SYSVOL y NETLOGON
El SYSVOL o también conocido como el “system volume” es un recurso compartido que puede almacenar información muy importante de Active Directory como lo son las directivas de grupo, scripts de inicios de sesión, copias del dominio que necesitan ser compartidas para replicación, estos archivos y carpetas del SYSVOL residen en el disco duro local de cada uno de nuestros controladores de dominio. La carpeta donde podemos encontrar este archivo es en C:\Windows\SYSVOL
El NETLOGON es un proceso que se ejecuta en segundo plano en Windows server, este tiene como función poder autenticar usuarios y servicios de nuestro dominio, es decir que este puede verificar los inicios de sesión que están registrados y autenticados en los controladores de dominio, lo que hace es mantener una conexión segura a través de procedimientos de cifrado entre el cliente y el controlador de dominio, lo que hace que se nos permita iniciar sesión de manera más sencilla.
Importancia del SYSVOL y NETLOGON
La carpeta SYSVOL es de gran importancia para Active Directory ya que esta nos da una ubicación donde podríamos encontrar los archivos que se replican a la hora de utilizar el proceso de replicación, en este se incluyen las GPO, scripts de inicio de sesión y también los scripts de inicio y apagado.
NETLOGON es de mucha importancia en nuestro entorno Active Directory ya que es un componente muy importante en la autenticación, establece canales seguros para la comunicación entre servicios NETLOGON en el sistema de origen hacia el de destino, nos ayuda enviándole al controlador de dominio solicitudes de autenticación, además identifica un controlador de dominio de nuestro dominio para así poder realizar en la autenticación, entre otras acciones más.
FRS y DFRS
El FRS o también conocido como "Servicio de replicación de archivos", se usa para replicar políticas y scripts del sistema en Windows Server, los datos que este servicio se encarga de replicar están almacenados ya sea en el SYSVOL o si no en el volumen del sistema del servidor, RFS nos permite replicar información usando Controladores de Dominio, también podemos usar el servicio para replicar archivos y sincronizar DCs a través de DFS (Distributed File System) para usar el servicio, se deben ejecutar archivos NTFRS.exe.
DFSR se traduce como "Servicio de replicación del sistema de archivos distribuidos", que también es un servicio de replicación multimaestro que nos ayuda a mantener las carpetas sincronizadas en varios servidores. Una de las cosas que hace que DFSR sea convincente es el uso de herramientas como RDC (compresión diferencial remota), que puede actualizar archivos rápidamente incluso cuando se trabaja en redes con ancho de banda limitado. DFSR está disponible en Microsoft Windows Server 2008 R2 y versiones posteriores y se puede usar para una variedad de propósitos, desde replicar el directorio SYSVOL (reemplazando el antiguo FRS) hasta reemplazar el motor de replicación del espacio de nombres DFS. A demás cabe destacar que el DFSR utiliza el RPC (llamada a procedimiento remoto) como vía principal para establecer conexión y comunicarse con otros servidores.
Métodos de replicación de SYSVOL
Como se menciona anteriormente FRS y DFRS nos ayudan a poder realizar las réplicas del SYSVOL, si tenemos un nivel de función Windows Server 2008 o superior en nuestro dominio se utiliza el DFRS, de lo contrario se utiliza el FRS.
Para FRS, la programación de SYSVOL es un atributo asociado con cada objeto de conjunto de réplicas NTFRS y con cada objeto de conexión NTDS. FRS replica SYSVOL utilizando los mismos objetos de conexión dentro del sitio y la programación creada por KCC para la replicación de Active Directory. FRS utiliza dos protocolos de replicación para SYSVOL:
● Conexión SYSVOL dentro de un sitio: Siempre se considera que la conexión está activada; cualquier programación se ignora y los archivos modificados se replican inmediatamente.
● Conexión SYSVOL entre sitios: La replicación de SYSVOL comienza entre los dos miembros entre sitios al comienzo del intervalo de 15 minutos, suponiendo que la programación esté activada. Los servidores ascendentes ignoran su programación y responden a cualquier solicitud de los servidores descendentes. Cuando se cierra la programación, el servidor ascendente solo se desconecta después de que el contenido actual del registro saliente se haya enviado y confirmado al unirse.
¿Qué es el zerologon?
Una vulnerabilidad denominada CVE-2020-1472 se denominó Zerologon descubierta por investigadores de la empresa Secura, la falla fue causada por una vulnerabilidad en el proceso de inicio de sesión.
La gravedad de esta vulnerabilidad peligrosa está clasificada como 10 de 10 (CVSS v3.1) por el Sistema de puntuación de vulnerabilidad común (CVSS), ya que la debilidad hizo uso de un error de criptografía en el protocolo NETLOGON.
El vector de inicialización (IV) siempre se estableció en ceros cuando un IV siempre debe ser un valor aleatorio. El principal inconveniente con esta vulnerabilidad es que NETLOGON también es utilizado para enviar actualizaciones de cuentas, el algoritmo inicial utilizado para cifrar el proceso de inicio de sesión en Windows NT fue 2DES, que ahora ha demostrado ser defectuoso. NWTLOGON ahora emplea el estándar de cifrado avanzado (AES) realimentación de cifrado de 8 bits (AES-CFB8), desafortunadamente, el uso de AES-CFB8 dentro de NETLOGON tiene un problema con el IV, donde debería ser un número aleatorio, pero está configurado en 16 bytes de ceros.
El principal problema es que un hacker podría haber aprovechado esta vulnerabilidad para obtener el control de nuestros controladores de dominio, incluso de un controlador de dominio raíz, cambiando o eliminando la contraseña de una cuenta de servicio del controlador, esto significa que el hacker podría provocar una denegación de servicio o tomar el control de toda nuestra red.
Sin embargo, el 11 de agosto de 2020, Microsoft lanzó una actualización de seguridad que incluía un parche para esta vulnerabilidad crítica en el protocolo NETLOGON (CVE-2020-1472).
Curiosidades de SYSVOL y NETLOGON
• Cada controlador de dominio tiene su propia carpeta SYSVOL.
• En los recursos compartidos de Windows podemos encontrar las carpetas SYSVOL y NETLOGON únicamente si al servidor al que nos conectamos es un controlador de dominio.
• No podemos deshabilitar ni ocultar nuestras carpetas SYSVOL y NETLOGON.
• No podemos encontrar estas carpetas desde maquinas clientes que usen por ejemplo Windows 7, Windows 10, Windows 11, etc.
• No se puede acceder a estas carpetas desde un panel de control DSM.
Fuentes Utilizadas
- Beal, V. (16 de Abril de 2009). Webopedia . Obtenido de https://www.webopedia.com/definitions/sysvol/
- Lois, A. (17 de Abril de 2019). Zona System. Obtenido de https://www.zonasystem.com/2019/04/migracion-replicacion-frs-dfsr-entre-controladores-dominio-windowsserver-dfsmig.html
- Lorenzo, J. A. (3 de Octubre de 2020). Redes Zone. Obtenido de https://www.redeszone.net/noticias/seguridad/vulnerabilidad-zerologon-microsoft-como-protegerte/
- Plus, E. d. (s.f.). Soluciones Plus. Obtenido de https://solucionesplus.online/que-es-netlogon/
- Wayne, D. (s.f.). Chron. Obtenido de https://smallbusiness.chron.com/netlogon-77314.html
