Octubre es el Mes de la Concienciación sobre Ciberseguridad, y un momento excelente para acabar con los fantasmas de configuraciones pasadas. Una de las acciones que la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) y la Alianza Nacional de Ciberseguridad (NCA) recomiendan llevar a cabo es "Actualice su software". Un punto de partida perfecto: Limpie sus dominios del anticuado protocolo de replicación SYSVOL, File Replication Service (FRS).
Lecturas relacionadas
Érase una vez...
SYSVOL es un directorio especial que reside en cada controlador de dominio (DC) dentro de un dominio. El directorio comprende carpetas que almacenan objetos de directiva de grupo (GPO) y scripts de inicio de sesión a los que los clientes necesitan acceder y sincronizar entre los DC.
Para que estos scripts de inicio de sesión y GPO funcionen correctamente, SYSVOL debe copiarse con precisión y rapidez en todo el dominio. Este proceso, denominado replicación de SYSVOL, garantiza la duplicación idéntica de las políticas relevantes de un dominio a otro DC de ese dominio.
Entonces, ¿cómo se produce la replicación de SYSVOL?
Inicialmente, con Windows 2000 Server, la replicación se gestionaba mediante el protocolo FRS. FRS sustituyó al servicio de replicación LAN Manager de Windows NT Server. Sin embargo, Microsoft eliminó FRS en Windows Server 2008. En su lugar, el protocolo Distributed File System (DFS) gestiona ahora las réplicas SYSVOL. La replicación DFS (DFSR) mejora el rendimiento de la replicación, la fiabilidad y la ciberseguridad.
¿Cuál es el problema? A pesar de haber sido sustituido por el nuevo DFSR, que funciona mejor, FRS se sigue utilizando ampliamente, especialmente en dominios que tuvieron un DC de Windows Server 2003 en algún momento. Pero al estar obsoleto, FRS ya no recibe correcciones de errores ni de seguridad.
Eso podría suponer un gran problema para los entornos en los que FRS sigue dando vueltas. El uso continuado de un protocolo antiguo que interactúa con los DC es arriesgado. Potencialmente, los atacantes pueden manipular las vulnerabilidades de FRS para comprometer SYSVOL y cambiar GPOs o scripts de inicio de sesión para propagar malware y moverse lateralmente a través del entorno. Cosas espeluznantes, sin duda.
Desterrar la replicación de FRS
En primer lugar, determine si el FRS sigue utilizándose en un DC.
- Localice la subclave de registro HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDFSRParametersSysVolsMigrating SysvolsLocalState.
- Comprueba el valor de la subclave.
- Un valor de "3" indica que DFSR está en uso.
- Un valor diferente o la ausencia de una subclave indican que FRS sigue en uso.
- Consulte el artículo de Microsoft "Backing Up and Restoring an FRS-Replicated SYSVOL Folder" para obtener más información.
Si encuentra FRS en uso en un DC, migre a DFSR y deshabilite FRS lo antes posible. El proceso de migración actualizará el proceso de replicación y corregirá los problemas de salud relacionados en su entorno.
Para obtener una guía detallada sobre la migración de FRS a DFSR, consulte el artículo de Microsoft "Migrate SYSVOL Replication to DFS Replication" o la guía SYSVOL Replication Migration Guide, disponible para su descarga en Microsoft.