríamos a que se eliminaran cada vez que se loggea el usuario en el dominio, entonces el motor de McAffe volvería a detectar los certificados en los equipos y empezando a entender qué los crea y comenzar a en base a su dominio aislar la posible causa.

    Ahora si cuentan con un laboratorio implementen su imagen corporativa aíslenla del dominio en una OU especial y monitoreen todos sus procesos de nuevo en el tiempo en que se lanzo y comparen con 1 o 2 equipos manualmente los procesos distintos de la nueva imagen deployada a la que presenta el comportamiento.

    Pero lo más importante es deployar los KBs de seguridad de Microsoft para que no se le estén inyectando + información al dominio y menos saliendo pensando en que si toda la infra está afectada o es el controlador quien está infectado instalando los certificados.

    Vaya necesitas cerrar la puerta de entrada o las puertas hacia atrás de tu dominio o dominios hacia tus clientes y hacia internet que es donde están ejecutando el código remoto que volvería a generar los certificados, este tipo de comportamiento parece que está detectado desde principios del año y yo no conozco a detalle pero sé que los perfiles de usuario se ven corruptos desde el controlador y hacia los equipos, levantando la sospecha que el "bicho" reside en el dominio y mas aún en el controlador.

    Como te mencione McAfee no ha logrado atender pero conozco que fortinet sí, que de acuerdo con ellos este comportamiento se lleva a través de la explotación de una vulnerabilidad en SSL/TLS que viene de tiempo atrás, en cuya Microsoft ha declarado que sus sistemas por defecto de configuración no se ven afectados

    https://forum.fortinet.com/tm.aspx?m=105854

    http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-security-profiles/SSL_SSH_Inspection/why_use_ssl_inspection.htm

    https://cookbook.fortinet.com/preventing-certificate-warnings/

    Le recomiendo más que ampliamente ir a https://docs.microsoft.com/es-es/security-updates/ y revisar todas las recomendaciones para asegurar que sus sistemas estén al punto.

    No dude en ampliar más sobre este tema si es que aún lo requiriera o de abrir una nueva consulta en caso de tener alguna otra situación o de necesitarla con algún otro de los productos de Microsoft.

     

    Adicional le invito a consultar los siguientes recursos:

    Guía para formular preguntas en el foro

    Channel 9 - donde puedes encontrar una sección de: Administración de Windows Servers

     

    Gracias por usar los foros de TechNet.

    Erick Rivera

     ____

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.  

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de    conocimientos relacionados con los productos y tecnologías de Microsoft.   

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.



    • Editado eRiver1 viernes, 24 de mayo de 2019 15:41 Grámatica
    • Marcado como respuesta Pablo RubioModerator jueves, 30 de mayo de 2019 20:37
    viernes, 24 de mayo de 2019 15:22

Todas las respuestas

  • Hola SebastianProseg, 

    Es evidente que el conflicto con los certificados es lo que esta fallando de prevenir dicho comportamiento anómalo.

    Si ya has verificado que los sistemas no se encuentren infectados con un malware que nos este provocando dicho comportamiento o que no es la solución AV que está mandando dichas operaciones.

    Me gustaría conocer un poco más sobre su infraestructura

    ¿Tienen un firewall?

    ¿Qué controles se tienen sobre el software que se instala en los equipos?

    ¿Cuál es la relación de equipos con W10, W7, y versiones de servidores que tienen y presentan los comportamientos?

    Una desinfección a este nivel parece una tarea complicada ya que podemos tener afectaciones en la continuidad del servicio y la operación dicho así bajo que entidades certificadoras es que se están emitiendo nuestros certificados, son propias, es una entidad especializada externa, es un proveedor.

    Con valores de GPOs o login scripts pueden inyectar la eliminación de las llaves de registro donde se contienen los certificados anómalos.

    Le doy un ejemplo de cómo es que yo atacaría dicho problema, y así hasta que los análisis heurísticos de su solución AV logren determinar como es que se generan dichos certificados y que proceso los crea y pueda ser detenido y aislado.

    Un ejemplo...

    https://gallery.technet.microsoft.com/scriptcenter/Script-to-delete-expired-8fcfcf48

    https://community.sophos.com/kb/zh-cn/13273

    reg delete "HKLM\Some\Registry\Path" /f

    Y utilizar dicho para realizar las tareas en cada proceso de loggeo de los usuarios y así como implementar los KBS de seguridad y las actualizaciones de seguridad para cerrar la puerta a la explotación de la salida y entrada de información.

    https://answers.microsoft.com/en-us/windows/forum/all/microsoft-april-2019-security-updates/285fd8c7-49f4-4e85-8506-f6060fdf7405

    https://support.microsoft.com/en-us/help/4493435/cumulative-security-update-for-internet-explorer-april-9-2019

    Le comento que es conocido que existen ciertas vulnerabilidades actualmente en internet explorer que no han sido cubiertas al menos para las versiones 9 y 10, y si bien no parece haber claridad sobre si existirá una nueva versión de Internet Explorer posterior a la 11 por parte de Microsoft ya que los planes parecen apuntar en otro nivel como por ejemplo explotar Edge además le comento que dichas recomendaciones podrían valer para servir en los servidores afectados.

    Existen ciertos boletines de seguridad que han sido publicados para evitar contingencias a éste nivel.

    https://support.microsoft.com/en-us/help/2934088/microsoft-security-advisory-vulnerability-in-internet-explorer-could-a

    Y le comento que ese seria un camino a seguir o buscar emitir nuevos certificados y que remplacen los que posiblemente estén expirados y en dicho propósito estén no bloqueando los loggeos de entidades no reconocidas por el servidor de dominio en cuyo caso, quieres descartar infección pero sí validar que no existan detecciones de seguridad que por mismo motivo nieguen los certificados de la PKI

    https://searchsecurity.techtarget.com/definition/PKI

    Déjeme saber sus comentarios.

    No dudes en ampliar más sobre este tema si es que aún lo requirieras o de abrir una nueva consulta en caso de tener alguna situación o necesitarla con algún otro de los productos de Microsoft.

     

    Adicional le invito a consultar los siguientes recursos:

    Guía para formular preguntas en el foro

    Channel 9 - donde puedes encontrar una sección de:

     

    Gracias por usar los foros de TechNet.

    Erick Rivera

     ____

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft. 

    jueves, 23 de mayo de 2019 19:42
  • Hola Sebastianproseg, dudo mucho que ese comportamiento sea por certificados, la autenticación en un Dominio no usa certificados, usa Kerberos

    A mí parecer, o hay un "bicho", o el usuario carga alguna aplicación/servicio que hace lo que comentas

    Revisa el visor de eventos que tienen que estar errores logueados

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 23 de mayo de 2019 20:11
    Moderador
  • Hola "SebastianProseg",

    Veo que hace varias cosas...
    Realiza lo siguiente a ver si puedes tomar un poco de ventaja:

    1 - Informa que monitoreen el rango de IPs de clientes al sector de seguridad
    2 - Desde un cliente, actualiza el antivirus y realiza un full scan (contacta al fabricante tmb)
    3 - Deploya un nuevo cliente y ve si sucede lo mismo

    Aplica:

    Malicious Software Removal Tool
    https://www.microsoft.com/es-ar/download/malicious-software-removal-tool-details.aspx

    Help protect my PC with Windows Defender Offline
    https://support.microsoft.com/en-us/help/17466/windows-defender-offline-help-protect-my-pc

    Microsoft Safety Scanner
    https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

    Adicional:

    Microsoft’s Free Security Tools – Summary
    https://www.microsoft.com/security/blog/2012/10/04/microsofts-free-security-tools-summary/

    Saludos.
    jueves, 23 de mayo de 2019 20:30
  • Erick Rivera

    Muchas gracias por su respuesta.

    Como comenté anteriormente, mi sector es el laboratorio IT con un nivel de soporte técnico destinado a usuarios en un 1er y 2do nivel.

    Esto claramente limita mi incumbencia en cuanto a análisis globales de la red, y al no tener respuestas de los grupos dedicados a estas incidencias (Grupos internos "Windows" y "Linux") quedo limitado a buscar alguna pista que acercar al laboratorio a partir de los equipos mismos y su reacción ante el Logeo del usuario en cuestión.

    EN RESPUESTA A TUS PREGUNTAS:

    Es una red global corporativa.

    La implementación cuenta con un sistema de replicado en los soft's:

    - Active directory - administrando Usuarios, GPO's 

    - System Center - Para la distribución e complementación del maquetado corporativo (Imagen) por Red.

    - OCS - Como registro de componentes físicos del equipo y actividades.

    No contamos con firewall, utilizamos un agente corporativo de MCafee.

    -En cuanto a la imagen corporativa esta implementada con W10, sin embargo existen diversos usuarios con diferentes versiones y esto no presentó un problema en cuanto al funcionamiento dentro de la red. Si que esta incidencia se presenta en diferentes SO.

    Entiendo que hay poco que pueda hacer al respecto como técnico de soporte, pero si existe algún indicio del origen del problema en el comportamiento de la Pc debería poder identificarlo. Voy a echar un vistazo a los enlaces que me dejaste y si esta información te dio alguna otra pista no dudes en comentarlo.

    Muchas gracias. 



    viernes, 24 de mayo de 2019 0:05
  • Hola SebastianProseg

    Mire mi conocimiento sobre cómo atacar lo que yo sospecho de manera más fuerte como infección consiste en intentar detener el comportamiento y dejar al antivirus haga lo suyo.

    Te comento mis teoris

    Si ciertos usuarios al loggearse en cualquier equipo pierden conexión de red podría significar que tus equipos están infectados y esos usuarios tienen un nivel superior de actividades que pueden hacer en el dominio, entonces el directorio activo es defendido por el antivirus y los clientes en los equipos eliminando los procesos.

    Necesitarías correr un https://docs.microsoft.com/en-us/sysinternals/downloads/procmon process monitor para conocer si es McAffee quien está efectivamente "matando los procesos" los motivos de McAffe los desconocemos pero si ustedes apuntan a ciertos certificados puede que estos estén expirados, corruptos o los perfiles de los usuarios dañados.

    Pero trabajando sobre la idea de que estos certificados son generados por una infección McAffe no sabe qué los creo pero con el loggin script forzaríamos a que se eliminaran cada vez que se loggea el usuario en el dominio, entonces el motor de McAffe volvería a detectar los certificados en los equipos y empezando a entender qué los crea y comenzar a en base a su dominio aislar la posible causa.

    Ahora si cuentan con un laboratorio implementen su imagen corporativa aíslenla del dominio en una OU especial y monitoreen todos sus procesos de nuevo en el tiempo en que se lanzo y comparen con 1 o 2 equipos manualmente los procesos distintos de la nueva imagen deployada a la que presenta el comportamiento.

    Pero lo más importante es deployar los KBs de seguridad de Microsoft para que no se le estén inyectando + información al dominio y menos saliendo pensando en que si toda la infra está afectada o es el controlador quien está infectado instalando los certificados.

    Vaya necesitas cerrar la puerta de entrada o las puertas hacia atrás de tu dominio o dominios hacia tus clientes y hacia internet que es donde están ejecutando el código remoto que volvería a generar los certificados, este tipo de comportamiento parece que está detectado desde principios del año y yo no conozco a detalle pero sé que los perfiles de usuario se ven corruptos desde el controlador y hacia los equipos, levantando la sospecha que el "bicho" reside en el dominio y mas aún en el controlador.

    Como te mencione McAfee no ha logrado atender pero conozco que fortinet sí, que de acuerdo con ellos este comportamiento se lleva a través de la explotación de una vulnerabilidad en SSL/TLS que viene de tiempo atrás, en cuya Microsoft ha declarado que sus sistemas por defecto de configuración no se ven afectados

    https://forum.fortinet.com/tm.aspx?m=105854

    http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-security-profiles/SSL_SSH_Inspection/why_use_ssl_inspection.htm

    https://cookbook.fortinet.com/preventing-certificate-warnings/

    Le recomiendo más que ampliamente ir a https://docs.microsoft.com/es-es/security-updates/ y revisar todas las recomendaciones para asegurar que sus sistemas estén al punto.

    No dude en ampliar más sobre este tema si es que aún lo requiriera o de abrir una nueva consulta en caso de tener alguna otra situación o de necesitarla con algún otro de los productos de Microsoft.

     

    Adicional le invito a consultar los siguientes recursos:

    Guía para formular preguntas en el foro

    Channel 9 - donde puedes encontrar una sección de: Administración de Windows Servers

     

    Gracias por usar los foros de TechNet.

    Erick Rivera

     ____

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.  

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de    conocimientos relacionados con los productos y tecnologías de Microsoft.   

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.



    • Editado eRiver1 viernes, 24 de mayo de 2019 15:41 Grámatica
    • Marcado como respuesta Pablo RubioModerator jueves, 30 de mayo de 2019 20:37
    viernes, 24 de mayo de 2019 15:22