<!DOCTYPE html><html lang="es"><head><meta charSet="utf-8"/><title>Indicadores de exposición<!-- --> | Tenable®</title><meta name="description" content="Tenable Identity Exposure mide la madurez de seguridad de las infraestructuras de AD a través de indicadores de exposición (IoE) y asigna niveles de gravedad al flujo de eventos que supervisa y analiza. Tenable Identity Exposure desencadena alertas cuando detecta regresiones de seguridad."/><meta property="og:title" content="Indicadores de exposición"/><meta property="og:description" content="Tenable Identity Exposure mide la madurez de seguridad de las infraestructuras de AD a través de indicadores de exposición (IoE) y asigna niveles de gravedad al flujo de eventos que supervisa y analiza. Tenable Identity Exposure desencadena alertas cuando detecta regresiones de seguridad."/><meta name="twitter:title" content="Indicadores de exposición"/><meta name="twitter:description" content="Tenable Identity Exposure mide la madurez de seguridad de las infraestructuras de AD a través de indicadores de exposición (IoE) y asigna niveles de gravedad al flujo de eventos que supervisa y analiza. Tenable Identity Exposure desencadena alertas cuando detecta regresiones de seguridad."/><meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"/><meta name="viewport" content="width=device-width, initial-scale=1"/><link rel="apple-touch-icon" sizes="180x180" href="https://www.tenable.com/themes/custom/tenable/images-new/favicons/apple-touch-icon-180x180.png"/><link rel="manifest" href="https://www.tenable.com/themes/custom/tenable/images-new/favicons/manifest.json"/><link rel="icon" href="https://www.tenable.com/themes/custom/tenable/images-new/favicons/favicon.ico" sizes="any"/><link rel="icon" href="https://www.tenable.com/themes/custom/tenable/images-new/favicons/tenable-favicon.svg" type="image/svg+xml"/><meta name="msapplication-config" content="https://www.tenable.com/themes/custom/tenable/images-new/favicons/browserconfig.xml"/><meta name="theme-color" content="#ffffff"/><link rel="canonical" href="https://es-la.tenable.com/indicators/ioe"/><link rel="alternate" hrefLang="x-default" href="https://www.tenable.com/indicators/ioe"/><link rel="alternate" hrefLang="en" href="https://www.tenable.com/indicators/ioe"/><meta name="next-head-count" content="18"/><script type="text/javascript">window.NREUM||(NREUM={});NREUM.info = {"agent":"","beacon":"bam.nr-data.net","errorBeacon":"bam.nr-data.net","licenseKey":"5febff3e0e","applicationID":"96358297","agentToken":null,"applicationTime":1268.724445,"transactionName":"MVBabEEHChVXU0IIXggab11RIBYHW1VBDkMNYEpRHCgBHkJaRU52I2EXF1oIAA9VUUIOQxUaUVdW","queueTime":0,"ttGuid":"3e7deac597fd6a99"}; (window.NREUM||(NREUM={})).init={ajax:{deny_list:["bam.nr-data.net"]}};(window.NREUM||(NREUM={})).loader_config={licenseKey:"5febff3e0e",applicationID:"96358297"};;/*! For license information please see nr-loader-rum-1.283.2.min.js.LICENSE.txt */ (()=>{var e,t,r={122:(e,t,r)=>{"use strict";r.d(t,{a:()=>i});var n=r(944);function i(e,t){try{if(!e||"object"!=typeof e)return(0,n.R)(3);if(!t||"object"!=typeof t)return(0,n.R)(4);const r=Object.create(Object.getPrototypeOf(t),Object.getOwnPropertyDescriptors(t)),o=0===Object.keys(r).length?e:r;for(let a in o)if(void 0!==e[a])try{if(null===e[a]){r[a]=null;continue}Array.isArray(e[a])&&Array.isArray(t[a])?r[a]=Array.from(new Set([...e[a],...t[a]])):"object"==typeof e[a]&&"object"==typeof t[a]?r[a]=i(e[a],t[a]):r[a]=e[a]}catch(e){(0,n.R)(1,e)}return r}catch(e){(0,n.R)(2,e)}}},555:(e,t,r)=>{"use strict";r.d(t,{Vp:()=>c,fn:()=>s,x1:()=>u});var n=r(384),i=r(122);const o={beacon:n.NT.beacon,errorBeacon:n.NT.errorBeacon,licenseKey:void 0,applicationID:void 0,sa:void 0,queueTime:void 0,applicationTime:void 0,ttGuid:void 0,user:void 0,account:void 0,product:void 0,extra:void 0,jsAttributes:{},userAttributes:void 0,atts:void 0,transactionName:void 0,tNamePlain:void 0},a={};function s(e){try{const t=c(e);return!!t.licenseKey&&!!t.errorBeacon&&!!t.applicationID}catch(e){return!1}}function c(e){if(!e)throw new Error("All info objects require an agent identifier!");if(!a[e])throw new Error("Info for ".concat(e," was never set"));return a[e]}function u(e,t){if(!e)throw new Error("All info objects require an agent identifier!");a[e]=(0,i.a)(t,o);const r=(0,n.nY)(e);r&&(r.info=a[e])}},217:(e,t,r)=>{"use strict";r.d(t,{D0:()=>m,gD:()=>v,xN:()=>h});r(860).K7.genericEvents;const n="experimental.marks",i="experimental.measures",o="experimental.resources",a=e=>{if(!e||"string"!=typeof e)return!1;try{document.createDocumentFragment().querySelector(e)}catch{return!1}return!0};var s=r(614),c=r(944),u=r(384),l=r(122);const d="[data-nr-mask]",f=()=>{const e={feature_flags:[],experimental:{marks:!1,measures:!1,resources:!1},mask_selector:"*",block_selector:"[data-nr-block]",mask_input_options:{color:!1,date:!1,"datetime-local":!1,email:!1,month:!1,number:!1,range:!1,search:!1,tel:!1,text:!1,time:!1,url:!1,week:!1,textarea:!1,select:!1,password:!0}};return{ajax:{deny_list:void 0,block_internal:!0,enabled:!0,autoStart:!0},distributed_tracing:{enabled:void 0,exclude_newrelic_header:void 0,cors_use_newrelic_header:void 0,cors_use_tracecontext_headers:void 0,allowed_origins:void 0},get feature_flags(){return e.feature_flags},set feature_flags(t){e.feature_flags=t},generic_events:{enabled:!0,autoStart:!0},harvest:{interval:30},jserrors:{enabled:!0,autoStart:!0},logging:{enabled:!0,autoStart:!0},metrics:{enabled:!0,autoStart:!0},obfuscate:void 0,page_action:{enabled:!0},page_view_event:{enabled:!0,autoStart:!0},page_view_timing:{enabled:!0,autoStart:!0},performance:{get capture_marks(){return e.feature_flags.includes(n)||e.experimental.marks},set capture_marks(t){e.experimental.marks=t},get capture_measures(){return e.feature_flags.includes(i)||e.experimental.measures},set capture_measures(t){e.experimental.measures=t},capture_detail:!0,resources:{get enabled(){return e.feature_flags.includes(o)||e.experimental.resources},set enabled(t){e.experimental.resources=t},asset_types:[],first_party_domains:[],ignore_newrelic:!0}},privacy:{cookies_enabled:!0},proxy:{assets:void 0,beacon:void 0},session:{expiresMs:s.wk,inactiveMs:s.BB},session_replay:{autoStart:!0,enabled:!1,preload:!1,sampling_rate:10,error_sampling_rate:100,collect_fonts:!1,inline_images:!1,fix_stylesheets:!0,mask_all_inputs:!0,get mask_text_selector(){return e.mask_selector},set mask_text_selector(t){a(t)?e.mask_selector="".concat(t,",").concat(d):""===t||null===t?e.mask_selector=d:(0,c.R)(5,t)},get block_class(){return"nr-block"},get ignore_class(){return"nr-ignore"},get mask_text_class(){return"nr-mask"},get block_selector(){return e.block_selector},set block_selector(t){a(t)?e.block_selector+=",".concat(t):""!==t&&(0,c.R)(6,t)},get mask_input_options(){return e.mask_input_options},set mask_input_options(t){t&&"object"==typeof t?e.mask_input_options={...t,password:!0}:(0,c.R)(7,t)}},session_trace:{enabled:!0,autoStart:!0},soft_navigations:{enabled:!0,autoStart:!0},spa:{enabled:!0,autoStart:!0},ssl:void 0,user_actions:{enabled:!0,elementAttributes:["id","className","tagName","type"]}}},g={},p="All configuration objects require an agent identifier!";function m(e){if(!e)throw new Error(p);if(!g[e])throw new Error("Configuration for ".concat(e," was never set"));return g[e]}function h(e,t){if(!e)throw new Error(p);g[e]=(0,l.a)(t,f());const r=(0,u.nY)(e);r&&(r.init=g[e])}function v(e,t){if(!e)throw new Error(p);var r=m(e);if(r){for(var n=t.split("."),i=0;i<n.length-1;i++)if("object"!=typeof(r=r[n[i]]))return;r=r[n[n.length-1]]}return r}},371:(e,t,r)=>{"use strict";r.d(t,{V:()=>f,f:()=>d});var n=r(122),i=r(384),o=r(154),a=r(324);let s=0;const c={buildEnv:a.F3,distMethod:a.Xs,version:a.xv,originTime:o.WN},u={customTransaction:void 0,disabled:!1,isolatedBacklog:!1,loaderType:void 0,maxBytes:3e4,onerror:void 0,ptid:void 0,releaseIds:{},appMetadata:{},session:void 0,denyList:void 0,timeKeeper:void 0,obfuscator:void 0,harvester:void 0},l={};function d(e){if(!e)throw new Error("All runtime objects require an agent identifier!");if(!l[e])throw new Error("Runtime for ".concat(e," was never set"));return l[e]}function f(e,t){if(!e)throw new Error("All runtime objects require an agent identifier!");l[e]={...(0,n.a)(t,u),...c},Object.hasOwnProperty.call(l[e],"harvestCount")||Object.defineProperty(l[e],"harvestCount",{get:()=>++s});const r=(0,i.nY)(e);r&&(r.runtime=l[e])}},324:(e,t,r)=>{"use strict";r.d(t,{F3:()=>i,Xs:()=>o,xv:()=>n});const n="1.283.2",i="PROD",o="CDN"},154:(e,t,r)=>{"use strict";r.d(t,{OF:()=>c,RI:()=>i,WN:()=>l,bv:()=>o,gm:()=>a,mw:()=>s,sb:()=>u});var n=r(863);const i="undefined"!=typeof window&&!!window.document,o="undefined"!=typeof WorkerGlobalScope&&("undefined"!=typeof self&&self instanceof WorkerGlobalScope&&self.navigator instanceof WorkerNavigator||"undefined"!=typeof globalThis&&globalThis instanceof WorkerGlobalScope&&globalThis.navigator instanceof WorkerNavigator),a=i?window:"undefined"!=typeof WorkerGlobalScope&&("undefined"!=typeof self&&self instanceof WorkerGlobalScope&&self||"undefined"!=typeof globalThis&&globalThis instanceof WorkerGlobalScope&&globalThis),s=Boolean("hidden"===a?.document?.visibilityState),c=/iPad|iPhone|iPod/.test(a.navigator?.userAgent),u=c&&"undefined"==typeof SharedWorker,l=((()=>{const e=a.navigator?.userAgent?.match(/Firefox[/\s](\d+\.\d+)/);Array.isArray(e)&&e.length>=2&&e[1]})(),Date.now()-(0,n.t)())},687:(e,t,r)=>{"use strict";r.d(t,{Ak:()=>c,Ze:()=>d,x3:()=>u});var n=r(836),i=r(606),o=r(860),a=r(646);const s={};function c(e,t){const r={staged:!1,priority:o.P3[t]||0};l(e),s[e].get(t)||s[e].set(t,r)}function u(e,t){e&&s[e]&&(s[e].get(t)&&s[e].delete(t),g(e,t,!1),s[e].size&&f(e))}function l(e){if(!e)throw new Error("agentIdentifier required");s[e]||(s[e]=new Map)}function d(e="",t="feature",r=!1){if(l(e),!e||!s[e].get(t)||r)return g(e,t);s[e].get(t).staged=!0,f(e)}function f(e){const t=Array.from(s[e]);t.every((([e,t])=>t.staged))&&(t.sort(((e,t)=>e[1].priority-t[1].priority)),t.forEach((([t])=>{s[e].delete(t),g(e,t)})))}function g(e,t,r=!0){const o=e?n.ee.get(e):n.ee,s=i.i.handlers;if(!o.aborted&&o.backlog&&s){if(r){const e=o.backlog[t],r=s[t];if(r){for(let t=0;e&&t<e.length;++t)p(e[t],r);Object.entries(r).forEach((([e,t])=>{Object.values(t||{}).forEach((t=>{t[0]?.on&&t[0]?.context()instanceof a.y&&t[0].on(e,t[1])}))}))}}o.isolatedBacklog||delete s[t],o.backlog[t]=null,o.emit("drain-"+t,[])}}function p(e,t){var r=e[1];Object.values(t[r]||{}).forEach((t=>{var r=e[0];if(t[0]===r){var n=t[1],i=e[3],o=e[2];n.apply(i,o)}}))}},836:(e,t,r)=>{"use strict";r.d(t,{P:()=>c,ee:()=>u});var n=r(384),i=r(990),o=r(371),a=r(646),s=r(607);const c="nr@context:".concat(s.W),u=function e(t,r){var n={},s={},l={},d=!1;try{d=16===r.length&&(0,o.f)(r).isolatedBacklog}catch(e){}var f={on:p,addEventListener:p,removeEventListener:function(e,t){var r=n[e];if(!r)return;for(var i=0;i<r.length;i++)r[i]===t&&r.splice(i,1)},emit:function(e,r,n,i,o){!1!==o&&(o=!0);if(u.aborted&&!i)return;t&&o&&t.emit(e,r,n);for(var a=g(n),c=m(e),l=c.length,d=0;d<l;d++)c[d].apply(a,r);var p=v()[s[e]];p&&p.push([f,e,r,a]);return a},get:h,listeners:m,context:g,buffer:function(e,t){const r=v();if(t=t||"feature",f.aborted)return;Object.entries(e||{}).forEach((([e,n])=>{s[n]=t,t in r||(r[t]=[])}))},abort:function(){f._aborted=!0,Object.keys(f.backlog).forEach((e=>{delete f.backlog[e]}))},isBuffering:function(e){return!!v()[s[e]]},debugId:r,backlog:d?{}:t&&"object"==typeof t.backlog?t.backlog:{},isolatedBacklog:d};return Object.defineProperty(f,"aborted",{get:()=>{let e=f._aborted||!1;return e||(t&&(e=t.aborted),e)}}),f;function g(e){return e&&e instanceof a.y?e:e?(0,i.I)(e,c,(()=>new a.y(c))):new a.y(c)}function p(e,t){n[e]=m(e).concat(t)}function m(e){return n[e]||[]}function h(t){return l[t]=l[t]||e(f,t)}function v(){return f.backlog}}(void 0,"globalEE"),l=(0,n.Zm)();l.ee||(l.ee=u)},646:(e,t,r)=>{"use strict";r.d(t,{y:()=>n});class n{constructor(e){this.contextId=e}}},908:(e,t,r)=>{"use strict";r.d(t,{d:()=>n,p:()=>i});var n=r(836).ee.get("handle");function i(e,t,r,i,o){o?(o.buffer([e],i),o.emit(e,t,r)):(n.buffer([e],i),n.emit(e,t,r))}},606:(e,t,r)=>{"use strict";r.d(t,{i:()=>o});var n=r(908);o.on=a;var i=o.handlers={};function o(e,t,r,o){a(o||n.d,i,e,t,r)}function a(e,t,r,i,o){o||(o="feature"),e||(e=n.d);var a=t[o]=t[o]||{};(a[r]=a[r]||[]).push([e,i])}},878:(e,t,r)=>{"use strict";function n(e,t){return{capture:e,passive:!1,signal:t}}function i(e,t,r=!1,i){window.addEventListener(e,t,n(r,i))}function o(e,t,r=!1,i){document.addEventListener(e,t,n(r,i))}r.d(t,{DD:()=>o,jT:()=>n,sp:()=>i})},607:(e,t,r)=>{"use strict";r.d(t,{W:()=>n});const n=(0,r(566).bz)()},566:(e,t,r)=>{"use strict";r.d(t,{LA:()=>s,bz:()=>a});var n=r(154);const i="xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx";function o(e,t){return e?15&e[t]:16*Math.random()|0}function a(){const e=n.gm?.crypto||n.gm?.msCrypto;let t,r=0;return e&&e.getRandomValues&&(t=e.getRandomValues(new Uint8Array(30))),i.split("").map((e=>"x"===e?o(t,r++).toString(16):"y"===e?(3&o()|8).toString(16):e)).join("")}function s(e){const t=n.gm?.crypto||n.gm?.msCrypto;let r,i=0;t&&t.getRandomValues&&(r=t.getRandomValues(new Uint8Array(e)));const a=[];for(var s=0;s<e;s++)a.push(o(r,i++).toString(16));return a.join("")}},614:(e,t,r)=>{"use strict";r.d(t,{BB:()=>a,H3:()=>n,g:()=>u,iL:()=>c,tS:()=>s,uh:()=>i,wk:()=>o});const n="NRBA",i="SESSION",o=144e5,a=18e5,s={STARTED:"session-started",PAUSE:"session-pause",RESET:"session-reset",RESUME:"session-resume",UPDATE:"session-update"},c={SAME_TAB:"same-tab",CROSS_TAB:"cross-tab"},u={OFF:0,FULL:1,ERROR:2}},863:(e,t,r)=>{"use strict";function n(){return Math.floor(performance.now())}r.d(t,{t:()=>n})},944:(e,t,r)=>{"use strict";function n(e,t){"function"==typeof console.debug&&console.debug("New Relic Warning: https://github.com/newrelic/newrelic-browser-agent/blob/main/docs/warning-codes.md#".concat(e),t)}r.d(t,{R:()=>n})},284:(e,t,r)=>{"use strict";r.d(t,{t:()=>c,B:()=>s});var n=r(836),i=r(154);const o="newrelic";const a=new Set,s={};function c(e,t){const r=n.ee.get(t);s[t]??={},e&&"object"==typeof e&&(a.has(t)||(r.emit("rumresp",[e]),s[t]=e,a.add(t),function(e={}){try{i.gm.dispatchEvent(new CustomEvent(o,{detail:e}))}catch(e){}}({loaded:!0})))}},990:(e,t,r)=>{"use strict";r.d(t,{I:()=>i});var n=Object.prototype.hasOwnProperty;function i(e,t,r){if(n.call(e,t))return e[t];var i=r();if(Object.defineProperty&&Object.keys)try{return Object.defineProperty(e,t,{value:i,writable:!0,enumerable:!1}),i}catch(e){}return e[t]=i,i}},389:(e,t,r)=>{"use strict";function n(e,t=500,r={}){const n=r?.leading||!1;let i;return(...r)=>{n&&void 0===i&&(e.apply(this,r),i=setTimeout((()=>{i=clearTimeout(i)}),t)),n||(clearTimeout(i),i=setTimeout((()=>{e.apply(this,r)}),t))}}function i(e){let t=!1;return(...r)=>{t||(t=!0,e.apply(this,r))}}r.d(t,{J:()=>i,s:()=>n})},289:(e,t,r)=>{"use strict";r.d(t,{GG:()=>o,sB:()=>a});var n=r(878);function i(){return"undefined"==typeof document||"complete"===document.readyState}function o(e,t){if(i())return e();(0,n.sp)("load",e,t)}function a(e){if(i())return e();(0,n.DD)("DOMContentLoaded",e)}},384:(e,t,r)=>{"use strict";r.d(t,{NT:()=>o,US:()=>l,Zm:()=>a,bQ:()=>c,dV:()=>s,nY:()=>u,pV:()=>d});var n=r(154),i=r(863);const o={beacon:"bam.nr-data.net",errorBeacon:"bam.nr-data.net"};function a(){return n.gm.NREUM||(n.gm.NREUM={}),void 0===n.gm.newrelic&&(n.gm.newrelic=n.gm.NREUM),n.gm.NREUM}function s(){let e=a();return e.o||(e.o={ST:n.gm.setTimeout,SI:n.gm.setImmediate,CT:n.gm.clearTimeout,XHR:n.gm.XMLHttpRequest,REQ:n.gm.Request,EV:n.gm.Event,PR:n.gm.Promise,MO:n.gm.MutationObserver,FETCH:n.gm.fetch,WS:n.gm.WebSocket}),e}function c(e,t){let r=a();r.initializedAgents??={},t.initializedAt={ms:(0,i.t)(),date:new Date},r.initializedAgents[e]=t}function u(e){let t=a();return t.initializedAgents?.[e]}function l(e,t){a()[e]=t}function d(){return function(){let e=a();const t=e.info||{};e.info={beacon:o.beacon,errorBeacon:o.errorBeacon,...t}}(),function(){let e=a();const t=e.init||{};e.init={...t}}(),s(),function(){let e=a();const t=e.loader_config||{};e.loader_config={...t}}(),a()}},843:(e,t,r)=>{"use strict";r.d(t,{u:()=>i});var n=r(878);function i(e,t=!1,r,i){(0,n.DD)("visibilitychange",(function(){if(t)return void("hidden"===document.visibilityState&&e());e(document.visibilityState)}),r,i)}},434:(e,t,r)=>{"use strict";r.d(t,{Jt:()=>o,YM:()=>c});var n=r(836),i=r(607);const o="nr@original:".concat(i.W);var a=Object.prototype.hasOwnProperty,s=!1;function c(e,t){return e||(e=n.ee),r.inPlace=function(e,t,n,i,o){n||(n="");const a="-"===n.charAt(0);for(let s=0;s<t.length;s++){const c=t[s],u=e[c];l(u)||(e[c]=r(u,a?c+n:n,i,c,o))}},r.flag=o,r;function r(t,r,n,s,c){return l(t)?t:(r||(r=""),nrWrapper[o]=t,function(e,t,r){if(Object.defineProperty&&Object.keys)try{return Object.keys(e).forEach((function(r){Object.defineProperty(t,r,{get:function(){return e[r]},set:function(t){return e[r]=t,t}})})),t}catch(e){u([e],r)}for(var n in e)a.call(e,n)&&(t[n]=e[n])}(t,nrWrapper,e),nrWrapper);function nrWrapper(){var o,a,l,d;try{a=this,o=[...arguments],l="function"==typeof n?n(o,a):n||{}}catch(t){u([t,"",[o,a,s],l],e)}i(r+"start",[o,a,s],l,c);try{return d=t.apply(a,o)}catch(e){throw i(r+"err",[o,a,e],l,c),e}finally{i(r+"end",[o,a,d],l,c)}}}function i(r,n,i,o){if(!s||t){var a=s;s=!0;try{e.emit(r,n,i,t,o)}catch(t){u([t,r,n,i],e)}s=a}}}function u(e,t){t||(t=n.ee);try{t.emit("internal-error",e)}catch(e){}}function l(e){return!(e&&"function"==typeof e&&e.apply&&!e[o])}},993:(e,t,r)=>{"use strict";r.d(t,{A$:()=>o,ET:()=>a,p_:()=>i});var n=r(860);const i={ERROR:"ERROR",WARN:"WARN",INFO:"INFO",DEBUG:"DEBUG",TRACE:"TRACE"},o={OFF:0,ERROR:1,WARN:2,INFO:3,DEBUG:4,TRACE:5},a="log";n.K7.logging},773:(e,t,r)=>{"use strict";r.d(t,{z_:()=>o,XG:()=>s,TZ:()=>n,rs:()=>i,xV:()=>a});r(154),r(566),r(384);const n=r(860).K7.metrics,i="sm",o="cm",a="storeSupportabilityMetrics",s="storeEventMetrics"},630:(e,t,r)=>{"use strict";r.d(t,{T:()=>n});const n=r(860).K7.pageViewEvent},782:(e,t,r)=>{"use strict";r.d(t,{T:()=>n});const n=r(860).K7.pageViewTiming},344:(e,t,r)=>{"use strict";r.d(t,{G4:()=>i});var n=r(614);r(860).K7.sessionReplay;const i={RECORD:"recordReplay",PAUSE:"pauseReplay",REPLAY_RUNNING:"replayRunning",ERROR_DURING_REPLAY:"errorDuringReplay"};n.g.ERROR,n.g.FULL,n.g.OFF},234:(e,t,r)=>{"use strict";r.d(t,{W:()=>o});var n=r(836),i=r(687);class o{constructor(e,t){this.agentIdentifier=e,this.ee=n.ee.get(e),this.featureName=t,this.blocked=!1}deregisterDrain(){(0,i.x3)(this.agentIdentifier,this.featureName)}}},603:(e,t,r)=>{"use strict";r.d(t,{j:()=>K});var n=r(860),i=r(555),o=r(371),a=r(908),s=r(836),c=r(687),u=r(289),l=r(154),d=r(944),f=r(773),g=r(384),p=r(344);const m=["setErrorHandler","finished","addToTrace","addRelease","recordCustomEvent","addPageAction","setCurrentRouteName","setPageViewName","setCustomAttribute","interaction","noticeError","setUserId","setApplicationVersion","start",p.G4.RECORD,p.G4.PAUSE,"log","wrapLogger"],h=["setErrorHandler","finished","addToTrace","addRelease"];var v=r(863),b=r(614),y=r(993);var w=r(646),R=r(434);const A=new Map;function E(e,t,r,n){if("object"!=typeof t||!t||"string"!=typeof r||!r||"function"!=typeof t[r])return(0,d.R)(29);const i=function(e){return(e||s.ee).get("logger")}(e),o=(0,R.YM)(i),a=new w.y(s.P);a.level=n.level,a.customAttributes=n.customAttributes;const c=t[r]?.[R.Jt]||t[r];return A.set(c,a),o.inPlace(t,[r],"wrap-logger-",(()=>A.get(c))),i}function _(){const e=(0,g.pV)();m.forEach((t=>{e[t]=(...r)=>function(t,...r){let n=[];return Object.values(e.initializedAgents).forEach((e=>{e&&e.api?e.exposed&&e.api[t]&&n.push(e.api[t](...r)):(0,d.R)(38,t)})),n.length>1?n:n[0]}(t,...r)}))}const x={};function N(e,t,g=!1){t||(0,c.Ak)(e,"api");const m={};var w=s.ee.get(e),R=w.get("tracer");x[e]=b.g.OFF,w.on(p.G4.REPLAY_RUNNING,(t=>{x[e]=t}));var A="api-",_=A+"ixn-";function N(t,r,n,o){const a=(0,i.Vp)(e);return null===r?delete a.jsAttributes[t]:(0,i.x1)(e,{...a,jsAttributes:{...a.jsAttributes,[t]:r}}),j(A,n,!0,o||null===r?"session":void 0)(t,r)}function k(){}m.log=function(e,{customAttributes:t={},level:r=y.p_.INFO}={}){(0,a.p)(f.xV,["API/log/called"],void 0,n.K7.metrics,w),function(e,t,r={},i=y.p_.INFO){(0,a.p)(f.xV,["API/logging/".concat(i.toLowerCase(),"/called")],void 0,n.K7.metrics,e),(0,a.p)(y.ET,[(0,v.t)(),t,r,i],void 0,n.K7.logging,e)}(w,e,t,r)},m.wrapLogger=(e,t,{customAttributes:r={},level:i=y.p_.INFO}={})=>{(0,a.p)(f.xV,["API/wrapLogger/called"],void 0,n.K7.metrics,w),E(w,e,t,{customAttributes:r,level:i})},h.forEach((e=>{m[e]=j(A,e,!0,"api")})),m.addPageAction=j(A,"addPageAction",!0,n.K7.genericEvents),m.recordCustomEvent=j(A,"recordCustomEvent",!0,n.K7.genericEvents),m.setPageViewName=function(t,r){if("string"==typeof t)return"/"!==t.charAt(0)&&(t="/"+t),(0,o.f)(e).customTransaction=(r||"http://custom.transaction")+t,j(A,"setPageViewName",!0)()},m.setCustomAttribute=function(e,t,r=!1){if("string"==typeof e){if(["string","number","boolean"].includes(typeof t)||null===t)return N(e,t,"setCustomAttribute",r);(0,d.R)(40,typeof t)}else(0,d.R)(39,typeof e)},m.setUserId=function(e){if("string"==typeof e||null===e)return N("enduser.id",e,"setUserId",!0);(0,d.R)(41,typeof e)},m.setApplicationVersion=function(e){if("string"==typeof e||null===e)return N("application.version",e,"setApplicationVersion",!1);(0,d.R)(42,typeof e)},m.start=()=>{try{(0,a.p)(f.xV,["API/start/called"],void 0,n.K7.metrics,w),w.emit("manual-start-all")}catch(e){(0,d.R)(23,e)}},m[p.G4.RECORD]=function(){(0,a.p)(f.xV,["API/recordReplay/called"],void 0,n.K7.metrics,w),(0,a.p)(p.G4.RECORD,[],void 0,n.K7.sessionReplay,w)},m[p.G4.PAUSE]=function(){(0,a.p)(f.xV,["API/pauseReplay/called"],void 0,n.K7.metrics,w),(0,a.p)(p.G4.PAUSE,[],void 0,n.K7.sessionReplay,w)},m.interaction=function(e){return(new k).get("object"==typeof e?e:{})};const T=k.prototype={createTracer:function(e,t){var r={},i=this,o="function"==typeof t;return(0,a.p)(f.xV,["API/createTracer/called"],void 0,n.K7.metrics,w),g||(0,a.p)(_+"tracer",[(0,v.t)(),e,r],i,n.K7.spa,w),function(){if(R.emit((o?"":"no-")+"fn-start",[(0,v.t)(),i,o],r),o)try{return t.apply(this,arguments)}catch(e){const t="string"==typeof e?new Error(e):e;throw R.emit("fn-err",[arguments,this,t],r),t}finally{R.emit("fn-end",[(0,v.t)()],r)}}}};function j(e,t,r,i){return function(){return(0,a.p)(f.xV,["API/"+t+"/called"],void 0,n.K7.metrics,w),i&&(0,a.p)(e+t,[r?(0,v.t)():performance.now(),...arguments],r?null:this,i,w),r?void 0:this}}function I(){r.e(296).then(r.bind(r,778)).then((({setAPI:t})=>{t(e),(0,c.Ze)(e,"api")})).catch((e=>{(0,d.R)(27,e),w.abort()}))}return["actionText","setName","setAttribute","save","ignore","onEnd","getContext","end","get"].forEach((e=>{T[e]=j(_,e,void 0,g?n.K7.softNav:n.K7.spa)})),m.setCurrentRouteName=g?j(_,"routeName",void 0,n.K7.softNav):j(A,"routeName",!0,n.K7.spa),m.noticeError=function(t,r){"string"==typeof t&&(t=new Error(t)),(0,a.p)(f.xV,["API/noticeError/called"],void 0,n.K7.metrics,w),(0,a.p)("err",[t,(0,v.t)(),!1,r,!!x[e]],void 0,n.K7.jserrors,w)},l.RI?(0,u.GG)((()=>I()),!0):I(),m}var k=r(217),T=r(122);const j={accountID:void 0,trustKey:void 0,agentID:void 0,licenseKey:void 0,applicationID:void 0,xpid:void 0},I={};var O=r(284);const S=e=>{const t=e.startsWith("http");e+="/",r.p=t?e:"https://"+e};let P=!1;function K(e,t={},r,n){let{init:a,info:c,loader_config:u,runtime:d={},exposed:f=!0}=t;d.loaderType=r;const p=(0,g.pV)();c||(a=p.init,c=p.info,u=p.loader_config),(0,k.xN)(e.agentIdentifier,a||{}),function(e,t){if(!e)throw new Error("All loader-config objects require an agent identifier!");I[e]=(0,T.a)(t,j);const r=(0,g.nY)(e);r&&(r.loader_config=I[e])}(e.agentIdentifier,u||{}),c.jsAttributes??={},l.bv&&(c.jsAttributes.isWorker=!0),(0,i.x1)(e.agentIdentifier,c);const m=(0,k.D0)(e.agentIdentifier),h=[c.beacon,c.errorBeacon];P||(m.proxy.assets&&(S(m.proxy.assets),h.push(m.proxy.assets)),m.proxy.beacon&&h.push(m.proxy.beacon),_(),(0,g.US)("activatedFeatures",O.B),e.runSoftNavOverSpa&&=!0===m.soft_navigations.enabled&&m.feature_flags.includes("soft_nav")),d.denyList=[...m.ajax.deny_list||[],...m.ajax.block_internal?h:[]],d.ptid=e.agentIdentifier,(0,o.V)(e.agentIdentifier,d),e.ee=s.ee.get(e.agentIdentifier),void 0===e.api&&(e.api=N(e.agentIdentifier,n,e.runSoftNavOverSpa)),void 0===e.exposed&&(e.exposed=f),P=!0}},374:(e,t,r)=>{r.nc=(()=>{try{return document?.currentScript?.nonce}catch(e){}return""})()},860:(e,t,r)=>{"use strict";r.d(t,{$J:()=>u,K7:()=>s,P3:()=>c,XX:()=>i,qY:()=>n,v4:()=>a});const n="events",i="jserrors",o="browser/blobs",a="rum",s={ajax:"ajax",genericEvents:"generic_events",jserrors:i,logging:"logging",metrics:"metrics",pageAction:"page_action",pageViewEvent:"page_view_event",pageViewTiming:"page_view_timing",sessionReplay:"session_replay",sessionTrace:"session_trace",softNav:"soft_navigations",spa:"spa"},c={[s.pageViewEvent]:1,[s.pageViewTiming]:2,[s.metrics]:3,[s.jserrors]:4,[s.spa]:5,[s.ajax]:6,[s.sessionTrace]:7,[s.softNav]:8,[s.sessionReplay]:9,[s.logging]:10,[s.genericEvents]:11},u={[s.pageViewEvent]:a,[s.pageViewTiming]:n,[s.ajax]:n,[s.spa]:n,[s.softNav]:n,[s.metrics]:i,[s.jserrors]:i,[s.sessionTrace]:o,[s.sessionReplay]:o,[s.logging]:"browser/logs",[s.genericEvents]:"ins"}}},n={};function i(e){var t=n[e];if(void 0!==t)return t.exports;var o=n[e]={exports:{}};return r[e](o,o.exports,i),o.exports}i.m=r,i.d=(e,t)=>{for(var r in t)i.o(t,r)&&!i.o(e,r)&&Object.defineProperty(e,r,{enumerable:!0,get:t[r]})},i.f={},i.e=e=>Promise.all(Object.keys(i.f).reduce(((t,r)=>(i.f[r](e,t),t)),[])),i.u=e=>"nr-rum-1.283.2.min.js",i.o=(e,t)=>Object.prototype.hasOwnProperty.call(e,t),e={},t="NRBA-1.283.2.PROD:",i.l=(r,n,o,a)=>{if(e[r])e[r].push(n);else{var s,c;if(void 0!==o)for(var u=document.getElementsByTagName("script"),l=0;l<u.length;l++){var d=u[l];if(d.getAttribute("src")==r||d.getAttribute("data-webpack")==t+o){s=d;break}}if(!s){c=!0;var f={296:"sha512-2Y8GMAOGF658KnXzOZ/v+DlLch8TBFvV0tTNnOy9wrpvtDa1t5CdZMyX+LubTymBlzPp6NUjllBghMCZqXBPmg=="};(s=document.createElement("script")).charset="utf-8",s.timeout=120,i.nc&&s.setAttribute("nonce",i.nc),s.setAttribute("data-webpack",t+o),s.src=r,0!==s.src.indexOf(window.location.origin+"/")&&(s.crossOrigin="anonymous"),f[a]&&(s.integrity=f[a])}e[r]=[n];var g=(t,n)=>{s.onerror=s.onload=null,clearTimeout(p);var i=e[r];if(delete e[r],s.parentNode&&s.parentNode.removeChild(s),i&&i.forEach((e=>e(n))),t)return t(n)},p=setTimeout(g.bind(null,void 0,{type:"timeout",target:s}),12e4);s.onerror=g.bind(null,s.onerror),s.onload=g.bind(null,s.onload),c&&document.head.appendChild(s)}},i.r=e=>{"undefined"!=typeof Symbol&&Symbol.toStringTag&&Object.defineProperty(e,Symbol.toStringTag,{value:"Module"}),Object.defineProperty(e,"__esModule",{value:!0})},i.p="https://js-agent.newrelic.com/",(()=>{var e={374:0,840:0};i.f.j=(t,r)=>{var n=i.o(e,t)?e[t]:void 0;if(0!==n)if(n)r.push(n[2]);else{var o=new Promise(((r,i)=>n=e[t]=[r,i]));r.push(n[2]=o);var a=i.p+i.u(t),s=new Error;i.l(a,(r=>{if(i.o(e,t)&&(0!==(n=e[t])&&(e[t]=void 0),n)){var o=r&&("load"===r.type?"missing":r.type),a=r&&r.target&&r.target.src;s.message="Loading chunk "+t+" failed.\n("+o+": "+a+")",s.name="ChunkLoadError",s.type=o,s.request=a,n[1](s)}}),"chunk-"+t,t)}};var t=(t,r)=>{var n,o,[a,s,c]=r,u=0;if(a.some((t=>0!==e[t]))){for(n in s)i.o(s,n)&&(i.m[n]=s[n]);if(c)c(i)}for(t&&t(r);u<a.length;u++)o=a[u],i.o(e,o)&&e[o]&&e[o][0](),e[o]=0},r=self["webpackChunk:NRBA-1.283.2.PROD"]=self["webpackChunk:NRBA-1.283.2.PROD"]||[];r.forEach(t.bind(null,0)),r.push=t.bind(null,r.push.bind(r))})(),(()=>{"use strict";i(374);var e=i(944),t=i(344),r=i(566);class n{agentIdentifier;constructor(){this.agentIdentifier=(0,r.LA)(16)}#e(t,...r){if("function"==typeof this.api?.[t])return this.api[t](...r);(0,e.R)(35,t)}addPageAction(e,t){return this.#e("addPageAction",e,t)}recordCustomEvent(e,t){return this.#e("recordCustomEvent",e,t)}setPageViewName(e,t){return this.#e("setPageViewName",e,t)}setCustomAttribute(e,t,r){return this.#e("setCustomAttribute",e,t,r)}noticeError(e,t){return this.#e("noticeError",e,t)}setUserId(e){return this.#e("setUserId",e)}setApplicationVersion(e){return this.#e("setApplicationVersion",e)}setErrorHandler(e){return this.#e("setErrorHandler",e)}addRelease(e,t){return this.#e("addRelease",e,t)}log(e,t){return this.#e("log",e,t)}}class o extends n{#e(t,...r){if("function"==typeof this.api?.[t])return this.api[t](...r);(0,e.R)(35,t)}start(){return this.#e("start")}finished(e){return this.#e("finished",e)}recordReplay(){return this.#e(t.G4.RECORD)}pauseReplay(){return this.#e(t.G4.PAUSE)}addToTrace(e){return this.#e("addToTrace",e)}setCurrentRouteName(e){return this.#e("setCurrentRouteName",e)}interaction(){return this.#e("interaction")}wrapLogger(e,t,r){return this.#e("wrapLogger",e,t,r)}}var a=i(860),s=i(217);const c=Object.values(a.K7);function u(e){const t={};return c.forEach((r=>{t[r]=function(e,t){return!0===(0,s.gD)(t,"".concat(e,".enabled"))}(r,e)})),t}var l=i(603);var d=i(687),f=i(234),g=i(289),p=i(154),m=i(384);const h=e=>p.RI&&!0===(0,s.gD)(e,"privacy.cookies_enabled");function v(e){return!!(0,m.dV)().o.MO&&h(e)&&!0===(0,s.gD)(e,"session_trace.enabled")}var b=i(389);class y extends f.W{constructor(e,t,r=!0){super(e.agentIdentifier,t),this.auto=r,this.abortHandler=void 0,this.featAggregate=void 0,this.onAggregateImported=void 0,!1===e.init[this.featureName].autoStart&&(this.auto=!1),this.auto?(0,d.Ak)(e.agentIdentifier,t):this.ee.on("manual-start-all",(0,b.J)((()=>{(0,d.Ak)(e.agentIdentifier,this.featureName),this.auto=!0,this.importAggregator(e)})))}importAggregator(t,r={}){if(this.featAggregate||!this.auto)return;let n;this.onAggregateImported=new Promise((e=>{n=e}));const o=async()=>{let o;try{if(h(this.agentIdentifier)){const{setupAgentSession:e}=await i.e(296).then(i.bind(i,861));o=e(t)}}catch(t){(0,e.R)(20,t),this.ee.emit("internal-error",[t]),this.featureName===a.K7.sessionReplay&&this.abortHandler?.()}try{if(!this.#t(this.featureName,o))return(0,d.Ze)(this.agentIdentifier,this.featureName),void n(!1);const{lazyFeatureLoader:e}=await i.e(296).then(i.bind(i,103)),{Aggregate:a}=await e(this.featureName,"aggregate");this.featAggregate=new a(t,r),t.runtime.harvester.initializedAggregates.push(this.featAggregate),n(!0)}catch(t){(0,e.R)(34,t),this.abortHandler?.(),(0,d.Ze)(this.agentIdentifier,this.featureName,!0),n(!1),this.ee&&this.ee.abort()}};p.RI?(0,g.GG)((()=>o()),!0):o()}#t(e,t){switch(e){case a.K7.sessionReplay:return v(this.agentIdentifier)&&!!t;case a.K7.sessionTrace:return!!t;default:return!0}}}var w=i(630);class R extends y{static featureName=w.T;constructor(e,t=!0){super(e,w.T,t),this.importAggregator(e)}}var A=i(908),E=i(843),_=i(878),x=i(782),N=i(863);class k extends y{static featureName=x.T;constructor(e,t=!0){super(e,x.T,t),p.RI&&((0,E.u)((()=>(0,A.p)("docHidden",[(0,N.t)()],void 0,x.T,this.ee)),!0),(0,_.sp)("pagehide",(()=>(0,A.p)("winPagehide",[(0,N.t)()],void 0,x.T,this.ee))),this.importAggregator(e))}}var T=i(773);class j extends y{static featureName=T.TZ;constructor(e,t=!0){super(e,T.TZ,t),this.importAggregator(e)}}new class extends o{constructor(t){super(),p.gm?(this.features={},(0,m.bQ)(this.agentIdentifier,this),this.desiredFeatures=new Set(t.features||[]),this.desiredFeatures.add(R),this.runSoftNavOverSpa=[...this.desiredFeatures].some((e=>e.featureName===a.K7.softNav)),(0,l.j)(this,t,t.loaderType||"agent"),this.run()):(0,e.R)(21)}get config(){return{info:this.info,init:this.init,loader_config:this.loader_config,runtime:this.runtime}}run(){try{const t=u(this.agentIdentifier),r=[...this.desiredFeatures];r.sort(((e,t)=>a.P3[e.featureName]-a.P3[t.featureName])),r.forEach((r=>{if(!t[r.featureName]&&r.featureName!==a.K7.pageViewEvent)return;if(this.runSoftNavOverSpa&&r.featureName===a.K7.spa)return;if(!this.runSoftNavOverSpa&&r.featureName===a.K7.softNav)return;const n=function(e){switch(e){case a.K7.ajax:return[a.K7.jserrors];case a.K7.sessionTrace:return[a.K7.ajax,a.K7.pageViewEvent];case a.K7.sessionReplay:return[a.K7.sessionTrace];case a.K7.pageViewTiming:return[a.K7.pageViewEvent];default:return[]}}(r.featureName).filter((e=>!(e in this.features)));n.length>0&&(0,e.R)(36,{targetFeature:r.featureName,missingDependencies:n}),this.features[r.featureName]=new r(this)}))}catch(t){(0,e.R)(22,t);for(const e in this.features)this.features[e].abortHandler?.();const r=(0,m.Zm)();delete r.initializedAgents[this.agentIdentifier]?.api,delete r.initializedAgents[this.agentIdentifier]?.features,delete this.sharedAggregator;return r.ee.get(this.agentIdentifier).abort(),!1}}}({features:[R,k,j],loaderType:"lite"})})()})();</script><link data-next-font="size-adjust" rel="preconnect" href="/" crossorigin="anonymous"/><link nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" rel="preload" href="/_next/static/css/92f230208c8f5fec.css" as="style"/><link nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" rel="stylesheet" href="/_next/static/css/92f230208c8f5fec.css" data-n-g=""/><noscript data-n-css="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm"></noscript><script defer="" nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" nomodule="" src="/_next/static/chunks/polyfills-42372ed130431b0a.js"></script><script src="/_next/static/chunks/webpack-a707e99c69361791.js" nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" defer=""></script><script src="/_next/static/chunks/framework-945b357d4a851f4b.js" nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" defer=""></script><script src="/_next/static/chunks/main-46992b6f0e7a85fe.js" nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" defer=""></script><script src="/_next/static/chunks/pages/_app-07799d5d5820dde3.js" nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" defer=""></script><script src="/_next/static/chunks/178-1500985f9b087e1a.js" nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" defer=""></script><script src="/_next/static/chunks/pages/indicators/ioe-84467d2b30dee036.js" nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" defer=""></script><script src="/_next/static/RsIzRDoxGcJZTeqNY4h8D/_buildManifest.js" nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" defer=""></script><script src="/_next/static/RsIzRDoxGcJZTeqNY4h8D/_ssgManifest.js" nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm" defer=""></script></head><body data-base-url="https://www.tenable.com" data-ga4-tracking-id=""><div id="__next"><div class="app__wrapper"><header class="banner"><div class="nav-wrapper"><ul class="list-inline nav-brand"><li class="list-inline-item"><a href="https://www.tenable.com"><img class="logo" src="https://www.tenable.com/themes/custom/tenable/img/logo.png" alt="Tenable"/></a></li><li class="list-inline-item"><a class="app-name" href="https://es-la.tenable.com/indicators">Indicadores</a></li></ul><ul class="nav-dropdown nav"><li class="d-none d-md-block dropdown nav-item"><a aria-haspopup="true" href="#" class="dropdown-toggle nav-link" aria-expanded="false">Configuración</a><div tabindex="-1" role="menu" aria-hidden="true" class="dropdown-menu dropdown-menu-right"><h6 tabindex="-1" class="dropdown-header">Vínculos</h6><a href="https://cloud.tenable.com" role="menuitem" class="dropdown-item">Tenable Cloud<!-- --> <i class="fas fa-external-link-alt external-link"></i></a><a href="https://community.tenable.com/login" role="menuitem" class="dropdown-item">Comunidad y soporte de Tenable<!-- --> <i class="fas fa-external-link-alt external-link"></i></a><a href="https://university.tenable.com/lms/index.php?r=site/sso&amp;sso_type=saml" role="menuitem" class="dropdown-item">Tenable University<!-- --> <i class="fas fa-external-link-alt external-link"></i></a><div tabindex="-1" class="dropdown-divider"></div><span tabindex="-1" class="dropdown-item-text"><div class="d-flex justify-content-between toggle-btn-group flex-row"><div class="label">Tema</div><div role="group" class="ml-3 btn-group-sm btn-group"><button type="button" class="toggle-btn btn btn-outline-primary active">Claro</button><button type="button" class="toggle-btn btn btn-outline-primary">Oscuro</button><button type="button" class="toggle-btn btn btn-outline-primary">Automático</button></div></div></span><div tabindex="-1" class="dropdown-divider"></div><button type="button" tabindex="0" role="menuitem" class="dropdown-item-link dropdown-item">Ayuda</button></div></li></ul><div class="d-block d-md-none"><button type="button" aria-label="Toggle Overlay" class="btn btn-link nav-toggle"><i class="fas fa-bars fa-2x"></i></button></div></div></header><div class="mobile-nav closed"><ul class="flex-column nav"><li class="mobile-header nav-item"><a href="https://www.tenable.com" class="float-left nav-link"><img class="logo" src="https://www.tenable.com/themes/custom/tenable/img/logo-teal.png" alt="Tenable"/></a><a class="float-right mr-2 nav-link"><i class="fas fa-times fa-lg"></i></a></li><li class="nav-item"><a class="nav-link">Plug-ins<i class="float-right mt-1 fas fa-chevron-right"></i></a></li><div class="collapse"><div class="mobile-collapse"><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins">Overview</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins/newest">Más recientes</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins/updated">Actualizados</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins/search">Búsqueda</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins/nessus/families?type=nessus">Familias de Nessus</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins/families/about">Acerca de las familias de plug-ins</a></li></div></div><li class="nav-item"><a class="nav-link">Indicadores<i class="float-right mt-1 fas fa-chevron-right"></i></a></li><div class="collapse"><div class="mobile-collapse"><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/indicators">Overview</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/indicators/search">Búsqueda</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/indicators/ioa">Indicadores de ataque</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/indicators/ioe">Indicadores de exposición</a></li></div></div><ul id="links-nav" class="flex-column mt-5 nav"><li class="nav-item"><a class="nav-link">Vínculos<i class="float-right mt-1 fas fa-chevron-right"></i></a></li><div class="collapse"><div class="mobile-collapse"><li class="nav-item"><a href="https://cloud.tenable.com" class="nav-link">Tenable Cloud</a></li><li class="nav-item"><a href="https://community.tenable.com/login" class="nav-link">Comunidad y soporte de Tenable</a></li><li class="nav-item"><a href="https://university.tenable.com/lms/index.php?r=site/sso&amp;sso_type=saml" class="nav-link">Tenable University</a></li></div></div><li class="nav-item"><a class="nav-link">Configuración<i class="float-right mt-1 fas fa-chevron-right"></i></a></li><div class="collapse"><div class="mobile-collapse py-3"><li class="nav-item"><div class="d-flex justify-content-between toggle-btn-group flex-row"><div class="label">Tema</div><div role="group" class="ml-3 btn-group-sm btn-group"><button type="button" class="toggle-btn btn btn-outline-primary active">Claro</button><button type="button" class="toggle-btn btn btn-outline-primary">Oscuro</button><button type="button" class="toggle-btn btn btn-outline-primary">Automático</button></div></div></li></div></div></ul></ul></div><div class="app__container"><div class="app__content"><div class="card callout callout-alert callout-bg-danger mb-4"><div class="card-body"><h5 class="mb-2 text-white">Your browser is no longer supported</h5><p class="text-white">Please update or use another browser for this application to function correctly.</p></div></div><div class="row"><div class="col-3 col-xl-2 d-none d-md-block"><h6 class="side-nav-heading">Detecciones</h6><ul class="side-nav bg-white sticky-top nav flex-column"><li class="nav-item"><a type="button" class="nav-link">Indicadores<i class="float-right mt-1 fas fa-chevron-down"></i></a></li><div class="side-nav-collapse collapse show"><li class="false nav-item"><a href="/indicators" class="nav-link"><span>Información general</span></a></li><li class="false nav-item"><a href="/indicators/search" class="nav-link"><span>Búsqueda</span></a></li><li class="false nav-item"><a href="/indicators/ioa" class="nav-link"><span>Indicadores de ataque</span></a></li><li class="active nav-item"><a href="/indicators/ioe" class="nav-link"><span>Indicadores de exposición</span></a></li></div></ul></div><div class="col-12 col-md-9 col-xl-10"><nav class="d-none d-md-block" aria-label="breadcrumb"><ol class="breadcrumb"><li class="breadcrumb-item"><a href="https://es-la.tenable.com/indicators">Indicadores</a></li><li class="active breadcrumb-item" aria-current="page">Indicadores de exposición</li></ol></nav><nav class="d-md-none" aria-label="breadcrumb"><ol class="breadcrumb"><li class="breadcrumb-item"><a href="https://es-la.tenable.com/indicators"><i class="fas fa-chevron-left"></i> <!-- -->Indicadores</a></li></ol></nav><h1 class="mb-3 h2">Indicadores de exposición</h1><div class="card"><div class="p-3 card-body"><nav class="" aria-label="pagination"><ul class="justify-content-between pagination pagination"><li class="page-item disabled"><a class="page-link page-previous" href="https://es-la.tenable.com/indicators/ioe?page=0">‹‹ <!-- -->Anterior<span class="sr-only"> <!-- -->Anterior</span></a></li><li class="page-item disabled"><a class="page-link page-text">Página 1 de 3<!-- --> <span class="d-none d-sm-inline">• <!-- -->105 en total</span></a></li><li class="page-item"><a class="page-link page-next" href="https://es-la.tenable.com/indicators/ioe?page=2"><span class="sr-only">Siguiente</span>Siguiente<!-- --> ››</a></li></ul></nav><div class="table-responsive"><table class="results-table table"><thead><tr><th>Nombre</th><th>Descripción</th><th>Gravedad</th></tr></thead><tbody><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-CONFLICTED-OBJECTS">Entidades de seguridad en conflicto</a></td><td><p>Comprueba que no haya usuarios, equipos ni grupos duplicados (en conflicto).</p> </td><td><h6 class="m-1"><span class="badge badge-low">low</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-SHADOW-CREDENTIALS">Shadow Credentials</a></td><td><p>Detecta puertas traseras y errores de configuración de Shadow Credentials en la característica “Windows Hello para Empresas” y las credenciales de claves asociadas.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-GUEST-ACCOUNT">Cuenta de invitado habilitada</a></td><td><p>Comprueba que la cuenta de invitado integrada esté deshabilitada.</p> </td><td><h6 class="m-1"><span class="badge badge-low">low</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-MSA-COMPLIANCE">Errores de configuración peligrosos en cuentas de servicios administradas</a></td><td><p>Se asegura de que las cuentas de servicios administradas (MSAs) se implementen y configuren correctamente.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-AAD-PRIV-SYNC">Cuentas de usuario de AD privilegiadas sincronizadas con Microsoft Entra ID</a></td><td><p>Comprueba que las cuentas de usuario de Active Directory privilegiadas no se sincronicen con Microsoft Entra ID.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-AUTH-SILO">Configuración de silos de autenticación con privilegios</a></td><td><p>Una guía detallada de la configuración de un silo de autenticación para cuentas con privilegios (nivel 0).</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-DYNAMIC-UPDATES">Actualizaciones dinámicas sin protección permitidas de zonas DNS</a></td><td><p>Comprueba que la configuración de servidores DNS no permita las actualizaciones dinámicas sin protección de las zonas DNS.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-WSUS-HARDENING">Errores de configuración peligrosos de WSUS</a></td><td><p>Enumera los parámetros con errores de configuración relacionados con Windows Server Update Services (WSUS).</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-PROP-SET-SANITY">Integridad de Property Sets</a></td><td><p>Comprueba la integridad de property sets y valida los permisos</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-DFS-MISCONFIG">Configuración peligrosa de replicación de SYSVOL</a></td><td><p>Comprueba que el mecanismo de "Distributed File System Replication" (DFS-R) haya sustituido a "File Replication Service" (FRS).</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-PASSWORD-HASHES-ANALYSIS">Detección de debilidades en contraseñas</a></td><td><p>Comprueba si hay debilidades en las contraseñas que pudieran aumentar la vulnerabilidad de las cuentas de Active Directory.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-RANSOMWARE-HARDENING">Endurecimiento insuficiente frente al ransomware</a></td><td><p>Se asegura de que el dominio haya implementado medidas de endurecimiento para protegerse frente al ransomware.</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-PKI-DANG-ACCESS">Errores de configuración peligrosos de AD CS</a></td><td><p>Enumere los permisos peligrosos y los parámetros con errores de configuración relacionados con la infraestructura de clave pública (PKI) de Active Directory Certificate Services (AD CS).</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-GPO-EXEC-SANITY">Sanidad de la ejecución de GPO</a></td><td><p>Comprueba que los objetos de política de grupo (GPO) que se aplican a los equipos de un dominio estén sanos.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-ADMIN-RESTRICT-AUTH">Restricciones de inicio de sesión para usuarios privilegiados</a></td><td><p>Comprueba los usuarios privilegiados que pueden conectarse a máquinas con privilegios más bajos, lo que genera un riesgo de robo de credenciales.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-NETLOGON-SECURITY">Configuración sin protección del protocolo Netlogon</a></td><td><p>CVE-2020-1472 (“Zerologon”) afecta al protocolo Netlogon y permite la elevación de privilegios</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-CREDENTIAL-ROAMING">Atributos vulnerables relacionados con Credential Roaming</a></td><td><p>Los atributos de Credential roaming son vulnerables, lo que hace que un atacante pueda leer los secretos protegidos del usuario relacionado.</p> </td><td><h6 class="m-1"><span class="badge badge-low">low</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-CLEARTEXT-PASSWORD">Contraseñas potencialmente con texto no cifrado</a></td><td><p>Comprueba los objetos que potencialmente contengan contraseñas de texto no cifrado en los atributos que los usuarios del dominio pueden leer.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-DANGEROUS-SENSITIVE-PRIVILEGES">Privilegios sensibles peligrosos</a></td><td><p>Identifica derechos de privilegios sensibles con errores de configuración que disminuyen la seguridad de una infraestructura de directorios.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-SENSITIVE-CERTIFICATES-ON-USER">Certificados asignados en cuentas</a></td><td><p>Se asegura de que no se asigne a los objetos con privilegios ningún certificado asignado.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-GPO-HARDENING">Dominio sin GPO de endurecimiento de equipos</a></td><td><p>Comprueba que los GPO de endurecimiento se hayan implementado en el dominio.</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-PROTECTED-USERS-GROUP-UNUSED">El grupo Protected Users no se usa</a></td><td><p>Comprueba los usuarios privilegiados que no son miembros del grupo Protected Users.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-PASSWORD-NOT-REQUIRED">Cuenta con posible contraseña vacía</a></td><td><p>Identifica las cuentas de usuario que permiten las contraseñas vacías.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-USERS-CAN-JOIN-COMPUTERS">Usuarios con permiso para unir equipos al dominio</a></td><td><p>Compruebe que los usuarios normales no puedan unir equipos externos al dominio.</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-AAD-SSO-PASSWORD">Último cambio de la contraseña de la cuenta de Microsoft Entra SSO</a></td><td><p>Garantiza los cambios periódicos de la contraseña de la cuenta de Microsoft Entra SSO.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-ABNORMAL-ENTRIES-IN-SCHEMA">Derechos peligrosos en el esquema de AD</a></td><td><p>Enumera las entradas del esquema que se consideran anómalas y que podrían ofrecer un medio de persistencia.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-USER-PASSWORD">Cuenta de usuario con contraseña antigua</a></td><td><p>Comprueba las actualizaciones periódicas de todas las contraseñas de cuentas activas en Active Directory para reducir el riesgo de robo de credenciales.</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-AAD-CONNECT">Verificar los permisos relacionados con cuentas de Microsoft Entra Connect</a></td><td><p>Asegúrese de que los permisos definidos en las cuentas de Microsoft Entra Connect estén equilibrados.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-DC-ACCESS-CONSISTENCY">Controladores de dominio administrados por usuarios ilegítimos</a></td><td><p>Algunos controladores de dominio pueden estar administrados por usuarios no administrativos debido a derechos de acceso peligrosos.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-PASSWORD-POLICY">Aplicación de políticas de contraseñas débiles en los usuarios</a></td><td><p>Algunas políticas de contraseñas que se aplican en cuentas de usuario específicas no son lo suficientemente seguras y pueden llevar al robo de credenciales.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-GPO-SD-CONSISTENCY">Comprobar los permisos de objetos y archivos de GPO sensibles</a></td><td><p>Se asegura de que los permisos asignados a objetos y archivos de GPO vinculados a contenedores sensibles, como controladores de dominio o unidades organizativas, sean apropiados y seguros.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-DSHEURISTICS">Dominio con configuración insegura de compatibilidad con versiones anteriores</a></td><td><p>El atributo dsHeuristics puede modificar el comportamiento de AD, pero algunos campos son sensibles desde el punto de vista de la seguridad y presentan un riesgo.</p> </td><td><h6 class="m-1"><span class="badge badge-low">low</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-DOMAIN-FUNCTIONAL-LEVEL">Dominios con un nivel funcional anticuado</a></td><td><p>Comprueba el nivel funcional correcto de un dominio o bosque, lo que determina la disponibilidad de características avanzadas y opciones de seguridad.</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-LAPS-UNSECURE-CONFIG">Administración de cuentas administrativas locales</a></td><td><p>Garantiza la administración segura y centralizada de las cuentas administrativas locales mediante LAPS.</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-KERBEROS-CONFIG-ACCOUNT">Configuración de Kerberos en una cuenta de usuario</a></td><td><p>Detecta las cuentas que usan una configuración débil de Kerberos.</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-ROOTOBJECTS-SD-CONSISTENCY">Permisos de objetos raíz que permiten ataques similares a DCSync</a></td><td><p>Comprueba los permisos inseguros en los objetos raíz, que pueden permitir que usuarios no autorizados roben credenciales de autenticación.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-PRE-WIN2000-ACCESS-MEMBERS">Cuentas que usan un control de acceso compatible con versiones anteriores a Windows 2000</a></td><td><p>Comprueba los miembros de cuentas de un grupo de acceso compatible con versiones anteriores a Windows 2000 que puedan saltarse las medidas de seguridad.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-DISABLED-ACCOUNTS-PRIV-GROUPS">Cuentas deshabilitadas en grupos con privilegios</a></td><td><p>Las cuentas que ya no se usan no deben permanecer en los grupos con privilegios.</p> </td><td><h6 class="m-1"><span class="badge badge-low">low</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-OBSOLETE-SYSTEMS">Equipos que ejecutan un sistema operativo obsoleto</a></td><td><p>Identifica los sistemas obsoletos a los que Microsoft ya no brinda soporte y que aumentan la vulnerabilidad de la infraestructura.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-ACCOUNTS-DANG-SID-HISTORY">Cuentas con un atributo SID History peligroso</a></td><td><p>Comprueba las cuentas de usuario o de equipo que usan un identificador de seguridad privilegiado en el atributo SID history.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-PKI-WEAK-CRYPTO">Uso de algoritmos criptográficos débiles en la PKI de Active Directory</a></td><td><p>Identifica algoritmos criptográficos débiles que se usan en los certificados raíz implementados en una PKI interna de Active Directory.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-ADM-ACC-USAGE">Uso reciente de la cuenta Administrador predeterminada</a></td><td><p>Comprueba los usos recientes de la cuenta de administrador integrada.</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-DANG-PRIMGROUPID">Grupo principal de usuarios</a></td><td><p>Comprueba que el grupo principal de los usuarios no haya cambiado.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-UNCONST-DELEG">Delegación peligrosa de Kerberos</a></td><td><p>Comprueba la delegación no autorizada de Kerberos y garantiza la protección de los usuarios privilegiados frente a esta.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-USERS-REVER-PWDS">Contraseñas reversibles</a></td><td><p>Comprueba que no pueda habilitarse la opción para almacenar contraseñas en un formato reversible.</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-REVER-PWD-GPO">Contraseñas reversibles en GPO</a></td><td><p>Comprueba que las preferencias de los GPO no permitan contraseñas en un formato reversible.</p> </td><td><h6 class="m-1"><span class="badge badge-medium">medium</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-SDPROP-CONSISTENCY">Asegurar la coherencia de SDProp</a></td><td><p>Controle que el objeto AdminSDHolder se encuentre en un estado limpio.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-KRBTGT-PASSWORD">Último cambio de contraseña en la cuenta KRBTGT</a></td><td><p>Comprueba las cuentas KRBTGT que no han cambiado de contraseña durante un intervalo superior al recomendado.</p> </td><td><h6 class="m-1"><span class="badge badge-high">high</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-NATIVE-ADM-GROUP-MEMBERS">Miembros de grupos administrativos nativos</a></td><td><p>Cuentas inusuales en los grupos administrativos nativos de Active Directory</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr><tr><td><a href="https://es-la.tenable.com/indicators/ioe/ad/C-PRIV-ACCOUNTS-SPN">Cuentas con privilegios que ejecutan servicios de Kerberos</a></td><td><p>Detecta cuentas con muchos privilegios con el atributo Service Principal Name (SPN) que afecta a su seguridad.</p> </td><td><h6 class="m-1"><span class="badge badge-critical">critical</span></h6></td></tr></tbody></table></div><nav class="" aria-label="pagination"><ul class="justify-content-between pagination pagination"><li class="page-item disabled"><a class="page-link page-previous" href="https://es-la.tenable.com/indicators/ioe?page=0">‹‹ <!-- -->Anterior<span class="sr-only"> <!-- -->Anterior</span></a></li><li class="page-item disabled"><a class="page-link page-text">Página 1 de 3<!-- --> <span class="d-none d-sm-inline">• <!-- -->105 en total</span></a></li><li class="page-item"><a class="page-link page-next" href="https://es-la.tenable.com/indicators/ioe?page=2"><span class="sr-only">Siguiente</span>Siguiente<!-- --> ››</a></li></ul></nav></div></div></div></div></div></div><footer class="footer"><div class="container"><ul class="footer-nav"><li class="footer-nav-item"><a href="https://www.tenable.com/">Tenable.com</a></li><li class="footer-nav-item"><a href="https://community.tenable.com">Comunidad y soporte</a></li><li class="footer-nav-item"><a href="https://docs.tenable.com">Documentación</a></li><li class="footer-nav-item"><a href="https://university.tenable.com">Capacitación</a></li></ul><ul class="footer-nav footer-nav-secondary"><li class="footer-nav-item">© <!-- -->2025<!-- --> <!-- -->Tenable®, Inc. Todos los derechos reservados</li><li class="footer-nav-item"><a href="https://www.tenable.com/privacy-policy">Política de privacidad</a></li><li class="footer-nav-item"><a href="https://www.tenable.com/legal">Información legal</a></li><li class="footer-nav-item"><a href="https://www.tenable.com/section-508-voluntary-product-accessibility">Cumplimiento con sec. 508</a></li></ul></div></footer><div class="Toastify"></div></div></div><script id="__NEXT_DATA__" type="application/json" nonce="nonce-OTk1ZTcyMTEtMzVkNy00ZjM2LTliNWQtNzlhZTZiZTIzNjRm">{"props":{"pageProps":{"indicators":[{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-CONFLICTED-OBJECTS","_score":null,"_source":{"language_code":"es_001","codename":"C-CONFLICTED-OBJECTS","name":"Entidades de seguridad en conflicto","id":60,"description":"\u003cp\u003eComprueba que no haya usuarios, equipos ni grupos duplicados (en conflicto).\u003c/p\u003e\n","criticity":"low","exec_summary":"\u003cp\u003eEn general, el sistema de replicación multimaestro de Active Directory funciona bien, pero pueden surgir conflictos por distintos motivos y requieren una resolución manual.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eActive Directory usa la replicación multimaestro para evitar un punto único de error. Si bien este proceso suele funcionar bien, en ocasiones pueden surgir conflictos que lleven a que haya objetos duplicados. Un conflicto puede afectar a un atributo cuando cambie simultáneamente en dos controladores de dominio distintos con valores diferentes. Este problema también puede tener lugar en todo un objeto; por ejemplo, durante su creación:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl controlador de dominio 1 crea un nuevo objeto A en el contenedor A.\u003c/li\u003e\n\u003cli\u003eA la vez, el controlador de dominio 2 crea un nuevo objeto con el mismo nombre en la misma ubicación.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eLos objetos duplicados, en particular usuarios y equipos, pueden generar confusión. Lo ideal es mantener solo una identidad y quitar las demás. Si no tiene certeza o busca el enfoque más seguro, elimine todos los objetos en conflicto en lugar de elegir guardar uno. Limpie todo para garantizar la claridad.\nUn número elevado de objetos en conflicto podría ser indicio de un problema en el proceso de replicación y podría exigir mayor investigación.\n\u003cbr\u003eEste indicador de exposición (IoE) comprueba los elementos siguientes:\u003c/p\u003e\n\u003ch4\u003eNombres distintivos relativos (RDN) duplicados en la misma unidad organizativa (OU) o contenedor.\u003c/h4\u003e\n\u003cp\u003eComprueba si al menos dos entidades de seguridad se encuentran en la misma OU o contenedor y usan el mismo Relative Distinguished Name (\u003ca href=\"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/b645c125-a7da-4097-84a1-2fa7cea07714#gt_22198321-b40b-4c24-b8a2-29e44d9d92b9\"\u003eRDN\u003c/a\u003e) o CN.\u003c/p\u003e\n\u003ch4\u003esAMAccountName duplicado\u003c/h4\u003e\n\u003cp\u003eComprueba si al menos dos entidades de seguridad tienen el mismo sAMAccountName en el momento de la creación. Después de una autenticación o un nuevo intento de creación, solo un sAMAccountName puede conservar el valor correcto, mientras que los otros o todos cambian de nombre a “$DUPLICATE-xxx”, donde “xxx” es el RID del objeto en formato hexadecimal.\u003c/p\u003e\n\u003ch4\u003eMismo sAMAccountName\u003c/h4\u003e\n\u003cp\u003eComprueba si al menos dos entidades de seguridad tienen el mismo sAMAccountName. Después de una autenticación o un nuevo intento de creación, solo un sAMAccountName puede conservar el valor original, mientras que los otros o todos cambian de nombre (consulte el motivo “sAMAccountName duplicado”).\n\u003cbr\u003eNotas:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl IoE “\u003cem\u003eGPO desvinculado, deshabilitado o huérfano\u003c/em\u003e” informa sobre los GPO en conflicto, mientras que este IoE informa sobre los conflictos entre las entidades de seguridad (usuarios, equipos y grupos).\u003c/li\u003e\n\u003cli\u003eIncluso si una cuenta está deshabilitada, alguien puede intentar autenticarse.\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Quitar entidades de seguridad duplicadas","description":"Para mejorar la coherencia de la infraestructura y evitar la confusión de identidades, quite las entidades de seguridad duplicadas.","exec_summary":"\u003cp\u003ePara mejorar la coherencia de la infraestructura y evitar la confusión de identidades, quite las entidades de seguridad duplicadas.\u003c/p\u003e\n","detail":"\u003cp\u003eTenable no recomienda tener objetos duplicados, ya que son indicio de una baja integridad de los datos y de problemas de replicación potencialmente irresolubles. Esto es especialmente complejo con los usuarios y equipos, ya que la autenticación de los usuarios o servicios podría verse impedida. Al afrontar esta situación, quite los objetos en conflicto.\n\u003cbr\u003eEste IoE evalúa los siguientes motivos y Tenable recomienda este enfoque:\u003c/p\u003e\n\u003ch4\u003eRDN duplicado en la misma OU o contenedor\u003c/h4\u003e\n\u003cp\u003eElimine los objetos con “CNF” en los atributos CN/DN mediante la ejecución del siguiente comando de PowerShell (sustituya el marcador de posición \u003ccode\u003e\u0026lt;Sustituir por el CN afectado\u0026gt;\u003c/code\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003e$domainDN = (Get-ADDomain).DistinguishedName\n\n(Get-ADObject -LDAPFilter \"(cn=\u0026lt;Sustituir por el CN afectado\u0026gt;\\0ACNF:*)\" -SearchBase $domainDN -Properties DistinguishedName, Cn, SamAccountName).DistinguishedName | Remove-ADUser -Confirm:$True\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003esAMAccountName duplicado\u003c/h4\u003e\n\u003cp\u003eElimine los objetos con “$DUPLICATE-xxx” en sAMAccountName mediante la ejecución del siguiente comando de PowerShell (sustituya el marcador de posición \u003ccode\u003e\u0026lt;$DUPLICATE-xxx\u0026gt;\u003c/code\u003e o use \u003ccode\u003e$DUPLICATE-*\u003c/code\u003e para eliminar todos los objetos):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003e$domainDN = (Get-ADDomain).DistinguishedName\n\n(Get-ADObject -LDAPFilter \"(samaccountname=\u0026lt;`$DUPLICATE`-xxx\u0026gt;)\" -SearchBase $domainDN -Properties DistinguishedName, Cn, SamAccountName).DistinguishedName | Remove-ADUser -Confirm:$True\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003eMismo sAMAccountName\u003c/h4\u003e\n\u003cp\u003eIdentifique el objeto anómalo que se encuentra en la ubicación incorrecta y elimínelo mediante la ejecución del siguiente comando de PowerShell (sustituya el marcador de posición \u003ccode\u003e\u0026lt;Sustituir por el CN afectado\u0026gt;\u003c/code\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003e$domainDN = (Get-ADDomain).DistinguishedName\n\n(Get-ADObject -LDAPFilter \"(cn=\u0026lt;Sustituir por el CN afectado\u0026gt;*)\" -SearchBase $domainDN -Properties DistinguishedName, Cn, SamAccountName).DistinguishedName | Remove-ADUser -Confirm:$True\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003eUn número elevado de objetos en conflicto puede indicar un problema de replicación o justificar una mayor investigación.\u003c/p\u003e\n","resources":[{"name":"Active Directory: Duplicate Object Name Resolution (texto en inglés)","url":"https://learn.microsoft.com/es-es/archive/technet-wiki/15435.active-directory-duplicate-object-name-resolution","type":"hyperlink"},{"name":"Troubleshooting Directory Data Problems (texto en inglés)","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-2000-server/bb727059(v=technet.10)","type":"hyperlink"}]},"resources":[{"name":"Active Directory: Duplicate Object Name Resolution (texto en inglés)","url":"https://learn.microsoft.com/es-es/archive/technet-wiki/15435.active-directory-duplicate-object-name-resolution","type":"hyperlink"},{"name":"sAMAccountName is always unique in a Windows domain… or is it? (texto en inglés)","url":"https://blog.joeware.net/2012/01/04/2357/","type":"hyperlink"},{"name":"Using conflicting objects in Active Directory to gain privileges (texto en inglés)","url":"https://medium.com/tenable-techblog/using-conflicting-objects-in-active-directory-to-gain-privileges-243ef6a27928","type":"hyperlink"}],"applicable_resource_types":["ad_group","ad_user"],"attacker_known_tools":[],"category_id":5,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1136 - Create Account (texto en inglés)"]},{"tactic":"TA0005 - Defense Evasion (texto en inglés)","techniques":["T1036 - Masquerading (texto en inglés)"]},{"tactic":"TA0040 - Impact (texto en inglés)","techniques":["T1489 - Service Stop (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ja_JP","zh_CN","zh_TW","de_DE","fr_FR","ko_KR","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-CONFLICTED-OBJECTS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"low","type":"ioe","subType":"ad","availableLocales":["ja","zh-CN","zh-TW","de","fr","ko","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1136","name":"Create Account (texto en inglés)","url":"https://attack.mitre.org/techniques/T1136/"}]},{"tactic":{"id":"TA0005","name":"Defense Evasion (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0005/"},"techniques":[{"id":"T1036","name":"Masquerading (texto en inglés)","url":"https://attack.mitre.org/techniques/T1036/"}]},{"tactic":{"id":"TA0040","name":"Impact (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0040/"},"techniques":[{"id":"T1489","name":"Service Stop (texto en inglés)","url":"https://attack.mitre.org/techniques/T1489/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[60]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-SHADOW-CREDENTIALS","_score":null,"_source":{"language_code":"es_001","codename":"C-SHADOW-CREDENTIALS","name":"Shadow Credentials","id":59,"description":"\u003cp\u003eDetecta puertas traseras y errores de configuración de Shadow Credentials en la característica “Windows Hello para Empresas” y las credenciales de claves asociadas.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLa técnica de puerta trasera Shadow Credentials explota la característica legítima “Windows Hello para Empresas” de Microsoft. Si Active Directory no usa esta característica, resulta sencillo detectar este mecanismo de persistencia. Si la usa, los errores de configuración podrían indicar una vulneración o prácticas de administración deficientes.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003ch4\u003eIntroducción\u003c/h4\u003e\n\u003cp\u003eLa característica “Windows Hello para Empresas” (WHfB) de Microsoft aborda la creciente demanda de soluciones de autenticación sin contraseñas. Como la autenticación multifactor (MFA) está ganando popularidad frente a la autenticación tradicional basada en contraseñas, WHfB brinda una solución nativa de Microsoft para el inicio de sesión con MFA en dispositivos con Windows 10 y posteriores.\u003c/p\u003e\n\u003cp\u003eTradicionalmente, las soluciones de MFA de proveedores externos han exigido un esfuerzo sustancial para su implementación y configuración y, a menudo, han involucrado el uso de tarjetas inteligentes. “Windows Hello para Empresas” (WHfB) de Microsoft ofrece una solución de MFA nativa y optimizada, estrechamente integrada en Active Directory y Entra ID, lo que la convierte en una opción atractiva para mejorar la seguridad, en particular, para las cuentas de usuario de dominio privilegiadas, sin la sobrecarga de los productos de MFA externos.\n\u003cbr\u003eEntra ID admite tres tipos de autenticación sin contraseña:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003cstrong\u003eWindows Hello para Empresas\u003c/strong\u003e, que se comprueba con este indicador de exposición\u003c/li\u003e\n\u003cli\u003eLa aplicación Microsoft Authenticator\u003c/li\u003e\n\u003cli\u003eLlaves de seguridad FIDO2\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eA diferencia de la característica “Windows Hello” independiente que está disponible en las estaciones de trabajo Windows, WHfB solo usa métodos de autenticación basados en claves o basados en certificados, que se pueden proteger mediante un Módulo de plataforma segura (TPM).\u003c/p\u003e\n\u003cp\u003eWHfB cumple con la opción “Inicio de sesión interactivo: requerir tarjeta inteligente” para las cuentas de usuario y la configuración de la política de grupo “Inicio de sesión interactivo: requerir tarjeta inteligente” para los equipos, lo que permite la óptima integración con las configuraciones de tarjetas inteligentes existentes.\u003c/p\u003e\n\u003cp\u003eLa característica WHfB, a la vez que ofrece mejores capacidades de seguridad, presenta nuevos riesgos potenciales y posibles errores de configuración que las organizaciones deben conocer y mitigar de manera apropiada.\u003c/p\u003e\n\u003ch2\u003eMétodos de implementación de WHfB\u003c/h2\u003e\n\u003cp\u003eDurante el proceso de inscripción de WHfB, el chip TPM del equipo genera un par de claves pública/privada para la cuenta de usuario y almacena la clave privada de manera exclusiva dentro del TPM. Si un TPM no está disponible, cifra la clave privada con DPAPI-NG y la almacena localmente en el disco. El uso de este par de claves varía según el método de implementación elegido.\n\u003cbr\u003eWHfB tiene disponibles los siguientes métodos de implementación:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eConfianza de certificados (híbridos)\u003cul\u003e\n\u003cli\u003eTradicionalmente, una infraestructura de claves pública (PKI) permite que el KDC y un cliente intercambien claves públicas mediante certificados digitales firmados por una entidad de certificación (CA) de confianza. Las implementaciones de tarjetas inteligentes usan la misma infraestructura que la confianza de certificados, pero difieren en la ubicación de almacenamiento de la clave privada generada. En la confianza de certificados, el TPM protege la clave privada; mientras que en las implementaciones de tarjetas inteligentes, la clave se almacena en una tarjeta física con un chip.\u003c/li\u003e\n\u003cli\u003eDurante el proceso de inscripción en la confianza de certificados, el cliente usa las claves generadas por el TPM para emitir una solicitud de certificados y obtener un certificado de confianza de la CA.\u003c/li\u003e\n\u003cli\u003eEn este modelo, una PKI (como un servidor de AD CS) genera los certificados y un servidor de AD FS los traduce a un formato que Entra ID pueda comprender, como OAuth u OpenID Connect.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eConfianza de claves (híbridas)\u003cul\u003e\n\u003cli\u003eEste enfoque es útil para los entornos donde no se cumplen todos los requisitos previos para la implementación de la confianza de certificados, como una PKI (AD CS) y un servidor de AD FS. Sin embargo, esta simplicidad y flexibilidad viene con una dependencia en Entra ID para varios tipos de orquestación y para la disponibilidad de los servidores de Windows Server 2016+.\u003c/li\u003e\n\u003cli\u003eCon este modelo, la autenticación PKINIT, una extensión del protocolo Kerberos, usa datos de claves sin procesar, en lugar de un certificado.\u003c/li\u003e\n\u003cli\u003eDurante el proceso de inscripción en la confianza de claves, el TPM genera la clave pública y la almacena directamente dentro del nuevo objeto “credencial de claves” en el atributo “msDS-KeyCredentialLink” de la cuenta.\u003c/li\u003e\n\u003cli\u003eEn este modelo, a diferencia de la confianza de certificados, Entra ID administra las claves, por lo que se necesita AD para recuperarlas de Entra ID. Luego, Microsoft Entra Connect sincroniza esta información de Entra ID con la instancia local de AD.\u003c/li\u003e\n\u003cli\u003eEn consecuencia, la principal desventaja de esta implementación se encuentra en el aprovisionamiento de las claves en el entorno local, lo que lleva mucho tiempo debido a las demoras en la sincronización con Microsoft Entra Connect y las demoras de replicación entre los controladores de dominio.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eConfianza de Kerberos en la nube\u003cul\u003e\n\u003cli\u003eRepresenta el método de implementación más reciente y avanzado que hay disponible. Combina las fortalezas de los dos métodos anteriores, al ofrecer un aprovisionamiento instantáneo (lo que elimina las demoras debido a las varias sincronizaciones), autenticación híbrida y la no exigencia de una implementación de infraestructura adicional (como PKI o servidores de AD FS).\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eTras la inscripción, cuando un cliente busca autenticarse, Windows prueba PKINIT para Kerberos mediante la clave privada. En “confianza de claves”, el controlador de dominio descifra los datos de preautenticación con la clave pública sin procesar en el atributo “msDS-KeyCredentialLink”. En “confianza de certificados”, el controlador de dominio valida la cadena de confianza del certificado proporcionado del cliente.\n\u003cbr\u003eEl indicador de exposición se centra principalmente en el método de “confianza de claves”, que los atacantes pueden explotar de manera diferente a través de un ataque conocido como “Shadow Credentials”.\u003c/p\u003e\n\u003ch2\u003e¿Cómo funciona WHfB (confianza de claves) en AD?\u003c/h2\u003e\n\u003cp\u003eEn Active Directory, WHfB usa un atributo dedicado en las cuentas de usuario y equipo, llamado “msDS-KeyCredentialLink”. Este atributo puede aceptar varios valores conocidos como “credenciales de claves”, que representan la parte pública de un certificado (material criptográfico sin procesar, que se distingue de un certificado completo). Facilita la autenticación a través de PKINIT para Kerberos, lo que permite la autenticación basada en certificados en AD.\u003c/p\u003e\n\u003cp\u003eEste atributo puede almacenar varias credenciales de claves para cuentas de usuario y de equipo, que normalmente corresponden a distintos dispositivos vinculados, donde cada dispositivo exige una especificación individual.\u003c/p\u003e\n\u003ch4\u003eErrores de configuración de WHfB\u003c/h4\u003e\n\u003cp\u003ePueden producirse varios errores de configuración, en particular relativos a los materiales criptográficos, en el atributo “msDS-KeyCredentialLink”.\u003c/p\u003e\n\u003cp\u003eDichos errores de configuración también pueden indicar entradas sospechosas, como la puerta trasera “Shadow Credentials”.\u003c/p\u003e\n\u003ch2\u003eROCA y longitud de las claves RSA\u003c/h2\u003e\n\u003cp\u003eCada credencial de clave es una estructura específica que, en definitiva, contiene materiales criptográficos de la clave, como una clave RSA.\u003c/p\u003e\n\u003cp\u003eEn este caso, si el tamaño de la clave RSA es inferior a la longitud mínima recomendada de 2048 bits, sería posible, con una amplia potencia informática, recuperar la clave privada asociada a partir de la clave pública.\u003c/p\u003e\n\u003cp\u003eLa vulnerabilidad ROCA, descubierta en 2017, es otro factor que se debe tener en cuenta al validar las claves. Esta debilidad, conocida como “el regreso del ataque de Coppersmith”, permite la recuperación de la clave privada a partir de la clave pública cuando un dispositivo afectado por esta vulnerabilidad genera la clave.\u003c/p\u003e\n\u003ch2\u003eClave huérfana\u003c/h2\u003e\n\u003cp\u003eDado que las credenciales en el atributo “msDS-KeyCredentialLink” deben vincularse con un dispositivo en particular (una entrada por dispositivo), se puede verificar su validez. El registro de dispositivos es obligatorio para la implementación de WHfB, por lo que, si implementa WHfB con “confianza de claves”, tiene que habilitar la característica “escritura diferida de dispositivo” en Microsoft Entra Connect.\u003c/p\u003e\n\u003cp\u003eEste detalle es importante porque, de manera predeterminada, la mayoría de las herramientas de ataque establecen el GUID que representa un dispositivo (llamado “Id. de dispositivo” en Entra ID y en la estructura binaria) en un valor aleatorio.\u003c/p\u003e\n\u003cp\u003eUna clave huérfana especifica un Id. de dispositivo que no está registrado en AD, lo que podría asociarse con un dispositivo quitado anteriormente (tenga en cuenta que Microsoft no realiza una limpieza automática) o una puerta trasera de un ataque “Shadow Credentials”. En ambos casos, lo mejor es quitar estas entradas de la lista de credenciales instaladas.\u003c/p\u003e\n\u003ch2\u003eAtaque Shadow Credentials\u003c/h2\u003e\n\u003cp\u003eEl ataque Shadow Credentials explota el control del atributo “msDS-KeyCredentialLink” de una cuenta de usuario o de equipo. Si un atacante puede modificar este atributo, puede agregar credenciales alternativas para la autenticación de Kerberos. Esto permite el uso de un certificado falsificado, además de la contraseña normal de la cuenta (que el atacante no tiene necesidad de conocer), para obtener un ticket TGT de Kerberos válido. A partir de este TGT, el atacante también puede recuperar los hashes LM y NTLM de la cuenta vulnerada por medio del ataque “UnPAC-the-hash”.\n\u003cbr\u003eEn la práctica, durante la fase de explotación de este ataque, un atacante crea un certificado autofirmado con un par de claves privada/pública y, luego, establece la clave pública dentro del atributo “msDS-KeyCredentialLink”.\u003c/p\u003e\n\u003cp\u003eEste atributo puede alojar varios valores, donde cada entrada se denomina “credencial de clave”. Una misma cuenta puede tener tanto entradas legítimas como puertas traseras simultáneamente.\u003c/p\u003e\n\u003cp\u003eEste método de autenticación es independiente de la contraseña, por lo que la puerta trasera se mantiene aunque cambie la contraseña de la cuenta.\n\u003cbr\u003eAdemás de validar el contenido del atributo “msDS-KeyCredentialLink”, este IoE se asegura de que ningún permiso autorice a una cuenta sin privilegios a modificar este atributo. De manera predeterminada, solo los miembros de “Administradores de claves” y “Administradores empresariales de claves” tienen este permiso. Además, cada máquina puede cambiar su atributo por medio del derecho “Escritura validada” en este atributo.\u003c/p\u003e\n\u003ch2\u003eOrígenes inesperados\u003c/h2\u003e\n\u003cp\u003ePara una cuenta de equipo, la estructura de contenido de una credencial de clave difiere de la de una cuenta de usuario.\n\u003cbr\u003ePara las cuentas de usuario en el modelo de “confianza de claves”, Entra ID funciona como origen de los datos, ya que Microsoft Entra Connect rellena el atributo “msDS-KeyCredentialLink”. Sin embargo, para las cuentas de equipo, el equipo mismo se encarga del proceso de inscripción. Por lo tanto, para detectar una credencial de clave fraudulenta que se haya agregado a una cuenta de equipo, si el origen está establecido en Entra ID para esta credencial de clave, no se trata de una entrada válida.\n\u003cbr\u003eAdemás, la mayoría de las herramientas de ataque existentes normalmente generan un GUID al azar de manera predeterminada para el “DeviceID” asociado en las nuevas credenciales de claves fraudulentas. Esto ofrece otro mecanismo de detección de entradas no válidas, en particular para cuentas de usuario (a diferencia del método anterior para cuentas de equipo). Esta validación tiene lugar por medio de pruebas de “claves huérfanas”, lo que asegura que un dispositivo legítimo se vincule a la credencial de clave.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Analizar y corregir riesgos en la configuración de credenciales de claves de Windows Hello para Empresas","description":"Para mitigar los riesgos de un potencial escalamiento de privilegios o la instalación de puertas traseras (como Shadow Credentials) por parte de atacantes, es fundamental evaluar exhaustivamente y corregir la configuración de las credenciales de claves en Windows Hello para Empresas.\n","exec_summary":"\u003cp\u003eLos errores de configuración de las credenciales de claves en la característica Windows Hello para Empresas pueden tener un impacto significativo en la seguridad de Active Directory, lo que incluye la posible introducción de métodos de autenticación alternativos. Por lo tanto, es imprescindible prestarles total atención y supervisión.\u003c/p\u003e\n","detail":"\u003cp\u003eLa característica “Windows Hello para Empresas”, cuando se implementa con el modelo de “confianza de claves”, puede introducir varios errores de configuración, incluso en situaciones de uso legítimo. Además, incluso si no se implementó de manera activa en el entorno, los atacantes podrían aprovechar las funcionalidades técnicas subyacentes para establecer puertas traseras relacionadas con la autenticación.\u003c/p\u003e\n\u003ch4\u003eErrores de configuración de credenciales de clave\u003c/h4\u003e\n\u003cp\u003eAl abordar el atributo único “msDS-KeyCredentialLink”, puede corregir la mayoría de los errores de configuración marcados en este indicador de exposición:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eCredencial de clave huérfana\u003c/li\u003e\n\u003cli\u003eCredencial de clave vulnerable a ROCA\u003c/li\u003e\n\u003cli\u003eCredencial de clave con clave RSA corta\u003c/li\u003e\n\u003cli\u003eValor inesperado en el campo de origen de la credencial de clave\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eCabe destacar que Microsoft no cuenta con ninguna herramienta integrada oficial para remover las “credenciales de clave” problemáticas individuales de este atributo, que puede almacenar varias entradas a la vez.\u003c/p\u003e\n\u003cp\u003eSin embargo, Microsoft brinda una metodología junto con la herramienta externa \u003ca href=\"https://support.microsoft.com/es-es/topic/using-whfbtools-powershell-module-for-cleaning-up-orphaned-windows-hello-for-business-keys-779d1f3f-bb2d-c495-0f6b-9aeb940eeafb\"\u003eWHfBTools\u003c/a\u003e. (Tenga en cuenta que esta herramienta tenía problemas de seguridad tras su publicación inicial, así que revise el código antes de su ejecución).\n\u003cbr\u003eDe ser posible, se recomienda quitar todas las “credenciales de claves” asociadas a una cuenta. No obstante, esto exige la reinscripción de la cuenta, lo que puede ser complejo y llevar tiempo. No obstante, si tiene certeza de que en su entorno no se usa WHfB, este procedimiento es la opción más segura y eficiente.\n\u003cbr\u003ePara remover todas las “credenciales de clave” asociadas a una cuenta, siga el procedimiento a continuación: (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; Set-ADUser -Identity user-to-fix -Clear 'msDS-KeyCredentialLink' # For a user account\nPS\u0026gt; Set-ADComputer -Identity computer-to-fix$ -Clear 'msDS-KeyCredentialLink' # For a computer account\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eNota: Si las anomalías “Credencial de clave vulnerable a ROCA” vuelven a aparecer después de borrar el atributo \u003ccode\u003emsDS-KeyCredentialLink\u003c/code\u003e, esto puede indicar que el TPM en los dispositivos afectados sigue siendo susceptible a la vulnerabilidad ROCA (CVE-2017-15361). Microsoft \u003ca href=\"https://support.microsoft.com/es-es/topic/using-whfbtools-powershell-module-for-cleaning-up-orphaned-windows-hello-for-business-keys-779d1f3f-bb2d-c495-0f6b-9aeb940eeafb\"\u003econfirma esto\u003c/a\u003e y aconseja seguir los pasos que se describen en \u003ca href=\"https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170012\"\u003eADV170012\u003c/a\u003e como prioridad. Si no se actualiza el firmware vulnerable, las nuevas claves de Windows Hello para Empresas (WHfB) generadas en estos dispositivos seguirán estando expuestas a CVE-2017-15361 (ROCA). En consecuencia, Tenable Identity Exposure seguirá marcando estas vulnerabilidades.\u003c/p\u003e\n\u003ch4\u003eCorregir los permisos peligrosos definidos en las cuentas\u003c/h4\u003e\n\u003cp\u003ePuede realizar modificaciones en los permisos mediante la GUI (Editor ADSI) o comandos de PowerShell.\n\u003cbr\u003ePara restablecer el \u003cstrong\u003epropietario\u003c/strong\u003e de una cuenta, siga el procedimiento a continuación: (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $accountPath = \"AD:CN=user-to-fix,CN=Users,DC=DOMAIN,DC=CORP\"\nPS\u0026gt; $securityPrincipalAccount = \"DOMAIN\\Domain Admins\"\nPS\u0026gt; $securityPrincipalObject = New-Object System.Security.Principal.NTAccount($securityPrincipalAccount)\nPS\u0026gt; $aclAccount = Get-Acl -Path $accountPath\nPS\u0026gt; $aclAccount.SetOwner($securityPrincipalObject)\nPS\u0026gt; $aclAccount | Set-Acl -Path $accountPath\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003ePara quitar una \u003cstrong\u003eACE\u003c/strong\u003e problemática de una cuenta, siga el procedimiento a continuación: (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $accountPath = \"AD:CN=user-to-fix,CN=Users,DC=DOMAIN,DC=CORP\"\nPS\u0026gt; $aclAccount = Get-Acl -Path $accountPath\nPS\u0026gt; $aceToRemove = $aclAccount.Access | ? { $_.IdentityReference -eq 'DOMAIN\\unpriv' }\nPS\u0026gt; $aclAccount.RemoveAccessRule($aceToRemove)\nPS\u0026gt; $aclAccount | Set-Acl -Path $accountPath\n\u003c/code\u003e\u003c/pre\u003e\n","resources":[{"name":"Using WHfBTools PowerShell module for cleaning up orphaned Windows Hello for Business Keys","url":"https://support.microsoft.com/es-es/topic/using-whfbtools-powershell-module-for-cleaning-up-orphaned-windows-hello-for-business-keys-779d1f3f-bb2d-c495-0f6b-9aeb940eeafb","type":"hyperlink"},{"name":"Windows Hello for Business","url":"https://learn.microsoft.com/es-es/windows/security/identity-protection/hello-for-business/","type":"hyperlink"},{"name":"Windows Hello Cloud Trust","url":"https://syfuhs.net/windows-hello-cloud-trust","type":"hyperlink"},{"name":"Detecting shadow credentials","url":"https://cyberstoph.org/posts/2022/03/detecting-shadow-credentials/","type":"hyperlink"}]},"resources":[{"name":"Black Hat Europe 2019 - Exploiting Windows Hello for Business","url":"https://www.dsinternals.com/assets/documents/eu-19-Grafnetter-Exploiting-Windows-Hello-for-Business.pdf","type":"hyperlink"},{"name":"Shadow Credentials Abusing Key Trust Account Mapping for Account Takeover","url":"https://eladshamir.com/2021/06/21/Shadow-Credentials.html","type":"hyperlink"},{"name":"Shadow Credentials","url":"https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/shadow-credentials","type":"hyperlink"},{"name":"Parsing the msDS-KeyCredentialLink value for ShadowCredentials attack","url":"https://podalirius.net/en/articles/parsing-the-msds-keycredentiallink-value-for-shadowcredentials-attack/","type":"hyperlink"},{"name":"WHfB and Entra ID - Say hello to your new cache flow","url":"https://www.synacktiv.com/publications/whfb-and-entra-id-say-hello-to-your-new-cache-flow.html","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[{"name":"DSInternals","url":"https://github.com/MichaelGrafnetter/DSInternals","author":"Michael Grafnetter"},{"name":"Whisker","url":"https://github.com/eladshamir/Whisker","author":"Elad Shamir"},{"name":"pywhisker","url":"https://github.com/ShutdownRepo/pywhisker","author":"Charlie Bromberg"}],"category_id":5,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]},{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1556 - Modify Authentication Process (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","zh_TW","fr_FR","ko_KR","de_DE","ja_JP","zh_CN","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-SHADOW-CREDENTIALS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["es","zh-TW","fr","ko","de","ja","zh-CN","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]},{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1556","name":"Modify Authentication Process (texto en inglés)","url":"https://attack.mitre.org/techniques/T1556/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[59]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-GUEST-ACCOUNT","_score":null,"_source":{"language_code":"es_001","codename":"C-GUEST-ACCOUNT","name":"Cuenta de invitado habilitada","id":58,"description":"\u003cp\u003eComprueba que la cuenta de invitado integrada esté deshabilitada.\u003c/p\u003e\n","criticity":"low","exec_summary":"\u003cp\u003eDe manera predeterminada, la cuenta de invitado está deshabilitada en Active Directory. Habilitar esta cuenta genera riesgos de seguridad al permitir el acceso anónimo al dominio, que agentes maliciosos podrían aprovechar para el reconocimiento y posiblemente vulnerar la integridad de la red al acceder a datos confidenciales y enumerar las cuentas.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eComo \u003ca href=\"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/manage/understand-default-user-accounts#guest-account\"\u003elo indicó Microsoft\u003c/a\u003e, la cuenta de invitado es una cuenta predeterminada que tiene acceso limitado a los equipos del dominio (o localmente) y está deshabilitada de manera predeterminada. La contraseña de la cuenta de invitado se deja en blanco de manera predeterminada, lo que permite que se acceda a esta cuenta sin necesidad de que el usuario escriba una contraseña.\nHabilitar la cuenta de invitado expone la red a acceso no autorizado, lo que otorga a las personas acceso a sus recursos. Esto puede facilitar el reconocimiento, que suele ser la fase inicial de un ataque.\nAdemás, deshabilitar la cuenta de invitado mejora la rastreabilidad. Si hay personas que usan esta cuenta, sus acciones pueden quedar veladas, lo que complica el seguimiento y la comprensión de la actividad de los usuarios.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Deshabilitar la cuenta de invitado","description":"No habilite la cuenta de invitado.","exec_summary":"\u003cp\u003eDeshabilite la cuenta de invitado para evitar los inicios de sesión anónimos.\u003c/p\u003e\n","detail":"\u003cp\u003eTenable recomienda mantener deshabilitada la cuenta de invitado para evitar el acceso anónimo al dominio, lo que ayuda a reducir la superficie de ataque.\nPara deshabilitar la cuenta de invitado, tiene varios procedimientos:\u003c/p\u003e\n\u003ch4\u003eGUI\u003c/h4\u003e\n\u003cp\u003eMediante una interfaz gráfica de usuario (GUI):\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra Usuarios y equipos de Active Directory.\u003c/li\u003e\n\u003cli\u003eVaya a la ubicación predeterminada \u003ccode\u003eCN=Users,DC=DOMAIN,DC=CORP\u003c/code\u003e. Si la movió, vaya a la nueva ubicación.\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en la cuenta \u003ccode\u003eGuest\u003c/code\u003e. Si le cambió el nombre, haga clic con el botón derecho en el nuevo nombre.\u003c/li\u003e\n\u003cli\u003eHaga clic en “Deshabilitar cuenta”.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003ePowerShell\u003c/h4\u003e\n\u003cp\u003eEjecute el siguiente comando de \u003ca href=\"https://learn.microsoft.com/es-es/powershell/module/activedirectory/disable-adaccount\"\u003ePowerShell\u003c/a\u003e. Si cambió el nombre de la cuenta, reemplace \u003ccode\u003eGuest\u003c/code\u003e por el nuevo nombre:\u003c/p\u003e\n\u003cpre\u003e\u003ccode class=\"language-powershell\"\u003eDisable-ADAccount -Identity Guest\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eNota: Si la cuenta de invitado se vuelve a habilitar automáticamente, compruebe si hay un objeto de política de grupo (GPO) con la opción de la política de seguridad \u003ca href=\"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/accounts-guest-account-status\"\u003eCuentas: estado de la cuenta de invitado\u003c/a\u003e.\nSi este GPO existe, establézcalo en \u003ccode\u003eDeshabilitado\u003c/code\u003e. Este indicador de exposición comprueba solo el estado de la cuenta y no el parámetro del GPO.\u003c/p\u003e\n","resources":[{"name":"Accounts: Guest account status - security policy setting (texto en inglés)","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/accounts-guest-account-status","type":"hyperlink"}]},"resources":[{"name":"Active Directory Security Assessment Checklist - Guest account enabled (texto en inglés)","url":"https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_guest","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0001 - Initial Access (texto en inglés)","techniques":["T1078.001 - Default Accounts (texto en inglés)"]},{"tactic":"TA0043 - Reconnaissance (texto en inglés)","techniques":["T1590 - Gather Victim Network Information (texto en inglés)"]},{"tactic":"TA0043 - Reconnaissance (texto en inglés)","techniques":["T1595 - Active Scanning (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["fr_FR","de_DE","zh_TW","ja_JP","es_001","ko_KR","zh_CN","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-GUEST-ACCOUNT","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"low","type":"ioe","subType":"ad","availableLocales":["fr","de","zh-TW","ja","es","ko","zh-CN","en"],"mitre_attack_information":[{"tactic":{"id":"TA0001","name":"Initial Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0001/"},"techniques":[{"id":"T1078.001","name":"Default Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/001/"}]},{"tactic":{"id":"TA0043","name":"Reconnaissance (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0043/"},"techniques":[{"id":"T1590","name":"Gather Victim Network Information (texto en inglés)","url":"https://attack.mitre.org/techniques/T1590/"}]},{"tactic":{"id":"TA0043","name":"Reconnaissance (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0043/"},"techniques":[{"id":"T1595","name":"Active Scanning (texto en inglés)","url":"https://attack.mitre.org/techniques/T1595/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[58]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-MSA-COMPLIANCE","_score":null,"_source":{"language_code":"es_001","codename":"C-MSA-COMPLIANCE","name":"Errores de configuración peligrosos en cuentas de servicios administradas","id":57,"description":"\u003cp\u003eSe asegura de que las cuentas de servicios administradas (MSAs) se implementen y configuren correctamente.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLas MSAs (cuentas de servicios administradas) ofrecen una forma segura de administrar las cuentas de servicio de Active Directory. Una MSA tiene su propia contraseña compleja, que se mantiene de manera automática, al igual que las cuentas de equipo. Esta funcionalidad debe implementarse y configurarse correctamente para que ninguna cuenta de usuario ilegítima pueda vulnerarlas (p. ej., mediante ataques “Kerberoasting”)\n.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003ch4\u003eIntroducción\u003c/h4\u003e\n\u003cp\u003eUna cuenta de servicio, según la definición de Microsoft, es una cuenta de usuario que se crea explícitamente para brindar un contexto de seguridad a los servicios que se ejecutan en sistemas operativos Windows. El contexto de seguridad determina la capacidad del servicio de acceder a recursos locales y de red.\u003c/p\u003e\n\u003cp\u003eLas cuentas de servicio, si son usuarios de dominio clásicos, son propensas a un ataque conocido llamado Kerberoasting, ya que las contraseñas de las cuentas de servicio pueden ser débiles y un atacante podría adivinarlas sin conexión. La característica de cuentas de servicios administradas aborda este problema al proporcionar cuentas de servicio que se administran automáticamente y tienen contraseñas seguras.\nEn función de los privilegios de una cuenta de servicio, puede llevar a la vulneración directa de Active Directory. Tenga en cuenta que las cuentas de servicio deben usar el modelo de privilegios mínimos y se les deben conceder solo los derechos y permisos que necesiten para ejecutar sus servicios, ya sean cuentas de servicio clásicas o cuentas de servicios administradas.\n\u003cbr\u003eTambién es importante destacar que las cuentas de servicios administradas tienen que estar correctamente configuradas y que ningún usuario ilegítimo puede elevar sus privilegios para vulnerar una de estas cuentas.\u003c/p\u003e\n\u003cp\u003eCiertamente, incluso aunque las MSA agregan una capa de abstracción en cuanto a las tareas administrativas y mejoran la seguridad de las cuentas de servicio, los administradores de Active Directory deben tener cuidado de que las MSAs estén correctamente configuradas y de que ningún derecho permisivo pueda crear una ruta de ataque hacia esas cuentas.\n\u003cbr\u003eHay dos tipos de MSA, independientes (sMSA) y por grupo (gMSA):\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eLas sMSA (cuentas de servicios administradas independientes) están ligadas solo a un equipo, no pueden reutilizarse entre varios servidores. Las sMSA ofrecen una administración automática de las contraseñas, una administración simplificada de los nombres de las entidades de servicio (SPN) y la capacidad de delegar la administración a otros administradores. El equipo mismo administra y renueva la contraseña, que luego se comunica al controlador de dominio.\u003c/li\u003e\n\u003cli\u003eLas gMSA (cuentas de servicios administradas por grupo) ofrecen la misma funcionalidad dentro del dominio que las sMSA, pero también amplían esa funcionalidad a varios servidores. En el caso de una gMSA, un controlador de dominio calcula (y renueva) la contraseña, y los equipos que hospedan la gMSA solicitan la contraseña.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eObjetivos del indicador de exposición\u003c/h4\u003e\n\u003cp\u003eEn este indicador de exposición, se llevan a cabo varias comprobaciones para asegurar lo siguiente:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eSe cumplen los requisitos previos para instalar y usar las MSA.\u003c/li\u003e\n\u003cli\u003eLas MSA existen y están bien configuradas.\u003c/li\u003e\n\u003cli\u003eNo existe ninguna ruta de control que pueda llevar a la vulneración de una MSA.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEste indicador de exposición admite ambos tipos de cuentas de servicios administradas (sMSA y gMSA).\u003c/p\u003e\n\u003ch4\u003eAtaques a las cuentas de servicios administradas por grupo\u003c/h4\u003e\n\u003cp\u003eYa que, para las gMSA, un controlador de dominio genera la contraseña, en los objetos de gMSA existe un atributo específico para almacenar esta contraseña (además de los atributos de hash de NTLM y LM): el atributo \u003ccode\u003emsDS-ManagedPassword\u003c/code\u003e. Poder leer este atributo (tras cierta descodificación) permitirá autenticarse como esta cuenta de servicio en los recursos a los que tiene acceso. Contar con los derechos para ello es un mecanismo de persistencia en Active Directory.\u003c/p\u003e\n\u003cp\u003ePara los objetos y atributos normales, se usa un descriptor de seguridad para determinar las ACL que están configuradas en un objeto. Este atributo específico no funciona como cualquier otro atributo típico sino que, en su lugar, se basa en un atributo dedicado: el atributo \u003ccode\u003emsDS-GroupMSAMembership\u003c/code\u003e, que también tiene el formato de un descriptor de seguridad, pero especializado. Si un atacante es capaz de escribir un valor dentro de este atributo, podrá agregar una entrada en la lista de permisos para permitir que una cuenta lea la contraseña de la gMSA. Por lo tanto, este último atributo se supervisa en busca de errores de configuración o puertas traseras.\nEl contenido de este atributo tiene que validarse, así como sus permisos, para verificar que ninguna cuenta sin privilegios pueda modificarla.\n\u003cbr\u003eOtro ataque relacionado con las cuentas gMSA es \u003ccode\u003eGolden GMSA\u003c/code\u003e. Este ataque aborda algunas limitaciones técnicas del ataque anterior, al ser capaz de generar directamente la contraseña de una gMSA, totalmente sin conexión. Se basa en el control de la clave raíz del Servicio de distribución de claves (KDS) que se usó para generar la contraseña de la gMSA.\nEl atributo \u003ccode\u003emsKds-RootKeyData\u003c/code\u003e de una clave raíz del KDS contiene los elementos criptográficos que los atacantes usan para generar contraseñas y también se supervisa.\n\u003cbr\u003eObservación: Con respecto a esta comprobación de las claves raíz del KDS, solo se puede llevar a cabo si la cuenta de T.IE usada para rastrear y supervisar la instancia de Active Directory tiene acceso a este atributo. De manera predeterminada, ninguna cuenta sin privilegios tiene el derecho a leer los atributos de una clave raíz del KDS, por lo que, la mayor parte del tiempo, el producto no puede ejecutar esta comprobación. Definir los permisos para permitir que el producto tenga acceso a estos datos puede resultar peligroso, ya que esto podría permitir la elevación de privilegios, por lo que no se recomienda. No obstante, si la cuenta de servicios que se usa ya es una cuenta con privilegios altos, esta comprobación se llevará a cabo.\nPor lo tanto, las comprobaciones de las claves raíz del KDS se ejecutan en la mayor medida posible, cuando la información necesaria está disponible.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Implementar y corregir errores en cuentas de servicios administradas","description":"La característica de cuentas de servicios administrada (MSA) es una práctica de seguridad recomendada cuando se necesitan cuentas de servicios.\n","exec_summary":"\u003cp\u003eLas cuentas de servicios deben configurarse como cuentas de servicios administradas (MSAs) y protegerse de manera adecuada con el fin de evitar los mecanismos potenciales de elevación de privilegios y persistencia.\u003c/p\u003e\n","detail":"\u003ch4\u003eVentajas de usar cuentas de servicios administradas\u003c/h4\u003e\n\u003cp\u003eUna de las características más interesantes que presentó Windows Server 2008R2 son las cuentas de servicios administradas (inicialmente, MSAs independientes). Esta característica permite crear una cuenta en Active Directory que esté ligada a un conjunto específico de equipos (uno o más). Esa cuenta tiene su propia contraseña compleja, que se mantiene automáticamente (ya sea por el equipo mismo o por controladores de dominio).\nEsto se traduce en que una MSA puede ejecutar servicios en un equipo de forma segura y fácil de mantener, a la vez que se conserva la capacidad de conectarse a recursos de red en el dominio como entidad de seguridad de un usuario en particular. Por lo tanto, es conveniente usar MSAs cuando se necesiten cuentas de servicios. En particular, porque contar con una contraseña segura evita los ataques Kerberoasting.\n\u003cbr\u003eSin embargo, las MSAs no protegen los secretos si el equipo que hospeda la MSA se vulneró. Ciertamente, para asegurar una debida autenticación de las cuentas de servicios, las contraseñas se almacenan localmente en el registro (con un formato reversible).\nSi se detecta que un host se vio vulnerado, cada cuenta que ejecute un servicio (ya sea una cuenta de servicios clásica o MSA) debe considerarse en igual estado, deshabilitarse y volver a crearse desde cero.\u003c/p\u003e\n\u003ch4\u003eNingún controlador de servicio con la versión de sistema operativo necesaria para la gMSA\u003c/h4\u003e\n\u003cp\u003ePara admitir tanto sMSA como gMSA, al menos uno de los controladores de dominio del dominio debe actualizarse a Windows Server 2012 o superior. No existe un requisito específico para el nivel funcional del dominio y el nivel funcional del bosque.\u003c/p\u003e\n\u003ch4\u003eNinguna MSA configurada para el dominio\u003c/h4\u003e\n\u003cp\u003eCuando hay un producto que necesita una cuenta de servicios de dominio para ejecutar un servicio en un equipo Windows, las MSA deben ser privilegiadas. En algunas situaciones, el producto no admite esto. Para esta situación, la cuenta de servicios tiene que administrarse manualmente con cuidado. Debe tener definida una contraseña compleja que se cambie periódicamente. En general, debe existir documentación que haga referencia a todas esas cuentas de servicios, qué hay que hacer por ellas y cuándo.\u003c/p\u003e\n\u003ch4\u003eMSA con privilegios altos\u003c/h4\u003e\n\u003cp\u003eLas MSA pueden instalarse en todo tipo de equipos del dominio. Si una MSA se identifica como privilegiada, debe comprobarse que los equipos que usan esta cuenta también tengan el mismo nivel privilegiado. Por ejemplo, tener una MSA que sea miembro de un grupo con privilegios, como “Administradores de dominio”, no aumenta los riesgos si el equipo objetivo es un controlador de dominio. En cambio, si esta cuenta se usa para otros tipos de servidores que pertenecen a un nivel inferior, se trata de un alto riesgo de seguridad para el entorno de AD.\nTenga cuidado con las cuentas de servicio que se usan para copias de seguridad o para equipos de supervisión, ya que, en general, tienen derechos en el dominio por encima de los que se necesitan localmente en cada equipo.\u003c/p\u003e\n\u003cp\u003eSe debe asignar la menor cantidad de privilegios a las MSA, y los grupos del dominio deben tener la menor cantidad posible. Quite las MSA de los miembros de esos grupos si no son estrictamente necesarias.\u003c/p\u003e\n\u003ch4\u003eMSA (con privilegios) sin compatibilidad con AES\u003c/h4\u003e\n\u003cp\u003eSe trata de una práctica recomendada para admitir los algoritmos de cifrado de AES para las MSA. Esto es así de manera predeterminada, por lo que es probable que esta configuración se haya cambiado.\nUse PowerShell para revertir esta opción al valor correcto predeterminado. Por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADObject -Identity \"CN=gMSA,CN=Managed Service Accounts,DC=DOMAIN,DC=CORP\" -Replace @{'msDS-SupportedEncryptionTypes'=\"28\"}\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003eCuentas capaces de leer la contraseña de gMSA (con privilegios)\u003c/h4\u003e\n\u003cp\u003eLas únicas cuentas que deberían poder leer la contraseña de una gMSA son los equipos que la usan.\nSi las cuentas que se especifican aquí son legítimas (no pueden serlo si son cuentas de usuario y no cuentas de equipo), la configuración no se completó y el atributo “msDS-HostServiceAccount” no se definió en esas cuentas de equipo.\u003c/p\u003e\n\u003cp\u003eUse PowerShell para restablecer los equipos que pueden leer esta contraseña. Debería incluir todos los nombres de los equipos que usarán esta gMSA, no solo los nuevos que se van a permitir. Por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADServiceAccount -Identity \"gMSA\" -PrincipalsAllowedToRetrieveManagedPassword \"WIN10{[5057]}quot;,\"WIN11{[5057]}quot;\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003ePara las cuentas de equipo legítimas, use el cmdlet “Add-ADComputerServiceAccount” para completar la configuración de cada una. Por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Add-ADComputerServiceAccount -Identity \"WIN10{[5533]}quot; -ServiceAccount \"gMSA\"\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003ePermisos inseguros en cuentas MSA y propietario inseguro para cuentas MSA\u003c/h4\u003e\n\u003cp\u003ePuede hacer modificaciones en los permisos a través de la GUI (Editor ADSI) o mediante comandos de PowerShell.\u003c/p\u003e\n\u003cp\u003eSi tiene que restablecer el \u003cstrong\u003epropietario\u003c/strong\u003e de una MSA, el procedimiento es el siguiente: (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e).\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $securityPrincipalAccount = \"DOMAIN\\Domain Admins\"\nPS\u0026gt; $securityPrincipalObject = New-Object System.Security.Principal.NTAccount($securityPrincipalAccount)\nPS\u0026gt; $msaPath = \"AD:CN=gMSA,CN=Managed Service Accounts,DC=DOMAIN,DC=CORP\"\nPS\u0026gt; $msa = Get-Acl -Path $msaPath\nPS\u0026gt; $msa.SetOwner($securityPrincipalObject)\nPS\u0026gt; $msa | Set-Acl -Path $msaPath\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSi tiene que quitar una \u003cstrong\u003eACE\u003c/strong\u003e problemática de un property set, puede seguir el procedimiento a continuación. (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e).\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $msaPath = \"AD:CN=gMSA,CN=Managed Service Accounts,DC=DOMAIN,DC=CORP\"\nPS\u0026gt; $msa = Get-Acl -Path $msaPath\nPS\u0026gt; $aceToRemove = $msa.Access | ? { $_.ActiveDirectoryRights -eq 'WriteProperty' -and $_.IdentityReference -eq 'DOMAIN\\unpriv' }\nPS\u0026gt; $msa.RemoveAccessRule($aceToRemove)\nPS\u0026gt; $msa | Set-Acl -Path $msaPath\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003ePermisos inseguros en las claves raíz del KDS y propietario inseguro de las claves raíz del KDS\u003c/h4\u003e\n\u003cp\u003eUse comandos similares a los del ejemplo anterior para cambiar el propietario de una clave raíz del KDS nuevamente al predeterminado, que es “Administradores de empresas”, y para quitar las ACE peligrosas.\u003c/p\u003e\n","resources":[{"name":"Protección de cuentas de servicio administradas de grupo","url":"https://docs.microsoft.com/es-es/azure/active-directory/fundamentals/service-accounts-group-managed","type":"hyperlink"},{"name":"How to recover from a Golden gMSA attack (texto en inglés)","url":"https://learn.microsoft.com/es-es/troubleshoot/windows-server/windows-security/recover-from-golden-gmsa-attack","type":"hyperlink"}]},"resources":[{"name":"Group Managed Service Accounts Overview","url":"https://learn.microsoft.com/es-es/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview","type":"hyperlink"},{"name":"gMSA Active Directory Attacks (texto en inglés)","url":"https://www.semperis.com/blog/golden-gmsa-attack/","type":"hyperlink"},{"name":"Retrieving Cleartext GMSA Passwords from Active Directory (texto en inglés)","url":"https://www.dsinternals.com/en/retrieving-cleartext-gmsa-passwords-from-active-directory/","type":"hyperlink"},{"name":"Step-by-Step - How to work with Group Managed Service Accounts (gMSA) (texto en inglés)","url":"https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-how-to-work-with-group-managed-service-accounts/ba-p/329864","type":"hyperlink"},{"name":"Windows Server 2012 - Group Managed Service Accounts (texto en inglés)","url":"https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/windows-server-2012-group-managed-service-accounts/ba-p/255910","type":"hyperlink"}],"applicable_resource_types":["ad_domain_dns","ad_msds_group_managed_service_account","ad_msds_managed_service_account","ad_ms_kds_prov_root_key"],"attacker_known_tools":[{"name":"GoldenGMSA","url":"https://github.com/Semperis/GoldenGMSA","author":"Yuval Gordon"},{"name":"DSInternals","url":"https://github.com/MichaelGrafnetter/DSInternals","author":"Michael Grafnetter"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_TW","fr_FR","es_001","zh_CN","ko_KR","ja_JP","de_DE","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-MSA-COMPLIANCE","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["zh-TW","fr","es","zh-CN","ko","ja","de","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[57]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-AAD-PRIV-SYNC","_score":null,"_source":{"language_code":"es_001","codename":"C-AAD-PRIV-SYNC","name":"Cuentas de usuario de AD privilegiadas sincronizadas con Microsoft Entra ID","id":56,"description":"\u003cp\u003eComprueba que las cuentas de usuario de Active Directory privilegiadas no se sincronicen con Microsoft Entra ID.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eSincronizar las cuentas de Active Directory privilegiadas con Microsoft Entra ID presenta el riesgo de permitir que los atacantes cambien de un inquilino de Entra ID vulnerado a la instancia local de Active Directory, lo que facilita su migración desde la nube.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLos usuarios de dominio de Active Directory se pueden sincronizar con un inquilino de Entra ID, con lo que se alcanza un estado “híbrido” al usar una de las herramientas siguientes o ambas (\u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/cloud-sync/what-is-cloud-sync#comparison-between-azure-ad-connect-and-cloud-sync\"\u003ecomparación\u003c/a\u003e):\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/connect/whatis-azure-ad-connect-v2\"\u003eMicrosoft Entra Connect Sync\u003c/a\u003e (anteriormente “Azure AD Connect”).\u003c/li\u003e\n\u003cli\u003e\u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/cloud-sync/what-is-cloud-sync\"\u003eMicrosoft Entra Cloud Sync\u003c/a\u003e (anteriormente “Azure AD Connect Cloud Sync”).\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e\u003cbr\u003eEn función de las \u003ca href=\"https://learn.microsoft.com/es-es/azure/security/fundamentals/identity-management-best-practices#centralize-identity-management\"\u003eprácticas recomendadas de seguridad de identidades de Microsoft\u003c/a\u003e:\u003c/p\u003e\n\u003cblockquote\u003e\n\u003cp\u003eNo sincronice con Microsoft Entra ID cuentas que tienen privilegios altos en la instancia existente de Active Directory.\nNo cambie la configuración predeterminada de Microsoft Entra Connect que filtra estas cuentas. Esta configuración mitiga el riesgo de que los atacantes cambien de la nube a activos locales (lo que podría generar un incidente grave).\u003c/p\u003e\n\u003c/blockquote\u003e\n\u003cp\u003e\u003cbr\u003eEsta vulnerabilidad podría llevar a un atacante a explotar una cuenta híbrida con privilegios en AD a través de técnicas como las siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003ePhishing para robar la contraseña de Entra ID, que es idéntica a la contraseña de AD.\u003c/li\u003e\n\u003cli\u003eForzar un cambio de contraseña en Entra ID, lo que desencadena la sincronización con AD a través de la \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/authentication/tutorial-enable-sspr-writeback\"\u003eescritura diferida de contraseñas\u003c/a\u003e.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEste indicador de exposición (IoE) trata de garantizar la \u003cstrong\u003emayor eficacia posible\u003c/strong\u003e y se basa exclusivamente en información disponible en Active Directory y no en Entra ID. El algoritmo se detalla a continuación.\n\u003cbr\u003eMicrosoft Entra Connect usa un atributo \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/connect/plan-connect-design-concepts#sourceanchor\"\u003esourceAnchor\u003c/a\u003e para identificar de manera única un objeto como que es el mismo objeto en AD y en Entra ID. Este atributo también se denomina \u003ccode\u003eimmutableId\u003c/code\u003e.\n\u003cbr\u003eEn la configuración predeterminada, las versiones anteriores de Microsoft Entra Connect (versión 1.1.486.0 de abril de 2017 y anteriores) usaban \u003ccode\u003eobjectGUID\u003c/code\u003e como atributo \u003ccode\u003esourceAnchor\u003c/code\u003e. Por el contrario, las versiones más nuevas (versión 1.1.524.0 de mayo de 2017 y posteriores) toman el valor predeterminado \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e como atributo \u003ccode\u003esourceAnchor\u003c/code\u003e siempre que sea posible.\n\u003cbr\u003eEste IoE \u003cstrong\u003edetecta cuentas híbridas al inspeccionar el atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e rellenado\u003c/strong\u003e. Si un atributo alternativo funciona como delimitador de origen o encuentra problemas de permisos que impiden que se rellene, el IoE puede pasar por alto las cuentas híbridas, lo que llevaría a falsos negativos. Normalmente, en Entra Connect versión 1.1.524.0 de mayo de 2017 y posteriores se prefiere el atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e, pero puede especificar otro atributo durante la instalación. Si una herramienta de un tercero ya usa \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e, el asistente de Microsoft Entra Connect toma \u003ccode\u003eobjectGUID\u003c/code\u003e como valor predeterminado del atributo \u003ccode\u003esourceAnchor\u003c/code\u003e.\nAdemás, Microsoft retiró Azure AD Connect V1 el 31 de agosto de 2022 y ya no ofrece soporte técnico. Lo sucedió Azure AD Connect V2 y, posteriormente, Microsoft Entra Connect V2 tomó su lugar tras el cambio de nombre de Entra ID.\n\u003cbr\u003e\u003cstrong\u003eNota:\u003c/strong\u003e El rellenado del atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e es poco probable para los usuarios híbridos con privilegios de AD. Esto se debe a que, de manera predeterminada, en la cuenta de servicio de Entra Connect o Cloud Sync AD falta el \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/connect/plan-connect-design-concepts#permission-required\"\u003epermiso\u003c/a\u003e para escribir en las cuentas de usuario de AD protegidas por el mecanismo AdminSDHolder (que se indica mediante \u003ccode\u003eadminCount=1\u003c/code\u003e y cuando la herencia está deshabilitada). Lamentablemente, esto impide que el IoE las marque como anómalas, lo que provoca falsos negativos. Para detectar este problema, puede comprobar los errores “\u003ca href=\"https://learn.microsoft.com/es-es/troubleshoot/azure/active-directory/troubleshoot-permission-issue-sync-service-manager\"\u003epermission-issue\u003c/a\u003e” en los registros de “Synchronization Service Manager” de Entra Connect.\nEsto no supone ningún problema si \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/connect/how-to-connect-configure-ad-ds-connector-account#configure-ms-ds-consistency-guid-permissions\"\u003eotorga más permisos a la cuenta de servicio\u003c/a\u003e mediante \u003ccode\u003eSet-ADSyncMsDsConsistencyGuidPermissions\u003c/code\u003e con \u003ccode\u003e-IncludeAdminSdHolders\u003c/code\u003e. Sin embargo, Tenable no recomienda hacer esto en ningún caso, ya que estas cuentas de usuario de AD privilegiadas no deben ser híbridas.\n\u003cbr\u003eSi bien en la guía de \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/cloud-sync/plan-cloud-sync-topologies#things-to-remember-about-all-scenarios-and-topologies\"\u003etopologías y escenarios admitidos para Microsoft Entra Cloud Sync\u003c/a\u003e se indica lo siguiente:\u003c/p\u003e\n\u003cblockquote\u003e\n\u003cp\u003eEl delimitador de origen de los objetos se selecciona automáticamente. Usa \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e si está presente; de lo contrario, se usa ObjectGUID.\u003c/p\u003e\n\u003c/blockquote\u003e\n\u003cp\u003eTenable no observó que Entra Cloud Sync rellenara automáticamente el atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e. Esto podría llevar a resultados incompletos si Entra Cloud Sync es el único método usado para sincronizar usuarios con Entra ID. En este caso, puede deshabilitar este IoE sin problemas.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Evite la sincronización híbrida de cuentas de Active Directory privilegiadas con Entra ID.","description":"No sincronice las cuentas de Active Directory muy privilegiadas con Microsoft Entra ID.","exec_summary":"\u003cp\u003eConfigure el filtrado en Entra Connect o Cloud Sync para excluir de la sincronización las cuentas de Active Directory privilegiadas.\u003c/p\u003e\n","detail":"\u003cp\u003eConfigure el filtrado en Entra Connect o Entra Cloud Sync, según corresponda, para excluir de la sincronización las cuentas de usuario de Active Directory privilegiadas.\nLas reglas predeterminadas ignoran automáticamente ciertas cuentas, como \u003ccode\u003eKRBTGT\u003c/code\u003e, \u003ccode\u003eInvitado\u003c/code\u003e, \u003ccode\u003eMSOL_…\u003c/code\u003e y la cuenta \u003ccode\u003eAdministrador\u003c/code\u003e integrada. Sin embargo, otros usuarios privilegiados, como miembros de Administradores de dominio, no se excluyen de manera predeterminada, lo que representa un riesgo de seguridad cuando se sincronizan con Entra ID. Configure el filtrado manualmente para abordar este problema.\n\u003cbr\u003eSegún las prácticas recomendadas, almacene los usuarios privilegiados en una unidad organizativa (OU) de nivel 0 dedicada. Use el \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/connect/how-to-connect-sync-configure-filtering#organizational-unitbased-filtering\"\u003efiltrado basado en unidades organizativas\u003c/a\u003e en Entra Connect o el método de \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/cloud-sync/how-to-configure#scope-provisioning-to-specific-users-and-groups\"\u003eespecificación del ámbito de aprovisionamiento a usuarios y grupos específicos\u003c/a\u003e para que Entra Cloud Sync excluya de la sincronización esta OU de nivel 0.\n\u003cbr\u003eDespués de configurar el filtrado y quitar los usuarios privilegiados de la sincronización, borre el valor del atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e (como se indica en los detalles de la vulnerabilidad) para borrar el objeto de AD. Con esto, se asegura de que el IoE ya no considere las cuentas de usuario como híbridas y se resuelven las anomalías. Use el siguiente comando de PowerShell para restablecer el valor del atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e y reemplace “user-to-clean-CN” por el CN del usuario correspondiente:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Get-ADUser -Filter 'CN -like \"user-to-clean-CN\"' -Properties CN,mS-DS-ConsistencyGuid | Set-ADUser -Clear mS-DS-ConsistencyGuid\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003e\u003cstrong\u003eNota\u003c/strong\u003e: Si un usuario privilegiado se sincronizó al menos una vez, aunque haga mucho tiempo, y no borró el atributo, el IoE genera una anomalía, ya que el atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e indica una sincronización en curso.\u003c/p\u003e\n","resources":[{"name":"Procedimientos recomendados para la administración de identidades y la seguridad del control de acceso en Azure","url":"https://learn.microsoft.com/es-es/azure/security/fundamentals/identity-management-best-practices#centralize-identity-management","type":"hyperlink"}]},"resources":[{"name":"Procedimientos recomendados para la administración de identidades y la seguridad del control de acceso en Azure","url":"https://learn.microsoft.com/es-es/azure/security/fundamentals/identity-management-best-practices#centralize-identity-management","type":"hyperlink"},{"name":"Démos d'attaques par rebond en environnement hybride Active Directory-Azure AD (texto en francés)","url":"https://www.slideshare.net/IdentityDays/dmos-dattaques-par-rebond-en-environnement-hybride-active-directoryazure-ad","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1556 - Modify Authentication Process (texto en inglés)"]},{"tactic":"TA0008 - Lateral Movement (texto en inglés)","techniques":["T1021 - Remote Services: Cloud Services (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ja_JP","ko_KR","zh_TW","de_DE","zh_CN","es_001","fr_FR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-AAD-PRIV-SYNC","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["ja","ko","zh-TW","de","zh-CN","es","fr","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1556","name":"Modify Authentication Process (texto en inglés)","url":"https://attack.mitre.org/techniques/T1556/"}]},{"tactic":{"id":"TA0008","name":"Lateral Movement (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0008/"},"techniques":[{"id":"T1021","name":"Remote Services: Cloud Services (texto en inglés)","url":"https://attack.mitre.org/techniques/T1021/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[56]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-AUTH-SILO","_score":null,"_source":{"language_code":"es_001","codename":"C-AUTH-SILO","name":"Configuración de silos de autenticación con privilegios","id":55,"description":"\u003cp\u003eUna guía detallada de la configuración de un silo de autenticación para cuentas con privilegios (nivel 0).\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLa debida administración de las cuentas con privilegios (usuarios y equipos) es importante para la seguridad, con el fin de limitar los riesgos de que se produzca una vulneración total del entorno de Active Directory (AD). En las versiones más recientes de Windows (Windows Server 2012 R2+), Microsoft ofrece características y un diseño técnico para proteger de manera adecuada las cuentas que usan silos y políticas de autenticación.\nEste indicador de exposición intenta ayudar a los administradores de AD en la implementación de un modelo diseñado para proteger dichas cuentas con privilegios altos (es decir, de “nivel 0”).\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003ch4\u003eIntroducción\u003c/h4\u003e\n\u003cp\u003eLa administración eficaz de los equipos y usuarios privilegiados es fundamental para mitigar los riesgos asociados con el robo de credenciales. Hace unos años, Microsoft presentó un modelo de autenticación basado en silos para restringir la autenticación a un grupo específico de equipos dentro del mismo ámbito que sus usuarios. El silo de nivel 0, el más crítico, debe incluir exclusivamente las cuentas con mayores privilegios del entorno, como los usuarios “Administradores de dominio” y los equipos “Controladores de dominio” en particular.\u003c/p\u003e\n\u003ch4\u003eSilos y políticas de autenticación\u003c/h4\u003e\n\u003cp\u003eLos silos de autenticación, como se describen en el indicador de exposición “Restricciones de inicio de sesión para usuarios privilegiados”, comparten la meta de limitar las cuentas con privilegios de nivel 0 frente a la exposición de sus credenciales en sistemas menos privilegiados (p. ej., servidores y estaciones de trabajo estándar). Esta característica se centra en proteger los usuarios, en lugar de los equipos, al reemplazar los conceptos más antiguos del indicador de exposición “Restricciones de inicio de sesión para usuarios privilegiados” por un enfoque más contemporáneo hacia la configuración de las restricciones de autenticación de los usuarios.\n\u003cbr\u003eLos silos de autenticación aprovechan varios elementos fundacionales, como el protocolo Kerberos, notificaciones, políticas de autenticación, ACE condicionales y protección de Kerberos. El uso de estas características exige que los controladores de dominio ejecuten la versión 2012 R2 o superior.\n\u003cbr\u003eLa implementación de silos busca ofrecer a los administradores de AD una solución más simple y robusta en comparación con las restricciones de autenticación anteriores. El objetivo es agrupar los usuarios y equipos de nivel 0 dentro de un contexto de seguridad compartido, llamado “silo”. Esto asegura que estos usuarios solo puedan conectarse a equipos que pertenecen al mismo silo, ya sea a través de Escritorio remoto o sesiones interactivas tradicionales.\n\u003cbr\u003eUn riesgo adicional de robo de credenciales involucra la delegación de la autenticación a un equipo fuera del silo designado. \nPara abordar los desafíos de proteger por completo la autenticación NTLM, se aconseja decantarse por el protocolo Kerberos. Para proteger los administradores de nivel 0 frente a ambos riesgos, se recomienda incluirlos en el grupo “Usuarios protegidos”.\n\u003cbr\u003eLas características interconectadas esenciales para este indicador de exposición están vinculadas de la manera siguiente:\nSilo de autenticación → (requiere) → Política de autenticación → (requiere) → Notificaciones → (requiere) → Protección de Kerberos\n\u003cbr\u003eAhondar en las complejidades de estos conceptos excede el alcance de este indicador de exposición. En resumen:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eUn silo de autenticación consta de una colección de cuentas de equipo y de usuario que comparten las mismas inquietudes de seguridad, en particular para nuestro contexto, objetos con privilegios.\u003c/li\u003e\n\u003cli\u003eUna política de autenticación es un conjunto de reglas diseñadas para limitar la autenticación en distintas situaciones. Su propósito es asegurar que los usuarios dentro de un silo puedan autenticarse exclusivamente en equipos designados por el silo.\u003c/li\u003e\n\u003cli\u003eLas notificaciones se desempeñan como componentes fundacionales que permiten funcionar a los silos y las políticas de autenticación. En pocas palabras, funcionan como etiquetas en objetos, donde estas etiquetas se especifican en la configuración de las políticas de autenticación.\u003c/li\u003e\n\u003cli\u003eLa protección de Kerberos mejora el protocolo Kerberos mediante una seguridad mejorada, al proteger frente a ataques potenciales de fuerza bruta dirigidos a credenciales de usuarios por medio del acceso al tráfico de red. También introduce compatibilidad con las notificaciones, lo que permite su almacenamiento en el token de seguridad del usuario.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eNota: La protección de Kerberos exige la configuración tanto en clientes como en servidores para admitir los silos.\u003c/p\u003e\n\u003ch4\u003eRequisito previo para la instalación de silos de autenticación de nivel 0\u003c/h4\u003e\n\u003cp\u003ePara mantener el control de un silo y minimizar el riesgo, es fundamental mantener al mínimo la cantidad de cuentas de usuario y de equipo. Antes de incluir usuarios privilegiados en el silo, es fundamental restringir su número al primero usar el indicador de exposición “Miembros de grupos administrativos nativos”.\u003c/p\u003e\n\u003ch4\u003eObjetivo del indicador de exposición\u003c/h4\u003e\n\u003cp\u003eEste indicador de exposición tiene como objetivo asistir a los administradores de AD en la instalación y configuración de un silo de autenticación para las cuentas de nivel 0. La correcta configuración es esencial para evitar vulnerabilidades o brechas en la implementación.\n\u003cbr\u003eEste indicador de exposición abordará las siguientes preguntas para garantizar que se implemente una configuración apropiada:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e¿Están todos los usuarios de nivel 0 en el grupo “Usuarios protegidos”? (Esto impide el uso del protocolo NTLM, y se basa únicamente en la autenticación de Kerberos).\u003c/li\u003e\n\u003cli\u003e¿Tienen todos los controladores de dominio la versión de sistema operativo mínima necesaria para admitir silos y políticas de autenticación? (2012 R2 y superior)\u003cul\u003e\n\u003cli\u003eNota: Los silos en el lado cliente exigen estaciones de trabajo que ejecuten Windows 8+ y servidores que ejecuten Windows Server 2012+. La falta de cumplimiento no representará un riesgo de seguridad, pero impide la autenticación de usuarios de nivel 0. Este indicador de exposición no comprueba esta falta de cumplimiento, pero debería tenerse en cuenta la compatibilidad durante la configuración.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003e¿Se configuró correctamente la protección de Kerberos en los clientes y servidores? (Esta confirmación se somete a comprobaciones de parámetros de GPO).\u003c/li\u003e\n\u003cli\u003e¿Hay configurado un silo de autenticación?\u003c/li\u003e\n\u003cli\u003e¿Está debidamente configurado este silo de autenticación para las cuentas de nivel 0, según lo definido por el producto?\u003cul\u003e\n\u003cli\u003eUsuarios de nivel 0 dentro del silo\u003cul\u003e\n\u003cli\u003e¿Se encuentran en esta lista todos los usuarios privilegiados del dominio? (Los usuarios de nivel 0 deberían incluir miembros de grupos de AD privilegiados nativos. Estos se incluyen en los detalles de la anomalía).\u003c/li\u003e\n\u003cli\u003e¿Hay presente algún usuario sin validar o sin privilegios?\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eEquipos de nivel 0 dentro del silo\u003cul\u003e\n\u003cli\u003e¿Se encuentran en esta lista todos los equipos privilegiados del dominio? (De manera predeterminada, este indicador de exposición solo toma los controladores de dominio como equipos privilegiados. Sin embargo, hay disponibles varias opciones del indicador de exposición para especificar y ayudar a identificar servidores adicionales que deberían tenerse en cuenta, como servidores de AD CS, WSUS, Exchange, de copia de seguridad de AD, etc.).\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e *¿Hay presente alguna equipo sin validar o sin privilegios?\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e¿Se configuró según lo previsto la política de autenticación del silo?\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eSegún lo que se indicó, este indicador de exposición sigue un enfoque paso a paso, y muestra anomalías solo para la información pertinente necesaria para continuar con la instalación de un silo de autenticación para las cuentas de nivel 0. \nAparecerán nuevas anomalías a medida que el indicador de exposición complete y valide cada paso y, en el proceso, resuelva las anomalías anteriores. Tras eliminar todas las anomalías, la configuración del silo de autenticación para las cuentas de nivel 0 estará completa y se considerará segura.\u003c/p\u003e\n\u003ch4\u003eImportante recordatorio de seguridad\u003c/h4\u003e\n\u003cp\u003eEste indicador de exposición no puede analizar un aspecto de seguridad importante: solo puede evaluar los datos de AD (LDAP/SYSVOL) y no puede consultar la configuración local de los equipos de nivel 0. Por lo tanto, es necesaria la verificación manual de un elemento de configuración fundamental de todos los equipos del silo de nivel 0: ningún otro administrador, ni siquiera los equipos de asistencia técnica, debería tener privilegios en estas máquinas. Esta precaución se aplica tanto a las estaciones de trabajo como a los equipos de nivel 0 que se crearon mediante un archivo maestro con una cuenta local de administrador genérica. Esto impide el acceso no autorizado y el potencial robo de credenciales de los usuarios de nivel 0.\u003c/p\u003e\n\u003ch4\u003eCaso especial para la cuenta Administrador\u003c/h4\u003e\n\u003cp\u003eTrate la cuenta “Administrador” integrada (RID=500) como cuenta de emergencia, según lo recomienda Microsoft (compruebe su uso con el indicador de exposición “Uso reciente de la cuenta Administrador predeterminada”). Úsela solo como último recurso cuando las demás opciones no sirvan y no pueda usar otros administradores del dominio; por ejemplo, cuando exista un bloqueo debido a errores de configuración de un silo de autenticación. En situaciones normales, almacene la contraseña de manera segura, ya sea en una caja fuerte física o virtual para garantizar su protección.\n\u003cbr\u003eEsto implica que esta cuenta, cuando se coloque dentro de un silo, no tendrá las mismas restricciones que las demás cuentas (es decir, no funcionará según lo esperado y no impedirá la autenticación en equipos que no sean de nivel 0). Por lo tanto, no es necesario incluirla dentro del silo de nivel 0. Puede servir como mecanismo de respaldo si queda trancado fuera de los controladores de dominio.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Implementar un silo y una política de autenticación de nivel 0","description":"Defina el modelo de niveles y especifique qué sistemas y usuarios pertenecen al nivel superior. Posteriormente, valide los pasos necesarios para implementar este modelo de manera práctica en Active Directory.\n","exec_summary":"\u003cp\u003ePara mejorar la seguridad frente a ataques y malware que intenten robar identidades privilegiadas, los usuarios privilegiados deben conectarse exclusivamente a máquinas de confianza. A través de un diseño de “modelo de niveles”, centrándose en particular en el nivel superior (llamado “nivel 0”), implemente silos y políticas de autenticación. Esto garantiza que no se pueda acceder a las credenciales de los usuarios privilegiados en servidores y estaciones de trabajo estándar.\u003c/p\u003e\n","detail":"\u003ch4\u003eIntroducción\u003c/h4\u003e\n\u003cp\u003eComo se detalla en la sección “Detalles de la vulnerabilidad” de este indicador de exposición, el paso inicial de la implementación de un silo de autenticación de nivel 0 implica documentar las cuentas (usuarios y equipos) que necesitan protección dentro de este contexto de seguridad específico.\n\u003cbr\u003eEste indicador de exposición lo ayuda al señalar los usuarios que se omitieron del silo por error. En cuanto a los equipos que requieren inclusión en el silo, las recomendaciones dependen únicamente de las opciones del indicador de exposición proporcionadas. Varias opciones “nombradas” similares ofrecen una visión de los tipos de servidor que tradicionalmente se consideraron altamente privilegiados en un entorno de AD, como los siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eLos servidores de AD CS pueden vulnerarse para generar certificados inseguros que se usan para la autenticación en controladores de dominio (consulte el indicador de exposición “Errores de configuración peligrosos de AD CS”).\u003c/li\u003e\n\u003cli\u003eLos servidores de WSUS que aplican actualizaciones en los controladores de dominio podrían vulnerarse para implementar actualizaciones de Windows falsas (consulte el indicador de exposición “Errores de configuración peligrosos de WSUS”).\u003c/li\u003e\n\u003cli\u003eLos servidores de Exchange que no tengan un endurecimiento del esquema de AD pueden poseer permisos de riesgo en la raíz del dominio (consulte el indicador de exposición “Permisos de objetos raíz que permiten ataques similares a DCSync”).\u003c/li\u003e\n\u003cli\u003eEtc.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eReserve tiempo para identificar con cuidado los servidores de nivel 0. Una especificación insuficiente del sistema podría exponer la instancia de AD a rutas de ataque, mientras que una inclusión excesiva en el silo podría poner en peligro la seguridad y visibilidad. Se aconseja ser conservador en un principio, incluir solo los servidores privilegiados obvios y agregar gradualmente más servidores cuando haya una ruta de pivoteo que pueda poner en peligro AD o los servidores existentes del silo.\n\u003cbr\u003e\u003cbr\u003eEn las secciones siguientes se detalla la secuencia de anomalías que este indicador de exposición activa y se ofrece una guía paso a paso para la instalación de silos de autenticación de nivel 0. Los administradores familiarizados con la configuración de silos y políticas de autenticación pueden elegir no seguir este procedimiento. \nTenga en cuenta que la GUI del producto presentará los pasos independientes en secuencia, mientras que una anomalía indicará las acciones que pueden tener lugar de manera simultánea.\u003c/p\u003e\n\u003ch4\u003e1. Cuenta de usuario de nivel 0 sin protección\u003c/h4\u003e\n\u003cp\u003eLos usuarios privilegiados dentro de un silo de nivel 0 deberían usar exclusivamente el protocolo Kerberos y evitar el protocolo NTLM. Además, tenga cuidado de los riesgos potenciales asociados con la delegación de autenticación de estas cuentas.\nPara mitigar ambos problemas potenciales, se aconseja incluir estos usuarios en el grupo \"Protected Users\". Consulte el indicador de exposición dedicado “El grupo Protected Users no se usa” para obtener más información sobre este grupo y las consecuencias de agregar miembros a este.\n\u003cbr\u003eNota: Si es necesario, puede deshabilitar esta comprobación con una opción si no corresponde a su situación.\n\u003cbr\u003ePor ejemplo, use el siguiente comando de PowerShell para agregar un usuario específico al grupo “Usuarios protegidos”:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Add-ADGroupMember -Identity \"Protected Users\" -Members \"adm-t0\"\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003e2. Controladores de dominio no actualizados\u003c/h4\u003e\n\u003cp\u003ePara admitir silos de autenticación y sus dependencias técnicas, los controladores de dominio deben ser Windows Server 2012 R2 o superior (la versión necesaria del lado servidor). Asegúrese de actualizar todos los controladores de dominio antes de la configuración.\u003c/p\u003e\n\u003ch4\u003e3a. Error de configuración del lado cliente\u003c/h4\u003e\n\u003cp\u003eEn el lado cliente, configure un GPO para habilitar la compatibilidad con notificaciones, autenticación compuesta y protección de Kerberos. Vincule este GPO a los contenedores de servidores y estaciones de trabajo en el silo de nivel 0 para asegurarse de que los usuarios de nivel 0 puedan autenticarse en ellos. Si bien que no se vincule ni aplique el GPO no es un riesgo de seguridad, puede provocar problemas de autenticación luego de crear el silo.\n\u003cbr\u003ePara establecer esta configuración con Directiva de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Cree un GPO o use uno existente y haga clic en \u003cem\u003eEditar…\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, debajo de \u003cem\u003eConfiguración del equipo\u003c/em\u003e, expanda la carpeta \u003cem\u003eDirectivas\u003c/em\u003e y navegue hasta alcanzar \u003cem\u003ePlantillas administrativas\\Sistema\\Kerberos\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cem\u003eEl cliente Kerberos admite notificaciones, autenticación compuesta y protección de Kerberos\u003c/em\u003e y seleccione \u003cem\u003eHabilitado\u003c/em\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eNota: Recuerde vincular este GPO también a las estaciones de trabajo y controladores de dominio de nivel 0.\u003c/p\u003e\n\u003ch4\u003e3b. Protección de Kerberos no exigida\u003c/h4\u003e\n\u003cp\u003eLa configuración del GPO del lado cliente existente es suficiente para cumplir con los requisitos. Sin embargo, para mayor seguridad, considere la posibilidad de exigir, en lugar de solicitar, la protección de Kerberos. Esto minimiza el riesgo de que atacantes intercepten el tráfico de red y recuperen credenciales.\n\u003cbr\u003ePara establecer esta configuración con Directiva de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Cree un GPO de lado cliente o use uno creado anteriormente y haga clic en \u003cem\u003eEditar…\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, debajo de \u003cem\u003eConfiguración del equipo\u003c/em\u003e, expanda la carpeta \u003cem\u003eDirectivas\u003c/em\u003e y navegue hasta alcanzar \u003cem\u003ePlantillas administrativas\\Sistema\\Kerberos\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cem\u003eGenerar un error en las solicitudes de autenticación cuando la protección de Kerberos no esté disponible\u003c/em\u003e y seleccione \u003cem\u003eHabilitado\u003c/em\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eCon estos dos parámetros definidos, los usuarios de nivel 0 pueden autenticarse en esos equipos luego de que el GPO entre en vigencia (esto puede llevar un tiempo y exigir un reinicio).\u003c/p\u003e\n\u003ch4\u003e3c. Error de configuración del lado servidor\u003c/h4\u003e\n\u003cp\u003eEn el lado servidor, tiene que configurar los controladores de dominio para que admitan los requisitos previos del silo de autenticación.\nPara ello, vincule un GPO al contenedor predeterminado de controladores de dominio (u otras unidades organizativas si los controladores de dominio se movieron).\n\u003cbr\u003ePara establecer esta configuración con Directiva de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Cree un GPO o use uno existente (no el creado anteriormente en el lado cliente) y haga clic en \u003cem\u003eEditar…\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, debajo de \u003cem\u003eConfiguración del equipo\u003c/em\u003e, expanda la carpeta \u003cem\u003eDirectivas\u003c/em\u003e y navegue hasta alcanzar \u003cem\u003ePlantillas administrativas\\Sistema\\KDC\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cem\u003eKDC admite notificaciones, autenticación compuesta y protección de Kerberos\u003c/em\u003e, seleccione \u003cem\u003eHabilitado\u003c/em\u003e y defina la opción \u003cem\u003eOpciones de notificaciones, autenticación compuesta para el control de acceso dinámico y protección de Kerberos:\u003c/em\u003e en \u003cem\u003eCompatible\u003c/em\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eUna vez que un controlador de dominio aplique este GPO, hace un cambio en la cuenta “KRBTGT”. Este indicador de exposición valida estos cambios en la cuenta y la resolución se produce tras la detección.\u003c/p\u003e\n\u003ch4\u003e4. Error de configuración del silo de autenticación\u003c/h4\u003e\n\u003cp\u003eLa configuración del silo comprende varios pasos pequeños indicados por casillas en la anomalía. Estos cambios pueden tener lugar en cualquier orden, y en la documentación de Microsoft, detallada en los vínculos a continuación de la sección “Documentos”, se ofrece información exhaustiva sobre los detalles de implementación.\n\u003cbr\u003eEl “Centro de administración de Active Directory” es una herramienta práctica para crear el silo de autenticación y su política asociada.\nAcceda a la configuración desde el panel izquierdo, debajo de la categoría “Authentication” dentro de las subcategorías “Authentication Policies” y “Authentication Policy Silos”.\n\u003cbr\u003ePara comenzar, cree primero la política de autenticación de nivel 0 y habilite las referencias directas dentro del silo de nivel 0. En un principio, configure ambas en “Only audit policy restrictions” y “Only audit silo policies” para crear una versión inicial del silo de nivel 0. Esta opción le permite ver los registros de eventos de Windows para comprender el impacto antes de exigir la configuración.\nUna vez que tenga todo listo, los motivos a continuación le brindarán asistencia adicional para asegurarse de que se incluyan en el silo los equipos y usuarios correctos. Esas comprobaciones adicionales solo pueden ejecutarse después de haber completado cada uno de los pasos que aquí se describen.\u003c/p\u003e\n\u003ch4\u003e5a. Usuario privilegiado sin referencias\u003c/h4\u003e\n\u003cp\u003eLos siguientes motivos ofrecen contexto sobre qué cuentas de usuario y de equipo deben incluirse en el silo de nivel 0 y también indican qué cuentas deben excluirse.\n\u003cbr\u003eEste tema inicial trata sobre la importancia de contar con una lista completa de cuentas de usuario dentro del silo de nivel 0. Cada cuenta de usuario identificada como privilegiada (según se explica en detalle en el indicador de exposición “Miembros de grupos administrativos nativos”) debe incluirse en el silo.\nSi la comprobación devuelve una lista de usuarios demasiado extensa, es indicio de la necesidad de reducir la cantidad de usuarios privilegiados de antemano.\n\u003cbr\u003eLa resolución de este motivo solo puede tener lugar después de agregar al silo cada cuenta de usuario privilegiado (en la sección “Cuentas permitidas” de la configuración del silo). Esto puede exigir la creación de nuevas cuentas de usuarios administrativos para administrar los recursos que no sean confidenciales.\u003c/p\u003e\n\u003ch4\u003e5b. Usuario privilegiado sin asignar\u003c/h4\u003e\n\u003cp\u003eEl segundo paso necesario para incluir un usuario en el silo es asignarle el usuario. El primer paso es “hacer referencia” y el segundo paso es “asignar”.\n\u003cbr\u003ePara hacer esto para cada usuario, haga doble clic en cada cuenta, vaya a la sección \u003cem\u003eAuthentication Policy Silo\u003c/em\u003e , seleccione la casilla \u003cem\u003eAssign Authentication Policy Silo\u003c/em\u003e y, luego, elija el nivel 0 por su nombre en la sección \u003cem\u003eAuthentication Policy Silo\u003c/em\u003e .\u003c/p\u003e\n\u003ch4\u003e5c. Usuario privilegiado con referencias\u003c/h4\u003e\n\u003cp\u003ePara mantener el silo de nivel 0 en su tamaño mínimo y más restringido posible, incluya solo las cuentas de usuarios privilegiados esenciales. Quite las cuentas de usuarios sin privilegios que no deban formar parte del silo. Si es válido y necesario, puede excluirlas a través de la opción dedicada del indicador de exposición.\u003c/p\u003e\n\u003ch4\u003e5d. Equipo con privilegios sin referencias\u003c/h4\u003e\n\u003cp\u003eAl igual que con las cuentas de usuario, incluya cuentas de equipo en el silo de nivel 0. A diferencia de los usuarios, este indicador de exposición no puede calcular ni sugerir automáticamente los equipos con privilegios para facilitar la configuración. Sin embargo, use las distintas opciones para identificar servidores y estaciones de trabajo que tengan que incluirse en el silo de nivel 0.\u003c/p\u003e\n\u003ch4\u003e5e. Equipo con privilegios sin asignar\u003c/h4\u003e\n\u003cp\u003eDespués de hacer referencia a las cuentas de equipo, también tiene que asignarlas al silo de nivel 0.\nPara ello, haga doble clic en cada equipo y vaya a la sección \u003cem\u003eAuthentication Policy Silo\u003c/em\u003e . Seleccione la casilla \u003cem\u003eAssign Authentication Policy Silo\u003c/em\u003e y elija el silo de nivel 0 por su nombre en la sección \u003cem\u003eAuthentication Policy Silo\u003c/em\u003e .\u003c/p\u003e\n\u003ch4\u003e5f. Equipo sin privilegios con referencias\u003c/h4\u003e\n\u003cp\u003eAl igual que la configuración de los usuarios, el silo de nivel 0 solo debe contener equipos con privilegios.\nSi no están validadas, quítelas de la sección “Cuentas permitidas”. Si se acepta, agregue las unidades organizativas a través de las opciones dedicadas.\u003c/p\u003e\n\u003ch4\u003e6. Error de configuración de la política de autenticación\u003c/h4\u003e\n\u003cp\u003eConfigure la política de autenticación asociada al silo de nivel 0 con una condición para limitar que las cuentas de usuario solo se autentiquen en equipos incluidos en el silo. Sin esta restricción, las credenciales de los usuarios no tendrán protección y podrán vulnerarse en equipos de niveles inferiores si los administradores se autentican allí.\n\u003cbr\u003ePara ello, vaya a la configuración de la política de autenticación y navegue hasta la sección \u003cem\u003eInicio de sesión de usuario\u003c/em\u003e . Debajo de \u003cem\u003eClick Edit to define conditions\u003c/em\u003e, cree la siguiente condición: \u003cem\u003e(User.AuthenticationSilo Equals \"T0-Silo\")\u003c/em\u003e (adapte “T0-Silo” con el nombre del silo de nivel 0).\u003c/p\u003e\n\u003ch4\u003e7. Varios usos de la política de autenticación\u003c/h4\u003e\n\u003cp\u003eMicrosoft ofrece dos métodos para especificar una política de autenticación para la cuenta:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eSer miembro de un silo.\u003c/li\u003e\n\u003cli\u003eComo alternativa, asignar manualmente una política de autenticación a la cuenta, fuera de un silo.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAsignar una política de autenticación directamente a una cuenta (fuera de la configuración del silo) no es una práctica recomendada, ya que complejiza la administración tanto del silo como de su política.\n\u003cbr\u003ePara quitar manualmente una cuenta asociada a la política de autenticación de un silo de nivel 0, vaya a la configuración de la política de autenticación y quite cada cuenta que se especifique en la sección \u003cem\u003eCuentas\u003c/em\u003e .\u003c/p\u003e\n","resources":[{"name":"Authentication Policies and Authentication Silos - Restricting Domain Controller Access","url":"https://social.technet.microsoft.com/wiki/contents/articles/26945.authentication-policies-and-authentication-silos-restricting-domain-controller-access.aspx","type":"hyperlink"},{"name":"Protecting Domain Administrative Credentials","url":"https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/protecting-domain-administrative-credentials/ba-p/259210","type":"hyperlink"}]},"resources":[{"name":"Authentication Policies and Authentication Policy Silos","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn486813(v=ws.11)","type":"hyperlink"},{"name":"L'administration en silo (documento de referencia en francés)","url":"https://www.sstic.org/2017/presentation/administration_en_silo/","type":"hyperlink"}],"applicable_resource_types":["ad_group","ad_user","ad_sysvol_pol","ad_domain_dns","ad_msds_auth_n_policy_silo"],"attacker_known_tools":[],"category_id":1,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ko_KR","es_001","zh_CN","de_DE","ja_JP","fr_FR","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-AUTH-SILO","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["ko","es","zh-CN","de","ja","fr","zh-TW","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[55]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-DYNAMIC-UPDATES","_score":null,"_source":{"language_code":"es_001","codename":"C-DYNAMIC-UPDATES","name":"Actualizaciones dinámicas sin protección permitidas de zonas DNS","id":54,"description":"\u003cp\u003eComprueba que la configuración de servidores DNS no permita las actualizaciones dinámicas sin protección de las zonas DNS.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eConfigurar una zona DNS dinámica con actualizaciones sin protección puede llevar a la edición no autenticada de registros de DNS, lo que los hace vulnerables a registros de DNS fraudulentos.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEl Domain Name System (DNS) funciona como sistema de nomenclatura jerárquico y distribuido que asigna de manera activa un nombre de host a una o varias direcciones IP. Recíprocamente, puede realizar búsquedas inversas, lo que convierte una dirección IP en su nombre de host correspondiente. En general, los controladores de dominio hospedan el rol de DNS, donde los registros de DNS están configurados para replicarse entre ellos.\nAdemás del servicio DNS tradicional, la información de DNS se almacena en Active Directory, lo que se conoce como AD Integrated DNS (ADIDNS), y al que se accede a través del protocolo LDAP.\nDynamic DNS (DDNS) funciona como servicio en tiempo real, que actualiza automáticamente los registros de DNS. Esta funcionalidad mantiene nombres de host coherentes para facilitar la accesibilidad a los dispositivos con direcciones IP dinámicas. Los clientes DDNS, que se ejecutan en dispositivos (normalmente con sistema operativo Windows), actualizan de manera activa los registros de DNS en respuesta a cambios en las direcciones IP. Este proceso sin fisuras permite que los usuarios se comuniquen con sus dispositivos de manera continua a través de un nombre de host fijo, por lo que mejora la conectividad remota.\n\u003cbr\u003eEste indicador de exposición identifica la configuración insegura de actualizaciones dinámicas de las zonas DNS.\u003c/p\u003e\n\u003ch4\u003eOpción de actualizaciones dinámicas inseguras de zonas DNS\u003c/h4\u003e\n\u003cp\u003eDe manera predeterminada, Active Directory está configurado de manera óptima, lo que permite que las zonas DNS se actualicen de manera segura y dinámica a través de la opción designada: “Solo con seguridad”. No obstante, es posible modificar esta configuración a “Ninguna” o “Sin seguridad y con seguridad”.\nDeshabilitar esta característica por completo no representa un riesgo inherente. De manera predeterminada, ciertas zonas relacionadas con Active Directory no tienen habilitado el modo dinámico, pero esto no es problema (p. ej., DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=ad,DC=tenable,DC=com). Sin embargo, si la opción cambia a “Sin seguridad y con seguridad”, la adición, edición o eliminación de registros de DNS pueden tener lugar sin exigir autenticación. Desde la perspectiva de un atacante, las consecuencias de dicha configuración sin protección incluyen:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEliminar un registro existente y dejar a la empresa bloqueada.\u003c/li\u003e\n\u003cli\u003eActualizar un registro existente para permitir suplantar la identidad de una máquina por otra. Si la red usa filtros de IP, en esta situación un atacante podría aprovecharse de estos.\u003c/li\u003e\n\u003cli\u003eCrear nuevos registros e inundar el servidor DNS.\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Establecer la opción de actualizaciones dinámicas de zona DNS en “Solo con seguridad” o deshabilitar el modo dinámico","description":"Establezca la opción de actualizaciones dinámicas de zona DNS en “Solo con seguridad” o deshabilite el modo dinámico.","exec_summary":"\u003cp\u003eLos errores de configuración de las actualizaciones dinámicas de las zonas DNS pueden afectar gravemente a la seguridad de Active Directory. Por lo tanto, es fundamental usar actualizaciones dinámicas de manera segura o no usarlas en absoluto.\u003c/p\u003e\n","detail":"\u003ch4\u003eEstablecer la opción de actualizaciones dinámicas de zonas DNS en “Solo con seguridad” o deshabilitar el modo dinámico\u003c/h4\u003e\n\u003cp\u003eAl usar solo el modo seguro, los dispositivos tienen que autenticarse para agregar o actualizar registros. Si usa el modo “Sin seguridad y con seguridad”, tal vez algunos dispositivos apliquen actualizaciones sin autenticarse. Esto debe evaluarse antes de hacer el cambio.\nPuede realizar esta corrección gráficamente con la herramienta DNS RSAT o en la consola con la utilidad \u003ccode\u003ednscmd\u003c/code\u003e.\u003c/p\u003e\n\u003ch2\u003eDNS RSAT (GUI)\u003c/h2\u003e\n\u003cp\u003eAbra el “Administrador de servidores” y haga lo siguiente:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eEn la barra de menús superior, haga clic en “Herramientas” y, luego, en “DNS”.\u003c/li\u003e\n\u003cli\u003eVaya por el servidor DNS hasta “Zonas de búsqueda directa”, que muestra una zona con el nombre del dominio.\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en el nombre del dominio y seleccione “Propiedades”.\u003c/li\u003e\n\u003cli\u003eEn la pestaña “General”, en “Actualizaciones dinámicas”, cambie el valor de “Sin seguridad y con seguridad” a “Solo con seguridad” para resolver la anomalía. Nota: El valor “Ninguna” significa que las actualizaciones dinámicas de DNS están deshabilitadas y no genera problemas.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch2\u003ednscmd\u003c/h2\u003e\n\u003cp\u003eEjecute el comando siguiente para reconfigurar las zonas DNS y permitir solo las actualizaciones seguras:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ednscmd \u0026lt;nombredelservidor\u0026gt; /Config \u0026lt;zona\u0026gt; /AllowUpdate 2\n#### ejemplo: dnscmd 127.0.0.1 /Config ad.tenable.com /AllowUpdate 2\n\u003c/code\u003e\u003c/pre\u003e\n","resources":[{"name":"Dnscmd","url":"https://learn.microsoft.com/es-es/windows-server/administration/windows-commands/dnscmd","type":"hyperlink"}]},"resources":[{"name":"Active Directory Security Assessment Checklist - Misconfigured DNS zones (texto en inglés)","url":"https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_dnszone_bad_prop","type":"hyperlink"},{"name":"[MS-DNSP]: Domain Name Service (DNS) Server Management Protocol (texto en inglés)","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-dnsp/f97756c9-3783-428b-9451-b376f877319a","type":"hyperlink"},{"name":"Zonas DNS integradas de Active Directory","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/plan/active-directory-integrated-dns-zones","type":"hyperlink"},{"name":"Dynamic update","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc784052(v=ws.10)","type":"hyperlink"},{"name":"Understanding Dynamic Update","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771255(v=ws.11)","type":"hyperlink"},{"name":"Dynamic Update and Secure Dynamic Update","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-2000-server/cc959275(v=technet.10)","type":"hyperlink"},{"name":"Beyond LLMNR/NBNS Spoofing - Exploiting Active Directory-Integrated DNS","url":"https://www.netspi.com/blog/technical/network-penetration-testing/exploiting-adidns/","type":"hyperlink"},{"name":"ADIDNS Revisited - WPAD, GQBL, and More","url":"https://www.netspi.com/blog/technical/network-penetration-testing/adidns-revisited/","type":"hyperlink"}],"applicable_resource_types":["ad_dns_zone"],"attacker_known_tools":[{"name":"Powermad","url":"https://github.com/Kevin-Robertson/Powermad#adidns-functions","author":"Kevin Robertson"}],"category_id":4,"mitre_attacks":[{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1557 - Adversary-in-the-Middle (texto en inglés)"]},{"tactic":"TA0042 - Resource Development (texto en inglés)","techniques":["T1584 - Compromise Infrastructure (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","fr_FR","zh_TW","de_DE","zh_CN","ko_KR","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-DYNAMIC-UPDATES","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["es","fr","zh-TW","de","zh-CN","ko","ja","en"],"mitre_attack_information":[{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1557","name":"Adversary-in-the-Middle (texto en inglés)","url":"https://attack.mitre.org/techniques/T1557/"}]},{"tactic":{"id":"TA0042","name":"Resource Development (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0042/"},"techniques":[{"id":"T1584","name":"Compromise Infrastructure (texto en inglés)","url":"https://attack.mitre.org/techniques/T1584/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[54]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-WSUS-HARDENING","_score":null,"_source":{"language_code":"es_001","codename":"C-WSUS-HARDENING","name":"Errores de configuración peligrosos de WSUS","id":53,"description":"\u003cp\u003eEnumera los parámetros con errores de configuración relacionados con Windows Server Update Services (WSUS).\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eWindows Server Update Services (WSUS) es el producto de Microsoft que implementa actualizaciones de Windows en estaciones de trabajo y servidores.\nLos errores de configuración de WSUS pueden llevar a que los privilegios de una cuenta estándar se eleven hasta el grado de administrador.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eWSUS permite que los administradores de TI implementen las actualizaciones más recientes para los productos de Microsoft, que descargan de los servidores de actualización de Microsoft y almacenan localmente en el servidor de WSUS. En este momento, los administradores pueden aprobar las actualizaciones para su implementación en los clientes internos. Los clientes (estaciones de trabajo y servidores) Windows pueden consultar las actualizaciones aprobadas en el servidor de WSUS local para descargarlas e instalarlas y, luego, responder al servidor de WSUS con las instalaciones correctas de las actualizaciones. Esto permite que los administradores se aseguren de que se implementaron las actualizaciones necesarias. Dado que WSUS se diseñó para instalar software y parches en una gran cantidad de sistemas operativos, está claro que un uso indebido de su funcionalidad prevista podría suponer una amenaza grave a la seguridad de la red.\n\u003cbr\u003eMuchas veces, las empresas eligen varios tipos de arquitecturas de red y, a menudo, tienen varios servidores de WSUS que replican los cambios desde un único servidor ascendente conectado al servidor de WSUS público de Microsoft.\nEl aislamiento de la red es fundamental a los efectos de la seguridad, ya que los atacantes pueden usar los métodos de ataque que se describen a continuación. Elegir el ámbito equivocado para la implementación de actualizaciones del servidor de WSUS ―como usar el mismo servidor de WSUS de referencia para los bosques aislados― puede brindar a los atacantes un medio para trasladarse hacia otro entorno totalmente independiente del que ya vulneraron.\n\u003cbr\u003eLa paradoja de un servidor de WSUS, diseñado para la protección por medio de actualizaciones de seguridad, puede, en realidad, conducir a un escalamiento de privilegios debido a su rol centralizado y, potencialmente, debilitar los silos de la red. Como consecuencia, los administradores deberían tratar los servidores de WSUS como activos de nivel 0 (equivalente en confidencialidad a un controlador de dominio) y asegurarse de que solo las cuentas con privilegios puedan autenticarse en ellos.\n\u003cbr\u003ePoner en peligro un servidor de WSUS puede permitir que un atacante propague un parche malintencionado que se ejecute como la identidad integrada SISTEMA en los clientes de WSUS. En una explotación de WSUS, se dan dos escenarios principales:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eAtaque Man-in-the-Middle (MitM) entre un servidor y un cliente de WSUS\u003c/li\u003e\n\u003cli\u003eVulneración directa de un servidor de WSUS\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e\u003cbr\u003eEn el caso de un ataque de intermediario (man in the middle), un atacante usa un enfoque MitM para inyectar una actualización malintencionada en la conexión de red entre un cliente y un servidor. Para ello, el atacante debe interceptar el tráfico HTTP entre estas dos entidades mediante métodos comunes, como el uso del protocolo de Detección automática de proxy web (WPAD) o la suplantación del Protocolo de resolución de direcciones (ARP), cuando el atacante se encuentra en el mismo segmento de la red. Antes de Windows 10, versión 1607, un usuario sin privilegios podía configurar un proxy de usuario como reserva del proxy del sistema, lo que permitía que un atacante redirigiera el tráfico de la máquina. En la actualidad, las plataformas solo usan el proxy del sistema si se configuró durante la detección de actualizaciones, pero es posible deshabilitar esta opción a través de un GPO.\n\u003cbr\u003ePor lo tanto, es importante evitar dichos ataques mediante la aplicación de HTTPS y asignaciones de certificados al comunicarse con el servidor de WSUS. El sistema aplica los certificados del almacén de WSUS de manera predeterminada para contrarrestar los ataques de proxy de intercepción de HTTPS, pero un GPO puede deshabilitar este mecanismo de asignación.\n\u003cbr\u003eEl segundo ataque, una vulneración directa, implica la infiltración de un servidor de WSUS (a través de CVE o una ruta de ataque). Dicha infiltración permitiría a un atacante insertar una carga útil malintencionada en la base de datos subyacente y distribuirla entre los clientes.\n\u003cbr\u003eEn conclusión, para minimizar los riesgos, este indicador de exposición comprueba las opciones siguientes en busca de posibles errores de configuración:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eSe asegura de que el proxy de usuario, que se usa como reserva para la detección de actualizaciones, se mantenga deshabilitado.\u003c/li\u003e\n\u003cli\u003eComprueba el uso de un protocolo cifrado (HTTPS), en lugar de HTTP, para el servidor de WSUS principal y los servidores alternativos.\u003c/li\u003e\n\u003cli\u003eConfirma que la asignación de certificados se mantenga habilitada.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eDe manera predeterminada, estas opciones aplican configuraciones correctas y no exigen modificación alguna, a menos que usen valores incorrectos.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Corrección de errores en la configuración de WSUS","description":"Para limitar los riesgos de una vulneración total de AD, debe abordar y corregir los errores de configuración de WSUS.\n","exec_summary":"\u003cp\u003eAlgunos parámetros de Microsoft WSUS pueden tener un impacto importante en la seguridad de toda la instancia de Active Directory y, por lo tanto, exigen cuidado en el momento de su configuración.\u003c/p\u003e\n","detail":"\u003cp\u003ePara minimizar el riesgo de manipulación de las actualizaciones de WSUS, debe configurar de manera adecuada ciertas opciones de los servidores de WSUS.\n\u003cbr\u003ePara empezar, asegúrese de que la aplicación WSUS use SSL para cifrar el tráfico. Esto evita que los atacantes potenciales que se encuentran en la red ejecuten comandos en sistemas remotos para solicitar actualizaciones. Microsoft ofrece una guía completa sobre la generación de un certificado dedicado y su instalación en el servidor de WSUS. Además, se puede usar una PKI, como AD CS, a fin de generar certificados para varios servidores de WSUS.\nUna vez que haya creado e instalado el certificado, actualice el GPO donde se especifica el servidor de WSUS para la recuperación de actualizaciones a fin de aplicar el protocolo HTTPS, en lugar de HTTP.\n\u003cbr\u003ePara cambiar el valor con la política de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eInicie la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el GPO que contiene la opción que quiere cambiar y seleccione \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, debajo de \u003cem\u003eConfiguración del equipo\u003c/em\u003e, expanda la carpeta \u003cem\u003eDirectivas\u003c/em\u003e y vaya a \u003cem\u003ePlantillas administrativas\\Componentes de Windows\\Windows Update\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cem\u003eEspecificar la ubicación del servicio Microsoft Update en la intranet\u003c/em\u003e y escriba la dirección URL de WSUS con el protocolo HTTPS en el cuadro debajo de las etiquetas \u003cem\u003eEstablecer el servicio de actualización de la intranet para detectar actualizaciones\u003c/em\u003e y establezca \u003cem\u003eServidor de descarga alternativo\u003c/em\u003e (si corresponde).\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eAdemás, si la asignación de certificados se deshabilitó de manera explícita, vuelva a habilitarla para endurecer el túnel SSL.\nEn la misma categoría que lo anterior, asegúrese de que la casilla junto a \u003cem\u003eNo fuerces el anclaje de certificados TLS para que el cliente de Windows Update detecte las actualizaciones\u003c/em\u003e se mantenga desmarcada.\n\u003cbr\u003ePor último, el proxy de usuario no debe estar disponible como opción, ni siquiera como mecanismo de reserva, para descargar actualizaciones de WSUS.\nEn la misma categoría que lo anterior, en \u003cem\u003eSeleccione el comportamiento del proxy para el cliente de Windows Update para detectar actualizaciones\u003c/em\u003e, seleccione la opción \u003cem\u003eUsar solo el proxy del sistema para detectar actualizaciones (predeterminado)\u003c/em\u003e.\u003c/p\u003e\n","resources":[{"name":"Configure a software update point to use TLS/SSL with a PKI certificate","url":"https://learn.microsoft.com/es-es/mem/configmgr/sum/get-started/software-update-point-ssl","type":"hyperlink"},{"name":"Manage additional Windows Update settings","url":"https://learn.microsoft.com/es-es/windows/deployment/update/waas-wu-settings","type":"hyperlink"},{"name":"Scan changes and certificates add security for Windows devices using WSUS for updates","url":"https://techcommunity.microsoft.com/t5/windows-it-pro-blog/scan-changes-and-certificates-add-security-for-windows-devices/ba-p/2053668","type":"hyperlink"},{"name":"WSUSpendu - Recommendations (p29)","url":"https://www.blackhat.com/docs/us-17/wednesday/us-17-Coltel-WSUSpendu-Use-WSUS-To-Hang-Its-Clients-wp.pdf","type":"hyperlink"}]},"resources":[{"name":"Introducing SharpWSUS","url":"https://labs.nettitude.com/blog/introducing-sharpwsus/","type":"hyperlink"},{"name":"WSUSpendu - Injecting a new update (p17)","url":"https://www.blackhat.com/docs/us-17/wednesday/us-17-Coltel-WSUSpendu-Use-WSUS-To-Hang-Its-Clients-wp.pdf","type":"hyperlink"}],"applicable_resource_types":["ad_sysvol_pol"],"attacker_known_tools":[{"name":"WSUSpect Proxy","url":"https://github.com/ctxis/wsuspect-proxy","author":"Paul Stone, Alex Chapman"},{"name":"WSUSpendu","url":"https://github.com/tenable/WSUSpendu","author":"Romain Coltel, Yves Le Provost"}],"category_id":1,"mitre_attacks":[{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1557 - Adversary-in-the-Middle (texto en inglés)"]},{"tactic":"TA0008 - Lateral Movement (texto en inglés)","techniques":["T1072 - Software Deployment Tools (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_TW","ja_JP","fr_FR","zh_CN","de_DE","es_001","ko_KR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-WSUS-HARDENING","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["zh-TW","ja","fr","zh-CN","de","es","ko","en"],"mitre_attack_information":[{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1557","name":"Adversary-in-the-Middle (texto en inglés)","url":"https://attack.mitre.org/techniques/T1557/"}]},{"tactic":{"id":"TA0008","name":"Lateral Movement (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0008/"},"techniques":[{"id":"T1072","name":"Software Deployment Tools (texto en inglés)","url":"https://attack.mitre.org/techniques/T1072/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[53]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-PROP-SET-SANITY","_score":null,"_source":{"language_code":"es_001","codename":"C-PROP-SET-SANITY","name":"Integridad de Property Sets","id":52,"description":"\u003cp\u003eComprueba la integridad de property sets y valida los permisos\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003e“Property Set” es una característica de Microsoft Active Directory (AD) que facilita la creación de permisos (lista de control de acceso o ACL) para objetos de AD y mejora el rendimiento del sistema. Sirve de mecanismo para consolidar varios atributos dentro de una entidad de AD, lo que permite que el sistema haga referencia a ellos de manera colectiva dentro de las ACL, en lugar de tener que hacer referencia a atributos individuales por separado.\n\u003cbr\u003eEste indicador de exposición pretende asegurar que no existan errores de configuración ni puertas traseras a partir de agentes malintencionados en este tipo de objeto y los atributos dentro del esquema de AD.\nActualmente, no existen vectores de ataque públicos conocidos asociados al uso de property sets. Por lo tanto, debería centrarse en abordar los errores de configuración o las peculiaridades que provienen de productos de terceros que usan esta característica.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eMicrosoft AD presentó el concepto de property sets para simplificar la administración de las listas de control de acceso (ACL). Este enfoque permite la declaración de una única entrada de control de acceso (ACE) para un property set, en lugar de varias entradas para sus atributos subyacentes.\u003c/p\u003e\n\u003cp\u003eUn property set se relaciona con un atributo o varios, aunque técnicamente, es cada atributo el que puede asociarse con un único property set.\n\u003cbr\u003eLa información relacionada con property sets tiene dos ubicaciones: la partición de configuración (en el contenedor “CN=Extended-Rights,CN=Configuration,DC=DOMAIN,DC=CORP”) y la partición del esquema.\n\u003cbr\u003eLos objetos de la clase “controlAccessRight” en la partición de configuración representan property sets. Esta clase sirve para varios propósitos, que incluyen “Escrituras validadas”, “Property Sets” y “Derechos extendidos”. Si bien este indicador de exposición se centra principalmente en property sets, lleva a cabo comprobaciones de integridad exhaustivas para brindar información más amplia.\nAl definir los “planos” de los objetos de AD, la partición del esquema desempeña un papel fundamental. Especifica los distintos objetos de atributos y clases que AD incluye. En particular, el almacenamiento de información relativa al property set al que pertenece un atributo no se encuentra dentro de los atributos del property set, sino en el propio objeto “attributeSchema”.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003eEste indicador de exposición lleva a cabo varias comprobaciones relacionadas con los property sets de la manera siguiente:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eVerificación de la instalación del esquema de AD más reciente antes de examinar la integridad de los datos. Este paso es fundamental, ya que Microsoft actualiza el esquema cuando encuentra problemas de diseño dentro de este esquema de AD, como el tema crítico de ACL predeterminadas equilibradas.\u003c/li\u003e\n\u003cli\u003eValidación de la integridad de los property sets predeterminados mediante la comprobación cruzada de los atributos “appliesTo” y “rightsGuid”, y la comparación de sus valores actuales con los configurados en el esquema de AD predeterminado más reciente.\u003cul\u003e\n\u003cli\u003eEl atributo “rightsGuid” sirve de referencia para el property set en las ACL y mediante un atributo de AD.\u003c/li\u003e\n\u003cli\u003eEl atributo “appliesTo” designa los tipos de objeto aptos para la aplicación de un property set. Un valor vacío afecta a todos los objetos que tienen este atributo. En una situación de explotación, esto normalmente también exige la modificación del atributo “rightsGuid”.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eValidación de la integridad de los atributos del esquema de AD predeterminado al comparar los valores actuales de los atributos “attributeSecurityGUID” y “schemaIDGUID” con los configurados en el esquema de AD predeterminado más reciente.\u003cul\u003e\n\u003cli\u003eEl atributo “attributeSecurityGUID” indica el property set al que pertenece el atributo; un valor vacío indica que no pertenece a ningún property set.\u003c/li\u003e\n\u003cli\u003eEl atributo “schemaIDGUID” es el GUID al que los descriptores de seguridad (ACL) pueden hacer referencia.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eValidación de permisos tanto en los property sets como en los objetos de atributos del esquema de AD para asegurar que ninguna cuenta sin privilegios pueda modificar estos objetos ni acceder a ellos. Además, valida de manera exhaustiva los atributos específicos descritos anteriormente.\u003c/li\u003e\n\u003cli\u003eComprobación de si hay definido un property set personalizado y validación de su legitimidad, lo que puede deberse a una extensión del esquema implementada por un producto de un tercero.\u003c/li\u003e\n\u003cli\u003eComprobación y validación de que haya definido un property set personalizado y de que no tenga configurado ningún atributo sensible. Los errores de configuración aquí podrían conducir potencialmente a una elevación indirecta de privilegios en AD, incluso aunque esto sea difícil de llevar a cabo.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e\u003cbr\u003eEs importante destacar que, de manera predeterminada, Microsoft no introduce errores de diseño en un esquema actualizado de Active Directory, ya sea en los permisos existentes o en la configuración inicial de los property sets. En consecuencia, algunas anomalías de este indicador de exposición pueden provenir de instalaciones de productos de terceros o de configuraciones personalizadas, como las implementadas por un atacante.\u003c/p\u003e\n\u003cp\u003eEsto se traduce en que los atacantes que busquen explotar property sets para generar puertas traseras en AD deben no solo incluir un atributo peligroso o sensible dentro de un property set, sino que también deben aplicar de manera estratégica ACL explícitas en objetos de AD.\n\u003cbr\u003ePara reducir la posibilidad de que surjan anomalías a partir de productos conocidos y sus property sets personalizados, este indicador de exposición incluye las versiones más recientes de productos de Microsoft que se encargan de las extensiones de esquemas, a saber:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eWindows LAPS, nuevo (presentado en 2023)\u003c/li\u003e\n\u003cli\u003eMicrosoft LAPS, heredado\u003c/li\u003e\n\u003cli\u003eExchange\u003c/li\u003e\n\u003cli\u003eSkype for Business\u003c/li\u003e\n\u003cli\u003eSystem Center (no se agregó ningún conjunto de propiedades)\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEl indicador de exposición ofrece una opción dedicada para especificar la presencia de un conjunto de propiedades personalizado en el entorno. Sin embargo, aún es necesario validar que las modificaciones llevadas a cabo a partir de un producto de un tercero se alineen con las prácticas de seguridad recomendadas, incluidos los atributos de los miembros, la configuración de permisos, etc.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Analizar y corregir riesgos en la configuración de Property Sets","description":"Para mitigar los riesgos asociados al potencial escalamiento de privilegios o instalación de puertas traseras por parte de atacantes, debería evaluar exhaustivamente y corregir la configuración de property sets.\n","exec_summary":"\u003cp\u003eLos errores de configuración de property sets pueden afectar gravemente a la seguridad de Active Directory. Por lo tanto, es fundamental prestarles atención y supervisión.\u003c/p\u003e\n","detail":"\u003cp\u003e\u003cstrong\u003e⚠️NOTA IMPORTANTE (DESCARGO DE RESPONSABILIDAD)⚠️\u003c/strong\u003e\n\u003cbr\u003e\u003cstrong\u003eLos problemas que se tratan en este indicador de exposición pertenecen a un tema complejo que puede tener consecuencias importantes en Active Directory (AD) si no se abordan de manera adecuada. Se aconseja no intentar aplicar correcciones, a menos que no tenga problemas con efectuar cambios manuales en el esquema de AD. Si no tiene confianza suficiente a este respecto, lo mejor es buscar asistencia de un socio con experiencia reconocida en AD para que valide los cambios propuestos.\nTenga en cuenta que Tenable no garantiza los comandos que se indican a continuación, que son ejemplos meramente ilustrativos que puede personalizar según sus requisitos específicos. Además, es de suma importancia que se asegure de una replicación sin fallas entre los controladores de dominio antes de avanzar con las modificaciones en el esquema. Por último, se aconseja realizar pruebas previas completas en un entorno que no sea de producción.\u003c/strong\u003e\u003c/p\u003e\n\u003ch4\u003eActualizar el esquema de AD con la versión más reciente\u003c/h4\u003e\n\u003cp\u003ePara habilitar un análisis completo del indicador de exposición, asegúrese de haber aplicado las actualizaciones más recientes del esquema de AD. De ser necesario, siga la documentación de Microsoft y la guía de prácticas recomendadas de la comunidad (consulte la sección de recursos), mediante la herramienta adprep de un ISO de Windows Server reciente. Tenga cuidado al ejecutar estos comandos, al igual que al realizar cualquier modificación en el esquema de AD.\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eadprep.exe /forestprep\nadprep.exe /domainprep\nadprep.exe /domainprep /gpprep\nadprep.exe /rodcprep\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003eAntes de implementar cambios en el entorno de producción, se aconseja hacer pruebas en el entorno de prueba.\u003c/p\u003e\n\u003ch4\u003eValidar y luego restablecer los atributos sensibles en un property set sensible\u003c/h4\u003e\n\u003cp\u003eUse PowerShell para corregir un atributo incorrecto definido para un property set (atributos “appliesTo” o “rightsGuid”). Por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADObject -Identity \"CN=Web-Information,CN=Extended-Rights,CN=Configuration,DC=DOMAIN,DC=CORP\" -Replace @{'rightsGuid'=\"E45795B3-9455-11d1-AEBD-0000F80367C1\"}\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003ePrimero debe verificar el “valor esperado” proporcionado en los detalles de la anomalía para el atributo modificado, con el fin de evitar problemas potenciales con las referencias existentes a este property set.\u003c/p\u003e\n\u003ch4\u003eValidar y luego restablecer los atributos sensibles en un atributo de esquema de AD predeterminado\u003c/h4\u003e\n\u003cp\u003eUse PowerShell para corregir un atributo incorrecto definido para un atributo del esquema de AD (atributos “attributeSecurityGUID” o “schemaIDGUID”). Por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADObject -Identity \"CN=WWW-Page-Other,CN=Schema,CN=Configuration,DC=DOMAIN,DC=CORP\" -Replace @{'attributeSecurityGUID'=\"e45795b3-9455-11d1-aebd-0000f80367c1\"}\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eEn los detalles de la anomalía del atributo modificado, primero debería verificar el “valor esperado” para evitar problemas potenciales (como perder su asociación con el property set o las referencias existentes con la ACL). Si acepta este cambio, luego debería agregar este atributo del esquema a la lista de permitidos en la opción dedicada. En el caso del ejemplo de PowerShell, sería “WWW-Page-Other”.\u003c/p\u003e\n\u003ch4\u003eCorregir los permisos peligrosos establecidos en property sets y atributos del esquema\u003c/h4\u003e\n\u003cp\u003ePuede realizar modificaciones de permisos por medio de la GUI (Editor ADSI) o mediante comandos de PowerShell.\u003c/p\u003e\n\u003cp\u003eSi tiene que restablecer el \u003cstrong\u003epropietario\u003c/strong\u003e de un property set, el procedimiento es el siguiente (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $securityPrincipalAccount = \"DOMAIN\\Enterprise Admins\"\nPS\u0026gt; $securityPrincipalObject = New-Object System.Security.Principal.NTAccount($securityPrincipalAccount)\nPS\u0026gt; $propSetPath = \"AD:CN=Web-Information,CN=Extended-Rights,CN=Configuration,DC=DOMAIN,DC=CORP\" \n#### $propSetPath can be replaced by $attributSchemaPath, the commands are similar for these two objects\nPS\u0026gt; $aclPropSet = Get-Acl -Path $propSetPath\nPS\u0026gt; $aclPropSet.SetOwner($securityPrincipalObject)\nPS\u0026gt; $aclPropSet | Set-Acl -Path $propSetPath\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSi tiene que quitar una \u003cstrong\u003eACE\u003c/strong\u003e que genera problemas de un property set, puede seguir el procedimiento a continuación (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $propSetPath = \"AD:CN=Web-Information,CN=Extended-Rights,CN=Configuration,DC=DOMAIN,DC=CORP\" \n#### $propSetPath can be replaced by $attributSchemaPath, the commands are similar for these two objects\nPS\u0026gt; $aclPropSet = Get-Acl -Path $propSetPath\nPS\u0026gt; $aceToRemove = $aclPropSet.Access | ? { $_.ActiveDirectoryRights -eq 'WriteProperty' -and $_.IdentityReference -eq 'DOMAIN\\unpriv' }\nPS\u0026gt; $aclPropSet.RemoveAccessRule($aceToRemove)\nPS\u0026gt; $aclPropSet | Set-Acl -Path $propSetPath\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003eValidar la legitimidad de un property set personalizado\u003c/h4\u003e\n\u003cp\u003eLos productos de terceros pueden introducir un property set personalizado por medio de un procedimiento de extensión de esquemas.\nSi este producto ya no está presente en su entorno o si confirmó que este property set es malintencionado o representa un riesgo, puede quitarlo con el siguiente comando de PowerShell:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Remove-ADObject -Identity \"CN=Z-Custom-PropSet,CN=Extended-Rights,CN=Configuration,DC=DOMAIN,DC=CORP\" -Confirm:$false\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eHay una opción disponible si el property set es legítimo.\u003c/p\u003e\n\u003ch4\u003eValidar y luego corregir los atributos sensibles que pertenecen a un property set personalizado\u003c/h4\u003e\n\u003cp\u003eNo se aconseja definir un atributo sensible dentro de un property set personalizado, a menos que tenga un requisito específico para ello. Esta práctica puede ocultar puertas traseras potenciales creadas por atacantes en objetos de AD y, además, es susceptible a errores, como la concesión accidental de acceso a un atributo sensible desde el punto de vista de la seguridad a usuarios básicos, lo que podrían explotar para elevar sus privilegios dentro de AD.\n\u003cbr\u003eUse el siguiente comando de PowerShell para restablecer la referencia del property set al valor correcto:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; $originalGuid = [System.Guid]::Parse(\"4c164200-20c0-11d0-a768-00aa006e0529\")\nPS\u0026gt; Set-ADObject -Identity \"CN=ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity,CN=Schema,CN=Configuration,DC=DOMAIN,DC=CORP\" -Replace @{'attributeSecurityGUID'=$originalGuid}\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eTenga en cuenta que la anomalía relacionada con este problema también aparecería en los resultados de las comprobaciones de integridad (aunque el riesgo es mayor para una anomalía en un atributo sensible).\u003c/p\u003e\n","resources":[{"name":"Upgrading AD DS Schema to Windows Server 2016","url":"https://samilamppu.com/2016/11/06/upgrading-ad-ds-schema-to-windows-server-2016/","type":"hyperlink"},{"name":"Best Practices for Implementing Schema Updates","url":"https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/best-practices-for-implementing-schema-updates/ba-p/255611","type":"hyperlink"},{"name":"Active Directory schema changes in Exchange Server (texto en inglés)","url":"https://learn.microsoft.com/es-es/exchange/plan-and-deploy/active-directory/ad-schema-changes?view=exchserver-2019","type":"hyperlink"}]},"resources":[{"name":"Control Access Rights (AD DS)","url":"https://learn.microsoft.com/es-es/windows/win32/ad/control-access-rights","type":"hyperlink"},{"name":"Property Sets (AD Schema) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/win32/adschema/property-sets","type":"hyperlink"},{"name":"Creating a Control Access Right (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/win32/ad/creating-a-control-access-right","type":"hyperlink"},{"name":"Actualizaciones de esquema de Windows Server Active Directory","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/deploy/schema-updates","type":"hyperlink"},{"name":"Abusing forgotten permissions on computer objects in Active Directory","url":"https://dirkjanm.io/abusing-forgotten-permissions-on-precreated-computer-objects-in-active-directory/","type":"hyperlink"}],"applicable_resource_types":["ad_dmd","ad_control_access_right","ad_attribute_schema"],"attacker_known_tools":[],"category_id":4,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","es_001","zh_CN","fr_FR","ja_JP","zh_TW","ko_KR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-PROP-SET-SANITY","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["de","es","zh-CN","fr","ja","zh-TW","ko","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[52]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-DFS-MISCONFIG","_score":null,"_source":{"language_code":"es_001","codename":"C-DFS-MISCONFIG","name":"Configuración peligrosa de replicación de SYSVOL","id":51,"description":"\u003cp\u003eComprueba que el mecanismo de \"Distributed File System Replication\" (DFS-R) haya sustituido a \"File Replication Service\" (FRS).\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003e\"File Replication Service\" (FRS) está en desuso desde Windows Server 2008 R2. Tenable recomienda encarecidamente migrar la replicación del recurso compartido SYSVOL de FRS a “replicación de Sistema de archivos distribuido” (DFS-R) para mayor robustez, escalabilidad y rendimiento de replicación.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLos archivos que se encuentran en una carpeta SYSVOL compartida almacenan las opciones y configuraciones de las políticas de grupo, que se replican entre todos los controladores de dominio para asegurar que el contenido de la carpeta SYSVOL siga siendo idéntico en cada controlador.\n\u003cbr\u003eEn las primeras versiones de Windows 2000 y 2003, se usaba FRS (File Replication Service), que a veces se denomina NTFRS o NT-FRS (no debe confundirse con NTFS) para la replicación de SYSVOL. Con Windows Server 2008, Microsoft presentó DFS-R (Distributed File System Replication), que también se conoce como DFS, DFSR o DFS-R, para mayor confiabilidad y eficiencia.\n\u003cbr\u003eSegún \u003ca href=\"https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/the-case-for-migrating-sysvol-to-dfsr/ba-p/397642\"\u003eMicrosoft\u003c/a\u003e, entre las principales ventajas de usar DFS-R en lugar de FRS se incluyen:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eCapacidad de ejecutar un sistema operativo actualizado en los controladores de dominio: a partir de Windows Server 2016 (incluidos Windows Server 2019, 2022, 2025 y posibles versiones posteriores), no es posible ascender un servidor a controlador de dominio para un dominio si la replicación de SYSVOL usa FRS. En consecuencia, esto haría que la infraestructura de Active Directory se mantuviera estática y le impediría recibir actualizaciones de seguridad con las versiones de sistema operativo actualizadas.\u003c/li\u003e\n\u003cli\u003eUn protocolo con soporte técnico: actualmente Microsoft mantiene DFS-R, que recibe actualizaciones de seguridad periódicas, al contrario que FRS, que está en desuso desde Windows Server 2008 R2.\u003c/li\u003e\n\u003cli\u003eMejor compatibilidad con controladores de dominio de solo lectura (RODC): FRS no admite totalmente las réplicas de SYSVOL de RODC y permite que los datos se desincronicen sin ofrecer una resincronización automática.\u003c/li\u003e\n\u003cli\u003eMejor confiabilidad y rendimiento: DFS-R usa un algoritmo más eficaz que FRS que reduce significativamente el consumo de ancho de banda y acelera el proceso de replicación. Entre las principales mejoras del algoritmo se incluyen:\u003cul\u003e\n\u003cli\u003eUso de la replicación de Remote Differential Compression (RDC) para replicar cambios de archivos parciales, en lugar de archivos completos.\u003c/li\u003e\n\u003cli\u003eCompresión de archivos más eficiente de los archivos en almacenamiento provisional.\u003c/li\u003e\n\u003cli\u003eMejor replicación entre sitios y más rápida en comparación con la replicación de FRS de SYSVOL: mientras que FRS inicia la replicación entre miembros entre sitios cada 15 minutos, DFS ofrece replicación inmediata y permite la personalización para reducir el uso de ancho de banda.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEste indicador de exposición identifica si un dominio aún usa FRS para la replicación. Además, comprueba los cambios de atributos en relación con DFS-R, ya que la modificación de estos atributos podría excluir los GPO del proceso de replicación, lo que les permitiría funcionar como mecanismo potencial de persistencia o puertas traseras.\n\u003cbr\u003eEste indicador de exposición comprueba los elementos siguientes:\u003c/p\u003e\n\u003ch4\u003eEl nivel funcional del dominio (DFL) corresponde a 2008 o superior\u003c/h4\u003e\n\u003cp\u003eEste es un requisito previo para usar DFS-R. De lo contrario, este indicador de exposición no comprueba otros elementos.\nSi el DFL no es suficiente para permitir la migración de FRS a DFS-R, el indicador de exposición señala una anomalía con un motivo que indica el DFL actual.\u003c/p\u003e\n\u003ch4\u003eHabilitación de DFS-R\u003c/h4\u003e\n\u003cp\u003eEl indicador de exposición comprueba este elemento solo si la infraestructura de Active Directory cumple con el requisito previo del DFL.\nLa migración de FRS a DFS-R no es automática y exige un procedimiento manual. Por consiguiente, incluso si los controladores de dominio reciben parches y actualizaciones periódicos, puede que los dominios más antiguos sigan usando FRS para la replicación de SYSVOL, lo que no es una práctica recomendada, como se explicó anteriormente.\nSi la migración no empezó o no se completó aún, el indicador de exposición señala una anomalía con un motivo que indica el estado actual de la migración.\n\u003cbr\u003eTenga en cuenta que el proceso de migración de FRS a DFS-R exige planificación y una ejecución cuidadosa para evitar cualquier perturbación del entorno de Active Directory. Para obtener lineamientos, consulte la pestaña “Recomendación”.\u003c/p\u003e\n\u003ch4\u003eComprobaciones de integridad de DFS-R\u003c/h4\u003e\n\u003cp\u003eEste indicador de exposición puede comprobar este elemento solo si DFS-R se encarga de la replicación de SYSVOL.\nLa integridad de los atributos msDFSR-FileFilter y msDFSR-DirectoryFilter del objeto de clase msDFSR-ContentSet que se encuentra en CN=SYSVOL Share,CN=Content,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=ad,DC=tenable,DC=com se comprueba con sus valores predeterminados de la siguiente manera:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003emsDFSR-FileFilter: [\"~\u003cem\u003e\", \"\u003c/em\u003e.TMP\", \"*.BAK\"]\u003c/li\u003e\n\u003cli\u003emsDFSR-DirectoryFilter: [\"DO_NOT_REMOVE_NtFrs_PreInstall_Directory\", \"NtFrs_PreExisting___See_EventLog\"]\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003ePara corregir el problema de “\u003ca href=\"https://learn.microsoft.com/es-es/troubleshoot/windows-server/group-policy/directory-is-not-empty\"\u003eLa importación de un GPO mediante GPMC produce un error con 'El directorio no está vacío'\u003c/a\u003e”, Microsoft recomienda excluir de la replicación los siguientes directorios temporales, lo que el indicador de exposición considera legítimo:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eMachineOld\u003c/li\u003e\n\u003cli\u003eUserOld\u003c/li\u003e\n\u003cli\u003eMachineStaging\u003c/li\u003e\n\u003cli\u003eUserStaging\u003c/li\u003e\n\u003cli\u003eAdmOld\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eLas modificaciones incorrectas de estos atributos podrían representar un riesgo de seguridad, lo que podría llevar a problemas, como la denegación de servicio o la reducción de la seguridad del dominio, por lo que es fundamental que los administradores analicen y evalúen exhaustivamente estas modificaciones.\nSi se elimina uno de los valores predeterminados o se agrega un valor no recomendado por Microsoft, el indicador de exposición señala una anomalía para indicar que se alteró la integridad del atributo correspondiente.\n\u003cstrong\u003eExcepción: Si una de las carpetas recomendadas por Microsoft como solución al problema anterior está presente en la opción (el valor predeterminado), pero no en el valor del atributo, no se generará ninguna anomalía, ya que la ausencia de estos directorios no representa un riesgo de seguridad.\u003c/strong\u003e\nSi los administradores aprueban la modificación de un nuevo valor, puede agregarlo a la opción dedicada del indicador de exposición.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Usar DFS para la replicación de SYSVOL y no FRS","description":"Para un mejor rendimiento y seguridad, \"Distributed File System Replication\" (DFS-R) debe sustituir a \"File Replication Service\" (FRS), que es un protocolo antiguo y obsoleto.","exec_summary":"\u003cp\u003eMicrosoft recomienda usar el protocolo reciente y con soporte técnico DFS-R para la replicación de SYSVOL. Debe migrar los recursos compartidos de SYSVOL que aún usen \"File Replication Service\" (FRS) a \"Distributed File System Replication\" (DFS-R) manualmente según el procedimiento de Microsoft.\u003c/p\u003e\n","detail":"\u003ch4\u003eUsar un nivel funcional de dominio (DFL) correspondiente a 2008 o superior\u003c/h4\u003e\n\u003cp\u003ePara aumentar el DFL, consulte la pestaña de recomendaciones del indicador de exposición “Dominios con un nivel funcional anticuado”.\u003c/p\u003e\n\u003ch4\u003eMigrar de FRS a DFS-R\u003c/h4\u003e\n\u003cp\u003eLa migración de FRS a DFS-R no es automática, requiere un procedimiento manual.\nPor consiguiente, incluso si los controladores de dominio reciben parches y actualizaciones periódicos, puede que los dominios más antiguos sigan usando FRS para la replicación de SYSVOL, lo que no es una práctica recomendada, como se explicó anteriormente.\nConsulte la guía completa de Microsoft: “\u003ca href=\"https://learn.microsoft.com/es-es/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr#procedures\"\u003eMigración de la replicación de SYSVOL a la replicación DFS\u003c/a\u003e”.\n\u003cbr\u003e\u003cstrong\u003eDebe seguir al pie de la letra el procedimiento detallado de Microsoft según se indica \u003ca href=\"https://learn.microsoft.com/es-es/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr#procedures\"\u003eaquí\u003c/a\u003e.\u003c/strong\u003e El siguiente es solo un resumen del procedimiento.\n\u003cbr\u003eRequisitos previos para la migración:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl controlador de dominio debe ejecutar, como mínimo, Windows Server 2008 R2, pero, de preferencia, debe ser una versión más reciente, como 2022 o 2025.\u003c/li\u003e\n\u003cli\u003eEl DFL debe corresponder a 2008 o superior.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e\u003cstrong\u003ePaso 1\u003c/strong\u003e\nEn el Primary Domain Controller (PDCE), ejecute la herramienta dfsrmig.exe y establezca el estado global de migración en el estado '\u003cstrong\u003ePREPARED\u003c/strong\u003e' (Estado 1). Para ello, abra PowerShell y ejecute:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /setglobalstate 1\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eAntes de continuar, asegúrese de que este paso se haya completado en todos los controladores de dominio. Para supervisar el progreso de la migración y asegurarse de que todos los controladores de dominio se migren correctamente al estado '\u003cstrong\u003ePREPARED\u003c/strong\u003e', ejecute el comando:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /getMigrationState\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSi algún controlador de dominio aún no está listo, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eThe following Domain Controllers are not in sync with Global state \u0026lt;'Prepared'\u0026gt;:\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eUna vez que todos los controladores de dominio están listos, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eAll Domain Controllers have migrated successfuly to Global state \u0026lt;'Prepared'\u0026gt;.\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003e\u003cstrong\u003ePaso 2\u003c/strong\u003e\nDespués de que todos los controladores de dominio se migren correctamente al estado '\u003cstrong\u003ePREPARED\u003c/strong\u003e', proceda de la manera siguiente: en el PDCE, ejecute la herramienta dfsrmig.exe y establezca el estado global de migración en el estado '\u003cstrong\u003eREDIRECTED\u003c/strong\u003e' (Estado 2). Para ello, abra PowerShell y ejecute este comando:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /setglobalstate 2\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eAntes de continuar, asegúrese de que este paso se haya completado en todos los controladores de dominio. Para supervisar el progreso de la migración y asegurarse de que todos los controladores de dominio se migren correctamente al estado '\u003cstrong\u003ePREPARED\u003c/strong\u003e', ejecute el comando:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /getMigrationState\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSi algún controlador de dominio aún no está listo, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eThe following Domain Controllers are not in sync with Global state \u0026lt;'Redirected'\u0026gt;:\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eUna vez que todos los controladores de dominio están listos, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eAll Domain Controllers have migrated successfuly to Global state \u0026lt;'Redirected'\u0026gt;.\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003e\u003cstrong\u003ePaso 3\u003c/strong\u003e\nRecuerde que no puede revertir el proceso de migración al estado '\u003cstrong\u003eELIMINATED\u003c/strong\u003e' bajo ningún concepto. Por lo tanto, asegúrese de que la replicación de SYSVOL use correctamente las funciones del servicio de replicación DFS antes de avanzar con la finalización del proceso de migración.\n\u003cbr\u003eUna vez que todos los controladores de dominio se migren correctamente al estado '\u003cstrong\u003eREDIRECTED\u003c/strong\u003e', proceda de la manera siguiente: en el PDCE, ejecute la herramienta dfsrmig.exe y establezca el estado global de migración en el estado '\u003cstrong\u003eREDIRECTED\u003c/strong\u003e' (Estado 2). Para ello, abra PowerShell y ejecute este comando:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /setglobalstate 3\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eEste paso puede llevar algún tiempo. Para supervisar el progreso de la migración y asegurarse de que todos los controladores de dominio se hayan migrado correctamente al estado '\u003cstrong\u003eELIMINATED\u003c/strong\u003e', ejecute este comando:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /getMigrationState\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSi algún controlador de dominio aún no está listo, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eThe following Domain Controllers are not in sync with Global state \u0026lt;'Eliminated'\u0026gt;:\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eUna vez que todos los controladores de dominio están listos, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eAll Domain Controllers have migrated successfuly to Global state \u0026lt;'Eliminated'\u0026gt;.\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003ePara verificar que cada controlador de dominio del dominio comparte correctamente la carpeta compartida SYSVOL, y que esta corresponde a la carpeta SYSVOL_DFSR que DFS-R replicó, abra una ventana del símbolo del sistema en cada controlador de dominio y escriba:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003enet share\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eEl resultado debería ser parecido al siguiente:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eShare name Resource Remark\n\n--------------------------------------------------------------------------------\n[…]\nNETLOGON C:\\Windows\\SYSVOL_DFSR\\sysvol\\ad.tenable.com\\SCRIPTS\n Logon server share\nSYSVOL C:\\Windows\\SYSVOL_DFSR\\sysvol Logon server share\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eEsta salida confirma que la carpeta compartida SYSVOL está compartida y asignada correctamente a la carpeta SYSVOL_DFSR que DFS-R replicó.\u003c/p\u003e\n\u003ch4\u003eComprobaciones de integridad de DFS-R\u003c/h4\u003e\n\u003cp\u003eDos atributos, msDFSR-FileFilter y msDFSR-DirectoryFilter, pertenecientes al objeto de la clase msDFSR-ContentSet, que se encuentra en CN=SYSVOL Share,CN=Content,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=ad,DC=tenable,DC=com, pueden ser de interés para los atacantes, dado que pueden usarlos para excluir archivos o carpetas de la replicación.\nComo se indica en la pestaña “Detalles de la vulnerabilidad” del indicador de exposición, en ciertos casos Microsoft aconseja agregar directorios específicos a la lista de exclusión. Al hacerlo, el indicador de exposición no informa estos directorios como anómalos, siempre que estén presentes en el valor de la opción.\n\u003cbr\u003eCompruebe la legitimidad de los valores de filtro no predeterminados restantes y confirme con los administradores de Active Directory. Una vez que haya confirmado, agréguelos como opciones del indicador de exposición para evitar marcarlos como anómalos.\u003c/p\u003e\n","resources":[{"name":"Migración de la replicación de SYSVOL a la replicación DFS","url":"https://learn.microsoft.com/es-es/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr","type":"hyperlink"},{"name":"Replicar SYSVOL mediante la replicación de DFS","url":"https://learn.microsoft.com/es-es/services-hub/health/remediation-steps-ad/migrate-sysvol-to-dfs-replication","type":"hyperlink"}]},"resources":[{"name":"Active Directory Security Assessment Checklist - SYSVOL replication through NTFRS (texto en inglés)","url":"https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_sysvol_ntfrs","type":"hyperlink"},{"name":"Windows Server version 1709 no longer supports FRS","url":"https://learn.microsoft.com/es-es/troubleshoot/windows-server/networking/windows-server-version-1709-no-longer-supports-frs","type":"hyperlink"},{"name":"FRS Technical Reference","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc759297(v=ws.10)","type":"hyperlink"},{"name":"Preguntas frecuentes de replicación DFS","url":"https://learn.microsoft.com/es-es/windows-server/storage/dfs-replication/dfsr-faq","type":"hyperlink"},{"name":"The Case for Migrating SYSVOL to DFSR","url":"https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/the-case-for-migrating-sysvol-to-dfsr/ba-p/397642","type":"hyperlink"},{"name":"Importing a GPO using GPMC fails with \"The Directory is not empty\" (texto en inglés)","url":"https://learn.microsoft.com/es-es/troubleshoot/windows-server/group-policy/directory-is-not-empty","type":"hyperlink"}],"applicable_resource_types":["ad_cross_ref","ad_msdfsr_content_set","ad_msdfsr_global_settings"],"attacker_known_tools":[],"category_id":4,"mitre_attacks":[{"tactic":"TA0005 - Defense Evasion (texto en inglés)","techniques":["T1484.001 - Domain Policy Modification - Group Policy Modification (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["fr_FR","es_001","zh_CN","de_DE","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-DFS-MISCONFIG","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["fr","es","zh-CN","de","zh-TW","en"],"mitre_attack_information":[{"tactic":{"id":"TA0005","name":"Defense Evasion (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0005/"},"techniques":[{"id":"T1484.001","name":"Domain Policy Modification - Group Policy Modification (texto en inglés)","url":"https://attack.mitre.org/techniques/T1484/001/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[51]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-PASSWORD-HASHES-ANALYSIS","_score":null,"_source":{"language_code":"es_001","codename":"C-PASSWORD-HASHES-ANALYSIS","name":"Detección de debilidades en contraseñas","id":50,"description":"\u003cp\u003eComprueba si hay debilidades en las contraseñas que pudieran aumentar la vulnerabilidad de las cuentas de Active Directory.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003ePueden surgir varios problemas con las contraseñas de las cuentas de Active Directory (complejidad insuficiente, criptografía obsoleta, en blanco, reutilizadas, filtradas, etc.), lo que provoca una reducción de la seguridad de Active Directory al permitir los ataques de “fuerza bruta”, “difusión de contraseña” y “movimiento lateral”.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLa importancia de la contraseña de una cuenta al asegurar la autenticación dentro de Active Directory es primordial. Sin embargo, hay varios factores que pueden hacer que una contraseña se clasifique como débil, entre otros:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eComplejidad insuficiente: la contraseña consta de una cadena débil de caracteres o, en algunos casos, está totalmente vacía.\u003c/li\u003e\n\u003cli\u003eAlgoritmo obsoleto de definición de hashes de contraseña: el uso de algoritmos anticuados para la definición de hashes, como el hash de LM (Lan Manager), que son propensos a los ataques de fuerza bruta sin conexión sencillos.\u003c/li\u003e\n\u003cli\u003eContraseñas compartidas: instancias donde la misma contraseña se aplica a varias cuentas, como contraseñas predeterminadas o comunes.\u003c/li\u003e\n\u003cli\u003eUso del nombre como contraseña: la contraseña es igual al valor del atributo \u003ccode\u003esamAccountName\u003c/code\u003e o \u003ccode\u003edisplayName\u003c/code\u003e.\u003c/li\u003e\n\u003cli\u003eContraseñas que se encuentran en bases de datos filtradas: la posibilidad de descubrir una contraseña al consultar las bases de datos filtradas.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eLos atacantes explotan activamente estas tendencias para falsificar una cuenta, lo que les permite moverse lateralmente dentro de Active Directory.\nEste riesgo se vuelve aún mayor cuando se trata de cuentas con privilegios.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003eUna contraseña tiene que cumplir con una política de contraseñas robusta y debe ser única para cada cuenta en el dominio de Active Directory.\nUna contraseña en blanco también es crítica, ya que permite que un atacante se autentique sin indicar una contraseña.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003eUna cuenta puede tener una contraseña en blanco en función de las condiciones siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eLa política de contraseñas del dominio tiene la opción “Longitud mínima de contraseña” definida en 0, y la opción “La contraseña debe cumplir los requisitos de complejidad” definida en Falso.\u003c/li\u003e\n\u003cli\u003eEl atributo userAccountControl tiene la marca PASSWD_NOTREQD definida en Verdadero.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e\u003cstrong\u003eNota\u003c/strong\u003e: Detectar un controlador de dominio con una contraseña en blanco es fundamental, ya que corresponde al vector de explotación de la vulnerabilidad crítica conocida como ZeroLogon. Esto es indicio de que un atacante ya podría haber explotado esta vulnerabilidad para atacar el dominio. A raíz de esto, Tenable recomienda encarecidamente iniciar un proceso de respuesta ante incidentes para investigar de manera exhaustiva este ataque potencial.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003eEste indicador de exposición comprueba todos estos aspectos y, además, se asegura de que una contraseña no sea idéntica a otra que aparezca en una base de datos vulnerada y filtrada.\nLas características de las contraseñas filtradas incluyen los rasgos siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eDebilidad debido a un ataque de fuerza bruta sin conexión exitoso: la versión con hash de la contraseña se vio sujeta a un ataque de fuerza bruta sin conexión exitoso, lo que permitió recuperar la contraseña en texto no cifrado.\u003c/li\u003e\n\u003cli\u003eSusceptibilidad a ataques de fuerza bruta basados en diccionarios: los atacantes pueden incluir en su diccionario una contraseña filtrada y usarla para lanzar ataques de fuerza bruta contra los secretos de Active Directory.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eUsar una contraseña filtrada aumenta enormemente el riesgo de vulneración y debe evitarse.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003e\u003cstrong\u003eCONSIDERACIONES CLAVE\u003c/strong\u003e\u003c/p\u003e\n\u003cp\u003ePara priorizar la seguridad, el análisis de este indicador de exposición tiene lugar en Secure Relay para asegurar la protección de la información confidencial. Ningún secreto sin procesar se almacena ni comparte con ninguna entidad externa\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003eEl análisis se centra en las contraseñas de las entidades siguientes: cuentas de usuario y controladores de dominio habilitados.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003eLas cuentas que usan un hash de LM no son habituales y se marcan con un motivo dedicado y no se someterán a análisis adicionales, incluidas comparaciones entre el nombre y la contraseña de la cuenta.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003eLas cuentas de máquina no son susceptibles a debilidades de contraseñas, ya que los mecanismos de generación de contraseñas robustas y de renovación automática abordan estos aspectos de manera eficaz.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Aplicar las prácticas de seguridad recomendadas a las contraseñas de Active Directory","description":"Es fundamental implementar el endurecimiento de las contraseñas y cumplir con las prácticas recomendadas relativas a la administración de contraseñas.\n","exec_summary":"\u003cp\u003eLas prácticas administrativas recomendadas para las contraseñas de los usuarios de un dominio involucran el uso de contraseñas seguras y únicas, evitar mantener los valores predeterminados que se relacionan con las cuentas autenticadas en el dominio y almacenar de manera segura las contraseñas con algoritmos robustos.\u003c/p\u003e\n","detail":"\u003cp\u003eRecomendaciones relativas a los problemas detectados que tener en cuenta:\u003c/p\u003e\n\u003ch4\u003eContraseñas débiles\u003c/h4\u003e\n\u003cp\u003ePara garantizar la fortaleza de una contraseña, esta debe constar de 12 caracteres alfanuméricos o más, incluidas letras en minúscula, en mayúscula, números y caracteres especiales.\nSe aconseja establecer una política de contraseñas robusta, ya sea a través del GPO asociado con la política de dominio predeterminada (“Default Domain Policy”) o al definirla dentro de un “Password Settings Object”.\u003c/p\u003e\n\u003cp\u003eDebe cambiar toda contraseña definida durante la creación de la cuenta de un usuario o al restablecer la contraseña de una cuenta existente tras el primer intento de autenticación.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003ePara una evaluación adicional, revise otros indicadores de exposición (“Cuenta con contraseña vacía” y “Aplicación de políticas de contraseñas débiles en los usuarios”) relacionados con la política de contraseñas.\u003c/p\u003e\n\u003ch4\u003eHashes de LM\u003c/h4\u003e\n\u003cp\u003eA partir de Windows Server 2008, el sistema usa de manera activa hashes de NT para el almacenamiento de contraseñas, a la vez que mantiene vacíos los hashes de LM.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003eA fin de desactivar el almacenamiento de hashes de LM para las contraseñas de usuario, confirme que tiene configurada la siguiente opción de GPO para los controladores de dominio:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eEn Directiva de grupo, vaya a Configuración del equipo \u0026gt; Configuración de Windows \u0026gt; Configuración de seguridad \u0026gt; Directivas locales y, luego, seleccione Opciones de seguridad.\u003c/li\u003e\n\u003cli\u003eEn la lista de políticas disponibles, haga doble clic en “Seguridad de la red: No almacenar el valor hash del Administrador LAN en el siguiente cambio de contraseña”.\u003c/li\u003e\n\u003cli\u003eElija Habilitado y haga clic en Aceptar.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003e\u003cem\u003ePara quitar el hash de LM de una cuenta, tiene que cambiar la contraseña después de aplicar el GPO.\u003c/em\u003e\u003c/p\u003e\n\u003ch4\u003eContraseñas compartidas entre cuentas\u003c/h4\u003e\n\u003cp\u003eTenable recomienda encarecidamente mantener contraseñas exclusivas para las cuentas de un bosque de Active Directory.\nSi se vulnera el secreto de una cuenta, amplía el conocimiento del atacante y le permite vulnerar cuentas adicionales, lo que facilita el movimiento lateral.\u003c/p\u003e\n\u003cp\u003eEste riesgo se vuelve particularmente crítico cuando una de las cuentas recién vulneradas tiene acceso con privilegios al dominio, lo que puede llevar al escalamiento de privilegios.\u003c/p\u003e\n\u003ch4\u003eContraseñas que pertenecen a bases de datos filtradas\u003c/h4\u003e\n\u003cp\u003eEl conocimiento de secretos de bases de datos filtradas nos permite evaluar los riesgos adicionales asociados a una contraseña.\nEn el contexto de este indicador de exposición, si se detecta que una contraseña aparece en una fuga de datos, significa lo siguiente:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eLa contraseña es débil, ya que su versión de texto no cifrado estuvo sujeta anteriormente a ataques de fuerza bruta exitosos.\u003c/li\u003e\n\u003cli\u003eUn atacante puede descargar bases de datos vulneradas y realizar búsquedas dirigidas de palabras clave específicas de una organización, incluidas contraseñas en texto sin formato y posibles datos personales.\u003c/li\u003e\n\u003cli\u003eUn atacante puede explotar la contraseña para ataques de difusión de contraseña contra las cuentas de Active Directory.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEs importante destacar que incluso una contraseña segura debe ser única y nunca compartirse entre aplicaciones. Para facilitarlo, puede usar un administrador de contraseñas, como KeePass.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003eActualmente, este indicador de exposición incorpora un subconjunto de contraseñas vulneradas proporcionadas por el servicio HaveIBeenPwned.\u003c/p\u003e\n","resources":[{"name":"Recommandations relatives à l'authentification multifacteur et aux mots de passe","url":"https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf\n","type":"hyperlink"},{"name":"NIST Digital Identity Guidelines","url":"https://pages.nist.gov/800-63-3/sp800-63b.html\n","type":"hyperlink"},{"name":"The only secure password is the one you can't remember","url":"https://www.troyhunt.com/only-secure-password-is-one-you-cant/\n","type":"hyperlink"},{"name":"Hundreds of millions of real world passwords previously exposed in data breaches","url":"https://haveibeenpwned.com/\n","type":"hyperlink"},{"name":"Password must meet complexity requirements","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements\n","type":"hyperlink"},{"name":"How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases (texto en inglés)","url":"https://learn.microsoft.com/es-es/troubleshoot/windows-server/windows-security/prevent-windows-store-lm-hash-password\n","type":"hyperlink"},{"name":"KeePass Password Safe (texto en inglés)","url":"https://keepass.info/\n","type":"hyperlink"}]},"resources":[{"name":"The 773 Million Record “Collection #1” Data Breach (texto en inglés)\n","url":"https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/\n","type":"hyperlink"},{"name":"The Default Password Threat (texto en inglés)","url":"https://www.giac.org/paper/gsec/317/default-password-threat/100889\n","type":"hyperlink"},{"name":"How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases (texto en inglés)","url":"https://learn.microsoft.com/es-es/troubleshoot/windows-server/windows-security/prevent-windows-store-lm-hash-password\n","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[{"name":"Kerbrute - A tool to quickly bruteforce and enumerate valid Active Directory accounts through Kerberos Pre-Authentication","url":"https://github.com/ropnop/kerbrute","author":"ropnop"},{"name":"John the Ripper - A fast password cracker","url":"https://github.com/openwall/john","author":"OpenWall"},{"name":"hashcat - advanced password recovery tool","url":"https://hashcat.net/hashcat/","author":"Jens Steube, Gabriele Gristina"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0001 - Initial Access (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1110 - Brute Force (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","de_DE","zh_TW","fr_FR","zh_CN","ko_KR","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-PASSWORD-HASHES-ANALYSIS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["es","de","zh-TW","fr","zh-CN","ko","ja","en"],"mitre_attack_information":[{"tactic":{"id":"TA0001","name":"Initial Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0001/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1110","name":"Brute Force (texto en inglés)","url":"https://attack.mitre.org/techniques/T1110/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[50]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-RANSOMWARE-HARDENING","_score":null,"_source":{"language_code":"es_001","codename":"C-RANSOMWARE-HARDENING","name":"Endurecimiento insuficiente frente al ransomware","id":49,"description":"\u003cp\u003eSe asegura de que el dominio haya implementado medidas de endurecimiento para protegerse frente al ransomware.\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003eEl ransomware es la ciberamenaza global más disruptiva que enfrentamos en la actualidad. Esta amenaza afecta a casi todos los sectores industriales y es consecuencia de una variedad de causas que los equipos de seguridad deben tener en cuenta en sus estrategias de defensa.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eComo forma más efectiva de propagar los ataques, los grupos de ransomware ahora usan Active Directory (AD), una tecnología ya presente en muchas organizaciones, en lugar de un código de propagación personalizado.\nUna \u003cstrong\u003ecuenta vulnerada de un usuario privilegiado\u003c/strong\u003e es la \u003cstrong\u003emanera más sencilla\u003c/strong\u003e de que los atacantes implementen ransomware a través de AD. Para \u003cstrong\u003eimpedir los ataques de ransomware\u003c/strong\u003e, es importante \u003cstrong\u003ecorregir las vulnerabilidades más críticas (indicadores de exposición) que podrían conducir a una vulneración directa\u003c/strong\u003e.\nLos ataques de ransomware suelen usar métodos similares, como phishing, archivos de Office malintencionados y scripts, para infectar un sistema.\n\u003cbr\u003eEste indicador de exposición lleva a cabo las siguientes comprobaciones secundarias para bloquear o enlentecer un ataque:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eHabilita la exigencia de la regla de \u003cstrong\u003eAppLocker\u003c/strong\u003e para scripts y ejecutables.\u003c/li\u003e\n\u003cli\u003eCambia la \u003cstrong\u003easociación predeterminada de archivos\u003c/strong\u003e de los tipos de archivo peligrosos.\u003c/li\u003e\n\u003cli\u003eAplica una \u003cstrong\u003ePowerShell Execution Policy\u003c/strong\u003e segura.\u003c/li\u003e\n\u003cli\u003eDeshabilita Windows Script Host (\u003cstrong\u003eWSH\u003c/strong\u003e).\u003c/li\u003e\n\u003cli\u003eDeshabilita las \u003cstrong\u003emacros\u003c/strong\u003e para todas las aplicaciones de Office (el enfoque más seguro, aunque no siempre posible).\u003c/li\u003e\n\u003cli\u003eSe asegura de que las \u003cstrong\u003emacros\u003c/strong\u003e incluidas en los documentos de Office\u003cstrong\u003eno omitan\u003c/strong\u003e el motor de Antimalware Scan Interface registrado (\u003cstrong\u003eAMSI\u003c/strong\u003e).\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e\u003cbr\u003e\u003cstrong\u003ePUNTO DESTACADO 1\u003c/strong\u003e\nEste indicador de exposición tiene \u003cstrong\u003emuchas opciones\u003c/strong\u003e para que personalice la comprobación según sus necesidades.\nEste indicador de exposición ofrece una \u003cstrong\u003evariedad de opciones\u003c/strong\u003e que le permiten personalizar la comprobación de seguridad según sus necesidades particulares. Por ejemplo, \u003cstrong\u003epuede deshabilitar cada comprobación secundaria para partes del entorno que no estén totalmente maduras para una comprobación completa\u003c/strong\u003e. Esto mejora la seguridad del sistema, al analizar otras partes que están listas para la comprobación.\nHay otras varias opciones disponibles para personalizar aún más la comprobación de seguridad, como se muestra en la sección siguiente.\n\u003cbr\u003e\u003cstrong\u003ePUNTO DESTACADO 2\u003c/strong\u003e\nEn este indicador de exposición se sigue la lógica a continuación para garantizar la seguridad del dominio:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eComprueba \u003cstrong\u003esi hay al menos un GPO que defina la configuración esperada\u003c/strong\u003e de cada dominio. Si se encuentra, lleva a cabo un análisis preciso de todos los objetos. Si no se encuentra, informa una anomalía global “No GPO defining […]” (Ningún GPO que defina […]) para la comprobación.\u003c/li\u003e\n\u003cli\u003e\u003cstrong\u003eComprueba el valor de la opción\u003c/strong\u003e e informa una anomalía “The GPO sets the policy […]” (El GPO define la política […]) con el valor actual y el esperado. Además, \u003cstrong\u003ecomprueba que todos los objetos de seguridad (equipos y usuarios) relacionados con la opción aprovechen la política\u003c/strong\u003e. En caso contrario, informa los contenedores afectados con una anomalía “No GPO defining […]” (Ningún GPO que defina […]).\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003e\u003cbr\u003e**Existen opciones para todas las comprobaciones en cada nivel. Por ejemplo, puede permitir un GPO que defina un valor incorrecto y excluya una OU del análisis.\u003c/p\u003e\n\u003ch4\u003eExigir la regla de AppLocker para scripts y ejecutables\u003c/h4\u003e\n\u003cp\u003eEsta configuración impide la ejecución de scripts y ejecutables desde ubicaciones a las que es probable que se ataque mediante ransomware.\u003c/p\u003e\n\u003cp\u003eHabilite la \u003cstrong\u003eexigencia de la regla de script de AppLocker\u003c/strong\u003e y aplique esta opción a los siguientes formatos de archivo:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e.ps1\u003c/li\u003e\n\u003cli\u003e.bat\u003c/li\u003e\n\u003cli\u003e.cmd\u003c/li\u003e\n\u003cli\u003e.vbs\u003c/li\u003e\n\u003cli\u003e.js\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eSi habilita esta opción, se activará \u003cstrong\u003eConstrained Language Mode\u003c/strong\u003e (\u003cstrong\u003eCLM\u003c/strong\u003e) para PowerShell, lo que restringe el acceso a elementos sensibles del lenguaje que puedan servir para invocar API arbitrarias de Windows.\nPara habilitar CLM, defina la variable de entorno \u003ccode\u003e__PSLockdownPolicy\u003c/code\u003e en un entorno de depuración y pruebas unitarias. Sin embargo, tenga en cuenta que Microsoft no recomienda usar este mecanismo de exigencia, ya que un atacante puede cambiar fácilmente la variable de entorno para quitar las restricciones. Para obtener más información sobre CLM, consulte el recurso dedicado en la pestaña “Recomendaciones” del indicador de exposición.\n\u003cbr\u003eHabilite la \u003cstrong\u003eexigencia de reglas de ejecutables de AppLocker\u003c/strong\u003e y aplique esta opción a los siguientes formatos de archivo:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e.exe\u003c/li\u003e\n\u003cli\u003e.com\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eCambie la asociación predeterminada de archivos para los tipos de archivo peligrosos\u003c/h4\u003e\n\u003cp\u003eEsta opción \u003cstrong\u003ebloquea los usuarios que ejecutan sin querer código malintencionado al hacer doble clic\u003c/strong\u003e en archivos con extensiones peligrosas. Estas extensiones se definen como opciones personalizables y los valores predeterminados son js, jse, hta, wsc, ws, wsh, wsf, vbs, vbe, ps1 y psm1.\nEl programa asociado recomendado para abrir estos archivos es Notepad, que también se define como opción personalizable.\u003c/p\u003e\n\u003ch4\u003eExigir una PowerShell Execution Policy segura\u003c/h4\u003e\n\u003cp\u003eLos atacantes suelen usar PowerShell para implementar o explotar el código malintencionado. Una \u003cstrong\u003ePowerShell Execution Policy segura\u003c/strong\u003e puede hacer que sea \u003cstrong\u003emás difícil que los atacantes ejecuten cargas útiles de PowerShell malintencionadas en los dispositivos\u003c/strong\u003e. Si bien hay métodos para omitir esto, una política segura aún puede bloquear las herramientas automatizadas y enlentecer a los atacantes. El valor predeterminado es \u003ccode\u003eRestricted\u003c/code\u003e y se puede modificar con una opción personalizable.\u003c/p\u003e\n\u003ch4\u003eDeshabilitar Windows Script Host (WSH)\u003c/h4\u003e\n\u003cp\u003eWindows Script Host permite a los usuarios ejecutar scripts en diversos lenguajes para realizar tareas mediante distintos modelos de objeto. Sin embargo, \u003cstrong\u003etambién puede servir para descargar o implementar código malintencionado en los dispositivos\u003c/strong\u003e. Si en el dominio no se exige Windows Script Host, debe deshabilitarse.\u003c/p\u003e\n\u003ch4\u003eDeshabilitar las macros para todas las aplicaciones de Office (el enfoque más seguro, aunque no siempre posible)\u003c/h4\u003e\n\u003cp\u003eSi bien las macros son una herramienta eficaz para la automatización de tareas en Office, \u003cstrong\u003eel malware también las explota para infectar la infraestructura\u003c/strong\u003e. Si los usuarios del dominio no requieren macros, \u003cstrong\u003elo mejor es deshabilitarlas mediante GPO para una mayor seguridad\u003c/strong\u003e.\u003c/p\u003e\n\u003ch4\u003eImpedir que las macros incluidas en documentos de Office omitan el motor de Antimalware Scan Interface (AMSI) registrado\u003c/h4\u003e\n\u003cp\u003eEsta medida de seguridad es una incorporación reciente, así que \u003cstrong\u003ela comprobación no obligará a que el dominio la habilite\u003c/strong\u003e. Sin embargo, si la medida existe, pero está deshabilitada, \u003cstrong\u003erepresenta un riesgo para la infraestructura, y el indicador de exposición la informa como si fuera una anomalía\u003c/strong\u003e.\u003c/p\u003e\n\u003cp\u003eLas opciones de NB Office se aplican a:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eV15 (Office 2013).\u003c/li\u003e\n\u003cli\u003eV16 (Office 2016, Microsoft Office 365 ProPlus, Office 2019).\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Implementar medidas de endurecimiento frente al ransomware","description":"Las medidas de seguridad frente al ransomware deben implementarse mediante GPO.\n","exec_summary":"\u003cp\u003eEsta medida de seguridad es una incorporación reciente, por lo que la comprobación no obligará al dominio a habilitarla. Sin embargo, si la medida existe, pero está deshabilitada, representa un riesgo para la infraestructura, y el indicador de exposición la informa como si fuera una anomalía.\u003c/p\u003e\n","detail":"\u003cp\u003eLa configuración relacionada con Office requiere la implementación adicional de ADMX (plantillas administrativas de política de grupo) en el dominio. Para ello, siga el procedimiento a continuación:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003e\u003cp\u003eCree un Central Repository en el controlador de dominio:\n a. Si el dominio no tiene ya un \u003cstrong\u003eCentral Store for Group Policy Administrative Templates\u003c/strong\u003e, vaya a esta \u003ca href=\"https://learn.microsoft.com/en-US/troubleshoot/windows-client/group-policy/create-and-manage-central-store\"\u003epágina\u003c/a\u003e para conocer cómo crear y administrar uno. Ejemplo: Vaya a la sección “Links to download the Administrative Templates files based on the operating system version” y haga clic en el sistema operativo correspondiente de las estaciones de trabajo de los miembros del dominio.\n b. Descargue el MSI e instálelo en el controlador de dominio.\n c. Copie la carpeta \u003cstrong\u003ePolicyDefinitions\u003c/strong\u003e extraída en la ruta apropiada de \u003cstrong\u003eSysvol\u003c/strong\u003e. Por ejemplo, si el MSI se relaciona con Windows11-2021-10, como \u003ccode\u003eC:\\Program Files (x86)\\Microsoft Group Policy\\Windows 11 October 2021 Update (21H2)\\PolicyDefinitions\u003c/code\u003e, cópiela en la ruta siguiente: \u003ccode\u003e\\\\contoso.com\\SYSVOL\\contoso.com\\policies\\PolicyDefinitions\u003c/code\u003e.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003eImplemente el ADMX relacionado con Office:\n a. Vaya a esta \u003ca href=\"https://www.microsoft.com/es-es/download/details.aspx?id=49030\"\u003epágina\u003c/a\u003e y descargue un archivo EXE que contiene ADMX para Office 2016/2019/365.\n b. Ejecute el EXE descargado e indique una carpeta donde extraer ADMX.\n c. Copie los archivos ADMX en el Central Repository. \u003cstrong\u003eRecuerde copiar las carpetas de idioma, incluida al menos la de en-us, o, de lo contrario, no funcionará correctamente\u003c/strong\u003e.\u003c/p\u003e\n\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eEn la sección siguiente se explica cómo resolver las anomalías y en la pestaña “Detalles de la vulnerabilidad” encontrará información sobre las comprobaciones. \u003cstrong\u003eRecuerde que en este indicador de exposición se ofrecen varias opciones, como deshabilitar las comprobaciones secundarias, permitir objetos y modificar valores esperados\u003c/strong\u003e.\u003c/p\u003e\n\u003ch4\u003eHabilitar la aplicación de las reglas de AppLocker para scripts y ejecutables\u003c/h4\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo.\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en el GPO (o cree uno nuevo) que define la configuración y haga clic en \u003cstrong\u003eEditar\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola debajo de \u003cstrong\u003eConfiguración del equipo\u003c/strong\u003e, expanda la carpeta \u003cstrong\u003ePolicies\u003c/strong\u003e hasta alcanzar la carpeta \u003cstrong\u003eWindows Settings\\Security Settings\\Application Control Policies\\AppLocker\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eHaga clic en \u003cstrong\u003eConfigure rule enforcement\u003c/strong\u003e y seleccione \u003cstrong\u003eConfigured\u003c/strong\u003e y “Enforce rules” y tanto para \u003cstrong\u003eExecutable rules\u003c/strong\u003e como para \u003cstrong\u003eScript rules\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003ePara crear reglas predeterminadas, haga clic con el botón derecho en \u003cstrong\u003eWindows Settings\\Security Settings\\Application Control Policies\\AppLocker\\Executable Rules\u003c/strong\u003e y \u003cstrong\u003eWindows Settings\\Security Settings\\Application Control Policies\\AppLocker\\Script Rules\u003c/strong\u003e, y seleccione \u003cstrong\u003eCreate Default Rules\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eAgregue tantas reglas como el dominio exija.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eCambiar la asociación predeterminada de archivos para los tipos de archivo peligrosos\u003c/h4\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el GPO (o cree uno nuevo) que define la configuración y haga clic en \u003cstrong\u003eEditar\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola debajo de \u003cstrong\u003eConfiguración del equipo\u003c/strong\u003e, expanda la carpeta \u003cstrong\u003ePreferencias\u003c/strong\u003e hasta alcanzar la carpeta \u003cstrong\u003eConfiguración del Panel de control\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en el nodo \u003cstrong\u003eOpción de carpeta\u003c/strong\u003e y seleccione \u003cstrong\u003eNuevo\u003c/strong\u003e \u0026gt; \u003cstrong\u003eAbrir con\u003c/strong\u003e. En el cuadro de diálogo \u003cstrong\u003eNuevas propiedades de opciones de carpeta\u003c/strong\u003e, seleccione las opciones siguientes (por ejemplo, una extensión HTA):\u003c/li\u003e\n\u003c/ol\u003e\n\u003ctable\u003e\n\u003cthead\u003e\n\u003ctr\u003e\n\u003cth\u003e\u003c/th\u003e\n\u003cth\u003e\u003c/th\u003e\n\u003c/tr\u003e\n\u003c/thead\u003e\n\u003ctbody\u003e\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eAcción\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eActualizar\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eExtensiones de archivo\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003ehta\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003ePrograma asociado\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003e%windir%\\system32\\notepad.exe\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eEstablecer como predeterminado\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eSí\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\u003c/table\u003e\n\u003cp\u003eLa acción \u003cstrong\u003eActualizar\u003c/strong\u003e es la opción más segura, ya que crea la propiedad si no está presente o la actualiza con la nueva configuración si la propiedad ya existe.\u003c/p\u003e\n\u003ch4\u003eAplicar una PowerShell Execution Policy segura\u003c/h4\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el GPO (o cree uno nuevo) que define la configuración y haga clic en \u003cstrong\u003eEditar\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola debajo de \u003cstrong\u003eConfiguración del equipo\u003c/strong\u003e, expanda la carpeta \u003cstrong\u003ePolicies\u003c/strong\u003e hasta alcanzar \u003cstrong\u003ePlantillas administrativas: definiciones de directiva (archivos ADMX) recuperadas del almacén central\\Componentes de Windows\\Windows PowerShell\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cstrong\u003eActivar ejecución de scripts\u003c/strong\u003e y establezca el valor en \u003ccode\u003eDeshabilitado\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eDeshabilitar Windows Script Host (WSH)\u003c/h4\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el GPO (o cree uno nuevo) que define la configuración y haga clic en \u003cstrong\u003eEditar\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola debajo de \u003cstrong\u003eConfiguración del equipo\u003c/strong\u003e, expanda la carpeta \u003cstrong\u003ePreferencias\u003c/strong\u003e hasta alcanzar la carpeta \u003cstrong\u003eConfiguración de Windows\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en el nodo \u003cstrong\u003eRegistro\u003c/strong\u003e y seleccione \u003cstrong\u003eNuevo\u003c/strong\u003e \u0026gt; \u003cstrong\u003eElemento del registro\u003c/strong\u003e. En el cuadro de diálogo \u003cstrong\u003eNuevas propiedades del registro\u003c/strong\u003e, seleccione las opciones siguientes (por ejemplo, una extensión HTA):\u003c/li\u003e\n\u003c/ol\u003e\n\u003ctable\u003e\n\u003cthead\u003e\n\u003ctr\u003e\n\u003cth\u003e\u003c/th\u003e\n\u003cth\u003e\u003c/th\u003e\n\u003c/tr\u003e\n\u003c/thead\u003e\n\u003ctbody\u003e\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eAcción\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eActualizar\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eSubclave del registro\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows Script Host\\Settings\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eValor\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eHabilitado\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eTipo de datos\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eREG_DWORD\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eDatos\u003c/strong\u003e0\u003c/td\u003e\n\u003ctd\u003e\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eReinicio necesario\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eNo\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\u003c/table\u003e\n\u003cp\u003eLa acción \u003cstrong\u003eActualizar\u003c/strong\u003e es la opción más segura, ya que crea la propiedad si no está presente o la actualiza con la nueva configuración si la propiedad ya existe.\u003c/p\u003e\n\u003ch4\u003eDeshabilitar las macros para todas las aplicaciones de Office (el enfoque más seguro, aunque no siempre posible)\u003c/h4\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el GPO (o cree uno nuevo) que define la configuración y haga clic en \u003cstrong\u003eEditar\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola debajo de \u003cstrong\u003eConfiguración del equipo\u003c/strong\u003e, expanda la carpeta \u003cstrong\u003eDirectivas\u003c/strong\u003e hasta alcanzar la carpeta \u003cstrong\u003ePlantillas administrativas: definiciones de directiva (archivos ADMX) recuperadas del almacén central\\Microsoft Office 2016 (máquina)\\Configuración de seguridad\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cstrong\u003eDeshabilitar VBA para aplicaciones de Office\u003c/strong\u003e y establezca el valor en \u003ccode\u003eHabilitar\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eSi esta opción es demasiado restrictiva para el dominio, tiene una opción para deshabilitarla.\u003c/p\u003e\n\u003ch4\u003eImpedir que las macros incluidas en documentos de Office omitan el motor de Antimalware Scan Interface registrado (AMSI)\u003c/h4\u003e\n\u003cp\u003eSi no hay ningún objeto de política de grupo (GPO) que defina esta opción, el indicador de exposición no emite una anomalía.\nSin embargo, si la opción está definida y establecida en \u003ccode\u003eDeshabilitado\u003c/code\u003e (en \u003cstrong\u003eConfiguración de usuario\u003c/strong\u003e, vaya a la carpeta \u003cstrong\u003eDirectivas\u003c/strong\u003e hasta alcanzar \u003cstrong\u003ePlantillas administrativas: definiciones de directiva (archivos ADMX) recuperadas del almacén central\\Microsoft Office 2016\\Configuración de seguridad para Ámbito de examen en tiempo de ejecución de macros\u003c/strong\u003e), el indicador de exposición emite una anomalía.\u003c/p\u003e\n","resources":[{"name":"Script rules in AppLocker","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/windows-defender-application-control/applocker/script-rules-in-applocker\n","type":"hyperlink"},{"name":"Executable rules in AppLocker","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/windows-defender-application-control/applocker/executable-rules-in-applocker\n","type":"hyperlink"},{"name":"PowerShell Constrained Language Mode","url":"https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/\n","type":"hyperlink"},{"name":"Macro malware","url":"https://learn.microsoft.com/es-es/microsoft-365/security/intelligence/macro-malware?view=o365-worldwide\n","type":"hyperlink"},{"name":"Enable or disable macros in Office files","url":"https://support.microsoft.com/es-es/office/enable-or-disable-macros-in-office-files-12b036fd-d140-4e74-b45e-16fed1a7e5c6\n","type":"hyperlink"},{"name":"Plan security settings for VBA macros in Office 2016","url":"https://learn.microsoft.com/es-es/DeployOffice/security/plan-security-settings-for-vba-macros-in-office\n","type":"hyperlink"},{"name":"Antimalware Scan Interface (AMSI)","url":"https://learn.microsoft.com/es-es/windows/win32/amsi/antimalware-scan-interface-portal\n","type":"hyperlink"},{"name":"about_Execution_Policies","url":"https://learn.microsoft.com/es-es/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-7.2\n","type":"hyperlink"}]},"resources":[{"name":"Active Directory is Now in the Ransomware Crosshairs","url":"https://www.tenable.com/blog/active-directory-is-now-in-the-ransomware-crosshairs\n","type":"hyperlink"},{"name":"Anatomy of a modern ransomware attack","url":"https://lookbook.tenable.com/ransomware-2021/anatomy-ransomware-e\n","type":"hyperlink"},{"name":"Which Protective Measures Will Help You Really Disrupt Ransomware Attacks?","url":"https://lookbook.tenable.com/webinar-replay-protective-measures-prevent-ransomware-attacks/od-webinar-which-protective-measures-will-help-you-really-disrupt-ransomware-attacks\n","type":"hyperlink"},{"name":"Secure Active Directory and Stop the Spread of Ransomware","url":"https://lookbook.tenable.com/webinar-replay-protective-measures-prevent-ransomware-attacks/datasheet-tenable-ad-stop-the-spread-of-ransomware\n","type":"hyperlink"},{"name":"5 Ways to Strengthen Active Directory Security and Prevent Ransomware Attacks","url":"https://lookbook.tenable.com/5-ways-to-strengthen-active-directory-security-and-prevent-ransomware-attacks/od-webinar-5-ways-to-strengthen-ad-and-prevent-ransomware\n","type":"hyperlink"},{"name":"How to Protect Active Directory Against Ransomware Attacks","url":"https://lookbook.tenable.com/ransomware-2021/how-to-protect-ad-ransomware\n","type":"hyperlink"}],"applicable_resource_types":["ad_container","ad_gpo_preferences","ad_ou","ad_root_domain","ad_sysvol_pol"],"attacker_known_tools":[{"name":"WannaCry","url":"https://en.wikipedia.org/wiki/WannaCry_ransomware_attack","author":"Unknown"},{"name":"Ryuk","url":"https://en.wikipedia.org/wiki/Ryuk_(ransomware)","author":"Unknown"},{"name":"DarkSide (hacking group)","url":"https://en.wikipedia.org/wiki/DarkSide_(hacking_group)","author":"Unknown"}],"category_id":2,"mitre_attacks":[],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","fr_FR","de_DE","zh_CN","ko_KR","ja_JP","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-RANSOMWARE-HARDENING","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["es","fr","de","zh-CN","ko","ja","zh-TW","en"],"mitre_attack_information":[],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[49]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-PKI-DANG-ACCESS","_score":null,"_source":{"language_code":"es_001","codename":"C-PKI-DANG-ACCESS","name":"Errores de configuración peligrosos de AD CS","id":48,"description":"\u003cp\u003eEnumere los permisos peligrosos y los parámetros con errores de configuración relacionados con la infraestructura de clave pública (PKI) de Active Directory Certificate Services (AD CS).\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eLos errores de configuración de los objetos de la PKI de Active Directory Certificate Services (AD CS) en Active Directory pueden llevar a que los privilegios de una cuenta estándar se eleven hasta el grado de administrador, pero también pueden dar lugar a persistencia (con la técnica “Golden Certificate”).\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eMicrosoft ofrece una implementación de PKI dedicada mediante el rol de servidor de AD CS, que está disponible en Windows Server. Al configurar el servidor de la entidad de certificación por primera vez (un componente básico de la PKI de Windows), tiene la opción de integrar la PKI en Active Directory o mantenerla como sistema independiente.\n\u003cbr\u003eEste indicador de exposición se centra solo en las PKI integradas en Active Directory.\n\u003cbr\u003eUna PKI genera certificados de confianza con diversos fines, donde la autenticación es el propósito principal vinculado a Active Directory. Microsoft habilitó la autenticación basada en certificados mediante PKINIT, una extensión del protocolo Kerberos.\n\u003cbr\u003eEn 2021, la comunidad de seguridad investigó AD CS de manera exhaustiva, en particular con el foco puesto en las plantillas de certificados. Estas plantillas son planos preconfigurados para casos de uso específicos, como el cifrado SSL o TLS, las firmas de código, la autenticación mediante tarjetas inteligentes, etc. Cuando una cuenta de AD requiere un certificado, tiene que inscribirse en una plantilla específica por medio de un servicio de inscripción en AD CS dedicado. No todas las plantillas están registradas en cada servicio, y la inscripción se restringe a una población dedicada por motivos de seguridad. Cuentan con varios parámetros que pueden permitir el escalamiento de privilegios y la persistencia en el entorno de AD/Windows.\n\u003cbr\u003eLa complejidad de la implementación de la PKI y las habilidades necesarias pueden llevar a vulnerabilidades, incluida la puesta en peligro de toda la instancia de Active Directory a través de certificados de autenticación con una configuración incorrecta generados con AD CS. Microsoft ofrece una interfaz gráfica para configurar la PKI de AD CS, lo que la hace parecer sencilla, pero también así lo es cometer errores de configuración que afecten a la seguridad.\u003c/p\u003e\n\u003ch4\u003ePropietario o permiso inseguros\u003c/h4\u003e\n\u003cp\u003eEl objetivo es detectar permisos peligrosos en los objetos y contenedores relacionados con AD CS, con los motivos “Propietario inseguro…” y “Permisos inseguros…” en los siguientes objetos:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eObjetos de equipo de servidores de AD CS\u003c/li\u003e\n\u003cli\u003eObjetos de plantillas de certificados\u003c/li\u003e\n\u003cli\u003eObjetos de servicios de inscripción en PKI\u003c/li\u003e\n\u003cli\u003eObjetos de entidades de certificación\u003c/li\u003e\n\u003cli\u003eContenedor de plantillas de certificados\u003c/li\u003e\n\u003cli\u003eContenedor de servicios de inscripción\u003c/li\u003e\n\u003cli\u003eContenedor de entidad de certificación (CA raíz e intermedias)\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003ePlantillas de certificados con errores de configuración\u003c/h4\u003e\n\u003cp\u003eEl objetivo es evitar que cuentas sin privilegios se inscriban como administradores al evaluar y modificar los parámetros de configuración y los permisos. Por plantillas de certificados con “errores de configuración”, se entienden aquellas que tienen varios parámetros que provocan riesgos de seguridad, que exigen modificaciones según el contexto.\u003c/p\u003e\n\u003ch4\u003eOID vinculado a un grupo\u003c/h4\u003e\n\u003cp\u003eEl objetivo es detectar políticas de emisión (OID empresariales) que permitan que las entidades principales se conviertan en miembros de grupos de AD de manera implícita (es decir, sin ser miembros explícitos del grupo, por lo que no son visibles en las herramientas de administración de AD).\u003c/p\u003e\n\u003ch2\u003eAsignación con documento de referencia\u003c/h2\u003e\n\u003cp\u003eTenga en cuenta que este IoE incluye la mayoría de las técnicas de escalamiento de privilegios (ESC) que SpecterOps menciona en el documento de investigación “Certified Pre-Owned”, con algunas modificaciones para su facilidad de uso. La asignación entre los identificadores de las técnicas y los motivos de Tenable Identity Exposure es como sigue:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eESC1: motivo “Configuración insegura de la plantilla de certificados”\u003c/li\u003e\n\u003cli\u003eESC2: no se implementó, ya que no había una prueba en concreto de su explotabilidad\u003c/li\u003e\n\u003cli\u003eESC3: no se implementó, ya que requiere acceso local a todos los servidores de AD CS para comprobar los valores del registro, lo que no es posible en Tenable Identity Exposure\u003c/li\u003e\n\u003cli\u003eESC4: motivo “Configuración insegura de la plantilla de certificados”\u003c/li\u003e\n\u003cli\u003eESC5 con los motivos siguientes:\u003cul\u003e\n\u003cli\u003e“Permisos inseguros en un servidor de AD CS”\u003c/li\u003e\n\u003cli\u003e“Propietario inseguro en un servidor de AD CS”\u003c/li\u003e\n\u003cli\u003e“Permisos inseguros en un objeto de la CA”\u003c/li\u003e\n\u003cli\u003e“Propietario inseguro en un objeto de la CA”\u003c/li\u003e\n\u003cli\u003e“Permisos inseguros en un contenedor de la CA”\u003c/li\u003e\n\u003cli\u003e“Propietario inseguro en un contenedor de la CA”\u003c/li\u003e\n\u003cli\u003e“Permisos inseguros en una plantilla de certificados”\u003c/li\u003e\n\u003cli\u003e“Propietario inseguro en una plantilla de certificados”\u003c/li\u003e\n\u003cli\u003e“Permisos inseguros en un contenedor de plantillas de certificados”\u003c/li\u003e\n\u003cli\u003e“Propietario inseguro en un contenedor de plantillas de certificados”\u003c/li\u003e\n\u003cli\u003e“Permisos inseguros en un servicio de inscripción”\u003c/li\u003e\n\u003cli\u003e“Propietario inseguro en un servicio de inscripción”\u003c/li\u003e\n\u003cli\u003e“Permisos inseguros en un contenedor del servicio de inscripción”\u003c/li\u003e\n\u003cli\u003e“Propietario inseguro en un contenedor del servicio de inscripción”\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eESC6: motivo “Configuración insegura de la plantilla de certificados”, pero parcialmente, ya que requiere acceso local a los sistemas para verificar una lista de control de acceso (ACL) local, por lo que se incluyó como opción “Configuración local de SAN” solo para recordarle comprobar las configuraciones locales para este problema de seguridad.\u003c/li\u003e\n\u003cli\u003eESC7: no se implementó, ya que requiere acceso local a todos los servidores de AD CS para comprobar una ACL local, lo que no es posible en Tenable Identity Exposure\u003c/li\u003e\n\u003cli\u003eESC8: no se implementó, ya que requiere acceso local a todos los servidores de AD CS para comprobar los valores del registro, lo que no es posible en Tenable Identity Exposure\u003c/li\u003e\n\u003cli\u003eESC13 (se publicó más adelante, en febrero de 2024): motivo “OID vinculado a un grupo”\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Corregir errores en la configuración de AD CS","description":"Para limitar los riesgos de la vulneración total de AD, deben corregirse los errores de configuración de AD CS.\n","exec_summary":"\u003cp\u003eAlgunos parámetros de la PKI de AD CS pueden tener un impacto importante en la seguridad de toda la instancia de Active Directory y, por lo tanto, exigen cuidado en el momento de su configuración.\u003c/p\u003e\n","detail":"\u003cp\u003eConfigurar una infraestructura de clave pública (PKI) puede resultar difícil debido a la cantidad de parámetros involucrados, lo que puede llevar a problemas de seguridad. Tenable Identity Exposure ofrece resultados sobre parámetros sensibles que deben corregirse.\n\u003cbr\u003eAbordar los problemas detectados exige definir una configuración más restrictiva, por lo que debe asegurarse la colaboración entre los equipos de seguridad y de AD, y con los equipos de TI a cargo de los servidores, estaciones de trabajo o aplicaciones que usan estos certificados (plantillas) para evitar cualquier regresión o efectos secundarios indeseables.\u003c/p\u003e\n\u003ch4\u003ePropietario inseguro\u003c/h4\u003e\n\u003cp\u003eAsigne un propietario seguro según su política de administración de la PKI o, de manera predeterminada, un grupo de AD privilegiado, como “Administradores de empresas”. De no ser posible y si el propietario identificado es legítimo, se pueden ignorar con la opción “Propietario de objeto permitido”, pero recuerde que este usuario mantendrá el control del objeto, que es una posible ruta de ataque.\u003c/p\u003e\n\u003cp\u003eTenga en cuenta que si el propietario identificado parece ser sospechoso (p. ej., un usuario normal o desconocido para los administradores), esto podría indicar que el entorno está en peligro o tiene una puerta trasera; en cuyo caso, debería comenzar una investigación adicional y, posiblemente, un análisis forense.\u003c/p\u003e\n\u003ch4\u003ePermisos inseguros\u003c/h4\u003e\n\u003cp\u003eDe ser posible, quite los permisos identificados o reduzca su nivel (p. ej., de “escritura” a “lectura”). Si no es posible y son legítimos, se pueden ignorar con la opción “Lista de administradores permitidos”, pero recuerde que estos permisos seguirán siendo una posible ruta de ataque.\u003c/p\u003e\n\u003cp\u003eTenga en cuenta que si los permisos identificados son sospechosos (p. ej., se concedieron a un usuario normal o son demasiado permisivos), esto podría indicar que el entorno está en riesgo o tiene una puerta trasera; en cuyo caso, debería comenzar una investigación adicional y, posiblemente, un análisis forense.\u003c/p\u003e\n\u003ch4\u003eConfiguración insegura de la plantilla de certificados\u003c/h4\u003e\n\u003cp\u003eConsulte el motivo del error de configuración exacto de la plantilla de certificados. Corríjalo según las instrucciones o, si no es posible, se puede ignorar con la opción “Plantillas de certificados que permitir”.\u003c/p\u003e\n\u003cp\u003eTenga en cuenta que, si los errores de configuración parecen sospechosos, esto podría indicar que el entorno está en peligro o tiene una puerta trasera; en cuyo caso, debería comenzar una investigación adicional y, posiblemente, un análisis forense.\u003c/p\u003e\n\u003ch4\u003eOID vinculado a un grupo\u003c/h4\u003e\n\u003cp\u003eEsta opción es una característica legítima; por lo tanto, si la reconoce y confía en ella, se puede ignorar con la opción “OID empresariales que permitir”.\u003c/p\u003e\n\u003cp\u003eTenga en cuenta que, por el contrario, el uso de esta característica puede ser sospechoso y podría indicar que el entorno tiene una puerta trasera para permitir que la entidad principal sea un miembro malintencionado del grupo; en cuyo caso, debería comenzar una investigación adicional y, posiblemente, un análisis forense.\u003c/p\u003e\n","resources":[{"name":"How to Request a Certificate With a Custom Subject Alternative Name","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff625722(v=ws.10)","type":"hyperlink"},{"name":"Securing Public Key Infrastructure (PKI)","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn786443(v=ws.11)","type":"hyperlink"},{"name":"Extended Protection for Authentication","url":"https://msrc-blog.microsoft.com/2009/12/08/extended-protection-for-authentication/","type":"hyperlink"},{"name":"GitHub - Invoke-Leghorn","url":"https://github.com/RemiEscourrou/Invoke-Leghorn","type":"hyperlink"},{"name":"GitHub - PSPKIAudit","url":"https://github.com/GhostPack/PSPKIAudit","type":"hyperlink"}]},"resources":[{"name":"Microsoft ADCS - Abusing PKI in Active Directory Environment","url":"https://www.riskinsight-wavestone.com/en/2021/06/microsoft-adcs-abusing-pki-in-active-directory-environment/","type":"hyperlink"},{"name":"Certified Pre-Owned","url":"https://posts.specterops.io/certified-pre-owned-d95910965cd2","type":"hyperlink"}],"applicable_resource_types":["ad_certification_authority","ad_container","ad_pki_certificate_template","ad_pki_enrollment_service","ad_user","ad_ms_pki_enterprise_oid"],"attacker_known_tools":[{"name":"Certify","url":"https://github.com/GhostPack/Certify","author":null},{"name":"Certipy","url":"https://github.com/ly4k/Certipy","author":null},{"name":"ForgeCert","url":"https://github.com/GhostPack/ForgeCert","author":null}],"category_id":5,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":[]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","ja_JP","es_001","ko_KR","zh_CN","zh_TW","fr_FR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-PKI-DANG-ACCESS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["de","ja","es","ko","zh-CN","zh-TW","fr","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[48]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-GPO-EXEC-SANITY","_score":null,"_source":{"language_code":"es_001","codename":"C-GPO-EXEC-SANITY","name":"Sanidad de la ejecución de GPO","id":47,"description":"\u003cp\u003eComprueba que los objetos de política de grupo (GPO) que se aplican a los equipos de un dominio estén sanos.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLas extensiones del lado cliente (CSE) son componentes que, en general, se ejecutan con privilegios muy altos en una máquina del dominio durante la aplicación del GPO.c Por lo tanto, es fundamental asegurar que cada \u003cstrong\u003eCSE que se incluya en un GPO esté sana y esté certificada por una entidad de confianza\u003c/strong\u003e.\u003c/p\u003e\n\u003cp\u003eTambién es fundamental que \u003cstrong\u003etodos los archivos de GPO recuperados de los equipos del dominio se originen de un lugar seguro\u003c/strong\u003e antes de que se aplique nada.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003ch4\u003eRecordatorios sobre los objetos de política de grupo (GPO)\u003c/h4\u003e\n\u003cp\u003eLa vulneración de un GPO puede llevar a que se tome el control de los usuarios y equipos objetivo donde se aplique este GPO.\n\u003cbr\u003eUn GPO consta de dos partes, el contenedor de políticas de grupo (GPC) y los archivos que contienen configuraciones y scripts:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl GPC, que contiene los \u003cstrong\u003emetadatos y atributos relacionados con el GPO\u003c/strong\u003e, se almacena en el \u003cstrong\u003edirectorio LDAP\u003c/strong\u003e en \u003ccode\u003eCN={GPO's GUID},CN=Policies,CN=System,DC=DomainName\u003c/code\u003e.\u003c/li\u003e\n\u003cli\u003eLos archivos que contienen \u003cstrong\u003econfiguraciones y scripts\u003c/strong\u003e se almacenan en el directorio compartido SYSVOL de un sistema de archivos distribuidos. Para garantizar la seguridad, es fundamental aplicar en los equipos del dominio solo scripts y configuraciones verificados y validados que se hayan recuperado de una ubicación segura.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eCuando un usuario tiene los derechos de modificación en un GPO, tiene la capacidad de cambiar todos los atributos que el objeto del GPC contiene.\n\u003cbr\u003eSupervise los siguientes \u003cstrong\u003eatributos principales del objeto del GPC para asegurar la sanidad de la ejecución de los GPO\u003c/strong\u003e del modo siguiente:\u003c/p\u003e\n\u003ch4\u003eAtributos GpcMachineExtensionNames y GpcUserExtensionNames: responsables de las anomalías con motivos “CSE desconocida”\u003c/h4\u003e\n\u003cp\u003eLa lista de extensiones de un GPC consta de dos atributos: GpcMachineExtensionNames y GpcUserExtensionNames. Cada atributo es una lista de pares (GUID, GUID) que consta de un GUID que corresponde a una CSE y otro GUID.\n\u003cbr\u003eLa \u003cstrong\u003eCSE, identificada por un GUID, es un componente que los equipos del dominio\u003c/strong\u003e ejecutan para aplicar políticas en un GPO desde un controlador de dominio. Consta de una \u003cstrong\u003eclave del registro emparejada con una biblioteca de vínculos dinámicos (DLL)\u003c/strong\u003e y se ejecuta en el equipo del dominio después de recuperar la información y los archivos de GPO de un controlador de dominio.\n\u003cbr\u003eLas CSE en GpcMachineExtensionNames aplican \u003cstrong\u003epolíticas de máquina mediante privilegios del sistema\u003c/strong\u003e, mientras que las CSE en GpcUserExtensionNames aplican \u003cstrong\u003epolíticas de usuario mediante privilegios de un usuario objetivo\u003c/strong\u003e.\nModificar la Extension List permite agregar o quitar extensiones que se ejecutan con privilegios altos en una máquina. Un atacante con derechos de modificación en un GPO puede agregar su propia CSE a la Extension List y ejecutar código arbitrario en un equipo del dominio, incluso sin privilegios específicos previos. También puede usar este método para definir una puerta trasera.\n\u003cbr\u003eTenable Identity Exposure autoriza todos los GUID de CSE certificados por una entidad de confianza, como Microsoft, así como otros GUID conocidos. \u003cstrong\u003eGenera una anomalía para todo GUID de CSE no reconocido que pueda ser peligroso y exija un examen\u003c/strong\u003e. Puede permitir las CSE conocidas e inofensivas en las opciones del indicador de ataque.\u003c/p\u003e\n\u003ch4\u003eAtributo GpcFileSysPath: responsable de las anomalías con motivos “Ruta de SYSVOL peligrosa”\u003c/h4\u003e\n\u003cp\u003eEl atributo GpcFileSysPath indica la ruta de \u003cstrong\u003eSYSVOL\u003c/strong\u003e donde se almacenan los archivos de GPO, normalmente con el formato \u003ccode\u003e\\\\[DCName o DomainName]\\SYSVOL\\[DomainName]\\Policies\\[GpoGuid]\u003c/code\u003e. Todos los controladores de dominio del dominio comparten este directorio SYSVOL.\n\u003cbr\u003eSi el atributo GpcFileSysPath no sigue el formato esperado, es indicio de que los archivos de GPO pueden estar almacenados en un recurso compartido inseguro y esto \u003cstrong\u003egenera una anomalía\u003c/strong\u003e. Para protegerse frente a la vulnerabilidad MS15-011, Microsoft presentó la característica “hardened UNC path” o “UNC Hardened Access”, que ofrece protección adicional para los recursos compartidos llamados SYSVOL o NETLOGON. Usar un recurso compartido personalizado con otro nombre impedirá la protección automática de los equipos del dominio que ofrece esta característica de manera predeterminada.\n\u003cbr\u003eUn atacante con derechos de modificación de un GPO también podría cambiar este atributo para apuntar a su propio recurso compartido de red, donde almacene \u003cstrong\u003escripts y archivos de configuración malintencionados que puedan ejecutarse con privilegios potencialmente altos en el equipo del dominio afectado\u003c/strong\u003e.\n\u003cbr\u003eSi se confirma que la ruta es segura, puede permitirla manualmente en las opciones del indicador de exposición.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Comprobar las CSE y la ruta de ejecución","description":"En un equipo del dominio solo deben aplicarse CSE verificadas y protegidas. El atributo GpcFileSysPath debe apuntar a una ubicación segura.","exec_summary":"\u003cp\u003eDebe quitar las CSE desconocidas que se consideren peligrosas o, si acepta el riesgo, agregarlas a la whitelist.\nEl atributo GpcFileSysPath debe apuntar a una ubicación segura, como el recurso compartido SYSVOL.\u003c/p\u003e\n","detail":"\u003ch4\u003eEl motivo “CSE desconocida”\u003c/h4\u003e\n\u003cul\u003e\n\u003cli\u003eCuando Tenable Identity Exposure señala una anomalía por el motivo \u003ccode\u003eCSE desconocida\u003c/code\u003e, debe comprobar las extensiones del lado cliente del GPO objetivo para asegurarse de que sean inofensivas. Si encuentra una CSE peligrosa, quítela de inmediato e investigue el contexto de su presencia.\u003c/li\u003e\n\u003cli\u003eSin embargo, si una CSE inofensiva genera una anomalía, puede incluir manualmente su GUID en la whitelist.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eEl motivo “Ruta de recurso compartido SYSVOL peligrosa”\u003c/h4\u003e\n\u003cul\u003e\n\u003cli\u003eCuando Tenable Identity Exposure señala una anomalía por el motivo \u003ccode\u003eRuta de recurso compartido SYSVOL peligrosa\u003c/code\u003e, compruebe la ruta del atributo \u003ccode\u003eGpcFileSysPath\u003c/code\u003e del GPO correspondiente. Esta ruta debe apuntar a una ubicación conocida de confianza y segura.\u003c/li\u003e\n\u003cli\u003eSi esta ruta es peligrosa, modifíquela para que apunte a:\u003cul\u003e\n\u003cli\u003eLa ruta \u003ccode\u003e\\\\[DomainName]\\SYSVOL\\[DomainName]\\Policy\\[GpoGuid]\u003c/code\u003e, que es, de manera predeterminada, \u003cstrong\u003ela ruta más segura que lleva al recurso compartido SYSVOL\u003c/strong\u003e (consulte los recursos para obtener más información sobre este formato).\u003c/li\u003e\n\u003cli\u003eOtra ubicación \u003cstrong\u003esegura y controlada\u003c/strong\u003e.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003ePuede incluir las rutas de confianza en una whitelist en las opciones del indicador de exposición.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003ePrecauciones adicionales\u003c/h4\u003e\n\u003cp\u003eVerifique periódicamente los derechos de modificación de cada GPO. Quite estos derechos de los usuarios que no los necesiten.\u003c/p\u003e\n","resources":[{"name":"Para obtener más información sobre el formato B, esta página contiene distintos tipos de GUID válidos.","url":"https://learn.microsoft.com/es-es/dotnet/api/system.guid.tryparse?view=net-5.0","type":"hyperlink"},{"name":"L'audit des GPO (texto en francés)","url":"https://www.sstic.org/media/SSTIC2019/SSTIC-actes/audit-gpo/SSTIC2019-Article-audit-gpo-bordes.pdf","type":"hyperlink"}]},"resources":[{"name":"Microsoft Open Specification on Group Policy Object (texto en inglés)","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-gpod/b724bd91-e224-4524-b752-5f810a0cc071","type":"hyperlink"},{"name":"Microsoft Open Specification on Client-Side Extension (texto en inglés)","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-gpod/896f59a5-5b72-4fb5-b1d4-8d007fdd6cb3","type":"hyperlink"},{"name":"Additional explanations about GPOs and their dangers (texto en inglés)","url":"https://adsecurity.org/?p=2716","type":"hyperlink"},{"name":"Boletín MS15-011 con respecto al acceso de tipo UNC protegido","url":"https://support.microsoft.com/es-es/topic/ms15-011-vulnerability-in-group-policy-could-allow-remote-code-execution-february-10-2015-91b4bda2-945d-455b-ebbb-01d1ec191328","type":"hyperlink"},{"name":"GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!","url":"https://www.synacktiv.com/publications/gpoddity-exploiting-active-directory-gpos-through-ntlm-relaying-and-more","type":"hyperlink"},{"name":"Sending GPOs Down the Wrong Track-Redirecting the GPT","url":"https://sdmsoftware.com/security-related/sending-gpos-down-the-wrong-track-redirecting-the-gpt/","type":"hyperlink"},{"name":"Exploiting AD gpLink for Good or Evil","url":"https://markgamache.blogspot.com/2020/07/exploiting-ad-gplink-for-good-or-evil.html","type":"hyperlink"}],"applicable_resource_types":["ad_gpc"],"attacker_known_tools":[{"name":"GPOddity","url":"https://github.com/synacktiv/GPOddity","author":"Synacktiv"}],"category_id":5,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":[]},{"tactic":"TA0008 - Lateral Movement (texto en inglés)","techniques":[]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","zh_CN","ko_KR","fr_FR","es_001","zh_TW","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-GPO-EXEC-SANITY","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["de","zh-CN","ko","fr","es","zh-TW","ja","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[]},{"tactic":{"id":"TA0008","name":"Lateral Movement (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0008/"},"techniques":[]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[47]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-ADMIN-RESTRICT-AUTH","_score":null,"_source":{"language_code":"es_001","codename":"C-ADMIN-RESTRICT-AUTH","name":"Restricciones de inicio de sesión para usuarios privilegiados","id":46,"description":"\u003cp\u003eComprueba los usuarios privilegiados que pueden conectarse a máquinas con privilegios más bajos, lo que genera un riesgo de robo de credenciales.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLas credenciales de un usuario que inicia sesión en una máquina suelen quedar expuestas en memoria, lo que permite que malware las robe y suplante la identidad del usuario. Los \u003cstrong\u003eusuarios privilegiados\u003c/strong\u003e con acceso a datos empresariales confidenciales \u003cstrong\u003esolo deben conectarse a máquinas seguras y de confianza\u003c/strong\u003e para minimizar el riesgo de robo de identidades. Existen \u003cstrong\u003emedidas técnicas\u003c/strong\u003e para exigir esta regla, y este indicador de exposición comprueba su implementación.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eCuando un usuario se autentica en una máquina Windows con un inicio de sesión que no es de red (tipo de inicio de sesión distinto de 3, que normalmente se usa con la consola de MMC remota), sus credenciales, incluida la contraseña, el hash de NTLM o el ticket Kerberos TGT, se transfieren y almacenan en la memoria del proceso LSASS. Esto permite el Single Sign-On en Windows y facilita las conexiones a otras máquinas sin tener que volver a escribir la contraseña. Sin embargo, si un atacante o malware vulneran la máquina, pueden usar herramientas de hackeo, como \u003cem\u003emimikatz\u003c/em\u003e para \u003cstrong\u003erobar las credenciales\u003c/strong\u003e y \u003cstrong\u003esuplantar la identidad del usuario para obtener sus privilegios\u003c/strong\u003e. \u003cem\u003eBloodHound\u003c/em\u003e es otra herramienta que identifica de forma masiva máquinas en las que usuarios privilegiados iniciaron sesión, lo que las convierte en el objetivo para el robo de credenciales.\n\u003cbr\u003e“OS Credential Dumping (T1003)” y “Steal or Forge Kerberos Tickets (T1558)”, de la base de conocimiento de MITRE ATT\u0026amp;CK, son técnicas comunes de robo de credenciales que se observan en \u003cstrong\u003eataques de ransomware perpetrados por humanos\u003c/strong\u003e y \u003cstrong\u003emalware similar a \u003cem\u003eNotPetya\u003c/em\u003e\u003c/strong\u003e. Estas técnicas permiten que los atacantes se muevan lateralmente por los sistemas por medio de identidades robadas para alcanzar las metas de vulnerar Active Directory, implementar ransomware, filtrar datos confidenciales o perturbar los procesos comerciales. Lamentablemente, \u003cstrong\u003eno existe una solución perfecta para mitigar el robo de credenciales\u003c/strong\u003e, dado que ya no puede confiar en las máquinas vulneradas, incluso cuando se agregaron medidas de seguridad, como el endurecimiento del OS o antivirus/EDR.\n\u003cbr\u003ePara contrarrestar el riesgo, las organizaciones deberían usar un modelo de tres niveles para organizar los activos, a saber: máquinas, usuarios y software. Los niveles también se conocen como “capas” o “zonas”, un concepto distinto de la arquitectura de tres niveles que se usa para las aplicaciones web:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl \u003cem\u003enivel 0\u003c/em\u003e (o “zona roja”) es el nivel más crítico, donde los activos pueden tener un impacto técnico importante en el sistema de información. Tomar el control de tan solo uno de estos activos puede poner en peligro a toda la organización. Esto incluye los controladores de dominio y administradores de dominio de AD (incluidas las estaciones de trabajo). El nivel 0 incluye otros administradores de AD en grupos integrados (p. ej., “Operadores de servidor”, etc.) con derechos indirectos similares a los administradores de dominio, y servidores de Microsoft Exchange con control total en el dominio (excepto en los casos excepcionales donde se usa el modelo de “permisos divididos”).\u003c/li\u003e\n\u003cli\u003e\u003cem\u003eNivel 1\u003c/em\u003e (o “zona amarilla”): este nivel comúnmente contiene servidores, aplicaciones y datos empresariales normales. Su vulneración representa un riesgo para una parte de la organización (los datos empresariales), pero no toda.\u003c/li\u003e\n\u003cli\u003e\u003cem\u003eNivel 2\u003c/em\u003e (o “zona verde”): este nivel suele contener estaciones de trabajo y dispositivos de usuarios finales con un impacto limitado si se ponen en peligro.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eDespués de definir el modelo, asigne las cuentas privilegiadas o de administración a cada nivel, y restrínjalas para que solo inicien sesión en los dispositivos de sus niveles correspondientes. Prohíba de manera explícita los inicios de sesión en niveles inferiores. Por ejemplo, los administradores de dominio, que normalmente pertenecen al nivel 0, solo deben conectarse a controladores de dominio o a sus estaciones de trabajo de acceso con privilegios (PAW) y no a servidores de aplicaciones ni estaciones de trabajo normales. Este enfoque se asegura de que no expongan sus credenciales en máquinas de niveles inferiores.\n\u003cbr\u003ePara exigir las reglas en las operaciones diarias, \u003cstrong\u003erestrinja los inicios de sesión (incluso los accidentales) para impedir el acceso a niveles inferiores\u003c/strong\u003e. Este indicador de exposición implementa tres métodos y verifica que al menos uno restrinja la autenticación para cada usuario privilegiado en cada máquina sin privilegios. Este indicador de exposición considera como privilegiados a los mismos usuarios que otros indicadores de exposición. Comprueba todas las máquinas que no son de nivel 0 (todas las máquinas, excepto los controladores de dominio). Utilice las opciones de personalización del indicador de exposición para permitir otras máquinas de nivel 0 legítimas, como las estaciones de trabajo de acceso con privilegios, o PAW.\n\u003cbr\u003eAquí tiene \u003cstrong\u003etres maneras diferentes de rechazar la autenticación\u003c/strong\u003e a una máquina que se comprueba con este indicador de exposición.\u003c/p\u003e\n\u003ch2\u003eUser-Workstation\u003c/h2\u003e\n\u003cp\u003eEste atributo de objeto de usuario UserWorkstations corresponde a los valores establecidos para el botón “Iniciar sesión con…” en la pestaña “Cuenta” para las propiedades de ese usuario en la herramienta “Usuarios y equipos de Active Directory”. La opción predeterminada “Todos los equipos” no tiene restricciones, mientras que la opción “Los equipos siguientes” con una lista de nombres de NETBIOS o DNS permite al usuario conectarse solo a esas máquinas. Sin embargo, Microsoft desaconseja encarecidamente usar este atributo, dada su escasa confiabilidad y a la compatibilidad limitada solo hasta Windows 10 20H2 y Windows Server 2019. Como consecuencia, este indicador de exposición identifica los usuarios privilegiados que aún lo usan.\u003c/p\u003e\n\u003ch2\u003eAsignación de derechos de usuario\u003c/h2\u003e\n\u003cp\u003eWindows tiene varios derechos de usuario para administrar la autenticación, incluidos inicios de sesión por lotes, de servicio, locales o interactivos, remotos o interactivos (RDP) y de red:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eInicio de sesión por lotes: tarea programada con credenciales explícitas.\u003c/li\u003e\n\u003cli\u003eInicio de sesión de servicio: servicio de Windows con credenciales explícitas.\u003c/li\u003e\n\u003cli\u003eInicio de sesión local o interactivo: sesión de Windows clásica que se abre desde la pantalla de inicio de sesión de la máquina local.\u003c/li\u003e\n\u003cli\u003eInicio de sesión remoto (interactivo) o inicio de sesión RDP: sesión de Windows que se abre en una máquina remota con el Protocolo de escritorio remoto o Servicios de Escritorio remoto.\u003c/li\u003e\n\u003cli\u003eInicio de sesión de red: montaje de un recurso compartido de red y uso de llamadas a procedimiento remoto (RPC).\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eCada tipo de inicio de sesión tiene derechos para “permitir” (predeterminado para algunos usuarios o grupos) o “denegar” (vacío de manera predeterminada), pero los derechos de denegación tienen prioridad cuando se definen ambos. Este indicador de exposición se centra solo en los derechos de denegación.\u003c/p\u003e\n\u003cp\u003eDeniegue a los usuarios privilegiados todos los tipos de inicio de sesión, ya que cada tipo representa un riesgo. \u003cstrong\u003eEl indicador de exposición supervisa los tipos de inicio de sesión permitidos restantes y genera una anomalía cuando detecta alguno\u003c/strong\u003e. Tenable Identity Exposure no puede recopilar derechos de denegación identificados en la política de seguridad local de las máquinas, por lo que el indicador de exposición se basa solo en las asignaciones de derechos de usuario definidos mediante los GPO y recomienda usar los GPO para asegurar una aplicación confiable y uniforme de los parámetros de seguridad. El indicador de exposición comprueba si hay un GPO (para cada dominio) que deniegue al menos una de las cinco asignaciones de derechos de usuario al grupo “Administradores de dominio” (directamente y no a través de la pertenencia indirecta al grupo), habilitado y vinculado al menos a una ubicación. Si tal GPO no existe, el indicador de exposición genera una única anomalía “Falta de GPO para restringir la autenticación de usuarios privilegiados en máquinas de nivel inferior” para el dominio, y no lleva a cabo un análisis preciso de qué usuarios privilegiados pueden conectarse a qué máquinas.\u003c/p\u003e\n\u003ch2\u003eAutenticación selectiva\u003c/h2\u003e\n\u003cp\u003eLos usuarios de dominios de confianza pueden conectarse a máquinas en el dominio de confianza de manera predeterminada, dado que el grupo “Usuarios autenticados” tiene este derecho. Incluso cuando los usuarios remotos cruzan un límite de confianza, siguen siendo parte de este grupo. Esto coloca los usuarios privilegiados del dominio de confianza en riesgo de exponer sus credenciales a los atacantes en los dominios que confían.\n\u003cbr\u003ePara las relaciones de confianza entre bosques (los tipos de confianza de “bosque” y “externa”, pero no “principal-secundario”, que son confianzas dentro del bosque), aplicar la marca de “autenticación selectiva” en el lado del dominio que confía puede deshabilitar el comportamiento predeterminado de permitir que los usuarios del dominio de confianza se conecten a máquinas en el dominio que confía. Esto quita el grupo “Usuarios autenticados” y asigna el grupo OTHER_ORGANIZATION (S-1-5-1000) en lugar de THIS_ORGANIZATION (S-1-5-15) en los tokens de acceso. Usuarios o grupos específicos del dominio de confianza deben tener entonces el derecho extendido \u003ccode\u003eAllowed to authenticate\u003c/code\u003e para conectarse a cada máquina específica en el dominio que confía.\n\u003cbr\u003eEste indicador de exposición comprueba si la autenticación selectiva está habilitada en una relación confianza y, si es así, comprueba cada máquina para ver si tiene un derecho extendido que devolvería el acceso a cada usuario privilegiado.\u003c/p\u003e\n\u003ch4\u003eCómo funciona este indicador de exposición\u003c/h4\u003e\n\u003cp\u003eEste indicador de exposición comprueba si hay un GPO (para cada dominio) que deniega al menos una de las cinco asignaciones de derechos de usuario al grupo “Administradores de dominio” (directamente y no a través de la pertenencia indirecta al grupo), habilitado y vinculado al menos a una ubicación. Si se encuentra, pasa a analizar todos los equipos y usuarios privilegiados; de lo contrario, informa de una anomalía global “Falta de GPO para restringir la autenticación de usuarios privilegiados en máquinas de nivel inferior”.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Implementar restricciones de inicio de sesión para usuarios privilegiados","description":"Defina el modelo de niveles y, luego, implemente controles técnicos para garantizar que se exijan las restricciones de inicio de sesión de los usuarios privilegiados.","exec_summary":"\u003cp\u003ePara aumentar la dificultad de que atacantes y malware roben identidades privilegiadas y sus permisos asociados, los usuarios privilegiados solo deben conectarse a máquinas de confianza. Después de establecer los usuarios privilegiados y las máquinas de confianza mediante un “modelo de niveles”, implemente medidas técnicas para exigir las restricciones de inicio de sesión a los usuarios privilegiados durante las operaciones diarias, incluso en caso de error.\u003c/p\u003e\n","detail":"\u003ch4\u003eDefinir un modelo de administración seguro\u003c/h4\u003e\n\u003cp\u003ePara establecer un modelo de administración seguro, comience por diseñar el \u003cstrong\u003emodelo de niveles\u003c/strong\u003e para la organización, según lo llamó Microsoft anteriormente cuando se centró en recursos de Active Directory y locales. La nueva guía de Microsoft de “\u003cstrong\u003eprotección del acceso con privilegios\u003c/strong\u003e”, publicada en 2020, incluye la nube (proveedores de identidad como Microsoft Entra ID o servicios como Azure) y puede parecer compleja. Sin embargo, aún rigen los principios fundamentales: impedir que las cuentas con privilegios inicien sesión en sistemas sin privilegios con el fin de limitar la exposición de las credenciales privilegiadas.\n\u003cbr\u003eLos administradores de recursos con privilegios deben usar estaciones de trabajo dedicadas y endurecidas, conocidas como “estaciones de trabajo de acceso con privilegios” (PAW).\n\u003cbr\u003eImplementar este modelo para todas las operaciones de TI puede ser todo un reto y exigir mucho tiempo, pero no se necesitan grandes recursos técnicos. Si bien puede requerir la inversión de tiempo y dinero, las \u003cstrong\u003eventajas valen la pena\u003c/strong\u003e e incluyen la \u003cstrong\u003eprevención de ataques de ransomware\u003c/strong\u003e, del espionaje corporativo y de las perturbaciones comerciales. Microsoft, los organismos nacionales de (ciber)seguridad y auditores de TI recomiendan encarecidamente este enfoque.\u003c/p\u003e\n\u003ch4\u003eExigir el modelo mediante la implementación de restricciones de inicio de sesión\u003c/h4\u003e\n\u003cp\u003eDespués de que la organización defina y acepte ampliamente el modelo, \u003cstrong\u003eexíjalo a través de medidas técnicas\u003c/strong\u003e para obtener el retorno de la inversión. Por ejemplo, permita que los administradores de nivel 0 inicien sesión solo en servidores de nivel 0, como controladores de dominio y sus estaciones de trabajo de acceso con privilegios, y deniégueles el acceso a las máquinas de nivel 1 o nivel 2.\n\u003cbr\u003eEvite usar el atributo “User-Workstations” en desuso, según lo recomendado por Microsoft. Si la “autenticación selectiva” no está habilitada aún, Tenable no aconseja habilitarla únicamente con este fin.\n\u003cbr\u003eEn su lugar, aplique \u003cstrong\u003easignaciones de derechos de usuario de denegación de uso\u003c/strong\u003e a través de un GPO:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eDenegar el inicio de sesión como trabajo por lotes\u003c/li\u003e\n\u003cli\u003eDenegar el inicio de sesión como servicio\u003c/li\u003e\n\u003cli\u003eDenegar el inicio de sesión local\u003c/li\u003e\n\u003cli\u003eDenegar inicio de sesión a través de Servicios de Escritorio remoto\u003c/li\u003e\n\u003cli\u003eDenegar el acceso a este equipo desde la red\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEjemplo: Para proteger a los administradores de dominio que se encuentran en el nivel 0, siga la recomendación de Microsoft; para ello, \u003cstrong\u003ecree un GPO para denegar todos los derechos\u003c/strong\u003e (se encuentra en \u003ccode\u003eConfiguración del equipo\\Directivas\\Configuración de Windows\\Configuración de seguridad\\Directivas locales\\Asignación de derechos de usuario\u003c/code\u003e) para el grupo \u003ccode\u003eAdministradores de dominio\u003c/code\u003e de todos los dominios, y vincúlelo a las unidades organizativas que contienen todas las máquinas de nivel 1 y nivel 2. Para evitar perder el acceso, tenga cuidado de no vincularlo a unidades organizativas que contengan máquinas de nivel 0. Además, puede establecer este GPO de seguridad como Exigido para evitar que otros GPO definidos en niveles de OU inferiores sobrescriban los derechos de denegación.\u003c/p\u003e\n\u003cp\u003e\u003cem\u003eCrear este GPO activa el modo de análisis preciso del indicador de exposición para el dominio pertinente\u003c/em\u003e para mayor visibilidad de las ubicaciones óptimas donde implementar las restricciones de acceso.\n\u003cbr\u003ePara asegurarse de que este GPO solo se aplique a las máquinas de nivel 0, use los métodos siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eIntroduzca tres unidades organizativas de nivel superior para reorganizar la jerarquía de AD: “Nivel 0”, “Nivel 1” y “Nivel 2”; y mueva los objetos (dispositivos, usuarios, grupos, etc.) al nivel correspondiente. Tenga en cuenta que mover objetos en AD puede tener efectos secundarios.\u003c/li\u003e\n\u003cli\u003eEn un principio, céntrese en proteger el nivel 0; para ello, cree una única unidad organizativa “Nivel 0”, lo que reduce la cantidad de activos que tiene que mover.\u003c/li\u003e\n\u003cli\u003ePara evitar mover objetos de AD o cambiar la jerarquía de AD, cree y vincule GPO de denegación en el nivel raíz y use el filtrado de seguridad de GPO para evitar aplicar algunos GPO a máquinas no pertinentes. Cree grupos de AD para cada nivel de activos y manténgalos actualizados.\n Por ejemplo, tiene la opción de establecer un GPO que restrinja los cinco derechos para “Tier0-Users” y vincularlo al nivel raíz más elevado. Sin embargo, es fundamental emplear el filtrado de seguridad antes de vincular el GPO para asegurarse de que el GPO y su configuración no se apliquen a “Tier0-Computers”. En caso contrario, los administradores de dominio no podrían iniciar sesión en los controladores de dominio.\n Cuando centra los esfuerzos de seguridad en el nivel 0, puede crear y actualizar los grupos “Tier0-Users” y “Tier0-Computers” de manera exclusiva. Para obtener información detallada, consulte el recurso vinculado “Initially Isolate Tier 0 Assets with Group Policy to Start Administrative Tiering”.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eNota: Los equipos del contenedor predeterminado “Computers” en la raíz del dominio no pueden tener un GPO vinculado a él, ya que es un Container y no una unidad organizativa. Como consecuencia, se recomienda moverlas a una unidad organizativa apropiada.\n\u003cbr\u003eLas organizaciones maduras pueden considerar la posibilidad de usar los “silos de autenticación” y las “directivas de autenticación” que se introdujeron con Windows 2012 R2, que declaran de manera central los niveles de aislamiento (llamados “silos”).\u003c/p\u003e\n\u003ch4\u003eSolución de problemas\u003c/h4\u003e\n\u003cul\u003e\n\u003cli\u003e¿Qué debe hacer si el indicador de exposición informa varias anomalías con respecto a “El usuario privilegiado puede iniciar sesión en máquinas de nivel inferior (a través de una confianza)”?\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e Cree un GPO de denegación que se aplique a todos los equipos de los contenedores que aparecen en la anomalía, que bloquea los cinco derechos de usuario directamente o a través de la pertenencia al grupo. Asegúrese de que el GPO esté habilitado y vinculado en un nivel elevado de la jerarquía sin unidades organizativas que bloqueen la herencia del GPO. Si hay alguna unidad organizativa que la bloquee, vincule de manera explícita el GPO a ellas o defínalo en Exigido.\n \u003cbr\u003eNota: Los equipos del contenedor predeterminado “Computers” en la raíz del dominio no pueden tener un GPO vinculado a él, ya que es un Container y no una unidad organizativa. Como consecuencia, la práctica recomendada es moverlas a una unidad organizativa adecuada.\u003c/p\u003e\n","resources":[{"name":"Modelo de protección del acceso con privilegios","url":"https://learn.microsoft.com/es-es/security/compass/overview","type":"hyperlink"},{"name":"Securing privileged access model (evolution from the legacy AD Tier model) (texto en inglés)","url":"https://learn.microsoft.com/es-es/security/compass/privileged-access-access-model#evolution-from-the-legacy-ad-tier-model","type":"hyperlink"},{"name":"Mitigating Pass The Hash attacks “Architect a credential theft defense” (texto en inglés)","url":"https://download.microsoft.com/download/7/7/a/77abc5bd-8320-41af-863c-6ecfb10cb4b9/mitigating-pass-the-hash-attacks-and-other-credential-theft-version-2.pdf#page=14","type":"hyperlink"},{"name":"Protección de grupos de administradores de dominio en Active Directory","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/plan/security-best-practices/appendix-f--securing-domain-admins-groups-in-active-directory#appendix-f-securing-domain-admins-groups-in-active-directory-1","type":"hyperlink"},{"name":"Initially Isolate Tier 0 Assets with Group Policy to Start Administrative Tiering","url":"https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/initially-isolate-tier-0-assets-with-group-policy-to-start/ba-p/1184934","type":"hyperlink"},{"name":"Secure system administration","url":"https://www.ncsc.gov.uk/collection/secure-system-administration/risk-manage-administration-using-tiers","type":"hyperlink"},{"name":"L'administration en silo[solo en francés]","url":"https://www.sstic.org/2017/presentation/administration_en_silo/","type":"hyperlink"},{"name":"User right: Deny log on as a batch job (SeDenyBatchLogonRight) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/deny-log-on-as-a-batch-job","type":"hyperlink"},{"name":"User right: Deny log on as a service (SeDenyServiceLogonRight) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/deny-log-on-as-a-service","type":"hyperlink"},{"name":"User right: Deny log on locally (SeDenyInteractiveLogonRight) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/deny-log-on-locally","type":"hyperlink"},{"name":"User right: Deny log on through Remote Desktop Services (SeDenyRemoteInteractiveLogonRight) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/deny-log-on-through-remote-desktop-services","type":"hyperlink"},{"name":"User right: Deny access to this computer from the network (SeDenyNetworkLogonRight) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/deny-access-to-this-computer-from-the-network","type":"hyperlink"},{"name":"Directivas de autenticación y silos de directivas de autenticación","url":"https://learn.microsoft.com/es-es/windows-server/security/credentials-protection-and-management/authentication-policies-and-authentication-policy-silos","type":"hyperlink"}]},"resources":[{"name":"User-Workstations deprecation notice (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/win32/adschema/a-userworkstations","type":"hyperlink"},{"name":"User right: Deny log on as a batch job (SeDenyBatchLogonRight) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/deny-log-on-as-a-batch-job","type":"hyperlink"},{"name":"User right: Deny log on as a service (SeDenyServiceLogonRight) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/deny-log-on-as-a-service","type":"hyperlink"},{"name":"User right: Deny log on locally (SeDenyInteractiveLogonRight) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/deny-log-on-locally","type":"hyperlink"},{"name":"User right: Deny log on through Remote Desktop Services (SeDenyRemoteInteractiveLogonRight) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/deny-log-on-through-remote-desktop-services","type":"hyperlink"},{"name":"User right: Deny access to this computer from the network (SeDenyNetworkLogonRight) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/deny-access-to-this-computer-from-the-network","type":"hyperlink"},{"name":"Description of Selective Authentication (introduced by Windows 2003) (texto en inglés)","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc755321(v=ws.10)#selective-authentication","type":"hyperlink"},{"name":"How selective authentication affects domain controller behavior (texto en inglés)","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc755321(v=ws.10)#how-selective-authentication-affects-domain-controller-behavior","type":"hyperlink"},{"name":"Allowed-To-Authenticate extended right (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/win32/adschema/r-allowed-to-authenticate","type":"hyperlink"}],"applicable_resource_types":["ad_container","ad_ou","ad_root_domain","ad_user"],"attacker_known_tools":[{"name":"Mimikatz","url":"https://github.com/gentilkiwi/mimikatz","author":"Benjamin Delpy"},{"name":"BloodHound","url":"https://github.com/SpecterOps/BloodHound","author":"SpecterOps"},{"name":"SharpHound","url":"https://github.com/SpecterOps/SharpHound","author":"SpecterOps"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","zh_CN","ja_JP","es_001","zh_TW","fr_FR","ko_KR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-ADMIN-RESTRICT-AUTH","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["de","zh-CN","ja","es","zh-TW","fr","ko","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[46]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-NETLOGON-SECURITY","_score":null,"_source":{"language_code":"es_001","codename":"C-NETLOGON-SECURITY","name":"Configuración sin protección del protocolo Netlogon","id":45,"description":"\u003cp\u003eCVE-2020-1472 (“Zerologon”) afecta al protocolo Netlogon y permite la elevación de privilegios\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eLa vulnerabilidad descrita en CVE-2020-1472 (“Zerologon”) permite que un atacante sin autenticar se conecte a un controlador de dominio para obtener acceso de administrador al dominio.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEl protocolo remoto Netlogon es una interfaz de \u003cem\u003eRemote Procedure Call\u003c/em\u003e (RPC) que se usa para la autenticación de usuarios y máquinas en redes basadas en dominios. Detecta y administra las relaciones entre los miembros del dominio y el controlador de dominio, entre controladores de dominio en un dominio y entre controladores de dominio de distintos dominios.\n\u003cbr\u003eCVE-2020-1472, también conocida como “Zerologon”, reveló que era posible que un atacante sin autenticar se aprovechara del método de autenticación no seguro del protocolo Netlogon.\nComo consecuencia, esto podía provocar que un atacante tomara el control del controlador de dominio. Microsoft resolvió este problema de seguridad en dos fases:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003e[\u003cstrong\u003eFase de implementación inicial\u003c/strong\u003e] Actualizaciones publicadas el 11/08/2020 (formato DD/MM/AAAA)\u003c/li\u003e\n\u003cli\u003e[\u003cstrong\u003eFase de cumplimiento\u003c/strong\u003e] Actualizaciones publicadas el 09/02/2021\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eLas primeras actualizaciones del 11/08/2020 provocan cambios en el protocolo Netlogon para proteger los dispositivos Windows de manera predeterminada:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eAplica el uso de RPC seguras para las cuentas de máquina en dispositivos basados en Windows.\u003c/li\u003e\n\u003cli\u003eAplica el uso de RPC seguras para las cuentas de confianza.\u003c/li\u003e\n\u003cli\u003eAplica el uso de RPC seguras para todos los controladores de dominio de Windows y que no son de Windows.\u003c/li\u003e\n\u003cli\u003eIncluye una nueva política de grupo para permitir las cuentas de dispositivo que no se encuentran en conformidad (aquellas que usan conexiones de canal seguro de Netlogon vulnerables). Incluso cuando los controladores de dominio se ejecutan en un modo de cumplimiento o luego de que comienza la fase de cumplimiento, no se rechazará la conexión de los dispositivos permitidos.\u003c/li\u003e\n\u003cli\u003eLa clave del registro FullSecureChannelProtection para habilitar el modo de cumplimiento de los controladores de dominio para todas las cuentas de máquina (la fase de cumplimiento actualizará los controladores de dominio al modo de cumplimiento de los controladores de dominio).\u003c/li\u003e\n\u003cli\u003eIncluye nuevos eventos cuando se rechazan las cuentas o se rechazarían en el modo de cumplimiento de los controladores de dominio (y continuarán en la fase de cumplimiento).\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eAplicar el uso de RPC seguras inmediatamente después de la implementación de las actualizaciones del 11/08/2020 (actualmente obsoleto)\u003c/h4\u003e\n\u003cp\u003eEl uso de RPC seguras se puede aplicar entre controladores de dominio y dispositivos que \u003cstrong\u003eno ejecutan Windows\u003c/strong\u003e al agregar la siguiente clave del registro a todos los controladores de dominio:\u003c/p\u003e\n\u003ctable\u003e\n\u003cthead\u003e\n\u003ctr\u003e\n\u003cth\u003e\u003c/th\u003e\n\u003cth\u003e\u003c/th\u003e\n\u003c/tr\u003e\n\u003c/thead\u003e\n\u003ctbody\u003e\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eSubclave del registro\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Netlogon\\Parameters\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eValor\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eFullSecureChannelProtection\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eTipo de datos\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eREG_DWORD\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eDatos\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003e1\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003e¿Se requiere reinicio?\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eNo\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\u003c/table\u003e\n\u003cp\u003eNota: Este parámetro se habilitó \u003cstrong\u003edefinitivamente\u003c/strong\u003e desde las actualizaciones del 09/02/2021, incluso si esta clave del registro no existe.\n\u003cbr\u003eEste IoE puede comprobar si el GPO definió la clave del registro con una opción dedicada. No lo comprueba de manera predeterminada y considera que se aplicaron las actualizaciones del 09/02/2021.\u003c/p\u003e\n\u003ch4\u003eCuentas de máquina que tienen permitido usar RPC\u003cstrong\u003esin protección\u003c/strong\u003e\u003c/h4\u003e\n\u003cp\u003eEste IoE comprueba que no se haya agregado ningún grupo como excepción. Sin embargo, esta comprobación puede flexibilizarse con una opción del indicador de exposición para indicar qué grupos son legítimos.\u003c/p\u003e\n\u003ch4\u003eAplicar la clave del registro solo a los controladores de dominio\u003c/h4\u003e\n\u003cp\u003eEste indicador de exposición comprueba que la clave del registro esté definida en un GPO que se aplica a todos los controladores de dominio. El dominio puede ser vulnerable si uno de los controladores de dominio permite que haya conexiones vulnerables.\u003c/p\u003e\n\u003ch4\u003eAplicar la clave del registro a todos los dominios del bosque\u003c/h4\u003e\n\u003cp\u003eEste indicador de exposición comprueba que la clave del registro se ubique dentro de todos los dominios que pertenecen al mismo bosque. El bosque sigue siendo vulnerable si uno de sus dominios permite que haya conexiones vulnerables.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Implementar la clave del registro","description":"Las RPC seguras deben ser obligatorias dentro del bosque","exec_summary":"\u003cp\u003eLa clave del registro que fuerza las llamadas RPC seguras para el protocolo Netlogon debe aplicarse en todos los controladores de dominio del bosque.\u003c/p\u003e\n","detail":"\u003cp\u003eLas medidas de protección que se agregaron en las actualizaciones del 11/08/2020 (formato DD/MM/AAAA) deben aplicarse para evitar que todos los controladores de dominio del mismo bosque permitan las conexiones de Netlogon vulnerables. El procedimiento se describe a continuación:\u003c/p\u003e\n\u003ch4\u003eImplementar las actualizaciones del 11/08/2020\u003c/h4\u003e\n\u003cp\u003eEsas actualizaciones tienen que implementarse en todos los controladores de dominio con el fin de brindar protección al bosque. Esto incluye los controladores de dominio de solo lectura (RODC). Después de estas actualizaciones, los controladores de dominio pueden:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eAplicar el uso de RPC seguras para las cuentas de máquina en dispositivos basados en Windows, cuentas de confianza y todos los controladores de dominio de Windows y que no son de Windows.\u003c/li\u003e\n\u003cli\u003eUsar los nuevos identificadores de evento 5827 y 5828 en el registro de eventos del sistema si se rechazan las conexiones.\u003c/li\u003e\n\u003cli\u003eUsar los nuevos identificadores de evento 5830 y 5831 en el registro de eventos del sistema, si la política de grupo \u003cem\u003eControlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables\u003c/em\u003e permite las conexiones.\u003c/li\u003e\n\u003cli\u003eUsar el nuevo identificador de evento 5829 en el registro de eventos del sistema cada vez que se permita una conexión de canal seguro de Netlogon vulnerable. \u003cstrong\u003eEstos eventos deben abordarse antes de configurar el modo de cumplimiento de los controladores de dominio (defina la clave del registro) o antes de que comience la fase de cumplimiento el 9 de febrero de 2021.\u003c/strong\u003e\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eDetectar dispositivos que no se encuentran en conformidad mediante el identificador de evento 5829\u003c/h4\u003e\n\u003cp\u003eLuego de las actualizaciones del 11/08/2020, el identificador de evento 5829 puede recopilarse en los registros de los controladores de dominio para decidir qué dispositivos utilizan conexiones de canal seguro de Netlogon vulnerables, como se mencionó en CVE-2020-1472 (“Zerologon”).\nEstos eventos incluirán la información pertinente para identificar los dispositivos que no se encuentran en conformidad. Microsoft publicó un script para supervisarlos (consulte los recursos al final de la página).\u003c/p\u003e\n\u003ch4\u003eAbordar los identificadores de evento 5827 y 5828\u003c/h4\u003e\n\u003cp\u003eEsos eventos no deben hacer referencia a un dispositivo que ejecute versiones de Windows sin soporte técnico. Si uno de estos eventos aparece en el registro de eventos del sistema para un dispositivo Windows, compruebe dos cosas:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAsegúrese de que el dispositivo esté totalmente actualizado.\u003c/li\u003e\n\u003cli\u003eAsegúrese de que \u003cstrong\u003eMiembro del dominio: cifrar o firmar digitalmente datos de canal seguro (siempre)\u003c/strong\u003e del GPO se haya definido en Habilitado.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003ePara dispositivos que no son de Windows que funcionan como controlador de dominio:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eSi el controlador de domino que no está en conformidad admite RPC seguras con el canal seguro de Netlogon, habilite RPC seguras en el controlador de dominio.\u003c/li\u003e\n\u003cli\u003eSi el controlador de dominio que no está en conformidad \u003cstrong\u003eno\u003c/strong\u003e admite actualmente RPC seguras, comuníquese con el fabricante (OEM) del dispositivo o con el proveedor del software para recibir una actualización que admita RPC seguras con el canal seguro de Netlogon.\u003c/li\u003e\n\u003cli\u003eRetire el controlador de dominio que no está en conformidad.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eSi este controlador de dominio que no está en conformidad no se puede retirar, agregue la cuenta de máquina del controlador de dominio a un grupo dedicado. Este grupo podría agregarse a una whitelist en la política de grupo \u003cem\u003eControlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables\u003c/em\u003e .\n\u003cstrong\u003eAdvertencia: Permitir que los controladores de dominio usen conexiones vulnerables mediante la política de grupo hará que el bosque sea vulnerable a los ataques.\u003c/strong\u003e El objetivo final debería ser abordar y quitar todas las cuentas de esta política de grupo.\u003c/p\u003e\n\u003ch4\u003eAbordar el evento 5829\u003c/h4\u003e\n\u003cp\u003eEste identificador de evento puede encontrarse en el registro de eventos del sistema de los controladores de dominio cuando se permite una conexión vulnerable durante la \u003cstrong\u003efase de implementación inicial\u003c/strong\u003e (tras las actualizaciones del 11/08/2020). Estas conexiones se rechazarán cuando los controladores de dominio se encuentren en el modo de cumplimiento (tras las actualizaciones del 09/02/2021 o tras configurar la clave del Registro por adelantado).\n\u003cbr\u003eSiga los pasos a continuación para corregir el problema:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eSi el dispositivo que no está en conformidad admite RPC seguras con el canal seguro de Netlogon, habilite RPC seguras en el dispositivo.\u003c/li\u003e\n\u003cli\u003eSi el dispositivo que no está en conformidad \u003cstrong\u003eno\u003c/strong\u003e admite actualmente RPC seguras con el canal seguro de Netlogon, comuníquese con el fabricante del dispositivo o con el proveedor del software para recibir una actualización que permita habilitar RPC seguras con el canal seguro de Netlogon.\u003c/li\u003e\n\u003cli\u003eRetire el dispositivo que no está en conformidad.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eSi este dispositivo que no está en conformidad no se puede retirar, agregue la cuenta de máquina a un grupo dedicado. Este grupo podría agregarse a una whitelist en la política de grupo “Controlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables”.\n\u003cstrong\u003eAdvertencia: Permitir que las cuentas de dispositivo usen conexiones vulnerables mediante la política de grupo hará que el bosque sea vulnerable a los ataques.\u003c/strong\u003e El objetivo final debería ser abordar y quitar todas las cuentas de esta política de grupo.\u003c/p\u003e\n\u003ch4\u003eConfigurar excepciones\u003c/h4\u003e\n\u003cp\u003eTodas las máquinas que no puedan usar de inmediato llamadas RPC seguras con Netlogon deben ser miembros de un grupo que enumere esas cuentas de máquina. El procedimiento es el siguiente:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eCree un grupo de seguridad para las cuentas a las que se les permitirá usar un canal seguro de Netlogon vulnerable.\u003c/li\u003e\n\u003cli\u003eEn Directiva de grupo, vaya a Configuración del equipo \u0026gt; Configuración de Windows \u0026gt; Configuración de seguridad \u0026gt; Directiva local \u0026gt; Opciones de seguridad.\u003c/li\u003e\n\u003cli\u003eBusque \u003cem\u003eControlador de dominio: Permitir conexiones de canal seguro de Netlogon vulnerables\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eAgregue el grupo creado en el primer paso y marque el permiso “Permitir”.\u003c/li\u003e\n\u003cli\u003eUna vez que se agregue el grupo, la política de grupo debe replicarse en cada controlador de dominio.\u003c/li\u003e\n\u003cli\u003eSupervise periódicamente los identificadores de evento 5827, 5828 y 5829 para establecer qué cuentas usan conexiones de canal seguro vulnerables.\u003c/li\u003e\n\u003cli\u003eDe ser necesario, agregue esas cuentas de máquina al grupo de seguridad (consulte el primer paso).\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003ePasar al modo de cumplimiento si las actualizaciones del 09/02/2021 no se implementaron (actualmente obsoleto)\u003c/h4\u003e\n\u003cp\u003eDespués de haber abordado los dispositivos que no están en conformidad, se recomienda aplicar los cambios de seguridad introducidos por las actualizaciones del 11/08/2020 al protocolo Netlogon para proteger el bosque:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eCree un nuevo GPO o use uno que esté vinculado a la OU \u003cem\u003eControladores de dominio\u003c/em\u003e .\u003c/li\u003e\n\u003cli\u003eImplemente la clave del registro.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ctable\u003e\n\u003cthead\u003e\n\u003ctr\u003e\n\u003cth\u003e\u003c/th\u003e\n\u003cth\u003e\u003c/th\u003e\n\u003c/tr\u003e\n\u003c/thead\u003e\n\u003ctbody\u003e\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eAction\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eActualizar\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eSubclave del registro\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Netlogon\\Parameters\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eValor\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eFullSecureChannelProtection\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eTipo de datos\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003eREG_DWORD\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003e\u003cstrong\u003eDatos\u003c/strong\u003e\u003c/td\u003e\n\u003ctd\u003e1\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\u003c/table\u003e\n\u003cp\u003eSi se implementa esta clave, tiene que implementarse para todos los controladores de dominio del bosque.\u003c/p\u003e\n\u003ch4\u003eImplementar las actualizaciones del 09/02/2021\u003c/h4\u003e\n\u003cp\u003eDespués de esta actualización, los controladores de dominio estarán en modo de cumplimiento. El modo de cumplimiento de los controladores de dominio es similar a implementar la clave del registro \u003cem\u003eFullSecureChannelProtection\u003c/em\u003e antes de esta actualización.\nEs decir, los controladores de dominio rechazarán las conexiones vulnerables desde todos los dispositivos que no estén en conformidad, a menos que se hayan agregado a la whitelist que se describe en la sección \u003cstrong\u003eConfigurar excepciones\u003c/strong\u003e.\n\u003cbr\u003eEn este momento, la clave del registro FullSecureChannelProtection ya no es necesaria y ya no se admitirá.\nSi esta clave ya no se implementa en los controladores de dominio, configure la opción del indicador de excepción para confirmar que se aplicaron las actualizaciones correctas a todos los controladores de dominio.\u003c/p\u003e\n","resources":[{"name":"CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability (texto en inglés)","url":"https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472","type":"hyperlink"},{"name":"Cómo administrar los cambios en conexiones de canal seguro de Netlogon asociadas con CVE-2020-1472","url":"https://support.microsoft.com/es-es/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e","type":"hyperlink"},{"name":"Script para ayudar en la supervisión de los ID. de eventos relacionados con los cambios en conexiones de canal seguro de Netlogon asociadas con CVE-2020-1472","url":"https://support.microsoft.com/es-es/topic/script-to-help-in-monitoring-event-ids-related-to-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-26434ae1-f9b9-90a0-cd0a-cfae9c5b2494","type":"hyperlink"}]},"resources":[{"name":"CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability (texto en inglés)","url":"https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472","type":"hyperlink"},{"name":"Cómo administrar los cambios en conexiones de canal seguro de Netlogon asociadas con CVE-2020-1472","url":"https://support.microsoft.com/es-es/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e","type":"hyperlink"},{"name":"[MS-NRPC]: Netlogon Remote Protocol","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-nrpc/ff8f970f-3e37-40f7-bd4b-af7336e4792f","type":"hyperlink"},{"name":"[Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472)","url":"https://www.secura.com/blog/zero-logon","type":"hyperlink"}],"applicable_resource_types":["ad_gpo_preferences","ad_gpt_tmpl"],"attacker_known_tools":[{"name":"CVE-2020-1472 POC","url":"https://github.com/dirkjanm/CVE-2020-1472","author":"Dirk-jan Mollema"},{"name":"Mimikatz - LsaDump Zerologon","url":"https://github.com/gentilkiwi/mimikatz","author":"Benjamin Delpy"}],"category_id":5,"mitre_attacks":[{"tactic":"TA0008 - Lateral Movement (texto en inglés)","techniques":["T1210 - Exploitation of Remote Services (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ja_JP","fr_FR","zh_CN","de_DE","ko_KR","zh_TW","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-NETLOGON-SECURITY","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["ja","fr","zh-CN","de","ko","zh-TW","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0008","name":"Lateral Movement (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0008/"},"techniques":[{"id":"T1210","name":"Exploitation of Remote Services (texto en inglés)","url":"https://attack.mitre.org/techniques/T1210/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[45]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-CREDENTIAL-ROAMING","_score":null,"_source":{"language_code":"es_001","codename":"C-CREDENTIAL-ROAMING","name":"Atributos vulnerables relacionados con Credential Roaming","id":44,"description":"\u003cp\u003eLos atributos de Credential roaming son vulnerables, lo que hace que un atacante pueda leer los secretos protegidos del usuario relacionado.\u003c/p\u003e\n","criticity":"low","exec_summary":"\u003cp\u003e“Credential roaming” es el mecanismo que permite a un usuario acceder a sus secretos en los equipos del dominio. Active Directory almacena las credenciales y las protege mediante una clave que se obtiene a partir de la contraseña del usuario y una clave que se almacena en el atributo ms-PKI-DPAPIMasterKeys, que está cifrado con una clave de copia de seguridad secreta. Sin embargo, si un usuario sin privilegios controla estas credenciales y la clave de copia de seguridad, los secretos del usuario se vuelven vulnerables.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEn general, se necesita un conjunto específico de materiales criptográficos, como certificados o claves secretas, para las operaciones criptográficas. Si bien los usuarios pueden crear estos secretos en sus perfiles cuando se conectan a un nuevo equipo, eliminar el perfil puede generar la pérdida de acceso a los datos protegidos. Para resolver este problema, el mecanismo de itinerancia de credenciales mueve el material criptográfico junto con el usuario, y la base de datos de Active Directory almacena los secretos para permitir este proceso.\n\u003cbr\u003ePara mantener la seguridad del sistema, es fundamental proteger atributos específicos, entre otros:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003ems-PKI-AccountCredentials\u003c/li\u003e\n\u003cli\u003ems-PKI-DPAPIMasterKeys\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEl atributo ms-PKI-AccountCredentials almacena el material criptográfico, que se cifra con una clave obtenida a partir de la contraseña del usuario.\n\u003cbr\u003eEl atributo ms-PKI-DPAPIMasterKeys cifra otra copia de este material y se aplica cuando el usuario cambia la contraseña.\n\u003cbr\u003eSi un atacante puede leer ambos atributos y recupera la clave de copia de seguridad de Active Directory, podría tener la capacidad de descifrar datos confidenciales. Además, el acceso de escritura permitiría que el atacante denegara a la víctima acceso a sus datos. Si el atacante se apodera de este objeto, puede otorgarse a sí mismo derechos a esos atributos y obtener el control de los datos.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Derechos de acceso adecuados en los atributos de credential roaming","description":"El control de los atributos de Credential roaming no debe estar a cargo de usuarios sin privilegios.","exec_summary":"\u003cp\u003eUn atacante que obtenga el control de los atributos de credential roaming puede descifrar información confidencial y potencialmente acceder a ella, o eliminarla para provocar problemas de denegación de servicio.\u003c/p\u003e\n","detail":"\u003cp\u003eSi no protege correctamente los atributos de la itinerancia de credenciales, puede producirse una fuga de datos confidenciales o pérdida de acceso a estos.\n\u003cbr\u003ePara garantizar la seguridad, otorgue permisos de lectura y escritura en estos atributos solo a las entidades siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio \u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePublicadores de certificados\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de esquema\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de empresas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePropietarios del creador de directivas de grupo\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores empresariales de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidor\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eReplicadores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eNT AUTHORITY\\System\u003c/code\u003e\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAdemás, debería comprobar la titularidad del usuario en cuestión, ya que podría permitir que un atacante se otorgara a sí mismo derechos de acceso ilegítimo.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"cqureacademy - Extracting roamed private keys","url":"https://cqureacademy.com/blog/extracting-roamed-private-keys","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[{"name":"DSinternals","url":"https://github.com/MichaelGrafnetter/DSInternals","author":"Michael Grafnetter"},{"name":"Mimikatz - DCShadow module","url":"https://github.com/gentilkiwi/mimikatz","author":"Benjamin Delpy"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]}],"indicator_type":"Indicator of Exposure","released":true,"available_languages":["de_DE","fr_FR","ko_KR","es_001","zh_TW","zh_CN","ja_JP","en_US"],"tvdb_export_source":{"file_name":"all-202412031400.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-CREDENTIAL-ROAMING","created_at":"2024-12-04T15:36:57","updated_at":"2024-12-04T15:36:57"},"severity":"low","type":"ioe","subType":"ad","availableLocales":["de","fr","ko","es","zh-TW","zh-CN","ja","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[44]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-CLEARTEXT-PASSWORD","_score":null,"_source":{"language_code":"es_001","codename":"C-CLEARTEXT-PASSWORD","name":"Contraseñas potencialmente con texto no cifrado","id":42,"description":"\u003cp\u003eComprueba los objetos que potencialmente contengan contraseñas de texto no cifrado en los atributos que los usuarios del dominio pueden leer.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLos administradores pueden almacenar información confidencial en atributos de objetos de AD para facilitar su trabajo. Sin embargo, dado que cualquier usuario del dominio puede leer estos atributos, almacenar contraseñas o claves secretas podría poner las credenciales en riesgo de robo y dañar la infraestructura.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEl propietario del objeto, la identidad del objeto o cualquier administrador del dominio pueden escribir ciertos atributos de Active Directory. No obstante, cualquier usuario del domino puede leer estos atributos a través de un cliente LDAP. Si estos atributos contienen información confidencial, como contraseñas o claves secretas, los atacantes pueden acceder a ellos y usarlos de manera sencilla para escalamiento de privilegios. Algunos atributos usados comúnmente que contienen información confidencial son:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003edescription\u003c/li\u003e\n\u003cli\u003einfo\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEs posible que los atacantes también encuentren contraseñas de texto no cifrado en los atributos que usan los sistemas Windows antiguos o Linux para almacenar credenciales de cuentas. A diferencia de los atributos de Active Directory, cualquier usuario del dominio puede leer estos atributos. Si el atributo tiene un valor, es la contraseña actual o anterior de la cuenta afectada. Si se vulnera, el atacante puede tomar el control del recurso. Los siguientes atributos pueden ser vulnerables:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003euserPassword\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003eunicodePwd\u003c/li\u003e\n\u003cli\u003eunixUserPassword\u003c/li\u003e\n\u003cli\u003emsSFU30Name\u003c/li\u003e\n\u003cli\u003emsSFU30Password\u003c/li\u003e\n\u003cli\u003eos400-password\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEstos atributos solo existen en los objetos de \u003ccode\u003eusuario\u003c/code\u003e (y sus objetos secundarios, como \u003ccode\u003eequipos\u003c/code\u003e).\n\u003cbr\u003ePor último, el recurso compartido SYSVOL es donde los administradores implementan aplicaciones y scripts, y donde recopilan información de los recursos del dominio; además, es donde pueden escribir contraseñas por error. Esto puede dejar expuesta información confidencial, como secretos, que cada usuario del dominio puede leer de manera predeterminada. Tenable Identity Exposure se centra en analizar los siguientes archivos en busca de secretos:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003escripts.ini\u003c/li\u003e\n\u003cli\u003ecualquier script (PowerShell, Batch, VBScripts, etc.)\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eNota: Tenable Identity Exposure omite archivos varios, como ejecutables o multimedia.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Quitar contraseñas de texto no cifrado de los atributos legibles","description":"Las contraseñas deben quitarse de todos los atributos que los usuarios sin privilegios puedan leer.","exec_summary":"\u003cp\u003eCualquier usuario dentro de la organización puede leer atributos en la mayoría de los objetos de AD. Los administradores de TI pueden usar ciertos atributos para almacenar información confidencial, como contraseñas, claves y otras credenciales. Para evitar la exposición potencial de credenciales válidas, deben evitar almacenar dicha información confidencial en atributos de objetos.\u003c/p\u003e\n","detail":"\u003cp\u003eEvite usar atributos de AD para almacenar información de TI, ya que esto constituye una mala práctica administrativa, y, en su lugar, adopte medidas organizativas adecuadas.\n\u003cbr\u003eEs importante borrar toda información existente almacenada en estos atributos de AD y configurar un proceso automatizado para impedir que los administradores que no estén al tanto de esta práctica de seguridad definan estos atributos por error. Para borrar un objeto de AD en particular, puede usar el siguiente comando de PowerShell:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADObject -Identity 'CN=Alice,OU=DummyOU,DC=ad,DC=tenable,DC=com' -Clear description\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eReemplace el valor de CN=Alice,OU=DummyOU,DC=ad,DC=tenable,DC=com por el nombre distintivo del objeto que va a borrar.\nReemplace el valor de description por el nombre del atributo que contiene el valor que va a borrar.\n\u003cbr\u003eCuando borre los atributos que usan los sistemas Windows muy antiguos o Linux, tenga en cuenta que simplemente borrarlos puede no ser suficiente para evitar los problemas de autenticación. Esto se debe a que estos sistemas podrían volver a definir el atributo durante la siguiente renovación de la contraseña. Para evitar estos problemas, Tenable recomienda actualizar estos sistemas a una versión más reciente del sistema operativo para obtener una mejor forma de almacenar la información confidencial y asegurar mejores medidas de seguridad.\n\u003cbr\u003eCon respecto a los archivos de SYSVOL que contienen secretos, es importante contar con una política administrativa apropiada para impedir que los administradores almacenen secretos en archivos de GPO. Luego, haga un seguimiento de los archivos almacenados en SYSVOL para asegurarse de que los secretos no se almacenen por accidente.\u003c/p\u003e\n","resources":[{"name":"Cmdlet Set-ADUser to clear an attribute (texto en inglés)","url":"https://learn.microsoft.com/es-es/powershell/module/activedirectory/set-aduser?view=windowsserver2025-ps","type":"hyperlink"}]},"resources":[{"name":"BlackHills InfoSec - Gathering secrets with AD Explorer","url":"https://www.blackhillsinfosec.com/domain-goodness-learned-love-ad-explorer/","type":"hyperlink"},{"name":"Microsoft - Active Directory User class","url":"https://learn.microsoft.com/es-es/windows/win32/adschema/c-user","type":"hyperlink"},{"name":"Microsoft - Active Directory Top class","url":"https://learn.microsoft.com/es-es/windows/win32/adschema/c-top","type":"hyperlink"}],"applicable_resource_types":["ad_ldap_object","ad_sysvol_object"],"attacker_known_tools":[{"name":"AD Explorer","url":"https://learn.microsoft.com/en-us/sysinternals/downloads/adexplorer","author":"SysInternal"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0008 - Lateral Movement (texto en inglés)","techniques":[]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1552 - Unsecured Credentials (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","zh_CN","ja_JP","fr_FR","de_DE","zh_TW","ko_KR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-CLEARTEXT-PASSWORD","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["es","zh-CN","ja","fr","de","zh-TW","ko","en"],"mitre_attack_information":[{"tactic":{"id":"TA0008","name":"Lateral Movement (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0008/"},"techniques":[]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1552","name":"Unsecured Credentials (texto en inglés)","url":"https://attack.mitre.org/techniques/T1552/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[42]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-DANGEROUS-SENSITIVE-PRIVILEGES","_score":null,"_source":{"language_code":"es_001","codename":"C-DANGEROUS-SENSITIVE-PRIVILEGES","name":"Privilegios sensibles peligrosos","id":41,"description":"\u003cp\u003eIdentifica derechos de privilegios sensibles con errores de configuración que disminuyen la seguridad de una infraestructura de directorios.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eWindows tiene dos métodos para otorgar privilegios a las cuentas para acceder a los recursos: permisos y derechos de usuario. Los derechos de usuario, proporcionados por Microsoft, simplifican las tareas de administración, como el apagado del sistema, la carga de controladores o la administración del registro de seguridad. Son similares a los permisos, pero no son específicos del usuario y pueden aplicarse globalmente a cualquiera con el derecho a llevar a cabo la tarea.\u003c/p\u003e\n\u003cp\u003eEn ocasiones, los derechos de usuario sensibles permiten que los usuarios obtengan privilegios elevados en un sistema. Por ejemplo, un usuario que pueda instalar un controlador para un dispositivo, como un teclado, podría instalar un controlador malintencionado y obtener derechos de administrador en el sistema. Esto presenta un riesgo de seguridad, ya que un atacante podría explotar este error de configuración para vulnerar el sistema localmente.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eWindows 10 tiene 34 derechos con privilegios del sistema que, si se definen de manera incorrecta (junto con otros requisitos que se explican más adelante), se puede dar lugar a una vulneración de todo el sistema. La documentación en línea de Microsoft ofrece información exhaustiva sobre este tema.\n\u003cbr\u003eMediante herramientas públicas, algunos privilegios pueden explotarse fácilmente para lograr la elevación de privilegios (consulte los ejemplos específicos).\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003cp\u003e**Depurar programas:**\u003cstrong\u003eSeDebugPrivilege\u003c/strong\u003e (Mimikatz) permite abrir un proceso o subproceso y modificar su comportamiento al inyectar y ejecutar código malintencionado, que los atacantes pueden usar para recuperar credenciales de la memoria del proceso LSASS. Solo los desarrolladores que depuran componentes del sistema Windows necesitan este privilegio.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e**Suplantar la identidad de un cliente tras la autenticación:**\u003cstrong\u003eSeImpersonatePrivilege\u003c/strong\u003e (Rotten Potato NG) permite la suplantación de la identidad de cualquier usuario que se conecte a un servicio especialmente diseñado, en particular, a través de ataques de ingeniería social. Permite que cualquier usuario con este privilegio suplante cualquier token para el que pueda obtener un identificador, aunque no permite crear nuevos tokens. Además, Rotten Potato puede recuperar un token de acceso de la cuenta LocalSystem con privilegios altos, lo que permite un escalamiento de privilegios locales sin necesidad de ingeniería social.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e**Reemplazar un token a nivel de proceso:**\u003cstrong\u003eSeAssignPrimaryTokenPrivilege\u003c/strong\u003e (Rotten Potato NG) permite iniciar un proceso como otro usuario (token principal) con sus credenciales. Es vulnerable al mismo ataque que SeImpersonatePrivilege (Rotten Potato). Microsoft reconoce el uso legítimo por parte de las cuentas “Servicio local” y “Servicio de red”, pero lo considera un riesgo de seguridad. Los perfiles de seguridad de Tenable Identity Exposure tienen una opción para permitir este tipo de comportamiento de manera predeterminada.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e**Crear un objeto de token:**\u003cstrong\u003eSeCreateTokenPrivilege\u003c/strong\u003e (Poptoke) permite la creación de cualquier token de acceso mediante NtCreateToken(), lo que permite la suplantación de la identidad de un usuario o la modificación de los niveles de acceso de la cuenta, como la adición de grupos con privilegios al token.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e**Cargar y descargar controladores de dispositivos:**\u003cstrong\u003eSeLoadDriverPrivilege\u003c/strong\u003e (Poptoke) otorga el privilegio más alto del sistema operativo a los controladores de dispositivos, ya que ejecutan código en el mismo contexto que el kernel de Windows.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e**Hacer copias de seguridad de archivos y directorios:**\u003cstrong\u003eSeBackupPrivilege\u003c/strong\u003e (Poptoke) permite que cualquier usuario se saltee los permisos de archivos y del registro al usar las funciones de copia de seguridad, como RegSaveKey() o RegSaveKeyEx(). Esto puede exponer los secretos, como los hashes de contraseña y archivos restringidos.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e**Restaurar archivos y directorios:**\u003cstrong\u003eSeRestorePrivilege\u003c/strong\u003e (Poptoke) permite reemplazar datos existentes con datos nuevos. Los atacantes pueden usar este privilegio para sustituir binarios con privilegios por versiones malintencionadas modificadas.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e**Apropiarse de archivos u otros objetos:**\u003cstrong\u003eSeTakeOwnershipPrivilege\u003c/strong\u003e (Poptoke) permite definir un propietario arbitrario para cualquier objeto del sistema, lo que otorga a este propietario el control total del objeto y la capacidad de cambiar sus permisos.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e**Actuar como parte del sistema operativo:**\u003cstrong\u003eSeTcbPrivilege\u003c/strong\u003e (Poptoke) permite agregar grupos adicionales a un token durante su creación a través de las funciones LogonUserExEx() y LsaLogonUser() de Windows. Estos grupos pueden incluir grupos con privilegios.\u003c/p\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e Microsoft considera algunos otros privilegios igual de peligrosos, por lo que también deben protegerse:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003cp\u003e\u003cstrong\u003eHabilitar las cuentas de equipo y de usuario para la confianza para la delegación: SeEnableDelegationPrivilege\u003c/strong\u003e especifica qué usuarios pueden habilitar la opción “Trusted for Delegation” en un objeto de usuario o equipo. Normalmente, solo los grupos con privilegios altos, como los administradores de dominio y de empresa, están autorizados a hacer esto. Dado que esta opción solo se relaciona con los controladores de dominio, no suele configurarse.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e\u003cstrong\u003eRealizar tareas de mantenimiento de volúmenes: SeManageVolumePrivilege\u003c/strong\u003e permite la exploración y modificación de discos, incluidos archivos sensibles, lo que crea un riesgo potencial de inyección de código malicioso en ejecutables de cuentas con privilegios legítimas.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e\u003cstrong\u003eSincronizar datos del servicio de directorios: SeSyncAgentPrivilege\u003c/strong\u003e permite la sincronización de todos los objetos y atributos de Active Directory, independientemente de sus permisos. Otorgue este privilegio solo a los controladores de dominio, ya que son las únicas entidades responsables de replicar los cambios entre ellos.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003e\u003cstrong\u003eAcceder al Administrador de credenciales como autor de llamadas de confianza: SeTrustedCredManAccessPrivilege\u003c/strong\u003e ofrece acceso a los secretos, como las credenciales guardadas, dentro del Administrador de credenciales de Windows, que mantiene la información de inicio de sesión en sitios web, aplicaciones y redes.\u003c/p\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEstos privilegios pueden ser peligrosos cuando el Control de cuentas de usuario (UAC) está ausente. Microsoft introdujo el UAC en Windows Vista, por lo que los sistemas como Windows XP o Windows Server 2003 están en riesgo de manera predeterminada. Mientras que estos sistemas son obsoletos y ya no deberían usarse, los errores de configuración del UAC en los sistemas más recientes también pueden reintroducir esta vulnerabilidad de seguridad. En concreto, si el valor “EnableLUA” de la clave del registro “SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System” se establece en 0, puede generar una elevación de los privilegios que usan derechos sensibles.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Quitar privilegios sensibles de cuentas y grupos sin privilegios","description":"Para limitar el riesgo de elevación de privilegios en AD, solo los usuarios privilegiados deberían tener privilegios sensibles.","exec_summary":"\u003cp\u003eEvite asignar privilegios sensibles a usuarios o grupos que no sean administrativos con el fin de evitar riegos de seguridad en Active Directory. No deshabilite la característica Control de cuentas de usuario (UAC) en Windows.\u003c/p\u003e\n","detail":"\u003cp\u003eEvite los siguientes privilegios sensibles en las cuentas sin privilegios de Active Directory. Brindan una falsa sensación de seguridad al comprobar únicamente los permisos de acceso a los recursos.\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eSeAssignPrimaryTokenPrivilege\u003c/li\u003e\n\u003cli\u003eSeBackupPrivilege\u003c/li\u003e\n\u003cli\u003eSeCreateTokenPrivilege\u003c/li\u003e\n\u003cli\u003eSeDebugPrivilege\u003c/li\u003e\n\u003cli\u003eSeEnableDelegationPrivilege\u003c/li\u003e\n\u003cli\u003eSeImpersonatePrivilege\u003c/li\u003e\n\u003cli\u003eSeLoadDriverPrivilege\u003c/li\u003e\n\u003cli\u003eSeManageVolumePrivilege\u003c/li\u003e\n\u003cli\u003eSeRestorePrivilege\u003c/li\u003e\n\u003cli\u003eSeSyncAgentPrivilege\u003c/li\u003e\n\u003cli\u003eSeTakeOwnershipPrivilege\u003c/li\u003e\n\u003cli\u003eSeTcbPrivilege\u003c/li\u003e\n\u003cli\u003eSeTrustedCredManAccessPrivilege\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAdemás, cabe destacar que en los sistemas Windows recientes, los privilegios sensibles mencionados anteriormente no funcionarán correctamente si no se deshabilita la característica Control de cuentas de usuario (UAC). No obstante, deshabilitar el UAC también genera riesgos para la seguridad, por lo que es importante configurarlo correctamente, en lugar de deshabilitarlo por completo.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"User Rights Assignment (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/user-rights-assignment","type":"hyperlink"},{"name":"EnableLUA","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-gpsb/958053ae-5397-4f96-977f-b7700ee461ec","type":"hyperlink"},{"name":"Abusing Token Privileges For Windows Local Privilege Escalation","url":"https://foxglovesecurity.com/2017/08/25/abusing-token-privileges-for-windows-local-privilege-escalation/","type":"hyperlink"},{"name":"Rotten Potato - Privilege Escalation from Service Accounts to SYSTEM","url":"https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/","type":"hyperlink"},{"name":"Abusing Token Privileges For LPE (part 3.1)","url":"https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt","type":"hyperlink"},{"name":"PrintSpoofer - Abusing Impersonation Privileges on Windows 10 and Server 2019","url":"https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/","type":"hyperlink"},{"name":"s(4)u for Windows (texto en francés)","url":"https://static.sstic.org/rumps2015/SSTIC_2015-06-04_P12_RUMPS_11_su4windows.pdf","type":"hyperlink"}],"applicable_resource_types":["ad_gpt_tmpl"],"attacker_known_tools":[{"name":"Mimikatz","url":"https://github.com/gentilkiwi/mimikatz","author":null},{"name":"Rotten Potato NG","url":"https://github.com/breenmachine/RottenPotatoNG","author":null},{"name":"Poptoke","url":"https://github.com/hatRiot/token-priv","author":null}],"category_id":3,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","zh_TW","fr_FR","es_001","zh_CN","ko_KR","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-DANGEROUS-SENSITIVE-PRIVILEGES","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["de","zh-TW","fr","es","zh-CN","ko","ja","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[41]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-SENSITIVE-CERTIFICATES-ON-USER","_score":null,"_source":{"language_code":"es_001","codename":"C-SENSITIVE-CERTIFICATES-ON-USER","name":"Certificados asignados en cuentas","id":40,"description":"\u003cp\u003eSe asegura de que no se asigne a los objetos con privilegios ningún certificado asignado.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eMicrosoft ofrece una característica llamada “asignación de identidad de seguridad”, que asocia un certificado a una cuenta o grupo. En algunos casos, puede funcionar como credenciales alternativas para la autenticación en recursos.\n\u003cbr\u003eSin embargo, tener definido un certificado en una cuenta con privilegios puede ser peligroso en caso de que el certificado asociado no esté tan bien protegido como esta cuenta sensible. Esto también puede indicar un mecanismo de persistencia que un atacante pueda haber definido anteriormente.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLa funcionalidad de asignaciones de nombres permite que los certificados X.509 funcionen como método de autenticación alternativo para las cuentas o grupos que tienen los permisos apropiados. Esta característica normalmente funciona con el servidor web IIS para ofrecer acceso a recursos específicos en nombre del usuario que visita una página web, mediante un tránsito transparente del certificado del cliente.\n\u003cbr\u003eLos grupos predeterminados que tienen permiso para agregar una identidad de seguridad alternativa son “Operadores de cuentas”, “Administradores de dominio” y “Administradores de empresas”. Al usar esta característica con un certificado, solo extrae dos campos de él: el emisor y el firmante. No almacena el certificado público completo. Puede definir uno o ambos campos en función de lo que busque. Usar el campo de emisor permite aceptar más certificados, mientras que usar el campo de firmante solo autoriza el certificado de cliente asociado.\n\u003cbr\u003eUn atacante puede explotar esta característica en dos fases:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEn la fase de detección, después de vulnerar algunas cuentas, el atacante busca cuentas y grupos que tengan definido el atributo altSecurityIdentities. Si durante la intrusión el atacante accede a la infraestructura de clave pública (PKI) asociada que generó el certificado o al emisor o firmante configurados, puede usarlos para robar la identidad de la cuenta, algo sumamente peligroso si el objetivo es una cuenta con privilegios, lo que llevaría a una elevación de privilegios.\u003c/li\u003e\n\u003cli\u003eDespués de la vulneración del dominio de AD con el objetivo de lograr persistencia, el atacante puede definir un certificado específico en un usuario privilegiado al que tenga acceso, probablemente asociado a un usuario estándar, para mantener el acceso oculto dentro del dominio.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAmbas situaciones representan un riesgo para el dominio y exigen su evaluación.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Quitar certificados asignados peligrosos en cuentas","description":"Los certificados definidos en objetos con privilegios deberían controlarse.","exec_summary":"\u003cp\u003eCada vez que se defina una identidad de seguridad alternativa en una cuenta con privilegios de Active Directory, debería evaluarla para decidir si aceptar o no el riesgo de elevación de privilegios. Cuando esté en duda, puede quitarla sin problemas.\n\u003cbr\u003eNota: Esta característica no se relaciona con el uso de tarjetas inteligentes, que sigue siendo una opción de seguridad robusta para la autenticación si la configuración es correcta.\u003c/p\u003e\n","detail":"\u003cp\u003eEl uso de certificados asignados en cuentas y grupos puede llevar a algunos altos riesgos de seguridad, en particular cuando todos los certificados provengan de un emisor. Cualquier atacante puede vulnerar al emisor único y, por lo tanto, obtener acceso a cada cuenta a través de la característica de identidades de seguridad alternativas.\nNo se recomienda usar esta característica con usuarios privilegiados, dado el riesgo de elevación de privilegios en el dominio. Analice soluciones alternativas para estas cuentas sensibles.\n\u003cbr\u003eAdemás, si no encuentra ninguna información relativa a la configuración, podría ser indicio de que se vulneró un dominio debido a un mecanismo de persistencia que el atacante haya establecido. Se aconseja poner en práctica una fase de caza de amenazas antes de una corrección total.\u003c/p\u003e\n","resources":[{"name":"HowTo: Map a user to a certificate via all the methods available in the altSecurityIdentities attribute","url":"https://learn.microsoft.com/en-us/archive/blogs/spatdsg/howto-map-a-user-to-a-certificate-via-all-the-methods-available-in-the-altsecurityidentities-attribute\n","type":"hyperlink"},{"name":"KB5014754: Certificate-based authentication changes on Windows domain controllers","url":"https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16\n","type":"hyperlink"}]},"resources":[{"name":"Map a certificate to a user account","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc736781%28v%3dws.10%29\n","type":"hyperlink"},{"name":"Mapping certificates to user accounts","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc779393%28v%3dws.10%29\n","type":"hyperlink"},{"name":"Mapping a client certificate to an AD domain account using clientCertificateMappingAuthentication","url":"https://learn.microsoft.com/es-es/archive/blogs/napegadie_kones_msft_blog/mapping-a-client-certificate-to-an-ad-domain-account-using-clientcertificatemappingauthentication\n","type":"hyperlink"}],"applicable_resource_types":["ad_group","ad_user"],"attacker_known_tools":[{"name":"Kekeo","url":"https://github.com/gentilkiwi/kekeo/releases","author":"Gentil Kiwi"},{"name":"Certify","url":"https://github.com/GhostPack/Certify","author":"GhostPack"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","ja_JP","ko_KR","fr_FR","es_001","zh_TW","zh_CN","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-SENSITIVE-CERTIFICATES-ON-USER","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["de","ja","ko","fr","es","zh-TW","zh-CN","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[40]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-GPO-HARDENING","_score":null,"_source":{"language_code":"es_001","codename":"C-GPO-HARDENING","name":"Dominio sin GPO de endurecimiento de equipos","id":39,"description":"\u003cp\u003eComprueba que los GPO de endurecimiento se hayan implementado en el dominio.\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003eMicrosoft pone énfasis en mantener la compatibilidad con versiones anteriores en la infraestructura de Active Directory, lo que se traduce en que no puede habilitar todas las características de endurecimiento.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEste indicador de exposición valida las configuraciones de endurecimiento de GPO para minimizar posibles vectores de ataque:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl protocolo de inicio de sesión NTLMv1\u003c/li\u003e\n\u003cli\u003eEl protocolo de pila de recursos compartidos de red SMBv1\u003c/li\u003e\n\u003cli\u003eEl estado del servicio del administrador de trabajos de impresión en controladores de dominio\u003c/li\u003e\n\u003cli\u003eClaves del registro de sesiones NULL para todos los equipos del dominio\u003c/li\u003e\n\u003cli\u003eFirma de SMB para todos los equipos del dominio\u003c/li\u003e\n\u003cli\u003eEndurecimiento de UNC para los recursos compartidos de los controladores de dominio\u003c/li\u003e\n\u003cli\u003eEnlace de canales de LDAP y firma de sesiones\u003c/li\u003e\n\u003cli\u003eEndurecimiento de Apuntar e imprimir\u003c/li\u003e\n\u003cli\u003eCredential Guard\u003c/li\u003e\n\u003cli\u003eBloqueo de NTLM mediante SMB\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eNTLMv1\u003c/h4\u003e\n\u003cp\u003eLa primera versión del protocolo NTLM, que ha sido el protocolo de autenticación preferido desde Windows 2000, usa los algoritmos de cyclic redundancy check (CRC) o message digest para la integridad y RC4 para el cifrado, lo que no se considera seguro.\n\u003cbr\u003eNTLM es vulnerable a ataques, como Pass-the-Hash, reflexión de NTLM y retransmisión de NTLM.\n\u003cbr\u003eNTLMv1 ahora dio paso a NTLMv2, que es más robusto. Sin embargo, Windows ni siquiera usa NTLMv2 como protocolo de autenticación predeterminada al autenticarse en servidores unidos a Active Directory, y prefiere en su lugar usar Kerberos de manera predeterminada.\u003c/p\u003e\n\u003ch4\u003eSMBv1\u003c/h4\u003e\n\u003cp\u003eEl protocolo SMB se diseñó en un principio en la década de 1980 y se corrigió a principios de la década de 1990, mucho antes de que se creara Active Directory. Combina varios protocolos (como NTLM para autenticación) e incluye características, como vínculos simbólicos y fijos, y admite archivos grandes.\n\u003cbr\u003eDebido a su complejidad e ineficiencia de red, Microsoft presentó una nueva versión de SMB en Windows Vista. En el segundo trimestre de 2017, SMBv1 se hizo conocido por el ransomware \u003cem\u003eWannaCry\u003c/em\u003e , que explotó la vulnerabilidad \u003cem\u003eEternalBlue\u003c/em\u003e corregida en el boletín de seguridad MS17-010.\n\u003cbr\u003eSMBv1 ahora dio paso a los protocolos SMBv2 y SMBv3 más modernos y seguros que usan algoritmos modernos de integridad y cifrado. A partir de Windows Server 2016, SMBv1 no se instala de manera predeterminada.\u003c/p\u003e\n\u003ch4\u003eServicio del administrador de trabajos de impresión\u003c/h4\u003e\n\u003cp\u003eVarias vulnerabilidades han afectado al servicio del administrador de trabajos de impresión de los controladores de dominio (p. ej., “Printer Bug”, “PrintNightmare”, etc.), lo que ha provocado problemas de seguridad en Active Directory.\nUn controlador de dominio solo debería tener instaladas y habilitadas las características necesarias y obligatorias. Este servicio debería implementarse en otro tipo de servidor y deshabilitarse en los controladores de dominio, con el fin de evitar futuros problemas de seguridad que afectan a este servicio.\u003c/p\u003e\n\u003ch4\u003eParámetros de sesiones NULL\u003c/h4\u003e\n\u003cp\u003eLas sesiones NULL son sesiones del Bloque de mensajes del servidor (SMB) sin autenticar (sin necesidad de nombre de usuario y contraseña) que los atacantes usan durante la fase de reconocimiento para llamar de forma anónima a las funciones de RPC en un sistema remoto.\u003c/p\u003e\n\u003cp\u003ePermite que un atacante solicite funciones de interfaces de RPC, como las de SAMR y LSARPC, para extraer de los equipos distinta información útil (desde la perspectiva de un atacante):\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eservicios de Windows\u003c/li\u003e\n\u003cli\u003enombres de usuario y grupos\u003c/li\u003e\n\u003cli\u003erecursos compartidos de SMB\u003c/li\u003e\n\u003cli\u003einformación de dominios\u003c/li\u003e\n\u003cli\u003eetc.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEste tema se relaciona con el indicador de exposición “Cuentas que usan un control de acceso compatible con versiones anteriores a Windows 2000”, y ambos comparten los mismo riesgos.\u003c/p\u003e\n\u003ch4\u003eFirma de SMB\u003c/h4\u003e\n\u003cp\u003eEl Bloque de mensajes del servidor (SMB) es el protocolo de transferencia de archivos que Windows usa más comúnmente (también se usa para las llamadas RPC a través del recurso compartido administrativo especial IPC$). La firma de SMB es una característica por medio de la cual las comunicaciones que usan SMB pueden firmarse digitalmente a nivel de paquete. Firmar los paquetes digitalmente permite que el destinatario de los paquetes confirme el punto de origen y la autenticidad. Este mecanismo de seguridad en el protocolo SMB ayuda a evitar problemas, como la manipulación de los paquetes y los ataques de intermediario (man in the middle).\u003c/p\u003e\n\u003cp\u003eDespués de haber deshabilitado correctamente SMBv1 en el entorno, puede centrar los esfuerzos en aplicar las firmas SMB en todos los equipos del dominio.\u003c/p\u003e\n\u003ch4\u003eEndurecimiento de UNC\u003c/h4\u003e\n\u003cp\u003ePara impedir que los equipos del dominio ejecuten código (scripts de inicio de sesión, ejecutables, etc.) y descarguen archivos de configuración de políticas de orígenes que no son de confianza, Microsoft presentó el endurecimiento de UNC. Cuando un usuario intenta acceder a un recurso compartido que coincide con una ruta configurada en “Rutas de acceso UNC protegidas”, se aplicará la configuración de seguridad definida para este recurso compartido.\n\u003cbr\u003eSegún lo informado en las vulnerabilidades MS15-011 y MS15-014, un atacante que lanzó un ataque de tipo “Man in the middle” entre dos equipos logró manipular los datos a los que se accede por medio del protocolo SMB.\nEsto se vuelve aún más crítico cuando estos datos se relacionan con políticas del dominio recuperadas de los recursos compartidos SYSVOL y NETLOGON de los controladores de dominio. En esta situación, un atacante podría instalar programas; ver, modificar y eliminar configuraciones de archivos de GPO; crear nuevas cuentas locales con plenos derechos administrativos; etc.\nUn atacante que logre explotar esta vulnerabilidad en la red podría tomar el control total de un sistema objetivo.\u003c/p\u003e\n\u003ch4\u003eEnlace de canales y firma de sesiones de LDAP\u003c/h4\u003e\n\u003cp\u003eDe manera predeterminada, el enlace de canales de LDAP (EPA, [protección ampliada para la autenticación], o CBT, [token de enlace de canales]) y la firma de sesiones de LDAP no se aplican por completo en los controladores de dominio. La falta de firmas en los intercambios de LDAP puede dar lugar a ataques de tipo “Man in the middle” y de reproducción, lo que permite el escalamiento de privilegios en el dominio. Por lo tanto, el endurecimiento de la configuración de LDAP en los controladores de dominio y sus clientes es un aspecto importante que debe tenerse en cuenta.\u003c/p\u003e\n\u003ch4\u003eEndurecimiento de Apuntar e imprimir\u003c/h4\u003e\n\u003cp\u003eLos riesgos de una configuración incorrecta con respecto al servicio del administrador de trabajos de impresión de Windows en estaciones de trabajo del dominio son significativos y pueden llevar a graves vulnerabilidades de seguridad.\n\u003cbr\u003e\u003ca href=\"https://learn.microsoft.com/es-es/windows-hardware/drivers/print/introduction-to-point-and-print\"\u003eApuntar e imprimir\u003c/a\u003e es una funcionalidad de Windows diseñada para simplificar la instalación de impresoras por parte de los usuarios. En lugar de instalar manualmente los controladores desde discos o medios, Apuntar e imprimir permite a los usuarios conectarse a una impresora de red y descargar e instalar de forma automática los controladores necesarios directamente desde un servidor de impresión. Esta funcionalidad ofrece una experiencia “plug-and-play” que es sumamente beneficiosa en entornos empresariales donde varios usuarios tienen que acceder a impresoras compartidas.\n\u003cbr\u003eEl servicio del administrador de trabajos de impresión ha presentado varias vulnerabilidades de seguridad en la funcionalidad Apuntar e imprimir, principalmente debido a que se basa en la confianza entre el cliente y el servidor de impresión. La vulnerabilidad más destacada se conoce como “PrintNightmare” (relacionada con \u003ca href=\"https://www.tenable.com/cve/CVE-2021-1675\"\u003eCVE-2021-1675\u003c/a\u003e, \u003ca href=\"https://www.tenable.com/cve/CVE-2021-34527\"\u003eCVE-2021-34527\u003c/a\u003e y \u003ca href=\"https://www.tenable.com/cve/CVE-2021-34481\"\u003eCVE-2021-34481\u003c/a\u003e), que permite que atacantes exploten el proceso de instalación de controladores para obtener acceso no autorizado a un sistema.\nEsta vulnerabilidad puede afectar a organizaciones incluso en la actualidad, principalmente debido a políticas de grupo y configuraciones confusas.\n\u003cbr\u003eSi bien simplifica el proceso de instalación y actualización, Apuntar e imprimir presenta riesgos para la seguridad:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eInstalación de controladores sin restricciones: si la política “Limita la instalación del controlador de impresión a los administradores” está deshabilitada, los usuarios no administrativos pueden instalar controladores de impresoras.\u003c/li\u003e\n\u003cli\u003eOmisión de los avisos de seguridad: deshabilitar los avisos de seguridad durante la instalación de controladores puede hacer que el sistema sea vulnerable al exploit “PrintNightmare” original.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eCredential Guard\u003c/h4\u003e\n\u003cp\u003eCredential Guard de Windows Defender se basa en la seguridad basada en virtualización (VBS), que usa virtualización de hardware para mejorar la seguridad de los sistemas. El objetivo principal es evitar el acceso no autorizado a distintos tipos de credenciales y el robo.\n\u003cbr\u003eCredential Guard se diseñó para lo siguiente:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEvitar el acceso no autorizado a la información de credenciales almacenada en el sistema operativo Windows (como hashes de contraseña NTLM, tickets de concesión de tickets de Kerberos y otras credenciales de dominio).\u003c/li\u003e\n\u003cli\u003eProteger frente a técnicas que agentes malintencionados puedan usar para extraer credenciales de la memoria de Windows.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAl aislar la información de las credenciales, Credential Guard reduce la superficie de ataque a disposición de los atacantes potenciales.\u003c/p\u003e\n\u003cp\u003eAdemás, contenedoriza el proceso de autenticación del Servicio de subsistema de autoridad de seguridad local (LSASS), lo que protege las credenciales frente a herramientas malintencionadas que puedan obtener acceso a nivel del sistema.\u003c/p\u003e\n\u003cp\u003eIncluso si un atacante obtiene privilegios administrativos, no podrá acceder fácilmente a estas credenciales protegidas. Credential Guard limita la eficacia de las herramientas de ataque, como Mimikatz, que se suelen usar para recuperar credenciales almacenadas en memoria.\u003c/p\u003e\n\u003ch4\u003eBloqueo de NTLM mediante SMB\u003c/h4\u003e\n\u003cp\u003eNTLM es un protocolo anticuado que es vulnerable a ataques como Pass-the-Hash, reflexión de NTLM y retransmisión de NTLM. Para resolver estas vulnerabilidades, \u003ca href=\"https://techcommunity.microsoft.com/blog/windows-itpro-blog/the-evolution-of-windows-authentication/3926848\"\u003eMicrosoft está presionando para que se elimine\u003c/a\u003e. A fines de 2023, \u003ca href=\"https://www.youtube.com/watch?v=SEtARCtGP0Y\"\u003eanunció\u003c/a\u003e una estrategia a largo plazo para deshabilitar y, en última instancia, eliminar NTLM. Con el lanzamiento de Windows Server 2025 y actualizaciones para Windows 11, los administradores pueden usar una nueva opción del objeto de política de grupo (GPO), “\u003ca href=\"https://learn.microsoft.com/es-es/windows-server/storage/file-server/smb-ntlm-blocking?tabs=group-policy\"\u003eBloquear NTLM (LM, NTLM, NTLMv2)\u003c/a\u003e”, para facilitar esta transición.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Habilitar los GPO de endurecimiento","description":"Los GPO de endurecimiento tienen que habilitarse, al menos para los usuarios privilegiados\n","exec_summary":"\u003cp\u003eHabilite los GPO de endurecimiento para proteger al menos los usuarios privilegiados, en concreto, al deshabilitar los protocolos obsoletos para evitar que los atacantes los exploten para elevar sus privilegios en la instancia de Active Directory.\u003c/p\u003e\n","detail":"\u003ch4\u003eContexto\u003c/h4\u003e\n\u003cp\u003ePara mejorar la seguridad, use GPO de endurecimiento para evitar los protocolos anticuados que puedan contener vulnerabilidades. A estos protocolos les faltan los estándares de seguridad modernos y se desarrollaron antes de la década del 2000. Actualizar la configuración de los protocolos puede mejorar la robustez de la red frente a los ataques. Instale de inmediato las actualizaciones de seguridad de Microsoft, como Microsoft-KB4012598, que corrigen el ataque \u003cem\u003eWannaCry\u003c/em\u003e . Una única máquina vulnerada puede poner en peligro toda la infraestructura a través de su conexión con la red corporativa.\n\u003cbr\u003eUn escenario potencial podría darse de la manera siguiente:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eUn atacante se conecta a un equipo normal con una cuenta estándar.\u003c/li\u003e\n\u003cli\u003eDetecta que se usan protocolos obsoletos:\n a. Intercepta un secreto en la red y explota las debilidades del protocolo.\n b. Explota una vulnerabilidad del protocolo para el escalamiento de privilegios.\u003c/li\u003e\n\u003cli\u003eLa infraestructura queda expuesta al agente de la amenaza.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003ePara evitar las vulneraciones, proteja las máquinas con configuraciones peligrosas (con valores predeterminados o GPO inseguros); por ejemplo, quítelas de Active Directory o muévalas a una unidad organizativa dedicada en una red restringida. Cambie las credenciales o servicios compartidos. En el peor de los casos, elimine las vulnerabilidades potenciales, como las credenciales compartidas inseguras, para evitar que los atacantes extiendan el daño.\n\u003cbr\u003eSi no puede cambiar algunos protocolos obsoletos debido a necesidades operativas, adopte las medidas organizativas apropiadas para proteger las infraestructuras de directorios frente a las amenazas vinculadas a estos protocolos.\u003c/p\u003e\n\u003ch4\u003eNTLM\u003c/h4\u003e\n\u003cp\u003eNTLM es un protocolo de autenticación anticuado que es vulnerable a diversos ataques, entre otros: Pass-the-Hash, reflexión de NTLM y retransmisión de NTLM. Sin embargo, deshabilitar NTLMv1 puede hacer que algunas aplicaciones y equipos más antiguos no puedan autenticarse, lo que los dejaría inservibles. Tenga en cuenta que hay distintas versiones de NTLM y puede ubicar la configuración actual en la máquina en la siguiente ruta del registro: HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LmCompatibilityLevel. Para obtener más información, consulte los recursos externos.\n\u003cbr\u003ePara cambiar el valor con la política de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el GPO que contiene el nuevo elemento de preferencia y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, debajo de \u003cem\u003eConfiguración del equipo\u003c/em\u003e, expanda la carpeta \u003cem\u003eDirectivas\u003c/em\u003e y expanda hasta alcanzar \u003cem\u003eConfiguración de Windows\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de seguridad\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas locales\u003c/em\u003e \u0026gt; \u003cem\u003eOpciones de seguridad\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cem\u003eSeguridad de red: nivel de autenticación del administrador de LAN\u003c/em\u003e y defina el valor en Send NTLMv2 response only. Refuse LM \u0026amp; NTLM.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eSMBv1\u003c/h4\u003e\n\u003cp\u003eUsar SMBv1 sin el parche más reciente hace que el sistema sea vulnerable a \u003ccode\u003eEternalBlue\u003c/code\u003e (MS17-010). SMBv2 se publicó con Windows Vista en 2006, así que el impacto de deshabilitar SMBv1 debería ser mínimo. Sin embargo, el impacto puede variar según la arquitectura y la herencia del sistema, como una aplicación crítica que requiere SMBv1.\n\u003cbr\u003ePuede usar el siguiente comando de PowerShell para comprobar si una máquina local tiene habilitado SMBv1: Get-SmbServerConfiguration | Select EnableSMB1Protocol.\n\u003cbr\u003ePara deshabilitar el servidor SMBv1 con la política de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene el nuevo elemento de preferencia y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, debajo de \u003cem\u003eConfiguración del equipo\u003c/em\u003e, expanda la carpeta \u003cem\u003ePreferencias\u003c/em\u003e y expanda la carpeta \u003cem\u003eConfiguración de Windows\u003c/em\u003e .\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en el nodo \u003cem\u003eRegistro\u003c/em\u003e y vaya a \u003cem\u003eNuevo\u003c/em\u003e y seleccione \u003cem\u003eElemento del registro\u003c/em\u003e. En el cuadro de diálogo \u003cem\u003eNuevas propiedades del registro\u003c/em\u003e , seleccione lo siguiente:\u003c/li\u003e\n\u003c/ol\u003e\n\u003cul\u003e\n\u003cli\u003eAcción: Create\u003c/li\u003e\n\u003cli\u003eHive: HKEY_LOCAL_MACHINE\u003c/li\u003e\n\u003cli\u003eRuta de acceso de clave: SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\u003c/li\u003e\n\u003cli\u003eNombre del valor: SMB1\u003c/li\u003e\n\u003cli\u003eTipo de valor: REG_DWORD\u003c/li\u003e\n\u003cli\u003eDatos de valor: 0\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eServicio del administrador de trabajos de impresión\u003c/h4\u003e\n\u003cp\u003eEn los controladores de dominio, debe deshabilitar el servicio del administrador de trabajos de impresión. Para configurar este servicio con la política de grupo, cree o seleccione un GPO existente vinculado a los controladores de dominio (p. ej., “Directiva de controladores de dominio predeterminada”) y configure lo siguiente:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de Windows\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de seguridad\u003c/em\u003e \u0026gt; \u003cem\u003eServicios del sistema\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en el nombre de servicio \u003cem\u003eAdministrador de trabajos de impresión\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la casilla \u003cem\u003eDefinir esta configuración de directiva\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eConfigúrela en \u003ccode\u003eDeshabilitado\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eParámetros de sesiones NULL\u003c/h4\u003e\n\u003cp\u003ePara prohibir que las interfaces de SAMR y LSARPC llamen a inicios de sesión anónimos, se deberían habilitar las siguientes opciones de seguridad:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e“Acceso de red: No permitir la enumeración anónima de cuentas y recursos compartidos SAM” (RestrictAnonymous).\u003c/li\u003e\n\u003cli\u003e“Acceso de red: No permitir la enumeración anónima de cuentas SAM” (RestrictAnonymousSAM).\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEstas opciones de seguridad se pueden exigir con una política de grupo. Cree un GPO o seleccione uno existente vinculado con todos los equipos del dominio (no olvide los controladores de dominio, que son lo más importante de esta configuración) y configure lo siguiente:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de Windows\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de seguridad\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas locales\u003c/em\u003e \u0026gt; \u003cem\u003eOpciones de seguridad\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la política llamada \u003cem\u003eAcceso de red: No permitir la enumeración anónima de cuentas SAM\u003c/em\u003e:\n a. Seleccione la casilla \u003cem\u003eDefinir esta configuración de directiva\u003c/em\u003e.\n b. Configúrela en \u003ccode\u003eHabilitado\u003c/code\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la política llamada \u003cem\u003eAcceso de red: No permitir la enumeración anónima de cuentas y recursos compartidos SAM\u003c/em\u003e:\n a. Seleccione la casilla \u003cem\u003eDefinir esta configuración de directiva\u003c/em\u003e.\n b. Configúrela en \u003ccode\u003eHabilitado\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eFirma de SMB\u003c/h4\u003e\n\u003cp\u003eLa firma de SMB tiene que exigirse en los controladores de dominio y otros equipos del dominio. De manera predeterminada, esto ya sucede gracias al GPO integrado “Directiva de controladores de dominio predeterminada” para los controladores de dominio, pero tiene que corregirse si se activa una anomalía, lo que indica que se modificó.\n\u003cbr\u003eLa configuración se define en Directiva de grupo, siguiendo estos pasos:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de Windows\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de seguridad\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas locales\u003c/em\u003e \u0026gt; \u003cem\u003eOpciones de seguridad\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la política llamada \u003cem\u003eServidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la casilla \u003cem\u003eDefinir esta configuración de directiva\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eConfigúrela en \u003ccode\u003eHabilitado\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eEndurecimiento de UNC\u003c/h4\u003e\n\u003cp\u003eEl comportamiento predeterminado del endurecimiento de UNC, a partir de Windows 10 y Windows Server 2016, es exigir la autenticación e integridad mutuas.\nNo obstante, para aplicar esta configuración ampliamente y a otras versiones de los sistemas operativos, tiene que aplicarse a través de la política de grupo. Pueden hacerse excepciones según sea necesario, pero el comportamiento predeterminado debería ser habilitar la autenticación y la integridad mutuas en los recursos compartidos NETLOGON y SYSVOL en todos los controladores de dominio.\n\u003cbr\u003eLa configuración se define en Directiva de grupo, siguiendo estos pasos:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003ePlantillas administrativas\u003c/em\u003e \u0026gt; \u003cem\u003eRed\u003c/em\u003e \u0026gt; \u003cem\u003eProveedor de red\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la opción \u003cem\u003eRutas de acceso UNC protegidas\u003c/em\u003e .\u003c/li\u003e\n\u003cli\u003eConfigúrela en \u003cem\u003eHabilitado\u003c/em\u003e y haga clic en \u003cem\u003eMostrar…\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eCree las siguientes dos líneas:\n a. Para el nombre del valor, establezca \u003ccode\u003e\\\\*\\SYSVOL\u003c/code\u003e, y para el valor asociado, establezca \u003ccode\u003eRequireMutualAuthentication=1,RequireIntegrity=1\u003c/code\u003e.\n b. Para el nombre del valor, establezca \u003ccode\u003e\\\\*\\NETLOGON\u003c/code\u003e, y para el valor asociado, establezca \u003ccode\u003eRequireMutualAuthentication=1,RequireIntegrity=1\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eEnlace de canales y firma de sesiones de LDAP\u003c/h4\u003e\n\u003cp\u003eA partir de marzo de 2020, Microsoft introdujo parámetros de endurecimiento para la firma y el enlace de canales de LDAP con el fin de mejorar la seguridad frente a los ataques de tipo “Man in the middle”. Estas actualizaciones exigen que todos los clientes y servidores Windows implementen firmas y enlace de canales de LDAP para asegurar que las solicitudes de autenticación sean seguras y no puedan interceptarse.\n\u003cbr\u003eAntes de aplicar estas opciones, los administradores deberían llevar a cabo auditorías exhaustivas con el fin de asegurar que todas las aplicaciones y servicios conectados puedan admitirlas. Esto conlleva comprobar los registros de eventos de Windows y hacer los cambios necesarios en las configuraciones de las aplicaciones por anticipado.\n\u003cbr\u003eLa configuración final de firmas de LDAP se lleva a cabo en Directiva de grupo según los pasos a continuación:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de Windows\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de seguridad\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas locales\u003c/em\u003e \u0026gt; \u003cem\u003eOpciones de seguridad\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la política denominada \u003cem\u003eControlador de dominio: requisitos de firma de servidor LDAP\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eConfigúrela en \u003ccode\u003eRequerir firma\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eY para la configuración del enlace de canales de LDAP en Directiva de grupo, siga los pasos a continuación:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de Windows\u003c/em\u003e \u0026gt; \u003cem\u003eConfiguración de seguridad\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas locales\u003c/em\u003e \u0026gt; \u003cem\u003eOpciones de seguridad\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la política denominada \u003cem\u003eControlador de dominio: requisitos de token de enlace de canal de servidor LDAP\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eConfigúrela en \u003ccode\u003eSiempre\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eEndurecimiento de Apuntar e imprimir\u003c/h4\u003e\n\u003cp\u003eLa incorrecta configuración del servicio del administrador de trabajo de impresión y las políticas relacionadas puede exponer los sistemas a graves riesgos de seguridad, incluido el escalamiento de privilegios. Es fundamental administrar estas opciones con cuidado y mantener actualizados los sistemas.\n\u003cbr\u003eEl enfoque más seguro es solo permitir que los administradores instalen controladores de impresión. Si bien prioriza la seguridad, puede afectar la capacidad de uso por parte de los usuarios no administrativos. Esto se puede lograr por medio de Directiva de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003ePlantillas administrativas\u003c/em\u003e \u0026gt; \u003cem\u003eImpresoras\u003c/em\u003e \u0026gt; \u003cem\u003eLimita la instalación del controlador de impresión a los administradores\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eDefínala en \u003ccode\u003eHabilitado\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eSi este método no se puede usar en su entorno y quiere permitir que los usuarios instalen controladores de impresión, deben establecerse dos configuraciones específicas: para controladores “compatibles con paquetes” y “no compatibles con paquetes”.\n\u003cbr\u003eEn primer lugar, para los controladores “compatibles con paquetes”, debe crearse una lista de servidores de impresión permitidos y rellenarse en Directiva de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003ePlantillas administrativas\u003c/em\u003e \u0026gt; \u003cem\u003eImpresoras\u003c/em\u003e \u0026gt; \u003cem\u003eApuntar e imprimir en paquete: servidores aprobados\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eConfigúrela en \u003cem\u003eHabilitado\u003c/em\u003e y haga clic en \u003cem\u003eMostrar…\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eAgregue aquí cada uno de los servidores de impresión para crear la lista de permitidos.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eLuego, si los controladores “no compatibles con paquetes” no se usan en el entorno, esta compatibilidad puede deshabilitarse (recomendado):\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003ePlantillas administrativas\u003c/em\u003e \u0026gt; \u003cem\u003eImpresoras\u003c/em\u003e \u0026gt; \u003cem\u003eUsar solo apuntar e imprimir en paquete\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eDefínala en \u003ccode\u003eHabilitado\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eSi se necesitan los controladores “no compatibles con paquetes”, los avisos de seguridad tienen que estar bien configurados:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003ePlantillas administrativas\u003c/em\u003e \u0026gt; \u003cem\u003eImpresoras\u003c/em\u003e \u0026gt; \u003cem\u003eRestricciones de apuntar e imprimir\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eDefínala en \u003cem\u003eHabilitado\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eLuego defina el parámetro \u003cem\u003eAl instalar los controladores para una nueva conexión\u003c/em\u003e en \u003ccode\u003eMostrar advertencia e indicador de elevación\u003c/code\u003e.\u003c/li\u003e\n\u003cli\u003ePor último, establezca el parámetro \u003cem\u003eAl actualizar los controladores de una conexión existente\u003c/em\u003e en \u003ccode\u003eMostrar advertencia e indicador de elevación\u003c/code\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eCredential Guard\u003c/h4\u003e\n\u003cp\u003eSi bien Credential Guard de Windows Defender tiene limitaciones y puede omitirse mediante ciertos tipos de ataque, sigue siendo una solución eficaz para proteger las credenciales que se almacenan en memoria.\n\u003cbr\u003eSin embargo, la debida implementación puede resultar difícil debido a varios requisitos técnicos y los \u003ca href=\"https://learn.microsoft.com/es-es/windows/security/identity-protection/credential-guard/considerations-known-issues\"\u003eproblemas de compatibilidad conocidos\u003c/a\u003e. Por lo tanto, \u003cstrong\u003ees fundamental adoptar un enfoque progresivo para evitar los problemas en producción\u003c/strong\u003e.\n\u003cbr\u003eEn la documentación de Microsoft se detallan los \u003ca href=\"https://learn.microsoft.com/es-es/windows/security/identity-protection/credential-guard/#system-requirements\"\u003erequisitos del sistema\u003c/a\u003e y \u003ca href=\"https://learn.microsoft.com/es-es/windows/security/identity-protection/credential-guard/#application-requirements\"\u003erequisitos de las aplicaciones\u003c/a\u003e necesarios, que deben revisarse antes de comenzar este proyecto.\nEs importante destacar que \u003cstrong\u003eCredential Guard no es compatible con controladores de dominio\u003c/strong\u003e, por lo que el GPO de configuración debe excluir estas máquinas.\n\u003cbr\u003ePara configurar Credential Guard en Directiva de grupo, siga los pasos a continuación:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e que contiene esta configuración y haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, expanda las carpetas siguientes: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003ePlantillas administrativas\u003c/em\u003e \u0026gt; \u003cem\u003eSistema\u003c/em\u003e \u0026gt; \u003cem\u003eDevice Guard\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la opción \u003cem\u003eActivar seguridad basada en virtualización\u003c/em\u003e .\u003c/li\u003e\n\u003cli\u003eDefínala en \u003cem\u003eHabilitado\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eA continuación, defina el parámetro \u003cem\u003eConfiguración de Credential Guard\u003c/em\u003e en \u003ccode\u003eHabilitado sin bloqueo\u003c/code\u003e (la configuración \u003ccode\u003eHabilitado con bloqueo UEFI\u003c/code\u003e es ideal, pero puede ser perjudicial en producción si no se aborda correctamente).\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eBloqueo de NTLM mediante SMB\u003c/h4\u003e\n\u003cp\u003eCon el lanzamiento de Windows Server 2025 y la versión 24H2 de Windows 11, los administradores pueden configurar SMB para bloquear NTLM mediante la opción de la política de grupo: \u003ca href=\"https://learn.microsoft.com/es-es/windows-server/storage/file-server/smb-ntlm-blocking?tabs=group-policy\"\u003eBloquear conexiones NTLM en SMB\u003c/a\u003e:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eEn la Consola de administración de directivas de grupo, haga clic con el botón derecho en el \u003cem\u003eObjeto de directiva de grupo (GPO)\u003c/em\u003e en el que quiera aplicar esta configuración y seleccione \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda las siguientes carpetas en el árbol de la consola: \u003cem\u003eConfiguración del equipo\u003c/em\u003e \u0026gt; \u003cem\u003eDirectivas\u003c/em\u003e \u0026gt; \u003cem\u003ePlantillas administrativas\u003c/em\u003e \u0026gt; \u003cem\u003eRed\u003c/em\u003e \u0026gt; \u003cem\u003eEstación de trabajo Lanman\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eDefínala en \u003cem\u003eHabilitado\u003c/em\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eOtra política, \u003ca href=\"https://learn.microsoft.com/es-es/windows-server/storage/file-server/smb-ntlm-blocking?tabs=group-policy#enable-exceptions-to-ntlm-blocking\"\u003e“Bloquear la lista de excepciones del servidor NTLM”\u003c/a\u003e, le permite configurar excepciones al bloqueo de NTLM. Si determinados dispositivos siguen necesitando NTLM, puede habilitar la política principal de bloqueo de NTLM e indicar todas las excepciones en esta política adicional.\u003c/p\u003e\n","resources":[{"name":"Network security: LAN Manager authentication level","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj852207(v=ws.11)","type":"hyperlink"},{"name":"Purging Old NT Security Protocols","url":"https://learn.microsoft.com/es-es/archive/blogs/askds/purging-old-nt-security-protocols","type":"hyperlink"},{"name":"SMB1 - Audit Active Usage using Message Analyzer","url":"https://learn.microsoft.com/es-es/archive/blogs/ralphkyttle/smb1-audit-active-usage-using-message-analyzer","type":"hyperlink"},{"name":"How to disable SMBv1","url":"https://learn.microsoft.com/en-US/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3","type":"hyperlink"},{"name":"Actualización de seguridad de SMBv1","url":"https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598","type":"hyperlink"},{"name":"How to Disable Print Spooler on Domain Controller (texto en inglés)","url":"https://www.alitajran.com/disable-print-spooler-domain-controller/","type":"hyperlink"},{"name":"The Basics of SMB Signing (covering both SMB1 and SMB2) (texto en inglés)","url":"https://learn.microsoft.com/fr-fr/archive/blogs/josebda/the-basics-of-smb-signing-covering-both-smb1-and-smb2","type":"hyperlink"},{"name":"Active Directory Hardening Series - Part 3 - Enforcing LDAP Signing","url":"https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/active-directory-hardening-series-part-3-enforcing-ldap-signing/ba-p/4066233","type":"hyperlink"},{"name":"LDAP channel binding and LDAP signing requirements for Windows (KB4520412)","url":"https://support.microsoft.com/es-es/topic/2020-2023-and-2024-ldap-channel-binding-and-ldap-signing-requirements-for-windows-kb4520412-ef185fb8-00f7-167d-744c-f299a66fc00a","type":"hyperlink"},{"name":"KB5005652 - Manage new Point and Print default driver installation behavior (CVE-2021-34481)","url":"https://support.microsoft.com/en-gb/topic/kb5005652-manage-new-point-and-print-default-driver-installation-behavior-cve-2021-34481-873642bf-2634-49c5-a23b-6d8e9a302872","type":"hyperlink"},{"name":"KB5005010 - Restricting installation of new printer drivers after applying the July 6, 2021 updates","url":"https://support.microsoft.com/en-gb/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7","type":"hyperlink"},{"name":"Configuración de Credential Guard","url":"https://learn.microsoft.com/es-es/windows/security/identity-protection/credential-guard/configure?tabs=gpo","type":"hyperlink"},{"name":"Consideraciones y problemas conocidos al usar Credential Guard","url":"https://learn.microsoft.com/es-es/windows/security/identity-protection/credential-guard/considerations-known-issues","type":"hyperlink"},{"name":"Block NTLM connections on SMB (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows-server/storage/file-server/smb-ntlm-blocking?tabs=group-policy","type":"hyperlink"}]},"resources":[{"name":"\"\u003c:rm\u003e[MS-NLMP] Session Security Details\n\"\u003c:rm\u003e","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-nlmp/d1c86e81-eb66-47fd-8a6f-970050121347","type":"hyperlink"},{"name":"MS09-001: Las vulnerabilidades en SMB podrían permitir la ejecución remota de código","url":"https://support.microsoft.com/es-es/topic/ms09-001-vulnerabilities-in-smb-could-allow-remote-code-execution-165636e8-2d15-c801-b6d9-ccc60c4ad693","type":"hyperlink"},{"name":"Stop using SMB1 (texto en inglés)","url":"https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858","type":"hyperlink"},{"name":"A new look at null sessions and user enumeration (texto en inglés)","url":"https://sensepost.com/blog/2018/a-new-look-at-null-sessions-and-user-enumeration/","type":"hyperlink"},{"name":"MS15-011 - Microsoft Windows Group Policy real exploitation via a SMB MiTM attack (texto en inglés)","url":"https://www.coresecurity.com/core-labs/articles/ms15-011-microsoft-windows-group-policy-real-exploitation-via-a-smb-mitm-attack","type":"hyperlink"},{"name":"A Practical Guide to PrintNightmare in 2024","url":"https://itm4n.github.io/printnightmare-exploitation/","type":"hyperlink"},{"name":"Información general de Credential Guard","url":"https://learn.microsoft.com/es-es/windows/security/identity-protection/credential-guard/","type":"hyperlink"},{"name":"SMB NTLM blocking now supported in Windows Insider (texto en inglés)","url":"https://techcommunity.microsoft.com/blog/filecab/smb-ntlm-blocking-now-supported-in-windows-insider/3916206","type":"hyperlink"},{"name":"The evolution of Windows authentication (texto en inglés)","url":"https://techcommunity.microsoft.com/blog/windows-itpro-blog/the-evolution-of-windows-authentication/3926848","type":"hyperlink"}],"applicable_resource_types":["ad_gpt_tmpl","ad_gpo_preferences"],"attacker_known_tools":[{"name":"WannaCry","url":"https://en.wikipedia.org/wiki/WannaCry_ransomware_attack","author":"Unknown"},{"name":"mimikatz","url":"https://github.com/gentilkiwi/mimikatz/releases","author":"Gentil Kiwi"}],"category_id":3,"mitre_attacks":[{"tactic":"TA0001 - Initial Access (texto en inglés)","techniques":[]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ko_KR","zh_CN","de_DE","zh_TW","es_001","fr_FR","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-GPO-HARDENING","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["ko","zh-CN","de","zh-TW","es","fr","ja","en"],"mitre_attack_information":[{"tactic":{"id":"TA0001","name":"Initial Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0001/"},"techniques":[]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[39]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-PROTECTED-USERS-GROUP-UNUSED","_score":null,"_source":{"language_code":"es_001","codename":"C-PROTECTED-USERS-GROUP-UNUSED","name":"El grupo Protected Users no se usa","id":38,"description":"\u003cp\u003eComprueba los usuarios privilegiados que no son miembros del grupo Protected Users.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLos usuarios que no se encuentran en el grupo Protected Users ponen en riesgo la exposición de credenciales durante los procesos relacionados con la autenticación. Para proteger la mayor cantidad de cuentas sensibles y con privilegios (como los administradores de dominio) frente al robo de contraseñas en los hosts vulnerados, agregue estas cuentas a este grupo.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003ePara impedir que los ataques que usan credenciales robadas de cuentas sensibles accedan a recursos restringidos de Active Directory, es fundamental proteger las credenciales de los usuarios privilegiados. El grupo Protected Users, disponible desde Windows Server 2012 R2, puede proteger las credenciales durante el uso y el almacenamiento. Si bien usar este grupo restringe algunas características, se trata de una medida de seguridad recomendada para las cuentas sensibles, en particular aquellas que pertenecen a grupos de dominio con privilegios.\n\u003cbr\u003eEl grupo Protected Users tiene las restricciones siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eCredSSP y WDigest ya no almacenan en memoria las contraseñas en texto no cifrado (aunque se habilite \u003ccode\u003ePermitir delegar credenciales predeterminadas\u003c/code\u003e), lo que impide la delegación de la autenticación para conectarse a otros sistemas de manera transparente por medio del inicio de sesión único interno de Windows.\u003c/li\u003e\n\u003cli\u003eNTLM ya no almacena en memoria el hash de contraseña de las cuentas autenticadas.\u003c/li\u003e\n\u003cli\u003eYa no se permite la delegación restringida ni sin restricciones de la autenticación para las cuentas.\u003c/li\u003e\n\u003cli\u003eLimita la preautenticación de Kerberos a algoritmos de cifrado elevado, como AES, y deshabilita la compatibilidad con DES y RC4.\u003c/li\u003e\n\u003cli\u003eReduce la duración predeterminada de los tickets de Kerberos (TGT únicamente) de 10 a 4 horas sin renovación automática.\u003c/li\u003e\n\u003cli\u003eDeshabilita la característica de caché local del dominio. Si los controladores de dominio no están disponibles, las cuentas no pueden iniciar sesión en los equipos.\u003c/li\u003e\n\u003cli\u003ePermite que Kerberos sea el único protocolo de autenticación, y no NTLM.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eLas herramientas como Mimikatz pueden acceder a la información de autenticación en la memoria de LSASS. Un atacante que vulnere un equipo puede recuperar contraseñas o hashes de los usuarios que se autenticaron en él y acceder a sus cuentas. Los grupos Protected Users dificultan que los atacantes accedan a las credenciales de los miembros.\n\u003cbr\u003eEste indicador de exposición comprueba los criterios siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl nivel funcional de dominio (DFL) debe ser de Windows Server 2012 R2 como mínimo.\u003c/li\u003e\n\u003cli\u003eDebe usarse el grupo Protected Users para que tenga al menos un miembro.\u003c/li\u003e\n\u003cli\u003eSe debe agregar a todos los usuarios privilegiados a este grupo.\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Agregar cuentas sensibles al grupo Protected Users","description":"Proteja las credenciales de las cuentas con privilegios.\n","exec_summary":"\u003cp\u003eEl grupo Protected Users mejora la seguridad al proteger las credenciales de los miembros e impedir que los atacantes accedan a los privilegios de Active Directory. Para mejorar la seguridad, se aconseja incluir en este grupo los usuarios con derechos privilegiados.\u003c/p\u003e\n","detail":"\u003cp\u003eEl grupo Protected Users de Microsoft aplica políticas estrictas para proteger las credenciales de los usuarios, lo que hace que sea fundamental agregar a este grupo las cuentas con privilegios. No obstante, tenga en cuenta ciertos aspectos antes de agregar ninguna cuenta a este grupo:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eLa característica del grupo Protected Users exige un nivel funcional de dominio de 2012 R2 o superior. Sin embargo, Microsoft también la puso a disposición en versiones anteriores de Windows (Windows 7, Windows Server 2008 R2 y Windows Server 2012) por medio de la advertencia 2871997; así que, incluso con un nivel funcional más bajo, aún se puede usar la característica si se siguen las pautas de la advertencia.\u003c/li\u003e\n\u003cli\u003eColoque en el grupo Protected Users solo cuentas de usuario, no cuentas de servicio ni de equipo. Incluso si un atacante obtiene acceso administrativo a un equipo, aún puede extraer credenciales específicas de cuentas de servicio y cuentas de equipo (excepto gMSA) en el grupo Protected Users. Por eso, Microsoft desaconseja agregar al grupo cuentas de servicio y de equipo, ya que esto ofrece una protección incompleta, dado que la contraseña o el certificado siempre están disponibles en el host. \u003cem\u003eLa autenticación fallará para todo servicio o equipo que se encuentre en el grupo Protected Users, con el error “El nombre de usuario o la contraseña no son correctos”\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eAgregar las cuentas de usuario al grupo Protected Users puede bloquear ciertas características, así que es importante comprobar el impacto en la cuenta. Por ejemplo, los servicios que usan la suplantación de identidad para desempeñarse como un usuario específico no funcionarán en ningún miembro del grupo Protected Users.\u003c/li\u003e\n\u003cli\u003eEl usuario tendrá que volver a autenticarse para actualizar el token de autenticación de este grupo.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003ePuede definir manualmente algunas configuraciones de seguridad en el grupo Protected Users para usuarios únicos o grupos, por lo que no es necesario agregar al grupo todos los usuarios privilegiados si están protegidos. Sin embargo, el grupo ofrece una estupenda protección frente a vulnerabilidades que exponen las credenciales de usuario y es una manera rápida de proteger las cuentas críticas.\n\u003cbr\u003eAl configurar el grupo Protected Users por primera vez, puede ser provechoso habilitar los registros correspondientes para tener un mejor panorama del uso del grupo y detectar posibles bloqueos.\nPara ello, habilite los registros ProtectedUser-Client, ProtectedUserFailures-DomainController y ProtectedUserSuccesses-DomainController disponibles en el Visor de eventos de Windows: Applications and Services Logs \u0026gt; Microsoft \u0026gt; Windows \u0026gt; Authentication.\n\u003cbr\u003eAl configurar el grupo Protected Users, habilite los registros correspondientes para detectar posibles bloqueos. Habilite los registros ProtectedUser-Client, ProtectedUserFailures-DomainController y ProtectedUserSuccesses-DomainController en el Visor de eventos de Windows (Applications and Services Logs \u0026gt; Microsoft \u0026gt; Windows \u0026gt; Authentication). Estos registros ofrecen comentarios detallados acerca de los intentos de autenticación por parte de los miembros del grupo, lo que permite la validación de las características desbloqueadas de las cuentas agregadas recientemente.\u003c/p\u003e\n","resources":[{"name":"Cómo configurar cuentas protegidas","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/manage/how-to-configure-protected-accounts\n","type":"hyperlink"}]},"resources":[{"name":"Grupo de seguridad de usuarios protegidos","url":"https://learn.microsoft.com/es-es/windows-server/security/credentials-protection-and-management/protected-users-security-group\n","type":"hyperlink"},{"name":"Cómo configurar cuentas protegidas","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/manage/how-to-configure-protected-accounts\n","type":"hyperlink"}],"applicable_resource_types":["ad_group","ad_root_domain"],"attacker_known_tools":[{"name":"mimikatz - Silver tickets","url":"https://github.com/gentilkiwi/mimikatz/releases","author":"Gentil Kiwi"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1003.001 - OS Credential Dumping - LSASS Memory (texto en inglés)","T1003.005 - OS Credential Dumping - Cached Domain Credentials (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","fr_FR","zh_TW","ja_JP","ko_KR","de_DE","zh_CN","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-PROTECTED-USERS-GROUP-UNUSED","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["es","fr","zh-TW","ja","ko","de","zh-CN","en"],"mitre_attack_information":[{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1003.001","name":"OS Credential Dumping - LSASS Memory (texto en inglés)","url":"https://attack.mitre.org/techniques/T1003/001/"},{"id":"T1003.005","name":"OS Credential Dumping - Cached Domain Credentials (texto en inglés)","url":"https://attack.mitre.org/techniques/T1003/005/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[38]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-PASSWORD-NOT-REQUIRED","_score":null,"_source":{"language_code":"es_001","codename":"C-PASSWORD-NOT-REQUIRED","name":"Cuenta con posible contraseña vacía","id":37,"description":"\u003cp\u003eIdentifica las cuentas de usuario que permiten las contraseñas vacías.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eConfigurar una cuenta con una contraseña opcional durante la creación de la cuenta o el restablecimiento de la contraseña permite que la cuenta tenga una contraseña vacía (es decir, no se necesita contraseña para iniciar sesión) y la expone a vulneraciones.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eAl crear una cuenta o restablecer su contraseña, la cuenta puede tener una contraseña vacía con una opción PASSWD_NOTREQD definida mediante el atributo userAccountControl. Sin embargo, una contraseña definida por el usuario no puede estar en blanco. Para asegurar que la contraseña no esté vacía cuando el usuario se conecte y cambie la contraseña, la opción \u003ccode\u003eEl usuario debe cambiar la contraseña en el siguiente inicio de sesión\u003c/code\u003e no se ve afectada. Las cuentas sin contraseña son sumamente vulnerables, y usuarios malintencionados pueden obtener sus derechos y acceder a todos sus recursos.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Quitar toda posibilidad de que las cuentas tenga una contraseña vacía","description":"Ninguna cuenta debería tener definida la opción PASSWD_NOTREQD.","exec_summary":"\u003cp\u003eCompruebe haber configurado correctamente todas las cuentas de Active Directory para no permitir el uso de contraseñas en blanco, en especial si se trata de cuentas con privilegios.\u003c/p\u003e\n","detail":"\u003cp\u003eNo establezca la marca de la propiedad PASSWD_NOTREQD en el atributo userAccountControl de las cuentas de AD. Esta es una debilidad en la seguridad que los usuarios malintencionados pueden explotar fácilmente, y no hay motivos válidos para tener una cuenta con la contraseña vacía.\n\u003cbr\u003ePara deshabilitar la capacidad de definir una contraseña vacía, quite la marca de la propiedad PASSWD_NOTREQD en el atributo userAccountControl. Un administrador puede agregar esta opción por error durante la creación de una cuenta o cambiarla luego por practicidad, pero, desde el punto de vista de la seguridad, esto no debe hacerse nunca.\n\u003cbr\u003eTenga en cuenta que, en las versiones recientes de Windows (a partir de Windows Server 2008 R2), esta opción está deshabilitada de manera predeterminada durante la creación de una cuenta. Esto es así para todas las maneras administrativas habituales de crear una cuenta, ya sea por medio de la GUI de Microsoft Management Console (complemento de Active Directory Users and Computers), con entradas de comandos de PowerShell o cmd (\u003ccode\u003enet user\u003c/code\u003e).\nTenga en cuenta que, en las versiones recientes de Windows (a partir de Windows Server 2008 R2), esta opción está deshabilitada de manera predeterminada durante la creación de una cuenta, incluso a través de los métodos administrativos habituales, como la GUI de Microsoft Management Console (complemento de Active Directory Users and Computers), entradas de comandos de PowerShell o cmd (\u003ccode\u003enet user\u003c/code\u003e).\n\u003cbr\u003ePara quitar esta opción de una cuenta en particular, siga el procedimiento a continuación:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eUse el siguiente comando de PowerShell y sustituya \u003ccode\u003e{nombre del usuario}\u003c/code\u003e por el nombre del usuario: \u003ccode\u003eGet-ADUser -Identity {nombre del usuario} | Set-ADUser -PasswordNotRequired $false\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003eSi la operación falla, significa que la cuenta tiene una contraseña en blanco y se debe restablecer el campo de contraseña antes de avanzar. La nueva contraseña tiene que cumplir con la política del dominio o, de lo contrario, la opción para modificarla no estará disponible:\u003cul\u003e\n\u003cli\u003eAsegúrese de antemano de que la cuenta no esté en uso actualmente ni se necesite en el futuro cercano.\u003c/li\u003e\n\u003cli\u003eRestablezca la contraseña según la política de contraseñas del dominio de la cuenta.\u003c/li\u003e\n\u003cli\u003ePruebe nuevamente a quitar la marca de la propiedad PASSWD_NOTREQD en el atributo userAccountControl con el comando de PowerShell anterior.\u003c/li\u003e\n\u003cli\u003eSi todavía falla, compruebe que la contraseña se haya cambiado correctamente y que la cuenta que usó para hacer los cambios tenga los permisos necesarios.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eSi descubre que una cuenta con privilegios tiene una contraseña vacía, la situación es crítica. Toda la infraestructura de Active Directory puede estar en riesgo, y existe la posibilidad de que ya se haya vulnerado, junto con todos sus recursos.\n\u003cbr\u003ePara mitigar el riesgo, primero debe deshabilitar la cuenta para neutralizarla, definir una contraseña compleja y moverla a unidad organizativa dedicada. Luego, cree una nueva cuenta para reemplazarla. Antes de esto, lleve a cabo una auditoría del rol de la cuenta para evitar posibles fallas funcionales en el entorno.\u003c/p\u003e\n","resources":[{"name":"Understanding and Remediating \"PASSWD_NOTREQD\"","url":"https://learn.microsoft.com/es-es/archive/blogs/russellt/passwd_notreqd","type":"hyperlink"}]},"resources":[{"name":"How to use the UserAccountControl flags to manipulate user account properties (texto en inglés)","url":"https://learn.microsoft.com/es-es/troubleshoot/windows-server/identity/useraccountcontrol-manipulate-account-properties","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0001 - Initial Access (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_TW","de_DE","ja_JP","ko_KR","zh_CN","fr_FR","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-PASSWORD-NOT-REQUIRED","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["zh-TW","de","ja","ko","zh-CN","fr","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0001","name":"Initial Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0001/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[37]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-USERS-CAN-JOIN-COMPUTERS","_score":null,"_source":{"language_code":"es_001","codename":"C-USERS-CAN-JOIN-COMPUTERS","name":"Usuarios con permiso para unir equipos al dominio","id":36,"description":"\u003cp\u003eCompruebe que los usuarios normales no puedan unir equipos externos al dominio.\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003eDe manera predeterminada, cualquier usuario privilegiado o sin privilegios puede agregar un equipo a un dominio al crear una nueva cuenta de equipo en la instancia de Active Directory. Si en este equipo se almacena información confidencial, podría volverse un riesgo de seguridad y el usuario que la haya agregado podría aún tener privilegios en ella, por lo que se podrían crear puertas traseras. Esta característica también puede simplificar la explotación de vulnerabilidades (CVE-2021-42278, CVE-2021-42287). Se recomienda deshabilitar esta característica y comprobar los equipos existentes que se hayan agregado por medio de esta característica.\n\u003cbr\u003eEl indicador de ataque \u003cstrong\u003eSuplantación de identidad de sAMAccountName\u003c/strong\u003e puede detectar ataques, pero no evita que haya que solucionar el problema.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003ePara unir una nueva estación de trabajo a un dominio de Active Directory, Windows emplea distintas estrategias hasta que adquiere correctamente una cuenta de equipo en la instancia de Active Directory o agota todas las opciones posibles. Estas estrategias incluyen:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eBuscar en el dominio una cuenta de equipo deshabilitada con el mismo nombre y asignárselo al equipo externo.\u003c/li\u003e\n\u003cli\u003eUsar los derechos del usuario actual para crear una nueva cuenta en el contenedor de equipo predeterminado, lo que exige que el usuario tenga los privilegios necesarios.\u003c/li\u003e\n\u003cli\u003eUsar la opción de seguridad \u003ccode\u003eAdd a workstation to the domain\u003c/code\u003e, que se define en los controladores de dominio, para crear una cuenta correspondiente. De manera predeterminada, esta opción está disponible para todos los usuarios autenticados, independientemente de los derechos de sus cuentas de usuario. Como consecuencia, un usuario normal del dominio puede llevar a cabo esta acción.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eDebería prohibir esta última estrategia que implica el uso de la opción de seguridad “Add a workstation to the domain”. Permitir que un usuario normal pueda unir un equipo externo al dominio convierte al usuario en creador de la cuenta de equipo en el directorio, lo que es una configuración de riesgo. Esto le otorga al usuario ciertos derechos en la cuenta, entre otros:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eLa capacidad de cambiar los valores de los atributos siguientes: description, displayName, sAMAccountName, servicePrincipalName (siempre que cumplan con las restricciones de “escritura validada”) y ms-DS-Key-Credential-Link (lo mismo para las restricciones de “escritura validada”).\u003c/li\u003e\n\u003cli\u003eLa capacidad de cambiar la totalidad de los atributos siguientes de los \u003ccode\u003econjuntos de propiedades\u003c/code\u003e:\u003cul\u003e\n\u003cli\u003eLogon Information: atributos badPwdCount, homeDirectory, homeDrive, lastLogoff, lastLogon, lastLogonTimestamp, logonCount, logonHours, logonWorkstation, profilePath, scriptPath, userWorkstations\u003c/li\u003e\n\u003cli\u003eAccount Restrictions: atributos accountExpires, msDS-AllowedToActOnBehalfOfOtherIdentity, msDS-User-Account-Control-Computed, msDS-UserPasswordExpiryTimeComputed, pwdLastSet, userAccountControl, userParameters\u003c/li\u003e\n\u003cli\u003eDNS Host Name Attributes (“escritura validada”): atributos dNSHostName y msDS-AdditionalDnsHostName\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eLa creación de un objeto secundario.\u003c/li\u003e\n\u003cli\u003eLa adquisición de los siguientes derechos extendidos en el objeto de equipo: cambiar la contraseña de la cuenta de equipo (Change Password), restablecer la contraseña (Reset Password), enviar y recibir correos electrónicos desde un buzón de correo (Send As, Receive As), delegar la autenticación (Allowed to Authenticate).\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAlgunos de estos derechos son sumamente sensibles y podrían llevar posiblemente a la vulneración inmediata del equipo, lo que ofrecería una puerta trasera constante a la instancia de Active Directory. Además, dado que el usuario también configuró el sistema operativo, puede que en el futuro conserve el acceso administrativo local, lo que crea una puerta trasera para el sistema.\n\u003cbr\u003eEntonces, un usuario normal tendría privilegios en un equipo que podría volverse sensible para la empresa, ya que contendría información crítica o tendría privilegios elevados; por ejemplo, se volvería la estación de trabajo de un administrador o un servidor actualizado a controlador de dominio.\n\u003cbr\u003ePara poder agregar un equipo al dominio, la cuenta de usuario debe cumplir con dos condiciones: tiene que estar incluida en la opción de seguridad \u003ccode\u003eAdd a workstation to the domain\u003c/code\u003e (ya sea directamente a través de la cuenta o como parte de un grupo) y no tiene que haber superado la cantidad máxima de equipos que puede unir al dominio.\n\u003cbr\u003eDe manera predeterminada, cada usuario recién creado en el dominio se agrega al grupo \u003ccode\u003eUsuarios autenticados\u003c/code\u003e, lo que les otorga la capacidad de agregar un equipo.\n\u003cbr\u003ePara determinar si el usuario superó su cuota, se puede calcular la diferencia entre la cuota máxima definida en el dominio y la cantidad de equipos que el usuario agregó. El atributo ms-DS-MachineAccountQuota en el dominio contiene el valor máximo. Además, cada estación de trabajo que el usuario haya agregado tendrá el atributo mS-DS-CreatorSID completado con el identificador de seguridad (SID) del usuario que agregó el equipo.\n\u003cbr\u003eSi el usuario puede crear una cuenta de equipo como miembro de un grupo con privilegios o mediante delegación, no estará sujeto a la cuota máxima del dominio. Asimismo, no es necesario que esté incluido en la lista de la opción de seguridad \u003ccode\u003eAdd a workstation to the domain\u003c/code\u003e.\n\u003cbr\u003eEn algunos casos, este error de configuración también representa un riesgo de explotación. En noviembre de 2021, Microsoft abordó un conjunto de vulnerabilidades (CVE-2021-42278 y CVE-2021-42287) en controladores de dominio, que permitían una elevación de privilegios en el dominio. Si bien este error de configuración no es un requisito previo para explotar estos problemas de seguridad, sin dudas que puede facilitar el proceso, en especial para las herramientas de ataque totalmente automatizadas. Por lo tanto, es importante corregir este problema lo antes posible, incluso aunque el indicador de ataque \u003cstrong\u003eSuplantación de identidad de sAMAccountName\u003c/strong\u003e pueda notificarle en caso de ataque.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Impedir que los usuarios normales unan equipos","description":"Compruebe que la cuota definida para agregar estaciones de trabajo al dominio esté definida en 0.","exec_summary":"\u003cp\u003eAsegúrese de que no todos los usuarios puedan unir equipos al dominio de Active Directory; para ello, modifique el valor predeterminado del infame atributo ms-DS-MachineAccountQuota (también conocido como “MachineAccountQuota”) para autorizar únicamente a administradores designados. Además, es posible que algunos equipos existentes se hayan agregado al dominio por medios no autorizados. En tales casos, puede que sea necesario reinstalar esos equipos y aplicar el archivo maestro de Windows de la organización. Si bien esta puede ser una tarea costosa, es importante analizar los riesgos potenciales a los que lo dejan expuesto estos equipos, que pueden carecer del endurecimiento de seguridad adecuado o contener puertas traseras ocultas que podrían dejar el dominio vulnerable a los ataques.\u003c/p\u003e\n","detail":"\u003cp\u003ePermitir que todos los usuarios del dominio agreguen estaciones de trabajo al dominio no es una práctica recomendada. Cuando un usuario crea una cuenta de equipo, obtiene derechos privilegiados en ella e, incluso, puede tener acceso de administrador local a todos sus recursos.\n\u003cbr\u003ePermita que solo los usuarios privilegiados puedan crear cuentas de equipo al configurar nuevas estaciones de trabajo y servidores. Exigir esta medida de seguridad impide que los usuarios normales creen cuentas de equipo y agreguen estaciones de trabajo al dominio, ya que esto puede llevar a la fácil explotación de los privilegios.\n\u003cbr\u003eDe manera predeterminada, la opción de seguridad “Agregar estaciones de trabajo al dominio” está disponible para todos los usuarios y los usuarios normales pueden unir nuevas estaciones de trabajo al dominio según la cuota máxima definida para el dominio.\n\u003cbr\u003eOtorgue el permiso a los usuarios privilegiados que estarán a cargo de agregar nuevos equipos:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eEn la unidad organizativa del contenedor, donde se crean las cuentas de equipo, seleccione Delegate Control.\u003c/li\u003e\n\u003cli\u003eElija el usuario o grupo que recibirá el permiso.\u003c/li\u003e\n\u003cli\u003ePersonalice la delegación de la opción \u003ccode\u003eCrear una tarea personalizada para delegar\u003c/code\u003e para seleccionar los objetos de equipo.\u003c/li\u003e\n\u003cli\u003eAsegúrese de otorgar el derecho de creación debajo de la selección del objeto.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003e Además de otorgar el permiso para crear cuentas de equipo, puede ser provechoso permitir que el usuario responsable de esta tarea administrativa también pueda eliminar cuentas de equipo. Tenga en cuenta que, una vez que se otorga este derecho, ms-DS-MachineAccountQuota ya no limita la cantidad de cuentas de equipo que se pueden agregar.\n\u003cbr\u003ePara quitar el permiso a los usuarios normales:\n Dado que los usuarios privilegiados no están sujetos a la cuota máxima del dominio, no es necesario establecer un valor mayor que 0 para ese atributo. Para definir el valor en 0, use el siguiente comando de PowerShell: \u003ccode\u003eSet-ADDomain (Get-ADDomain).distinguishedname -Replace @{\"ms-ds-MachineAccountQuota\"=\"0\"}\u003c/code\u003e.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"Who can add workstation to the domain","url":"https://learn.microsoft.com/es-es/archive/blogs/dubaisec/who-can-add-workstation-to-the-domain","type":"hyperlink"},{"name":"Default limit to number of workstations a user can join to the domain (texto en inglés)","url":"https://learn.microsoft.com/en-US/troubleshoot/windows-server/identity/default-workstation-numbers-join-domain","type":"hyperlink"}],"applicable_resource_types":["ad_root_domain","ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0002 - Execution (texto en inglés)","techniques":[]},{"tactic":"TA0042 - Resource Development (texto en inglés)","techniques":["T1585 - Establish Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_CN","ko_KR","de_DE","es_001","fr_FR","zh_TW","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-USERS-CAN-JOIN-COMPUTERS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["zh-CN","ko","de","es","fr","zh-TW","ja","en"],"mitre_attack_information":[{"tactic":{"id":"TA0002","name":"Execution (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0002/"},"techniques":[]},{"tactic":{"id":"TA0042","name":"Resource Development (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0042/"},"techniques":[{"id":"T1585","name":"Establish Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1585/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[36]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-AAD-SSO-PASSWORD","_score":null,"_source":{"language_code":"es_001","codename":"C-AAD-SSO-PASSWORD","name":"Último cambio de la contraseña de la cuenta de Microsoft Entra SSO","id":35,"description":"\u003cp\u003eGarantiza los cambios periódicos de la contraseña de la cuenta de Microsoft Entra SSO.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eCada instancia de Active Directory que use la característica SSO de Microsoft Entra ID incluye una cuenta de equipo especial: AZUREADSSOACC.\nEsta cuenta conserva el secreto maestro usado para que los usuarios del dominio local se autentiquen en Microsoft Azure. Es fundamental que proteja dicha cuenta a toda costa.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eHabilitar la característica “Microsoft Entra Seamless Single Sign-On” en Microsoft Entra Connect ofrece una manera sencilla de operar entre una instancia local de AD y Microsoft Entra ID.\nA tales efectos, la instalación inicial crea una cuenta específica (AZUREADSSOACC). Esta cuenta es sensible porque tiene la capacidad de emitir tickets de Kerberos para cualquier usuario en su dominio de AD, lo que da acceso a cualquier aplicación de Azure como cualquier usuario.\nSi bien esta cuenta AZUREADSSOACC es una cuenta de equipo, sus credenciales no se renuevan automáticamente y su contraseña nunca vence. Por tal motivo, Microsoft proporciona un script para que lo ejecute periódicamente con el fin de cambiar la clave de descifrado de Kerberos de la cuenta.\n\u003cbr\u003eEste indicador de exposición emite una alerta si la clave de Kerberos no cambió recientemente según lo recomendado por Microsoft (mensualmente).\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Cambiar la clave de descifrado de Kerberos de la cuenta AZUREADSSOACC","description":"La cuenta especial AZUREADSSOACC debe protegerse mediante la rotación periódica de las credenciales.\n","exec_summary":"\u003cp\u003eCambiar la clave de la cuenta AZUREADSSOACC es una operación especial que requiere el uso de un script de Microsoft.\u003c/p\u003e\n","detail":"\u003cp\u003eMicrosoft ofrece un \u003ca href=\"https://learn.microsoft.com/es-es/azure/active-directory/hybrid/connect/how-to-connect-sso-faq#how-can-i-roll-over-the-kerberos-decryption-key-of-the--azureadsso--computer-account-\"\u003eprocedimiento oficial\u003c/a\u003e para generar una contraseña aleatoria segura para esta cuenta, que usa 256 caracteres alfanuméricos. Para obtener los mejores resultados, un administrador de dominio debe seguir este proceso manualmente y, de preferencia, solo una vez (es decir, no dos veces seguidas).\n\u003cbr\u003eLleve a cabo el procedimiento siguiente cada 30 días:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003e\u003cp\u003eObtenga la lista de bosques de AD que tienen habilitado el \u003ccode\u003einicio de sesión único de conexión directa\u003c/code\u003e:\n a. Descargue e instale Azure AD PowerShell.\n b. Vaya a la carpeta %programfiles%\\Microsoft Azure Active Directory Connect.\n c. Importe el módulo de PowerShell de SSO de conexión directa con el comando siguiente: Import-Module .\\AzureADSSO.psd1.\n d. Ejecute PowerShell como administrador. En PowerShell, llame a New-AzureADSSOAuthenticationContext. Este comando abre una ventana emergente donde escribir las credenciales de Global Administrator del inquilino.\n e. Llame a Get-AzureADSSOStatus | ConvertFrom-Json. Este comando le muestra la lista de bosques de AD (consulte la lista “Dominios”) que tienen habilitada esta característica.\u003c/p\u003e\n\u003c/li\u003e\n\u003cli\u003e\u003cp\u003eActualice la clave de descifrado de Kerberos en cada bosque de AD donde se configuró:\n a. Llame a $creds = Get-Credential. En el símbolo del sistema, escriba las credenciales del administrador de dominio del bosque de AD objetivo.\n b. Llame a Update-AzureADSSOForest -OnPremCredentials $creds. Este comando actualiza la clave de descifrado de Kerberos para la cuenta de equipo AZUREADSSOACC en este bosque de AD específico y la actualiza en Microsoft Entra ID.\n c. Repita los pasos anteriores para cada bosque de AD que tenga habilitada esta característica.\u003c/p\u003e\n\u003c/li\u003e\n\u003c/ol\u003e\n","resources":[]},"resources":[{"name":"Introduction to Azure Active Directory Seamless Single Sign-On","url":"https://learn.microsoft.com/es-es/azure/active-directory/hybrid/how-to-connect-sso-quick-start","type":"hyperlink"},{"name":"Changing the Kerberos decryption key of the AZUREADSSOACC computer account","url":"https://learn.microsoft.com/es-es/azure/active-directory/hybrid/connect/how-to-connect-sso-faq#how-can-i-roll-over-the-kerberos-decryption-key-of-the--azureadsso--computer-account-","type":"hyperlink"},{"name":"Internals of Azure AD Seamless SSO","url":"https://learn.microsoft.com/es-es/azure/active-directory/hybrid/how-to-connect-sso-how-it-works","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":[]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","fr_FR","zh_TW","ko_KR","ja_JP","es_001","zh_CN","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-AAD-SSO-PASSWORD","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["de","fr","zh-TW","ko","ja","es","zh-CN","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[35]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-ABNORMAL-ENTRIES-IN-SCHEMA","_score":null,"_source":{"language_code":"es_001","codename":"C-ABNORMAL-ENTRIES-IN-SCHEMA","name":"Derechos peligrosos en el esquema de AD","id":34,"description":"\u003cp\u003eEnumera las entradas del esquema que se consideran anómalas y que podrían ofrecer un medio de persistencia.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eEl esquema de Active Directory es la base para crear objetos y atributos; toda modificación del esquema debe realizarse con cuidado.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eAlgunos programas de software de terceros pueden modificar el esquema para que funcione correctamente. Por ejemplo, Microsoft Exchange crea nuevos objetos y atributos para los datos relacionados con los servicios de mensajería y buzones de correo. Es fundamental asegurarse de que estas modificaciones no creen vulnerabilidades de seguridad en Active Directory, como otorgar derechos peligrosos a cuentas sin privilegios, lo que podría conducir a un escalamiento de privilegios en el dominio.\n\u003cbr\u003eMicrosoft actualiza periódicamente el esquema de Active Directory. Las versiones más recientes de Windows Server introducen algunas características que agregan nuevos objetos y atributos al esquema. Por ejemplo, actualizar de Windows Server 2012 R2 a 2016 introduciría nuevos objetos classSchema (p. ej., ms-DS-Device-MDMStatus) y modificaría algunos existentes (p. ej., la clase ms-DS-Device gana un nuevo atributo systemMayContain).\n\u003cbr\u003eEl esquema de Active Directory puede ser un lugar sigiloso donde colocar una puerta trasera. Dado que no es un objetivo evidente, los atacantes pueden usarlo como mecanismo de persistencia tras vulnerar el sistema. Sin embargo, se necesitan derechos con privilegios elevados para la modificación. Usar el atributo defaultSecurityDescriptor es una manera óptima de instalar una puerta trasera, ya que aplica ACL de seguridad en cualquier objeto creado de esa clase.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Comprobar el atributo defaultSecurityDescriptor","description":"Compruebe que el atributo defaultSecurityDescriptor del objeto no permita demasiados derechos de acceso.","exec_summary":"\u003cp\u003ePara evaluar el riesgo potencial y la verdadera intención de un cambio de configuración, investigue un objeto classSchema con un atributo defaultSecurityDescriptor peligroso.\u003c/p\u003e\n","detail":"\u003cp\u003eUn defaultSecurityDescriptor en un objeto classSchema que otorgue demasiados derechos de acceso a los usuarios sin privilegios puede llevar a una vulneración grave de la seguridad y debería evitarse.\n\u003cbr\u003ePara seguir el principio de privilegios mínimos, analice y corrija el objeto de la clase anómala mediante el complemento Esquema de Microsoft Management Console. Luego, compruebe y corrija cada instancia de objeto de la clase que tenga una ACE incorrecta. Si una herramienta de un tercero exige modificar el defaultSecurityDescriptor, considere los administradores de ACL como privilegiados y protéjalos. Antes de quitar permisos, evalúe las modificaciones con cuidado, ya que pueden afectar a aplicaciones o usuarios que los usan.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"About the Active Directory Schema","url":"https://learn.microsoft.com/es-es/windows/win32/ad/about-the-active-directory-schema","type":"hyperlink"},{"name":"Default Security Descriptor","url":"https://learn.microsoft.com/es-es/windows/win32/ad/default-security-descriptor","type":"hyperlink"}],"applicable_resource_types":["ad_class_schema"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","zh_TW","ja_JP","ko_KR","zh_CN","de_DE","fr_FR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-ABNORMAL-ENTRIES-IN-SCHEMA","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["es","zh-TW","ja","ko","zh-CN","de","fr","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[34]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-USER-PASSWORD","_score":null,"_source":{"language_code":"es_001","codename":"C-USER-PASSWORD","name":"Cuenta de usuario con contraseña antigua","id":33,"description":"\u003cp\u003eComprueba las actualizaciones periódicas de todas las contraseñas de cuentas activas en Active Directory para reducir el riesgo de robo de credenciales.\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003ePara mitigar el riesgo de robo de credenciales, se aconseja actualizar periódicamente las contraseñas de todas las cuentas activas en Active Directory. Sin embargo, si los usuarios tienen que cambiar la contraseña con demasiada frecuencia, esto puede conducir a la selección de contraseñas predecibles o al almacenamiento de contraseñas en lugares inseguros, lo que aumenta la probabilidad de que se produzcan robos de credenciales.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eCuanto más tiempo se use una contraseña, el riesgo de vulneración por parte de atacantes será mayor, debido a la complejidad del mecanismo de inicio de sesión único de Microsoft y a una amplia variedad de técnicas de ciberataque. La \u003cem\u003edifusión de contraseña\u003c/em\u003e, los ataques de \u003cem\u003efuerza bruta\u003c/em\u003e y el \u003cem\u003erobo de credenciales\u003c/em\u003e son maneras habituales en que los atacantes pueden acceder a contraseñas de texto no cifrado.\n\u003cbr\u003eSi una cuenta de usuario tiene una contraseña antigua, esto representa un riesgo de seguridad, ya que los atacantes pueden usar una contraseña vulnerada durante todo el plazo que el usuario tenga acceso autorizado. Además, si un atacante obtiene un hash de contraseña (hash de NT) de una cuenta de Active Directory, puede usarlo para conectarse a varios servicios sin tener que descifrar el hash hasta que se cambie la contraseña.\n\u003cbr\u003eCon las capacidades informáticas de la actualidad, los atacantes pueden descifrar incluso las contraseñas seguras en cuestión de pocas semanas. Los cambios frecuentes de contraseña pueden reducir la posibilidad de que un atacante use una contraseña descifrada, pero si este intervalo se define en un valor muy bajo, puede aumentar la cantidad de llamadas al departamento de asistencia porque los usuarios hayan olvidado su contraseña actual.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Renovar la contraseña de cuentas confidenciales a una frecuencia adecuada","description":"La contraseña de una cuenta de Active Directory que administre accesos confidenciales debe cambiarse a una frecuencia apropiada.\n","exec_summary":"\u003cp\u003eTenable recomienda implementar una política de renovación de contraseñas para las cuentas con derechos de acceso confidencial en el sistema de información. Configure esta política para impedir que los usuarios cambien de contraseña con demasiada frecuencia, lo que podría aumentar la probabilidad de un uso predecible de las contraseñas.\u003c/p\u003e\n","detail":"\u003cp\u003ePara evitar que los atacantes exploten las credenciales robadas durante un inicio de sesión, puede implementarse una política de contraseñas que actualice las contraseñas de usuario periódicamente. No obstante, es importante seleccionar con cuidado la frecuencia de las actualizaciones de las contraseñas y qué cuentas de usuario están sujetas a esta política.\n\u003cbr\u003eEn 2017, NIST cambió su postura frente a los cambios periódicos de contraseña (consulte el vínculo en los recursos), debido a la tendencia de los usuarios a elegir contraseñas predecibles y fáciles de recordar o de modificar de manera incremental sus contraseñas actuales cada vez que tienen que cambiarlas. Exigir cambios de contraseña frecuentes puede llevar a una organización a usar contraseñas más débiles.\n\u003cbr\u003ePor lo tanto, Tenable recomienda crear políticas de contraseña personalizadas según el nivel de acceso otorgado a los distintos grupos de usuarios en Active Directory. Existen tres grupos de usuarios de AD:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003cstrong\u003eCuentas de nivel 0\u003c/strong\u003e: estas cuentas tienen acceso completo a la instancia de Active Directory y otras aplicaciones sensibles de la empresa. Los usuarios que tienen estos privilegios deben ser conscientes de la criticidad de sus derechos de acceso y deben cumplir con una política de contraseñas estricta que exija contraseñas largas y complejas. Tenable recomienda cambiar estas contraseñas \u003cstrong\u003ecada seis meses\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003e\u003cstrong\u003eCuentas de nivel 1\u003c/strong\u003e: estas cuentas son cuentas de servicio o tienen acceso administrativo a los servidores empresariales. Pueden estar sujetas a una política de contraseñas más flexible y pueden \u003cstrong\u003erenovar las contraseñas solo una vez al año\u003c/strong\u003e. El procedimiento que describa cómo renovar las cuentas de servicio debe estar documentado.\u003c/li\u003e\n\u003cli\u003e\u003cstrong\u003eCuentas de nivel 2\u003c/strong\u003e: estas cuentas pertenecen a usuarios normales que realizan sus actividades cotidianas y no poseen acceso sensible a la empresa. Tenable recomienda renovar las contraseñas una vez cada tres años o cuando se detecte un incidente de seguridad en el sistema de información.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch2\u003eCómo definir una política de renovación de contraseñas mediante una política de grupo\u003c/h2\u003e\n\u003col\u003e\n\u003cli\u003eEjecute la herramienta \u003cem\u003eDirectiva de grupo\u003c/em\u003e, ya sea desde el complemento MMC o desde las herramientas del administrador de servidores.\u003c/li\u003e\n\u003cli\u003eEdite un GPO existente o cree uno nuevo y vincúlelo al contenedor donde quiere aplicar la nueva política.\u003c/li\u003e\n\u003cli\u003eSeleccione \u003cem\u003eConfiguración del equipo\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eDirectivas\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eConfiguración de Windows\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eConfiguración de seguridad\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eDirectivas de cuenta\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione \u003cem\u003eDirectiva de contraseñas\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cem\u003eVigencia máxima de la contraseña\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eCompruebe que la casilla \u003cem\u003eDefinir esta configuración de directiva\u003c/em\u003e esté marcada.\u003c/li\u003e\n\u003cli\u003eEscriba la cantidad de días que deben transcurrir antes de que se exija al usuario cambiar su contraseña. No escriba 0 para evitar deshabilitar la política de renovación de contraseñas.\u003c/li\u003e\n\u003cli\u003eHaga clic en \u003cem\u003eAceptar\u003c/em\u003e para validar.\u003c/li\u003e\n\u003c/ol\u003e\n","resources":[]},"resources":[{"name":"NIST - Digital Identity Guidelines Authentication and Lifecycle Management","url":"https://pages.nist.gov/800-63-3/sp800-63b.html\n","type":"hyperlink"},{"name":"Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903","url":"https://learn.microsoft.com/es-es/archive/blogs/secguide/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903","type":"hyperlink"},{"name":"NCSC - Password administration for system owners","url":"https://www.ncsc.gov.uk/collection/passwords","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[{"name":"THC-Hydra","url":"https://github.com/vanhauser-thc/thc-hydra","author":"van Hauser / THC"},{"name":"John the Ripper","url":"https://www.openwall.com/john/","author":"Solar Designer"},{"name":"Hashcat","url":"https://hashcat.net/hashcat/","author":"Jens Steube"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","zh_TW","de_DE","fr_FR","ko_KR","ja_JP","zh_CN","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-USER-PASSWORD","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["es","zh-TW","de","fr","ko","ja","zh-CN","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[33]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-AAD-CONNECT","_score":null,"_source":{"language_code":"es_001","codename":"C-AAD-CONNECT","name":"Verificar los permisos relacionados con cuentas de Microsoft Entra Connect","id":32,"description":"\u003cp\u003eAsegúrese de que los permisos definidos en las cuentas de Microsoft Entra Connect estén equilibrados.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eLos permisos de las cuentas de Microsoft Entra Connect (MSOL) deben estar equilibrados debido a su impacto en todo el dominio de Active Directory.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLa instalación de Microsoft Entra Connect (anteriormente Azure AD Connect) requiere la configuración de varias cuentas para habilitar la sincronización entre la instancia local de Active Directory (AD) y Microsoft Entra ID. Por lo tanto, las cuentas y equipos de AD relacionados con esta sincronización exigen una protección apropiada.\n\u003cbr\u003eEn particular, un atacante que controle la cuenta de AD que se usa para sincronizar AD y Microsoft Entra ID (MSOL_* cuando se instala Microsoft Entra Connect en modo “Exprés”) puede vulnerar todo el dominio a través de la replicación de todos los hashes de contraseña mediante una herramienta, como Mimikatz DCSync.\n\u003cbr\u003eTodas las vías de acceso a esta cuenta otorgan al atacante los mismos derechos. De aquí que también se tengan que proteger ciertos otros componentes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl servidor donde se ejecuta Microsoft Entra Connect (un controlador de dominio o un servidor de dominio dedicado).\u003c/li\u003e\n\u003cli\u003eEl servidor que hospeda la base de datos (el mismo servidor que ejecuta Microsoft Entra Connect o uno dedicado).\u003c/li\u003e\n\u003cli\u003eLa cuenta de servicio de la base de datos (dominio o cuenta local, gMSA, VSA, etc.).\u003c/li\u003e\n\u003cli\u003eEl grupo ADSyncAdmins con acceso a la base de datos que contiene las credenciales de MSOL_*.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAdemás, si habilita la característica “Seamless Single Sign-On” para Microsoft Entra ID, también tiene que proteger la cuenta de equipo denominada AZUREADSSOACC.\n\u003cbr\u003eUn atacante podría explotar un error de configuración de permisos para obtener acceso a esas cuentas y, en definitiva, al directorio.\n\u003cbr\u003eLas entidades siguientes (grupos y cuentas integradas) están permitidas, ya que tienen permisos legítimos en esas cuentas:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePublicadores de certificados\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de esquema\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de empresas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePropietarios del creador de directivas de grupo\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores empresariales de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eReplicadores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003eNT AUTHORITY\\System\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAdemás de verificar los permisos, es importante validar los miembros del grupo ADSyncAdmins. El acceso a la base de datos otorgaría control sobre la cuenta de sincronización al robar su hash de contraseña. Por lo tanto, todos los miembros de este grupo ya deberían ser privilegiados en el dominio.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Corregir los permisos en las cuentas de Microsoft Entra Connect","description":"Los permisos peligrosos que se aplican a las cuentas de Microsoft Entra Connect deberían quitarse.","exec_summary":"\u003cp\u003eUna evaluación de seguridad de los permisos aplicados en las cuentas de Microsoft Entra Connect puede identificar aquellos que pueden quitarse de manera segura.\u003c/p\u003e\n","detail":"\u003cp\u003eLos permisos aplicados en las cuentas de Microsoft Entra Connect afectan indirectamente a casi todos los objetos del dominio. Examine cada uno de ellos con cuidado y analice si quitarlos representa un riesgo de seguridad.\n\u003cbr\u003eDe manera predeterminada, solo las entidades privilegiadas integradas (consulte la lista completa en la pestaña \u003cem\u003eDetalles de la vulnerabilidad\u003c/em\u003e ) deberían tener permisos importantes en esos objetos:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eCuentas de usuario del conector de AD DS (MSOL_* de manera predeterminada o dedicadas)\u003c/li\u003e\n\u003cli\u003eCuentas de servicio usadas para bases de datos de Microsoft Entra Connect\u003c/li\u003e\n\u003cli\u003eCuentas de equipo de servidores donde se ejecuta Microsoft Entra Connect\u003c/li\u003e\n\u003cli\u003eCuentas de equipo de servidores de Microsoft Entra Connect que hospedan la base de datos\u003c/li\u003e\n\u003cli\u003eCuentas de equipo relacionadas con la característica SSO (AZUREADSSOACC)\u003c/li\u003e\n\u003cli\u003eGrupos de ADSyncAdmins\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAdemás, los miembros de los grupos de ADSyncAdmins solo deberían ser privilegiados.\nLleve a cabo una evaluación precisa antes de quitar permisos, ya que esto puede afectar a las aplicaciones o usuarios que los necesiten.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"Microsoft Entra Connect - Accounts and permissions","url":"https://learn.microsoft.com/es-es/azure/active-directory/hybrid/reference-connect-accounts-permissions\n","type":"hyperlink"}],"applicable_resource_types":["ad_computer","ad_group","ad_user"],"attacker_known_tools":[{"name":"adconnectdump","url":"https://github.com/fox-it/adconnectdump","author":"Fox-IT"},{"name":"mimikatz","url":"https://github.com/gentilkiwi/mimikatz/releases","author":"Gentil Kiwi"}],"category_id":5,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","ja_JP","zh_TW","de_DE","fr_FR","zh_CN","ko_KR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-AAD-CONNECT","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["es","ja","zh-TW","de","fr","zh-CN","ko","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[32]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-DC-ACCESS-CONSISTENCY","_score":null,"_source":{"language_code":"es_001","codename":"C-DC-ACCESS-CONSISTENCY","name":"Controladores de dominio administrados por usuarios ilegítimos","id":30,"description":"\u003cp\u003eAlgunos controladores de dominio pueden estar administrados por usuarios no administrativos debido a derechos de acceso peligrosos.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eA pesar de la cantidad de activos de Active Directory, los controladores de dominio son los más sensibles, ya que almacenan los datos de todos estos activos (incluidos los secretos de autenticación, como las contraseñas de usuarios).\n\u003cbr\u003eSolo las cuentas administrativas legítimas deberían poder administrarlos.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLos controladores de dominio almacenan todos los secretos de Active Directory y tienen una superficie de ataque potencialmente grande, lo que los convierte en los objetivos principales de los atacantes. He aquí algunos ejemplos:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eAbuso de los derechos de acceso para restablecer la contraseña del objeto de equipo que hospeda el controlador de dominio para replicar la contraseña.\u003c/li\u003e\n\u003cli\u003eExplotación de un GPO con errores de configuración para ejecutar código arbitrario o inhibir la política de seguridad al anular los parámetros de seguridad.\u003c/li\u003e\n\u003cli\u003eAtaque a una aplicación vulnerable en el sistema operativo host para acceder a la base de datos de Active Directory. El propósito de este indicador de exposición es asegurar que cada objeto del controlador de dominio esté protegido frente a dichas técnicas de ataque. También se asegura de que los controladores de dominio estén administrados por administradores normales. En particular, se supervisan los tres escenarios siguientes.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eControladores de dominio almacenados fuera de la unidad organizativa “Controladores de dominio” (OU)\u003c/h4\u003e\n\u003cp\u003eComo cualquier objeto de equipo, los controladores de dominio pueden moverse a cualquier contenedor de Active Directory (como unidades organizativas). Sin embargo, moverlos a otro contenedor podría ser sumamente peligroso. De hecho, en la unidad organizativa Controladores de dominio se aplica un GPO especial (llamado “Directiva de controladores de dominio predeterminada”) que está diseñado para implementar la política de seguridad completa para la instancia de AD (como la complejidad de contraseñas, los protocolos de autenticación usados, la política de inicio de sesión, etc.).\n\u003cbr\u003eCuando un controlador de dominio se saca de la unidad organizativa Controladores de dominio, el GPO no se aplicará (a menos que alguien actualice el vínculo del GPO, lo que no sucede de manera predeterminada). Por esto Microsoft se rehúsa a brindar soporte en una configuración tal. Además, algunos servicios y aplicaciones solo pueden buscar controladores de dominio en la unidad organizativa Controladores de dominio (al examinar el valor de GUID_DOMAIN_CONTROLLERS_CONTAINER_W) y establecer una base de búsqueda de 1. Los controladores de dominio en otras unidades organizativas no se encontrarán, lo que provocará un efecto secundario en el servicio.\u003c/p\u003e\n\u003ch4\u003eUsuarios ilegítimos manipulan objetos de controladores de dominio\u003c/h4\u003e\n\u003cp\u003eCada controlador de dominio se almacena en la base de datos de Active Directory mediante dos objetos distintos:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl objeto de equipo que ilustra la configuración y los derechos de acceso del sistema operativo Windows que hospeda la base de datos de AD.\u003c/li\u003e\n\u003cli\u003eEl objeto nTDSDSA que representa el servicio que ejecuta los componentes de Active Directory (como LDAP, el motor de políticas de grupo, el proceso de replicación, etc.).\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAmbos objetos pueden ser vulnerables a los derechos de acceso permisivos que permitan que una entidad ilegítima obtenga control del controlador de dominio. Este escenario de ataque también se aplica a los contenedores principales que deben tener los mismos parámetros de seguridad.\n\u003cbr\u003ePara reforzar un nivel de protección sólido, asegúrese de que las listas de control de acceso (ACL) de todos los archivos y los objetos de controladores de dominio contengan únicamente administradores legítimos. Cualquier otro permiso que se agregue a uno de estos elementos podría permitir que un atacante vulnerara el controlador de dominio.\n\u003cbr\u003eDe manera predeterminada, el indicador de exposición analiza cada objeto relacionado con el controlador de dominio y resalta las ACL peligrosas:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl objeto de la partición del dominio raíz (p. ej., DC=ad,DC=tenable,DC=com)\u003c/li\u003e\n\u003cli\u003eEl contenedor Domain Controllers\u003c/li\u003e\n\u003cli\u003eLos objetos computer\u003c/li\u003e\n\u003cli\u003eLos objetos nTDSDSA\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eUsuarios ilegítimos administran la configuración de los controladores de dominio aplicada por los GPO\u003c/h4\u003e\n\u003cp\u003eEn una instancia de Active Directory, los GPO administran las configuraciones de los controladores de dominio por medio de opciones que definen el comportamiento de un sistema. Este indicador de exposición se asegura de que solo los administradores normales puedan manipular los GPO vinculados a los controladores de dominio. Para reforzar un nivel de protección sólido, asegúrese de que la ACL de todos los archivos y los objetos del controlador de dominio contengan solo administradores legítimos. Cualquier otro permiso que se agregue a uno de estos elementos podría permitir que un atacante vulnerara los controladores de dominio.\n\u003cbr\u003eDe manera predeterminada, el indicador de exposición analiza cada GPO vinculado a un controlador de dominio y sus contenedores principales, entre otros:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl objeto de la partición del dominio raíz (p. ej., DC=ad,DC=tenable,DC=com)\u003c/li\u003e\n\u003cli\u003eEl contenedor Domain Controllers\u003c/li\u003e\n\u003cli\u003eLos objetos computer\u003c/li\u003e\n\u003cli\u003eLos objetos nTDSDSA\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003ePara obtener más información sobre la seguridad de los GPO, consulte el indicador de exposición “Comprobar los permisos de objetos y archivos de GPO sensibles”.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Exigir el control de acceso estricto en los controladores de dominio","description":"Solo las cuentas administrativas deben poder administrar los objetos de controladores de dominio\n","exec_summary":"\u003cp\u003eLos controladores de dominio exigen derechos de acceso estrictos. Permita que solo las cuentas de usuarios muy privilegiados administren los objetos de controlador de dominio o vinculen nuevas políticas de grupo.\u003c/p\u003e\n","detail":"\u003cp\u003eEn cuanto a la seguridad, los controladores de dominio son los activos más importantes que tiene que proteger en Active Directory. Para obtener más información, consulte la sección \u003cstrong\u003eDetalles de la vulnerabilidad\u003c/strong\u003e.\n\u003cbr\u003eCada controlador de dominio se almacena en la base de datos de Active Directory por medio de dos objetos distintos que exigen protección frente al acceso ilegítimo:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl objeto de equipo que ilustra la configuración y los derechos de acceso del sistema operativo Windows que hospeda la base de datos de AD.\u003c/li\u003e\n\u003cli\u003eEl objeto nTDSDSA que representa el servicio que ejecuta los componentes de AD, como LDAP, el motor de Group Policy, el proceso de replicación, etc.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003ePara ello, aplique las siguientes medidas de seguridad.\u003c/p\u003e\n\u003ch4\u003eMover los controladores de dominio a la unidad organizativa apropiada\u003c/h4\u003e\n\u003cp\u003eAlmacene todos los objetos de controlador de dominio en su contenedor predeterminado, denominado “Controladores de dominio”. Microsoft no admite hospedar los objetos de controlador de dominio en otro contenedor que no sea el predeterminado, ya que podría generar graves vulneraciones de seguridad que afecten al controlador de dominio mismo, sus usuarios o cada equipo en la infraestructura de AD.\n\u003cbr\u003eTenable recomienda mover cada controlador de dominio a la unidad organizativa “Controladores de dominio” apropiada para restablecer su ubicación.\u003c/p\u003e\n\u003ch2\u003eProcedimiento con PowerShell\u003c/h2\u003e\n\u003cp\u003ePara mover cada controlador de dominio a su contenedor predeterminado:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $defaultNamingContext = (Get-ADRootDSE).defaultNamingContext\nPS\u0026gt; Get-ADDomainController -Filter * | % { Get-ADObject $_.ComputerObjectDN } | Move-ADObject -TargetPath \"OU=Domain Controllers,$defaultNamingContext\"\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch2\u003eProcedimiento con las herramientas administrativas de Microsoft\u003c/h2\u003e\n\u003col\u003e\n\u003cli\u003eEjecute la herramienta \u003cem\u003eEditar ADSI\u003c/em\u003e, ya sea desde el complemento MMC o desde las herramientas del administrador de servidores.\u003c/li\u003e\n\u003cli\u003eEn la casilla \u003cem\u003eSeleccionar un contexto de nomenclatura conocido\u003c/em\u003e, seleccione \u003cem\u003eContexto de nomenclatura predeterminado\u003c/em\u003e y, luego, haga clic en \u003cem\u003eAceptar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eBusque los objetos de controlador de dominio que se encuentran en una ubicación ilegítima.\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en el objeto de controlador de dominio y, luego, haga clic en \u003cem\u003eMover\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la unidad organizativa “OU=Domain Controllers,[SU CONTEXTO DE NOMENCLATURA DE ACTIVE DIRECTORY]”.\u003c/li\u003e\n\u003cli\u003eHaga clic en \u003cem\u003eAceptar\u003c/em\u003e para validar la modificación.\u003c/li\u003e\n\u003cli\u003eRepita los últimos tres pasos para cada objeto de controlador de dominio.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eQuite el derecho de acceso peligroso en los objetos de equipo y nTDSDSA o cualquier contenedor principal.\u003c/h4\u003e\n\u003cp\u003eLos permisos de objetos de equipo que hospedan servicios de controladores de dominio y de objetos nTDSDSA solo deben concederse a las entidades siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eGrupo “Administradores de dominio”\u003c/li\u003e\n\u003cli\u003eGrupo “Administradores de empresas”\u003c/li\u003e\n\u003cli\u003eGrupo “Controladores de dominio empresariales”\u003c/li\u003e\n\u003cli\u003eGrupo “Controladores de dominio”\u003c/li\u003e\n\u003cli\u003eGrupo “Propietarios del creador de directivas de grupo”\u003c/li\u003e\n\u003cli\u003eGrupo “Administradores” integrado\u003c/li\u003e\n\u003cli\u003eGrupo “Propietario del creador” integrado\u003c/li\u003e\n\u003cli\u003eCuenta del “sistema” integrada\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEl mismo principio rige para los contenedores que incluyen objetos nTDSDSA y equipos, ya que controlan de manera inherente sus elementos secundarios.\n\u003cbr\u003eSe debe auditar con atención toda otra entidad que tenga permisos importantes definidos en el contenedor. En particular, ninguna cuenta o grupo sin privilegios debe tener más que el permiso de “lectura”. Para evitar riesgos, Tenable recomienda que restablezca los permisos de estos objetos a su valor predeterminado.\u003c/p\u003e\n\u003ch2\u003eProcedimiento con PowerShell\u003c/h2\u003e\n\u003cp\u003eRestablezca los permisos de un objeto nTDSDSA en función de otro objeto nTDSDSA que Tenable Identity Exposure considere legítimo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $computerObjectName = \"\u0026lt;NAME OF THE COMPUTER OBJECT HOSTING A DC HAVING A SAFE ACCESS CONTROL POLICY\u0026gt;\"\nPS\u0026gt; $site = \"\u0026lt;NAME OF THE ACTIVE DIRECTORY SITE HOSTING A DC HAVING A SAFE ACCESS CONTROL POLICY\u0026gt;\"\nPS\u0026gt; $deviantComputerObjectName = \"\u0026lt;NAME OF THE COMPUTER OBJECT HOSTING A DC HAVING A SAFE ACCESS CONTROL POLICY\u0026gt;\"\nPS\u0026gt; $deviantSite = \"\u0026lt;NAME OF THE ACTIVE DIRECTORY SITE HOSTING A DC HAVING A DANGEROUS ACCESS CONTROL POLICY\u0026gt;\"\nPS\u0026gt; $defaultNamingContext = (Get-ADRootDSE).defaultNamingContext\nPS\u0026gt; $standardAcl = Get-Acl \"AD:CN=$computerObjectName,CN=Servers,CN=$siteName,CN=Sites,CN=Configuration,$defaultNamingContext\"\nPS\u0026gt; Set-Acl \"AD:CN=$deviantComputerObjectName,CN=Servers,CN=$deviantSite,CN=Sites,CN=Configuration,$defaultNamingContext\" -AclObject $standardAcl\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSe debe aplicar la misma estrategia a cada objeto de equipo anómalo incluido en los contenedores.\u003c/p\u003e\n\u003ch4\u003eQuite el derecho de acceso peligroso en los GPOs vinculados a los controladores de dominio.\u003c/h4\u003e\n\u003cp\u003eEn Active Directory, los objetos de política de grupo (GPOs) son una colección de opciones que definen cómo funciona un sistema y cómo se comporta para un grupo de usuarios definido. Para obtener más información, consulte la sección \u003cstrong\u003eDetalles de la vulnerabilidad\u003c/strong\u003e.\n\u003cbr\u003eConceda permisos de edición o propiedad sobre GPO sensibles vinculados a controladores de dominio solo a las entidades siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eGrupo “Administradores de dominio”\u003c/li\u003e\n\u003cli\u003eGrupo “Administradores de empresas”\u003c/li\u003e\n\u003cli\u003eGrupo “Propietarios del creador de directivas de grupo”\u003c/li\u003e\n\u003cli\u003eGrupo “Administradores” integrado\u003c/li\u003e\n\u003cli\u003eGrupo “Propietario del creador” integrado\u003c/li\u003e\n\u003cli\u003eCuenta del “sistema” integrada\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAudite toda otra entidad con permisos o propiedad importantes definidos en el GPO, tanto su objeto Contenedor de políticas de grupo (GPC) en LDAP, como sus carpetas y archivos de Plantilla de directiva de grupo (GPT) en SYSVOL. Ninguna cuenta o grupo sin privilegios debería tener más que el permiso de “lectura” en ninguno de estos, ni ser el propietario de ninguno.\u003c/p\u003e\n\u003ch2\u003eProcedimientos con la Consola de administración de directivas de grupo\u003c/h2\u003e\n\u003cp\u003eAbra la \u003cem\u003eConsola de administración de directivas de grupo\u003c/em\u003e y seleccione el GPO anómalo.\u003c/p\u003e\n\u003cp\u003eEn la pestaña “Delegación”, quite o edite los permisos de edición excesivos concedidos a usuarios o grupos sin privilegios.\u003c/p\u003e\n\u003cp\u003ePara corregir un propietario anómalo, aún en la pestaña “Delegación”, haga clic en “Avanzado…” y, luego, otra vez en “Avanzado” en la ventana emergente. El “Propietario” actual aparece en la parte superior; puede hacer clic en “Cambiar”. Seleccione un propietario seguro, como el grupo “Administradores de dominio” o el grupo “Administradores” integrado.\u003c/p\u003e\n\u003cp\u003eUsar la Consola de administración de directivas de grupo debería corregir tanto el objeto Contenedor de políticas de grupo (GPC) en LDAP, como sus carpetas y archivos de Plantilla de directiva de grupo (GPT) en SYSVOL. Sin embargo, en ocasiones esta herramienta no logra corregir los problemas de manera exhaustiva; en dicho caso, debe usar el _Editor ADSI _ para editar los permisos o la propiedad del GPC, o el explorador de archivos de Windows para la parte de la GPT en SYSVOL.\u003c/p\u003e\n\u003ch2\u003eProcedimientos con DCGpoFix.exe\u003c/h2\u003e\n\u003cp\u003eSuele ser difícil restablecer la política de control de acceso original cuando se definieron derechos de acceso ilegítimo en la “Directiva de controladores de dominio predeterminada”. Por este motivo, Microsoft ofrece una utilidad llamada DCGpoFix.exe en cada controlador de dominio, que puede restablecer el derecho de acceso predeterminado en el GPO “Directiva de controladores de dominio predeterminada”.\n\u003cbr\u003eDespués de conectarse al controlador de dominio en modo interactivo o RDP, abra una interfaz de la línea de comandos y escriba los comandos siguientes:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eDCGPOFIX /target:DC\n\u003c/code\u003e\u003c/pre\u003e\n","resources":[{"name":"Administration of Default Containers and OUs","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc728418(v=ws.10)#domain-controller-ou\n","type":"hyperlink"},{"name":"Restore Default Permissions on OU","url":"https://social.technet.microsoft.com/wiki/contents/articles/18726.active-directory-restore-default-permissions-on-organizational-units-ou.aspx\n","type":"hyperlink"},{"name":"DCGpoFix technical reference","url":"https://learn.microsoft.com/es-es/windows-server/administration/windows-commands/dcgpofix\n","type":"hyperlink"}]},"resources":[{"name":"Securing Active Directory Administrative Groups and Accounts","url":"https://learn.microsoft.com/es-es/previous-versions/tn-archive/cc700835(v=technet.10)","type":"hyperlink"},{"name":"Technical description of an nTDSDSA Object","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-srpl/4c62c74a-b55c-47d1-b575-33395a727d97","type":"hyperlink"}],"applicable_resource_types":["ad_configuration","ad_gpc","ad_ntdsdsa","ad_ou","ad_root_domain","ad_site","ad_sysvol_object","ad_user"],"attacker_known_tools":[],"category_id":5,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ja_JP","es_001","zh_TW","zh_CN","fr_FR","de_DE","ko_KR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-DC-ACCESS-CONSISTENCY","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["ja","es","zh-TW","zh-CN","fr","de","ko","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[30]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-PASSWORD-POLICY","_score":null,"_source":{"language_code":"es_001","codename":"C-PASSWORD-POLICY","name":"Aplicación de políticas de contraseñas débiles en los usuarios","id":29,"description":"\u003cp\u003eAlgunas políticas de contraseñas que se aplican en cuentas de usuario específicas no son lo suficientemente seguras y pueden llevar al robo de credenciales.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eLas políticas de contraseñas débiles aumentan el riesgo de que los usuarios creen contraseñas débiles que permitan que los atacantes las roben sin dificultades por medio de técnicas genéricas, como los ataques de fuerza bruta, el robo del desafío de autenticación, etc.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eAlgunos usuarios privilegiados, máquinas Windows o controladores de dominio no exigen el uso de una política de contraseñas cuando una cuenta intenta cambiar de contraseña.\u003c/p\u003e\n\u003ch4\u003ePolítica de contraseñas específicas en Active Directory\u003c/h4\u003e\n\u003cp\u003eA partir de Windows Server 2008 R2 y Windows Server 2008, Windows admite las \u003cem\u003epolíticas de contraseñas específicas\u003c/em\u003e. Esta característica ofrece a las organizaciones una manera de definir distintas políticas de contraseñas y bloqueo de cuenta para distintos conjuntos de usuarios o grupos de un dominio.\nEn versiones anteriores de Windows Server, se podía crear solo una política de contraseñas por dominio mediante el GPO de política de dominio predeterminada.\nAl usar una \u003cem\u003epolítica de contraseñas específicas\u003c/em\u003e, tiene que vincular todas las cuentas con privilegios a al menos una política de contraseñas con el fin de evitar el uso de contraseñas débiles en dichas cuentas.\u003c/p\u003e\n\u003ch4\u003eLimitaciones de la configuración de políticas de contraseñas establecida por GPO\u003c/h4\u003e\n\u003ch2\u003eFalta de una política de contraseñas en un controlador de dominio\u003c/h2\u003e\n\u003cp\u003eCuando los controladores de dominio aplican una política de contraseñas peligrosa, permiten que cada cuenta de usuario, de equipo o de servicio elija contraseñas débiles, lo que podría exponerlas a ataques de fuerza bruta en línea o sin conexión.\u003c/p\u003e\n\u003ch2\u003eFalta de una política de contraseñas en una estación de trabajo estándar\u003c/h2\u003e\n\u003cp\u003eEsto no es tan peligroso como lo es en los controladores de dominio, pero estas cuentas pueden permitir que los atacantes hagan movimientos laterales entre estaciones de trabajo de Windows, lo que es más difícil de detectar a través de técnicas de seguridad estándar.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Exigir una política de contraseñas seguras","description":"En cada cuenta de usuario debe aplicarse una política de contraseñas seguras y homogéneas\n","exec_summary":"\u003cp\u003eLas políticas de contraseñas para las cuentas de usuario aplican contraseñas seguras que usan más de 7 caracteres y símbolos.\u003c/p\u003e\n","detail":"\u003cp\u003eRevise la política de contraseñas de sus dominios de Active Directory supervisados a fin de imponer contraseñas complejas para los distintos grupos de usuarios.\n\u003cbr\u003eA partir de Windows Server 2008, pueden crearse objetos de configuración de contraseña (PSO) y asignarse a usuarios o grupos de usuarios para permitir una política de contraseñas más específica que en las versiones anteriores de Windows. Tenable recomienda usar objetos PSO, en lugar del antiguo GPO de política de dominio predeterminada para administrar las políticas de contraseñas.\n\u003cbr\u003ePara aplicar estos objetos PSO, es necesario aumentar el nivel de funcionalidad del bosque a Windows Server 2008, si aún no se hizo.\u003c/p\u003e\n\u003ch4\u003ePara definir un objeto PSO y asignarlo a un grupo de usuarios, siga los procedimientos a continuación:\u003c/h4\u003e\n\u003col\u003e\n\u003cli\u003eEjecute la herramienta \u003cem\u003eEditor ADSI\u003c/em\u003e (desde el complemento MMC o desde las herramientas de administración de servidores) con derechos de administrador.\u003c/li\u003e\n\u003cli\u003eEn la casilla \u003cem\u003eSeleccionar un contexto de nomenclatura conocido\u003c/em\u003e, seleccione \u003cem\u003eContexto de nomenclatura predeterminado\u003c/em\u003e y, luego, haga clic en \u003cem\u003eAceptar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eAdsiedit\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eContexto de nomenclatura predeterminado\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda el nombre distintivo del dominio; p. ej., \u003cem\u003eDC=contoso,DC=com\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda el contenedor Sistema; p. ej., \u003cem\u003eCN=System,DC=contoso,DC=com\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga clic derecho en \u003cem\u003eContenedor de configuración de contraseñas\u003c/em\u003e, seleccione \u003cem\u003eNuevo\u003c/em\u003e y, luego, \u003cem\u003eObjeto…\u003c/em\u003e\u003c/li\u003e\n\u003cli\u003eEn la pestaña del editor \u003cem\u003eCrear objeto\u003c/em\u003e, seleccione el atributo \u003cem\u003emsDS-PasswordSettings\u003c/em\u003e y haga clic en \u003cem\u003eSiguiente\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eRellene el cuadro de entrada \u003cem\u003eNombre común\u003c/em\u003e con el nombre elegido del objeto PSO: password policy for administrators.\u003c/li\u003e\n\u003cli\u003eRellene el cuadro de entrada \u003cem\u003ePassword Settings Precedence\u003c/em\u003e con la prioridad de aplicación del objeto PSO, en caso de que varios objetos se apliquen al mismo grupo. El valor más bajo (o el GUID más bajo si dos PSO tienen el mismo valor de precedencia) tiene la prioridad mayor. El valor más bajo empieza en 1.\u003c/li\u003e\n\u003cli\u003eRellene el cuadro de entrada \u003cem\u003ePassword reversible encryption status for user accounts\u003c/em\u003e con el valor \u003ccode\u003eFalse\u003c/code\u003e\n.12 Rellene el cuadro de entrada \u003cem\u003ePassword History Length for user accounts\u003c/em\u003e con el valor 5.\u003c/li\u003e\n\u003cli\u003eRellene el cuadro de entrada \u003cem\u003ePassword complexity status for user accounts\u003c/em\u003e con el valor \u003ccode\u003eTrue\u003c/code\u003e.\u003c/li\u003e\n\u003cli\u003eRellene el cuadro de entrada \u003cem\u003eMinimum Password Length for user accounts\u003c/em\u003e con el valor 12.\u003c/li\u003e\n\u003cli\u003eRellene el cuadro de entrada \u003cem\u003eMinimum Password Age for user accounts\u003c/em\u003e con el plazo mínimo (en días) que debe transcurrir para que un usuario pueda cambiar su contraseña.\u003c/li\u003e\n\u003cli\u003eRellene el cuadro de entrada \u003cem\u003eMaximum Password Age for user accounts\u003c/em\u003e con el plazo máximo (en días) después del cual un usuario tendrá que cambiar su contraseña.\u003c/li\u003e\n\u003cli\u003eRellene el cuadro de entrada \u003cem\u003eLockout threshold for lockout of user accounts\u003c/em\u003e con el umbral para bloquear las cuentas de usuario. Se recomienda ingresar un valor entre 3 y 5.\u003c/li\u003e\n\u003cli\u003eRellene el cuadro de entrada \u003cem\u003eObservation Window for lockout of user accounts\u003c/em\u003e con el plazo mínimo (en minutos) que debe transcurrir para restablecer el recuento de pruebas de identificación.\u003c/li\u003e\n\u003cli\u003eRellene el cuadro de entrada \u003cem\u003eLockout duration for locked out user accounts\u003c/em\u003e con el plazo mínimo (en minutos) que debe transcurrir para que un usuario cuya cuenta se bloqueó pueda volver a intentar iniciar sesión.\u003c/li\u003e\n\u003cli\u003eHaga clic en \u003cem\u003eFinished\u003c/em\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eEn este momento, se creó un objeto PSO.\nPara asignar el objeto PSO a un usuario o grupo de usuarios mediante la interfaz gráfica de usuario:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eEjecute la herramienta \u003cem\u003eEditor ADSI\u003c/em\u003e (desde el complemento MMC o desde las herramientas de administración de servidores) con derechos de administrador.\u003c/li\u003e\n\u003cli\u003eEn la casilla \u003cem\u003eSeleccionar un contexto de nomenclatura conocido\u003c/em\u003e, seleccione \u003cem\u003eContexto de nomenclatura predeterminado\u003c/em\u003e y, luego, haga clic en \u003cem\u003eAceptar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eAdsiedit\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eContexto de nomenclatura predeterminado\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda el nombre distintivo del dominio; p. ej., \u003cem\u003eDC=contoso,DC=com\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda el contenedor Sistema; p. ej., \u003cem\u003eCN=System,DC=contoso,DC=com\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda el contenedor Configuración de contraseñas; p. ej., \u003cem\u003eCN=Password Settings Container,CN=System,DC=contoso,DC=com\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en el PSO que quiere asignar y, luego, haga clic en \u003cem\u003ePropiedades\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el \u003cem\u003eEditor de atributos\u003c/em\u003e, seleccione el atributo \u003cem\u003emsDS-PSOAppliesTo\u003c/em\u003e y, luego, haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn \u003cem\u003eMulti-valued Distinguished Name with Security Principal Editor\u003c/em\u003e, haga clic en \u003cem\u003eAdd Windows Account\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eBusque la cuenta de usuario o el grupo donde quiere activar el PSO.\u003c/li\u003e\n\u003cli\u003eHaga clic en \u003cem\u003eAceptar\u003c/em\u003e tres veces para cerrar el editor.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eDefinir un objeto PSO y asignarlo a un grupo de usuarios mediante PowerShell\u003c/h4\u003e\n\u003cp\u003eA partir de Windows Server 2008, Microsoft agregó varios cmdlets dedicados para administrar los PSOs.\n\u003cbr\u003ePara recuperar la configuración del PSO existente, se puede usar el comando siguiente (donde \u003cem\u003eMyPSO\u003c/em\u003e es el nombre común de un PSO existente):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; $pso = Get-ADFineGrainedPasswordPolicy MyPSO -Properties *\nPS\u0026gt; $pso\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eEl comando siguiente puede usarse para definir un nuevo PSO (el formato de hora es \u003ccode\u003edía:hora:minuto:segundo\u003c/code\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; New-ADFineGrainedPasswordPolicy -Name MyPSO -Precedence 100 -LockoutDuration '0:00:30:00' -LockoutObservationWindow '0:00:29:00' -ComplexityEnabled $true -ReversibleEncryptionEnabled $false -MinPasswordLength 12 -OtherAttributes @{'msDS-PSOAppliesTo'='CN=Domain Users,CN=Users,DC=contoso,DC=com'}\n\u003c/code\u003e\u003c/pre\u003e\n","resources":[{"name":"Definir una buena política de contraseñas","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/password-policy\n","type":"hyperlink"},{"name":"Recuperar un objeto PSO","url":"https://learn.microsoft.com/es-es/powershell/module/activedirectory/get-adfinegrainedpasswordpolicy?view=windowsserver2025-ps\n","type":"hyperlink"},{"name":"Definir un nuevo objeto PSO","url":"https://learn.microsoft.com/es-es/powershell/module/activedirectory/new-adfinegrainedpasswordpolicy?view=windowsserver2025-ps\n","type":"hyperlink"},{"name":"Modificar un objeto PSO","url":"https://learn.microsoft.com/es-es/powershell/module/activedirectory/set-adfinegrainedpasswordpolicy?view=windowsserver2025-ps\n","type":"hyperlink"}]},"resources":[{"name":"AD DS: Fine-Grained Password Policies","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770394(v=ws.10)","type":"hyperlink"},{"name":"Configuring Password Policies","url":"https://learn.microsoft.com/es-es/previous-versions/tn-archive/dd277399(v=technet.10)","type":"hyperlink"}],"applicable_resource_types":["ad_gpt_tmpl","ad_group","ad_msds_password_settings","ad_root_domain","ad_ou"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0001 - Initial Access (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1110 - Brute Force (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ko_KR","zh_CN","ja_JP","de_DE","fr_FR","zh_TW","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-PASSWORD-POLICY","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["ko","zh-CN","ja","de","fr","zh-TW","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0001","name":"Initial Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0001/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1110","name":"Brute Force (texto en inglés)","url":"https://attack.mitre.org/techniques/T1110/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[29]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-GPO-SD-CONSISTENCY","_score":null,"_source":{"language_code":"es_001","codename":"C-GPO-SD-CONSISTENCY","name":"Comprobar los permisos de objetos y archivos de GPO sensibles","id":28,"description":"\u003cp\u003eSe asegura de que los permisos asignados a objetos y archivos de GPO vinculados a contenedores sensibles, como controladores de dominio o unidades organizativas, sean apropiados y seguros.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eLos objetos de política de grupo (GPO) configuran los sistemas Windows y cumplen tareas con un alto nivel de privilegios. Sin embargo, solo las cuentas administrativas legítimas deberían administrar los GPO vinculados a contenedores sensibles, como aquellos que incluyen administradores o controladores de dominio.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEn Active Directory, los objetos de política de grupo (GPO) son una colección de opciones que define el funcionamiento de un sistema y cómo se comporta para un determinado grupo de usuarios.\n\u003cbr\u003eCuando se asocia con ciertos contenedores de Active Directory ―como sitios, dominios o unidades organizativas (OUs)―, el GPO queda “vinculado” a sus contenedores.\n\u003cbr\u003eDesde el punto de vista de la seguridad, esto lo convierte en un componente sensible, dado que el GPO aplica sus parámetros con el más alto nivel de privilegio en la sesión del usuario o el equipo vinculada. Un atacante que pueda configurar un GPO puede ejecutar cualquier comando arbitrario en el sistema que ese GPO controla.\n\u003cbr\u003eEste indicador de exposición se asegura de que solo los administradores habituales puedan manipular cada GPO vinculado a contenedores sensibles.\n\u003cbr\u003eTécnicamente, el GPO funciona con dos componentes que tienen sus propios mecanismos de control de acceso:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl objeto de GPO almacenado en la base de datos de Active Directory al que se puede acceder a través del protocolo LDAP. Este componente almacena los metadatos del GPO.\u003c/li\u003e\n\u003cli\u003eLos archivos de GPO almacenados en una ruta de DFS a la que se puede acceder a través del recurso compartido SYSVOL hospedado en cada controlador de dominio.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEstos archivos contienen los parámetros aplicados al sistema vinculado. Para garantizar un alto nivel de seguridad para cada GPO sensible, la lista de control de acceso (ACL) de cada objeto y archivo de GPO debe contener solo administradores legítimos. Cualquier otro permiso que se agregue a uno de estos elementos podría permitir que un atacante vulnerara los recursos vinculados al GPO, como un controlador de dominio o una estación de trabajo administrativa.\n\u003cbr\u003eDe manera predeterminada, este indicador de exposición analiza cada GPO vinculado a los siguientes contenedores sensibles y resalta toda ACL peligrosa:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl objeto de la partición del dominio raíz (p. ej., DC=ad,DC=tenable,DC=com)\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eUnidades organizativas\u003c/code\u003e sensibles (controladores de dominio, unidades organizativas con privilegios, etc.)\u003c/li\u003e\n\u003cli\u003eEl contenedor Configuration\u003c/li\u003e\n\u003cli\u003eEl contenedor Sites\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Mejorar el permiso de objetos sensibles de GPO","description":"Solo administradores legítimos deberían controlar los objetos y archivos de GPO\nsensibles\n","exec_summary":"\u003cp\u003eLos permisos de archivos u objetos de GPO sensibles solo deben permitir el acceso de control a las cuentas administrativas legítimas.\u003c/p\u003e\n","detail":"\u003cp\u003eSolo las entidades siguientes deberían tener permisos de control sobre contenedores de GPO sensibles:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eGrupo Administradores de dominio\u003c/li\u003e\n\u003cli\u003eGrupo Administradores de empresas\u003c/li\u003e\n\u003cli\u003eGrupo Propietarios del creador de directivas de grupo\u003c/li\u003e\n\u003cli\u003eGrupo Administradores integrados\u003c/li\u003e\n\u003cli\u003eGrupo Propietarios del creador integrado\u003c/li\u003e\n\u003cli\u003eCuenta del sistema integrada\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eHaga una auditoría en toda otra entidad con permisos importantes definidos en el contenedor. Ninguna cuenta o grupo sin privilegios debe tener más que el permiso de lectura.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"Group Policy Object reference","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-2000-server/cc960596(v=technet.10)","type":"hyperlink"}],"applicable_resource_types":["ad_configuration","ad_ou","ad_root_domain","ad_site"],"attacker_known_tools":[],"category_id":3,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":[]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ko_KR","de_DE","es_001","ja_JP","zh_CN","fr_FR","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-GPO-SD-CONSISTENCY","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["ko","de","es","ja","zh-CN","fr","zh-TW","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[28]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-DSHEURISTICS","_score":null,"_source":{"language_code":"es_001","codename":"C-DSHEURISTICS","name":"Dominio con configuración insegura de compatibilidad con versiones anteriores","id":26,"description":"\u003cp\u003eEl atributo dsHeuristics puede modificar el comportamiento de AD, pero algunos campos son sensibles desde el punto de vista de la seguridad y presentan un riesgo.\u003c/p\u003e\n","criticity":"low","exec_summary":"\u003cp\u003eEs posible ajustar atributos fundamentales para personalizar el comportamiento de Active Directory, pero algunas de estas modificaciones tienen la capacidad de poner en peligro la seguridad.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEl atributo dsHeuristics es responsable de configurar el comportamiento fundamental del servicio NTDS. Sin embargo, algunos campos dentro de este atributo se consideran sensibles desde el punto de vista de la seguridad y presentan un riesgo de vulneración de la seguridad.\u003c/p\u003e\n\u003ch4\u003ePermitir operaciones anónimas\u003c/h4\u003e\n\u003cp\u003eDe manera predeterminada, solo es posible consultar la rootDSE en LDAP sin autenticación en Active Directory. Para todas las demás operaciones, el usuario tiene que autenticarse para enlazarse con LDAP. El atributo dsHeuristics contiene el campo fLDAPBlockAnonOps, que puede servir para cambiar esta opción predeterminada y permitir las operaciones anónimas que exigen enlace. Sin embargo, el control de la ACL aún se aplica a los usuarios anónimos (denegado de manera predeterminada), lo que este indicador de exposición no comprueba.\n\u003cbr\u003eUn atacante podría explotar esta configuración mediante la conexión de su equipo portátil a la red a través de una conexión de red mural (como en una sala de conferencias o de espera) y el acceso a LDAP sin enlace. No obstante, en la mayoría de los escenarios de phishing, el atacante ya tiene una cuenta de AD y puede enlazarse a LDAP. Por lo tanto, el campo fLDAPBlockAnonOps no mitiga tales riesgos.\u003c/p\u003e\n\u003ch4\u003ePermitir operaciones en contraseñas en conexiones sin protección\u003c/h4\u003e\n\u003cp\u003eDe manera predeterminada, la modificación de una contraseña a través de una conexión LDAP debe tener lugar a través de un canal seguro con cifrado SSL/TLS o SASL para garantizar una comunicación segura. Sin embargo, en una instalación de Active DirectoryLightweight Directory Services (AD LDS), es posible cambiar este comportamiento al modificar el campo fAllowPasswordOperationsOverNonSecureConnection del atributo dsHeuristics, que permite la modificación de contraseñas a través de un canal de texto no cifrado.\n\u003cbr\u003eEsto genera una vulnerabilidad potencial, ya que un atacante con una posición de intermediario activa puede explotar esto para interceptar y degradar las comunicaciones de LDAP para analizar la red en busca de operaciones de modificación de contraseñas.\n\u003cbr\u003eTenga en cuenta que, independientemente del valor en el campo fAllowPasswordOperationsOverNonSecureConnection, la búsqueda de LDAP nunca devuelve la contraseña del usuario.\u003c/p\u003e\n\u003ch4\u003eExcluir objetos de la protección de SD\u003c/h4\u003e\n\u003cp\u003eDe manera predeterminada, esta protección se aplica a ciertos grupos, entre otros: \u003ccode\u003eOperadores de cuentas\u003c/code\u003e, \u003ccode\u003eOperadores de servidor\u003c/code\u003e, \u003ccode\u003eOperadores de impresión\u003c/code\u003e y \u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e.\n\u003cbr\u003eSin embargo, es posible quitar estos grupos de la lista de objetos protegidos mediante el campo dwAdminSDExMask del atributo dsHeuristics.\n\u003cbr\u003eSi un atacante puede agregar derechos de control a uno de estos grupos excluidos, el mecanismo de protección de SD no anulará esos derechos, lo que potencialmente permitiría que el atacante creara una puerta trasera para continuar con la explotación.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Restablecer los campos de dsHeuristics sensibles desde el punto de vista de la seguridad","description":"Algunos campos en el atributo dsHeuristics son sensibles desde el punto de vista de la seguridad y pueden llevar a vulneraciones.\n","exec_summary":"\u003cp\u003eCorrija los campos sensibles desde el punto de vista de la seguridad de un atributo dSHeuristics de Active Directory.\u003c/p\u003e\n","detail":"\u003cp\u003eEl atributo dSHeuristics del NTDS (Servicio de directorios de NT) permite la personalización del comportamiento de Active Directory. No obstante, algunos campos con este atributo son sensibles desde el punto de vista de la seguridad y podrían permitir vulneraciones de seguridad.\u003c/p\u003e\n\u003ch2\u003eProcedimiento con PowerShell\u003c/h2\u003e\n\u003cp\u003ePara recuperar el valor del atributo dSHeuristics del servicio NTDS, use el comando siguiente:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; $obj = Get-ADObject -LDAPFilter \"(objectClass=nTDSService)\" -SearchBase \"CN=Configuration,DC=contoso,DC=com\" -Properties dSHeuristics\nPS\u0026gt; $obj.dSHeuristics\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003ePara restablecer el atributo dSHeuristics al valor predeterminado, use el comando siguiente:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADObject $obj -Remove @{ dsheuristics = $obj.dsheuristics }\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003ePara sustituir el valor actual por uno nuevo, use el comando siguiente:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADObject $obj -Replace @{ dsheuristics = \"new value\" }\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch2\u003eMicrosoft Procedimiento con las herramientas de administración\u003c/h2\u003e\n\u003col\u003e\n\u003cli\u003eEjecute la herramienta \u003cem\u003eEditor ADSI\u003c/em\u003e, ya sea desde el complemento MMC o desde las herramientas del administrador de servidores.\u003c/li\u003e\n\u003cli\u003eEn la casilla \u003cem\u003eSeleccionar un contexto de nomenclatura conocido\u003c/em\u003e, seleccione \u003cem\u003eConfiguration\u003c/em\u003e y, luego, haga clic en “Aceptar”.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eAdsiedit\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eConfiguration\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eExpanda \u003cem\u003eCN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en \u003cem\u003eDirectory Service\u003c/em\u003e y, luego, haga clic en \u003cem\u003eProperties\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn la pestaña \u003cem\u003eEditor de atributos\u003c/em\u003e, seleccione el atributo \u003cem\u003edSHeuristics\u003c/em\u003e y, luego, haga clic en \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eHaga clic en \u003cem\u003eBorrar\u003c/em\u003e para restablecerlo al valor predeterminado o en cualquier valor que escriba en el campo de entrada y haga clic en \u003cem\u003eOK\u003c/em\u003e para validar la modificación.\u003c/p\u003e\n\u003ch4\u003e¿Cuál es el significado del valor del atributo dsHeuristics en AD?\u003c/h4\u003e\n\u003cp\u003eCada carácter en la cadena del atributo dSHeuristics representa una heurística que se usa para establecer el comportamiento de Active Directory. El atributo dSHeuristics en Active Directory es una cadena que consta de varios caracteres, donde cada uno representa una heurística que determina el comportamiento de Active Directory. Sin embargo, hay restricciones que se aplican a la cadena de dSHeuristics:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl orden de los caracteres en la cadena es fijo. Solo puede omitir caracteres si trunca la cadena.\u003c/li\u003e\n\u003cli\u003eDe manera predeterminada, el atributo dSHeuristics no existe y, a menos que se especifique lo contrario, el valor predeterminado de cada carácter en la cadena de dSHeuristics es “0”.\u003c/li\u003e\n\u003cli\u003eAl modificar una cadena de dSHeuristics existente en Active Directory, conserve los valores de todos los caracteres existentes que no vaya a modificar. La numeración de los caracteres de la cadena empieza en 1.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch2\u003ePermitir las operaciones de LDAP anónimas\u003c/h2\u003e\n\u003cp\u003eEl 7.º carácter representa la heurística llamada fLDAPBlockAnonOps. Si este carácter es “2”, la heurística es falsa; de lo contrario, la heurística es verdadera. Si este carácter no está presente en la cadena, toma “2” como valor predeterminado cuando el nivel funcional del controlador de dominio es menor que DS_BEHAVIOR_WIN2003, y “0” en caso contrario.\n\u003cbr\u003eCuando esta heurística es verdadera, los usuarios anónimos (sin autenticar) solo pueden hacer búsquedas y enlaces en rootDSE. Si fLDAPBlockAnonOps es falso, los usuarios anónimos pueden realizar cualquier operación de LDAP, sujeto a las comprobaciones de acceso mediante las ACL de Active Directory. De manera predeterminada, ninguna ACE permite enlaces anónimos, incluso si esta heurística es falsa.\n\u003cbr\u003ePara bloquear las operaciones de LDAP anónimas, establezca este 7.º carácter en “0”.\u003c/p\u003e\n\u003ch2\u003ePermitir operaciones en contraseñas en conexiones sin protección\u003c/h2\u003e\n\u003cp\u003eEl carácter 13.º representa la heurística llamada fAllowPasswordOperationsOverNonSecureConnection. Esta heurística es falsa si este carácter tiene el valor “0” y es verdadera si tiene cualquier otro valor. Esta heurística se aplica solo a Active Directory Lightweight Directory Services (AD LDS).\n\u003cbr\u003eA partir de Windows Server 2008, si la heurística es verdadera y Active Directory opera como AD LDS, el controlador de dominio permitirá los cambios en el atributo unicodePwd a través de una conexión que no esté cifrada con SSL/TSL o SASL. Sin embargo, tenga en cuenta que la búsqueda de LDAP nunca devuelve el atributo unicodePwd.\n\u003cbr\u003ePara impedir las operaciones en contraseñas a través de una conexión sin protección, establezca este carácter 13.º en “0”.\u003c/p\u003e\n\u003ch2\u003eExcluir objetos de la protección de SD\u003c/h2\u003e\n\u003cp\u003eEl 16.º carácter representa una heurística llamada dwAdminSDExMask. Su valor especifica un campo de bits usado para excluir algunos grupos del mecanismo de protección de SD.\n\u003cbr\u003eA partir del bit menos significativo, la lista de grupos potencialmente excluidos incluye:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidor\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003ePor ejemplo, cuando este valor se establece en “3”, significa que tanto el grupo \u003ccode\u003eOperadores de cuentas\u003c/code\u003e como \u003ccode\u003eOperadores de servidor\u003c/code\u003e se excluyen del mecanismo de protección. El valor “3” es, en realidad, la combinación de dos valores: 0x2 y 0x1.\n\u003cbr\u003ePara asegurarse de que no excluya ningún grupo del mecanismo de protección, establezca el 16.º carácter en “0”.\u003c/p\u003e\n","resources":[{"name":"dSHeuristics attribute reference","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5","type":"hyperlink"},{"name":"Disabling the fLDAPBlockAnonOps field","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/4e11a7e6-e18c-46e4-a781-3ca2b4de6f30","type":"hyperlink"},{"name":"Enabling the fAllowPasswordOperationsOverNonSecureConnection field (AD LDS only) (texto en inglés)","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/6e803168-f140-4d23-b2d3-c3a8ab5917d2","type":"hyperlink"},{"name":"Changing the value of dwAdminSDExMask","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/50097362-ede5-40fa-973e-8d65e782e384","type":"hyperlink"}]},"resources":[{"name":"dSHeuristics attribute reference (texto en inglés)","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5","type":"hyperlink"},{"name":"Disabling the fLDAPBlockAnonOps field","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/4e11a7e6-e18c-46e4-a781-3ca2b4de6f30","type":"hyperlink"},{"name":"Enabling the fAllowPasswordOperationsOverNonSecureConnection field (AD LDS only) (texto en inglés)","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/6e803168-f140-4d23-b2d3-c3a8ab5917d2","type":"hyperlink"},{"name":"Changing the value of dwAdminSDExMask","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/50097362-ede5-40fa-973e-8d65e782e384","type":"hyperlink"}],"applicable_resource_types":["ad_ntds_service"],"attacker_known_tools":[],"category_id":4,"mitre_attacks":[{"tactic":"TA0043 - Reconnaissance (texto en inglés)","techniques":["T1592 - Gather Victim Host Information (texto en inglés)","T1589 - Gather Victim Identity Information (texto en inglés)","T1590 - Gather Victim Network Information (texto en inglés)"]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_TW","ja_JP","es_001","ko_KR","zh_CN","fr_FR","de_DE","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-DSHEURISTICS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"low","type":"ioe","subType":"ad","availableLocales":["zh-TW","ja","es","ko","zh-CN","fr","de","en"],"mitre_attack_information":[{"tactic":{"id":"TA0043","name":"Reconnaissance (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0043/"},"techniques":[{"id":"T1592","name":"Gather Victim Host Information (texto en inglés)","url":"https://attack.mitre.org/techniques/T1592/"},{"id":"T1589","name":"Gather Victim Identity Information (texto en inglés)","url":"https://attack.mitre.org/techniques/T1589/"},{"id":"T1590","name":"Gather Victim Network Information (texto en inglés)","url":"https://attack.mitre.org/techniques/T1590/"}]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[26]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-DOMAIN-FUNCTIONAL-LEVEL","_score":null,"_source":{"language_code":"es_001","codename":"C-DOMAIN-FUNCTIONAL-LEVEL","name":"Dominios con un nivel funcional anticuado","id":24,"description":"\u003cp\u003eComprueba el nivel funcional correcto de un dominio o bosque, lo que determina la disponibilidad de características avanzadas y opciones de seguridad.\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003eEl nivel funcional de un dominio o bosque determina las características avanzadas a las que se puede acceder dentro de ese dominio o bosque. Al aumentar el nivel funcional, hay disponibles nuevas características que pueden ofrecer opciones de seguridad adicionales.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLas distintas versiones de Windows Server en una arquitectura determinan el nivel funcional máximo de un dominio o bosque. El nivel funcional de un dominio permite el uso de características avanzadas que un nivel anterior no tiene.\n\u003cbr\u003eDe manera predeterminada, estas características no están habilitadas, incluso si todos los controladores de dominio funcionan en la misma versión del sistema operativo Windows Server. Aumentar el nivel funcional exige la intervención manual de un administrador. AD DS valida y verifica la coherencia de todas las versiones de Windows Server dentro del dominio o bosque para asegurar la homogeneidad.\n\u003cbr\u003eCuando se incluyen controladores de dominio que ejecutan versiones anteriores de Windows Server con controladores de dominio que ejecutan versiones posteriores, las características avanzadas de Active Directory se ven limitadas.\n\u003cbr\u003ePara cumplir con las prácticas recomendadas, las organizaciones deberían ejecutar la versión más reciente del sistema operativo en todos los controladores de dominio para usar todas las características más recientes.\n\u003cbr\u003eSi bien puede haber excepciones poco frecuentes, en la mayoría de los casos es imposible revertir o disminuir el nivel funcional una vez que alcanzó un cierto valor.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Aumentar el nivel funcional de un dominio","description":"Se recomienda aumentar el nivel funcional de un dominio (DFL) y el nivel funcional de un bosque (FFL).\n","exec_summary":"\u003cp\u003eEl nivel funcional del dominio (DFL) debe cumplir con la versión más antigua de Windows Server instalada en el dominio.\u003c/p\u003e\n","detail":"\u003cp\u003eDespués de instalar Active Directory Domain Services (AD DS), un administrador puede elegir activar ciertas características de AD DS. La cantidad de características disponibles aumenta con cada nueva versión de Windows Server. La disponibilidad de estas características depende del DFL, que queda determinado por las versiones de los controladores de dominio que hay en uso.\n\u003cbr\u003eCon cada nueva versión de Windows Server, hay nuevas características disponibles cuando se aumenta el DFL correspondiente. En la lista siguiente se destacan algunas mejoras importantes de las nuevas versiones recientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eWindows 2008: objeto de seguridad de contraseña (PSO), controlador de dominio de solo lectura (RODC)\u003c/li\u003e\n\u003cli\u003eWindows 2008 R2: cuentas de servicios administradas (MSA)\u003c/li\u003e\n\u003cli\u003eWindows 2012: mejoras de la seguridad de Kerberos, cuentas de servicio administradas por grupo (gMSA)\u003c/li\u003e\n\u003cli\u003eWindows 2016: Gestión de acceso privilegiado (PAM)\u003c/li\u003e\n\u003cli\u003e(Windows 2019 y 2022 no aportaron grandes cambios)\u003c/li\u003e\n\u003cli\u003eWindows 2025: cuentas de servicio administradas delegadas (dMSA)\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003ePara usar ciertas características, como las cuentas de servicios administradas, los niveles de dominio y bosque deben tener un cierto nivel. Por ejemplo, un bosque consta de un único dominio que incluye tres controladores de dominio, y el administrador quiere habilitar la característica de cuentas de servicios administradas. Los tres controladores de dominio funcionan con Windows Server 2012 R2, pero los niveles de dominio y bosque están establecidos en Windows Server 2003. Como consecuencia, no es posible habilitar la característica de cuentas de servicios administradas sin elevar los niveles funcionales del dominio o bosque de 2003 a 2008 R2 como mínimo.\u003c/p\u003e\n\u003cp\u003eEl DFL puede aumentarse con la GUI o con PowerShell:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eGUI:\u003c/li\u003e\n\u003c/ul\u003e\n\u003col\u003e\n\u003cli\u003eAbra “Dominios y confianzas de Active Directory”.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, haga clic con el botón derecho en el dominio para el que quiere elevar la funcionalidad y haga clic en “Elevar el nivel funcional del dominio”.\u003c/li\u003e\n\u003cli\u003eEn “Seleccione un nivel funcional del dominio disponible”, seleccione el más reciente (2025) y, luego, haga clic en “Elevar”.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cul\u003e\n\u003cli\u003ePowerShell: use el cmdlet \u003ccode\u003eSet-ADDomainMode\u003c/code\u003e.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEl FFL puede aumentarse con la GUI o con PowerShell:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eGUI:\u003c/li\u003e\n\u003c/ul\u003e\n\u003col\u003e\n\u003cli\u003eAbra “Dominios y confianzas de Active Directory”.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, haga clic con el botón derecho en el nodo “Dominios y confianzas de Active Directory” y haga clic en “Elevar el nivel funcional del bosque”.\u003c/li\u003e\n\u003cli\u003eEn “Seleccione un nivel funcional del bosque disponible”, seleccione el más reciente (2025) y, luego, haga clic en “Elevar”.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cul\u003e\n\u003cli\u003ePowerShell: use el cmdlet \u003ccode\u003eSet-ADForestMode\u003c/code\u003e.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eNota importante del \u003ca href=\"https://learn.microsoft.com/es-es/troubleshoot/windows-server/identity/raise-active-directory-domain-forest-functional-levels\"\u003esitio web de Microsoft\u003c/a\u003e: “No aumente el nivel funcional si el dominio tiene o tendrá un controlador de dominio que sea de una versión anterior a la versión citada para ese nivel. Por ejemplo, un nivel funcional de Windows Server 2008 requiere que todos los controladores de dominio tengan instalado Windows Server 2008 o un sistema operativo posterior en el dominio o en el bosque. Una vez que el nivel funcional del dominio se eleva a un nivel superior, solo se puede volver a cambiar a un nivel anterior mediante una recuperación de bosque. Esta restricción existe porque las características suelen cambiar la comunicación entre los controladores de dominio o porque las características cambian el almacenamiento de los datos de Active Directory en la base de datos”.\u003c/p\u003e\n","resources":[{"name":"Raise the Forest Functional Level","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730985(v=ws.11)","type":"hyperlink"},{"name":"How to raise Active Directory domain and forest functional levels (texto en inglés)","url":"https://learn.microsoft.com/en-US/troubleshoot/windows-server/identity/raise-active-directory-domain-forest-functional-levels\n","type":"hyperlink"},{"name":"Set-ADDomainMode PowerShell Cmdlet","url":"https://learn.microsoft.com/es-es/powershell/module/activedirectory/set-addomainmode?view=windowsserver2025-ps\n","type":"hyperlink"},{"name":"Set-ADForestMode PowerShell Cmdlet","url":"https://learn.microsoft.com/es-es/powershell/module/activedirectory/set-adforestmode?view=windowsserver2025-ps\n","type":"hyperlink"}]},"resources":[{"name":"Forest and Domain Functional Levels","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/active-directory-functional-levels\n","type":"hyperlink"},{"name":"Understanding Active Directory Domain Services (AD DS) Functional Level","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/active-directory-functional-levels\n","type":"hyperlink"},{"name":"What's new in Windows Server 2025","url":"https://learn.microsoft.com/es-es/windows-server/get-started/whats-new-windows-server-2025#active-directory-domain-services","type":"hyperlink"}],"applicable_resource_types":["ad_cross_ref","ad_cross_ref_container","ad_ntdsdsa"],"attacker_known_tools":[],"category_id":4,"mitre_attacks":[],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ko_KR","zh_CN","ja_JP","zh_TW","es_001","de_DE","fr_FR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-DOMAIN-FUNCTIONAL-LEVEL","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["ko","zh-CN","ja","zh-TW","es","de","fr","en"],"mitre_attack_information":[],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[24]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-LAPS-UNSECURE-CONFIG","_score":null,"_source":{"language_code":"es_001","codename":"C-LAPS-UNSECURE-CONFIG","name":"Administración de cuentas administrativas locales","id":23,"description":"\u003cp\u003eGarantiza la administración segura y centralizada de las cuentas administrativas locales mediante LAPS.\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003eLocal Administrator Password Solution (LAPS) es una herramienta de administración de contraseñas para cuentas locales con privilegios que exige la correcta implementación y configuración para asegurar que ningún usuario no autorizado pueda obtener privilegios elevados.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLAPS es un sistema potente que exige una configuración adecuada para ser eficaz. Este indicador de exposición valida que la implementación sea segura y correcta. Se admite Windows LAPS tanto en versiones heredadas como nuevas.\u003c/p\u003e\n\u003ch4\u003eActivación de LAPS\u003c/h4\u003e\n\u003cp\u003eLa primera comprobación básica verifica la activación de LAPS en el perímetro supervisado.\u003c/p\u003e\n\u003ch4\u003eDerechos de acceso a atributos confidenciales\u003c/h4\u003e\n\u003cp\u003eLAPS almacena contraseñas en el atributo confidencial (ms-mcs-AdmPwd) de Active Directory y no en el entorno local. Los usuarios autorizados pueden acceder a este atributo, lo que permite a los administradores iniciar sesión en una máquina con una cuenta local. De manera predeterminada, solo el grupo \u003ccode\u003eAdministradores de dominio\u003c/code\u003e puede leer o modificar este atributo. Para permitir el acceso, debe configurar la delegación manual, lo que puede llevar a errores.\nEste indicador de exposición se asegura de que solo los siguientes grupos con privilegios puedan acceder al atributo ms-mcs-AdmPwd.\n\u003cbr\u003eEstos grupos son:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePublicadores de certificados\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de esquema\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de empresas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePropietarios del creador de directivas de grupo\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores empresariales de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidor\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eReplicadores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales\u003c/code\u003e\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003ePolítica de contraseñas\u003c/h4\u003e\n\u003cp\u003eLAPS configura contraseñas locales automáticamente mediante una política de contraseñas predefinida. De manera predeterminada, usa la política siguiente:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003cstrong\u003eMáxima complejidad de contraseñas\u003c/strong\u003e\u003c/li\u003e\n\u003cli\u003e\u003cstrong\u003e12 caracteres\u003c/strong\u003e\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEste indicador de exposición se asegura de que la política definida actualmente sea \u003cstrong\u003eal menos tan segura\u003c/strong\u003e como la política predeterminada.\u003c/p\u003e\n\u003ch4\u003eRenovación de contraseñas\u003c/h4\u003e\n\u003cp\u003eLAPS renueva automáticamente las contraseñas que administra. El período de renovación predeterminado es de \u003cstrong\u003e30 días\u003c/strong\u003e.\nEste indicador de exposición se asegura de que el período de renovación de las contraseñas sea \u003cstrong\u003eal menos tan breve\u003c/strong\u003e como el período predeterminado.\u003c/p\u003e\n\u003ch4\u003eNuevo Windows LAPS\u003c/h4\u003e\n\u003cp\u003eEn abril de 2023, Microsoft presentó un nuevo componente para la renovación automática de la contraseña del administrador local (denominado en este indicador de exposición “nuevo Windows LAPS”). Con esta actualización de Windows, se agregó directamente a los sistemas operativos Windows 10+ y Windows Server 2019+. Se diseñó para sustituir el componente LAPS “heredado” anterior, ya que ofrece una administración e instalación más sencillas, y presenta nuevas características que eran de interés de los clientes.\u003c/p\u003e\n\u003cp\u003eAmbas versiones de LAPS pueden estar presentes a la vez en un entorno. Este indicador de exposición ofrece una opción para indicar al producto qué versión de LAPS está instalada y debe validarse.\nTenga en cuenta que este indicador de exposición no puede consultar la configuración del nuevo Windows LAPS si se hace a través de Intune y no de un GPO. Además, si las contraseñas no se almacenan en Active Directory, sino en Entra ID, no es necesario que este atributo esté presente en el esquema de AD.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Implementar el componente LAPS","description":"Las cuentas administrativas locales deberían administrarse con LAPS.","exec_summary":"\u003cp\u003eUse Microsoft Local Administrator Password Solution (LAPS) para administrar las cuentas con privilegios locales.\u003c/p\u003e\n","detail":"\u003ch4\u003eLAPS heredado\u003c/h4\u003e\n\u003cp\u003ePara los sistemas que no son compatibles con el nuevo Windows LAPS, implemente LAPS heredado para generar al azar contraseñas de administrador local y cambiarlas periódicamente. Toda la documentación sobre la instalación de LAPS está disponible en el \u003ca href=\"https://www.microsoft.com/es-es/download/details.aspx?id=46899\"\u003esitio web de Microsoft\u003c/a\u003e.\n\u003cbr\u003eSiga este procedimiento:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eActualice Active Directory para agregar dos nuevos atributos: ms-Mcs-AdmPwd y ms-Mcs-AdmPwdExpirationTime.\u003c/li\u003e\n\u003cli\u003eConfigure la delegación de los derechos adecuados para permitir que los equipos actualicen su contraseña de LAPS local y los grupos con privilegios legítimos para leer el atributo confidencial.\u003c/li\u003e\n\u003cli\u003eInstale la extensión del lado cliente en los equipos (se incluye en el paquete descargado del [sitio web de Microsoft][\u003ca href=\"https://www.microsoft.com/es-es/download/details.aspx?id=46899%5D\"\u003ehttps://www.microsoft.com/es-es/download/details.aspx?id=46899]\u003c/a\u003e).\u003c/li\u003e\n\u003cli\u003eHabilite LAPS mediante el GPO.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eNuevo Windows LAPS\u003c/h4\u003e\n\u003cp\u003eSi los equipos del dominio son todos recientes y compatibles con el nuevo Windows LAPS (Windows 10+ en el lado cliente y Windows Server 2019+ en el lado servidor), debería centrar los esfuerzos en esta versión de LAPS. Recuerde que primero debería instalar la \u003ca href=\"https://learn.microsoft.com/es-es/windows-server/identity/laps/laps-overview#windows-laps-supported-platforms-and-microsoft-entra-laps-preview-status\"\u003eactualización\u003c/a\u003e específica del “11 de abril de 2023” en los sistemas.\nMicrosoft ofrece un \u003ca href=\"https://learn.microsoft.com/es-es/windows-server/identity/laps/laps-scenarios-deployment-migration\"\u003eprocedimiento de instalación\u003c/a\u003e que se puede seguir:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl esquema de AD tiene que actualizarse.\u003c/li\u003e\n\u003cli\u003eDeben definirse los permisos de los equipos que deben renovar las contraseñas de los administradores locales.\u003c/li\u003e\n\u003cli\u003eTiene que crearse un GPO que contenga la configuración y vincularse a los equipos.\u003c/li\u003e\n\u003c/ul\u003e\n","resources":[{"name":"Introducción a Windows LAPS y Windows Server Active Directory","url":"https://learn.microsoft.com/es-es/windows-server/identity/laps/laps-scenarios-windows-server-active-directory","type":"hyperlink"},{"name":"Referencia de extensiones de esquema de Windows LAPS","url":"https://learn.microsoft.com/es-es/windows-server/identity/laps/laps-technical-reference","type":"hyperlink"},{"name":"Configuración de las opciones de directiva de Windows LAPS","url":"https://learn.microsoft.com/es-es/windows-server/identity/laps/laps-management-policy-settings","type":"hyperlink"}]},"resources":[{"name":"Microsoft LAPS Security \u0026 Active Directory LAPS Configuration Recon","url":"https://adsecurity.org/?p=3164","type":"hyperlink"},{"name":"Local Admin Password Solution (LAPS)","url":"https://learn.microsoft.com/es-es/archive/blogs/arnaud/local-admin-password-solution-laps\n","type":"hyperlink"},{"name":"Local Administrator Password Solution (LAPS) Implementation Hints and Security Nerd Commentary (including mini threat model)","url":"https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/local-administrator-password-solution-laps-implementation-hints/ba-p/258296\n","type":"hyperlink"},{"name":"Local Administrator Password Solution","url":"https://learn.microsoft.com/es-es/previous-versions/mt227395(v=msdn.10)","type":"hyperlink"},{"name":"Microsoft Security Advisory 3062591: Local Administrator Password Solution (LAPS) Now Available","url":"https://support.microsoft.com/es-es/topic/microsoft-security-advisory-local-administrator-password-solution-laps-now-available-may-1-2015-404369c3-ea1e-80ff-1e14-5caafb832f53","type":"hyperlink"}],"applicable_resource_types":["ad_dmd","ad_sysvol_pol","ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0008 - Lateral Movement (texto en inglés)","techniques":["T1021 - Remote Services (texto en inglés)"]},{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":[]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ko_KR","zh_CN","ja_JP","fr_FR","es_001","zh_TW","de_DE","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-LAPS-UNSECURE-CONFIG","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["ko","zh-CN","ja","fr","es","zh-TW","de","en"],"mitre_attack_information":[{"tactic":{"id":"TA0008","name":"Lateral Movement (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0008/"},"techniques":[{"id":"T1021","name":"Remote Services (texto en inglés)","url":"https://attack.mitre.org/techniques/T1021/"}]},{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[23]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-KERBEROS-CONFIG-ACCOUNT","_score":null,"_source":{"language_code":"es_001","codename":"C-KERBEROS-CONFIG-ACCOUNT","name":"Configuración de Kerberos en una cuenta de usuario","id":22,"description":"\u003cp\u003eDetecta las cuentas que usan una configuración débil de Kerberos.\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003eActive Directory se basa en Kerberos para la autenticación. Se trata de un protocolo antiguo que ha recibido diversas medidas de endurecimiento de la seguridad. Por este motivo, es necesario deshabilitar algunas opciones heredadas (p. ej., el cifrado “DES” obsoleto o “No requerir autenticación previa de Kerberos”) para garantizar el nivel de seguridad adecuado, como impedir los ataques “AS-REP Roasting”.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEl protocolo Kerberos tiene una amplia variedad de opciones de configuración, algunas de las cuales representan un enorme riesgo de seguridad. Este indicador de exposición informa sobre las cuentas de usuario y de equipo que utilizan una configuración débil de Kerberos, según se define a continuación:\u003c/p\u003e\n\u003ch4\u003eClaves de Data Encryption Standard (DES)\u003c/h4\u003e\n\u003cp\u003eEn un principio, el protocolo Kerberos 5 (\u003ca href=\"https://tools.ietf.org/html/rfc1510\"\u003eRFC 1510\u003c/a\u003e) solo usaba el cifrado DES, que ahora se considera inseguro debido al tamaño de clave pequeño. Si bien Active Directory aún permite el algoritmo DES, se recomienda deshabilitarlo, ya que se puede descifrar fácilmente.\u003c/p\u003e\n\u003ch4\u003ePreautenticación\u003c/h4\u003e\n\u003cp\u003eEl ataque AS-REP Roasting es una manera de que un atacante adivine la contraseña de un usuario. Para ello, el atacante primero busca usuarios que no tengan habilitada la opción obligatoria de preautenticación de Kerberos (\u003ccode\u003eNo requerir autenticación previa de Kerberos\u003c/code\u003e o DONT_REQ_PREAUTH, que es parte del atributo userAccountControl). Esos usuarios son vulnerables, ya que el KDC responderá a las solicitudes de autenticación (AS-REQ) en su nombre sin exigir la preautenticación.\n\u003cbr\u003eEl KDC devolverá un mensaje de respuesta (AS-REP) al servidor de autenticación que contiene un Ticket-Granting Ticket (TGT) cifrado en respuesta a una solicitud de autenticación (AS-REQ). Parte del TGT se cifra con la clave derivada de la contraseña original del usuario. Esto brinda la oportunidad de que el atacante use un ataque de fuerza bruta sin conexión para adivinar la contraseña del usuario, lo que es mucho más rápido que un ataque de fuerza bruta en línea.\n\u003cbr\u003eLa preautenticación es una característica de seguridad que requiere que el atacante ya posea la contraseña (al tener que cifrar una marca de tiempo) antes de que el KDC envíe al TGT cifrado. Sin la preautenticación, un atacante puede llevar a cabo un ataque AS-REP Roasting para adivinar la contraseña del usuario.\n\u003cbr\u003eEste ataque se basa en el hecho de que las contraseñas se están usando para autenticación y en que son lo suficientemente débiles para poder descubrirlas por fuerza bruta. No obstante, si, en su lugar, se usa la autenticación mediante tarjeta inteligente (certificado), este ataque no puede funcionar, ya que esta no es la contraseña del usuario que se necesita para el ataque de fuerza bruta, sino la clave privada del certificado, que es mucho más difícil de recuperar.\nPor lo tanto, en este indicador de exposición no se generará ninguna anomalía relacionada con la falta de preautenticación de Kerberos de los usuarios que tienen configurada la opción “Inicio de sesión interactivo: requerir tarjeta inteligente”.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Configurar Kerberos de manera segura","description":"Kerberos debe configurarse para usar parámetros y algoritmos seguros.","exec_summary":"\u003cp\u003ePara garantizar el más alto nivel de seguridad, configure el protocolo de autenticación de Active Directory para que use los parámetros y protocolos de seguridad más recientes.\u003c/p\u003e\n","detail":"\u003cp\u003eConfigure el protocolo Kerberos para usar la preautenticación y evite usar el algoritmo DES. Si bien esta es la opción predeterminada ahora, puede que algunas cuentas heredadas no la usen y tenga que actualizarlas.\u003c/p\u003e\n\u003ch4\u003eConfigurar una cuenta para usar la preautenticación de Kerberos\u003c/h4\u003e\n\u003ch2\u003eProcedimiento con las herramientas de administración de Microsoft\u003c/h2\u003e\n\u003col\u003e\n\u003cli\u003eEjecute la herramienta \u003cem\u003eUsuarios y equipos de Active Directory\u003c/em\u003e ya sea desde el complemento MMC o desde las herramientas de \u003cem\u003eAdministrador de servidores\u003c/em\u003e .\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en la cuenta heredada y haga clic en \u003cem\u003eProperties\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la pestaña \u003cem\u003eAccount\u003c/em\u003e .\u003c/li\u003e\n\u003cli\u003eDeje desmarcada la opción \u003ccode\u003eNo requerir autenticación previa de Kerberos\u003c/code\u003e.\u003c/li\u003e\n\u003cli\u003eHaga clic en \u003cem\u003eOK\u003c/em\u003e para validar la modificación.\u003c/li\u003e\n\u003cli\u003eRepita los tres últimos pasos para cada cuenta heredada.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch2\u003eProcedimiento con PowerShell\u003c/h2\u003e\n\u003cp\u003eEjecute este comando en un controlador de dominio para habilitar la preautenticación de Kerberos en cada usuario correspondiente:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eGet-ADUser -Filter 'useraccountcontrol -band 0x400000' -Properties UserAccountControl | % { Set-ADUser -Identity $_ -Replace @{ UserAccountControl = $_.UserAccountControl -band (-bnot 0x400000) } }\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eLa parte Get-ADUser captura cada usuario que tiene seleccionada la opción \u003ccode\u003eNo requerir autenticación previa de Kerberos\u003c/code\u003e, mientras que Set-ADUser quita esta opción.\u003c/p\u003e\n\u003ch4\u003eDeshabilitar el uso del algoritmo DES débil\u003c/h4\u003e\n\u003ch2\u003eProcedimiento con las herramientas de administración de Microsoft\u003c/h2\u003e\n\u003col\u003e\n\u003cli\u003eEjecute la herramienta \u003cem\u003eUsuarios y equipos de Active Directory\u003c/em\u003e ya sea desde el complemento MMC o desde las herramientas de \u003cem\u003eAdministrador de servidores\u003c/em\u003e .\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en la cuenta heredada y haga clic en \u003cem\u003eProperties\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eSeleccione la pestaña \u003cem\u003eAccount\u003c/em\u003e .\u003c/li\u003e\n\u003cli\u003eDeje desmarcada la opción \u003ccode\u003eUsar solo tipos de cifrado DES de Kerberos para esta cuenta\u003c/code\u003e.\u003c/li\u003e\n\u003cli\u003eHaga clic en \u003cem\u003eOK\u003c/em\u003e para validar la modificación.\u003c/li\u003e\n\u003cli\u003eRepita los tres últimos pasos para cada cuenta heredada.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch2\u003eProcedimiento con PowerShell\u003c/h2\u003e\n\u003cp\u003eEjecute este comando en un controlador de dominio para deshabilitar el algoritmo DES en cada usuario correspondiente:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eGet-ADUser -Filter 'useraccountcontrol -band 0x200000' -Properties UserAccountControl | % { Set-ADUser -Identity $_ -Replace @{ UserAccountControl = $_.UserAccountControl -band (-bnot 0x200000) } }\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eLa parte Get-ADUser captura cada usuario que tiene la opción \u003ccode\u003eUsar solo tipos de cifrado DES de Kerberos para esta cuenta\u003c/code\u003e, mientras que Set-ADUser quita esta opción.\u003c/p\u003e\n","resources":[{"name":"MITRE ATT\u0026CK - Steal or Forge Kerberos Tickets: AS-REP Roasting","url":"https://attack.mitre.org/techniques/T1558/004/","type":"hyperlink"}]},"resources":[{"name":"What Is Kerberos Authentication?","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc780469(v=ws.10)","type":"hyperlink"},{"name":"Kerberos RFC 4120","url":"https://www.rfc-editor.org/rfc/rfc4120","type":"hyperlink"},{"name":"Authentication secrets part II - Kerberos strikes-back","url":"https://www.sstic.org/media/SSTIC2014/SSTIC-actes/secrets_dauthentification_pisode_ii__kerberos_cont/SSTIC2014-Article-secrets_dauthentification_pisode_ii__kerberos_contre-attaque-bordes_2.pdf\n","type":"hyperlink"},{"name":"Kerberos Protocol Tutorial","url":"https://www.kerberos.org/software/tutorial.html","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[{"name":"Rubeus","url":"https://github.com/GhostPack/Rubeus","author":"HarmJ0y, Elad Shamir"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0001 - Initial Access (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_TW","ko_KR","zh_CN","fr_FR","de_DE","ja_JP","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-KERBEROS-CONFIG-ACCOUNT","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["zh-TW","ko","zh-CN","fr","de","ja","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0001","name":"Initial Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0001/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[22]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-ROOTOBJECTS-SD-CONSISTENCY","_score":null,"_source":{"language_code":"es_001","codename":"C-ROOTOBJECTS-SD-CONSISTENCY","name":"Permisos de objetos raíz que permiten ataques similares a DCSync","id":21,"description":"\u003cp\u003eComprueba los permisos inseguros en los objetos raíz, que pueden permitir que usuarios no autorizados roben credenciales de autenticación.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eLos permisos equilibrados asignados a las particiones raíz (como la raíz del dominio, la partición de configuración y el esquema) tienen un efecto en todo el dominio de Active Directory. Si se definen de manera incorrecta, pueden representar una amenaza al entorno de AD y a sus objetos al permitir los ataques DCSync (y otros relacionados). Además, los permisos peligrosos podrían servir como medio para que un atacante mantenga persistencia tras un ataque.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eActive Directory almacena objetos en una estructura de árbol jerárquica, donde la raíz del dominio tiene un nombre de LDAP, como DC=domainA,DC=local. Los permisos que se definen en la raíz del dominio se aplican a todos los objetos debajo de ella, a menos que la herencia se bloquee. Es fundamental asegurarse de que no se definan permisos peligrosos en la raíz del dominio con el fin de proteger la totalidad de la infraestructura.\u003c/p\u003e\n\u003ch1\u003e\u003c/h1\u003e\n\u003cp\u003eEste indicador de exposición analiza varias particiones de AD, incluida la raíz del dominio, la partición de configuración y el esquema, para comprobar que ninguna cuenta de usuario sin privilegios tenga control de estos objetos debido a los permisos peligrosos (ACE en la DACL) o la capacidad del propietario de los recursos de agregar cualquier permiso.\u003c/p\u003e\n\u003ch1\u003e\u003c/h1\u003e\n\u003cp\u003eTenable Identity Exposure define como grupos con privilegios a la siguiente lista (también conocidos como grupos de Tier-0) y sus subgrupos que tienen permisos especiales en entidades sensibles:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePublicadores de certificados\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de esquema\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de empresas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePropietarios del creador de directivas de grupo\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores empresariales de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidor\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eReplicadores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales\u003c/code\u003e\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch1\u003e\u003c/h1\u003e\n\u003cp\u003eTener control de un objeto significa tener permisos que permiten que una cuenta (el administrador en una ACE) realice acciones peligrosas en ese recurso o los objetos que contiene. Por ejemplo, “Replicating Directory Changes” y “Replicating Directory Changes All” son derechos que el ataque DCSync necesita para permitir que los atacantes extraigan hashes de contraseña y secretos de todos los usuarios del dominio. Este ataque explota el mecanismo de replicación de AD creado para que los controladores de dominio sincronicen los cambios. El indicador de ataque “DCSync” detecta estos ataques y los representa en el gráfico de ruta de ataque.\nSi cualquier cuenta estándar tiene estos permisos, podría extraer remotamente los hashes de contraseña y potencialmente elevar sus privilegios dentro del dominio para convertirse en administrador del dominio.\u003c/p\u003e\n\u003ch1\u003e\u003c/h1\u003e\n\u003cp\u003eEste indicador de exposición no solo se centra en el ataque DCSync, que es un tema sumamente sensible. Muchos otros permisos pueden otorgar a una cuenta estándar acceso a recursos con privilegios, como la capacidad de lo siguiente:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eAgregar una cuenta a un grupo sensible (p. ej., “Administradores de dominios”).\u003c/li\u003e\n\u003cli\u003eVincular un nuevo GPO en la raíz del dominio para ejecutar un script peligroso en todos los equipos (esta técnica podría usarse durante un ataque de ransomware).\u003c/li\u003e\n\u003cli\u003eDegradar la seguridad al desvincular un GPO relacionado con las configuraciones de seguridad (p. ej., para quitar reglas del Firewall de Windows a fin de acceder a estaciones de trabajo de los administradores).\u003c/li\u003e\n\u003cli\u003eEliminar objetos en Active Directory para destruir partes del entorno.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch1\u003e\u003c/h1\u003e\n\u003cp\u003eEs sumamente peligroso que un objeto tenga el acceso “Control total”, ya que otorga todos los permisos posibles, incluidos aquellos necesarios para el ataque DCSync y los otros ejemplos dados. También se admiten otros derechos genéricos y estándar proporcionados por Microsoft.\u003c/p\u003e\n\u003ch1\u003e\u003c/h1\u003e\n\u003cp\u003eNota: Los permisos en algunas particiones pueden configurarse con un grupo con privilegios diferente del predeterminado, pero si no aumentan el riesgo del entorno, no se consideran peligrosos y no necesitan corrección.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Corregir permisos en objetos de la raíz de un dominio","description":"Los permisos peligrosos que se aplican a los objetos de la raíz de un dominio deberían quitarse.","exec_summary":"\u003cp\u003eLleve a cabo una evaluación de seguridad de los permisos que se aplican a los objetos de la raíz de un dominio para identificar aquellos que se pueden quitar o adaptar de manera segura. Solo autorice un permiso peligroso si el entorno de Active Directory ya toma como privilegiada la cuenta o grupo configurados.\u003c/p\u003e\n","detail":"\u003cp\u003eAl evaluar los permisos aplicados a un objeto de la raíz de un dominio, debe examinar con cuidado casi todos los objetos de interés del dominio y analizar la posibilidad de quitar aquellos que puedan representar un riesgo de seguridad. Antes de quitar permisos, lleve a cabo una evaluación precisa del impacto en las aplicaciones o los usuarios que los usan. Se recomienda hacer primero pruebas en preproducción.\u003c/p\u003e\n\u003ch4\u003eCómo evaluar las vulnerabilidades\u003c/h4\u003e\n\u003cp\u003ePara decidir si los resultados obtenidos son legítimos o necesitan corrección, tiene que responder las preguntas siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e¿Se considera que el grupo o la cuenta de usuario o de equipo a los que se hace referencia tienen muchos privilegios en el entorno? En caso afirmativo, ¿tienen el mismo endurecimiento de seguridad que todas las cuentas de Tier-0 (política de contraseñas complejas, estación de trabajo dedicada, supervisadas específicamente por el SOC (Security Operations Center), etc.)?\u003c/li\u003e\n\u003cli\u003eEsos derechos con privilegios, ¿se relacionan en verdad con el rol de administración de Active Directory o, en su lugar, con otro rol de administración? Por ejemplo, los administradores de redes, aplicaciones o virtualización no suelen necesitar derechos de administración de dominios.\u003c/li\u003e\n\u003cli\u003eEsta cuenta, ¿en realidad necesita este permiso peligroso? ¿Cuál es el motivo que subyace a esta configuración? ¿Se describe por competo en algún documento? ¿Se relaciona con un producto de un tercero que no sigue las prácticas de seguridad recomendadas?\u003c/li\u003e\n\u003cli\u003eLos permisos, ¿están configurados usando solo los derechos necesarios y suficientes o son más amplios por cuestiones de simplicidad?\u003c/li\u003e\n\u003cli\u003e¿Es posible reemplazar la entidad de seguridad por una cuenta apropiada (por ejemplo, un grupo con privilegios dedicado)?\u003c/li\u003e\n\u003cli\u003e¿Acepta este problema de seguridad y lo tiene en cuenta en el análisis de riesgos?\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch1\u003e\u003c/h1\u003e\n\u003cp\u003eDe manera predeterminada, solo las entidades con privilegios integradas (la lista completa se encuentra en la pestaña \u003cem\u003eDetalles de la vulnerabilidad\u003c/em\u003e ) deberían tener permisos importantes en los objetos de la raíz.\u003c/p\u003e\n\u003ch4\u003eProblemas habituales que se encuentran en producción\u003c/h4\u003e\n\u003cp\u003eLa producción suele involucrar dos situaciones:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eConfigurar Microsoft Entra Connect en Active Directory crea cuentas de MSOL que exigen permisos sensibles en la raíz del dominio, según se indica en la documentación de Microsoft. De manera predeterminada, estas cuentas se ignoran para evitar falsos positivos habituales. Sin embargo, es imposible saber si estas cuentas son legítimas únicamente usando datos de AD, lo que deja abierta la posibilidad de que un atacante cree una cuenta con un nombre similar e instale una puerta trasera. Si le preocupa este riesgo, en su lugar, le recomendamos activar la opción del IoE para conservar las cuentas de MSOL, así como para hacer referencia a cada cuenta MSOL_* y validarla. Para ello, analice la configuración de cada instancia de Microsoft Entra Connect.\u003c/li\u003e\n\u003cli\u003eAlgunos grupos de Exchange pueden tener configurados permisos peligrosos debido a un error en los permisos definidos en los grupos “Exchange Trusted Subsystem” y “Exchange Windows Permissions” de instalaciones de Exchange anteriores. Los atacantes podrían explotar este error para elevar sus privilegios en el dominio. Microsoft brinda una solución para esto en su documentación en línea (a la que se hace referencia en los recursos).\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eCómo corregir permisos incorrectos mediante herramientas de Microsoft\u003c/h4\u003e\n\u003cp\u003ePara quitar o modificar permisos no deseados mediante el complemento “ADSI Edit”, siga el procedimiento a continuación:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eInicie el programa “mmc.exe”.\u003c/li\u003e\n\u003cli\u003eHaga clic en “Archivo \u0026gt; Agregar o quitar complemento…” y seleccione “ADSI Edit” para cargar el complemento adecuado.\u003c/li\u003e\n\u003cli\u003eUna vez que se cargue, haga clic en “ADSI Edit” y elija “Conectarse a…”.\u003c/li\u003e\n\u003cli\u003eEn “Punto de conexión \u0026gt; Seleccionar un contexto de nomenclatura conocido”, seleccione una de las particiones siguientes (según se indique en la anomalía):\n a. Configuration\n b. RootDSE (esta es la raíz del dominio)\n c. Schema\u003c/li\u003e\n\u003cli\u003eUna vez que haya seleccionado una partición, haga clic derecho en ella y elija “Propiedades”.\u003c/li\u003e\n\u003cli\u003eEn la pestaña “Seguridad”, seleccione la vista “Avanzado” para acceder a “Permisos”.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eSe mostrarán todas las entradas de permisos, que puede adaptar o quitar según sea necesario.\u003c/p\u003e\n","resources":[{"name":"Microsoft Entra Connect Accounts and permissions","url":"https://learn.microsoft.com/es-es/azure/active-directory/hybrid/reference-connect-accounts-permissions","type":"hyperlink"},{"name":"Permisos de Exchange: Domain object DACL privilege escalation","url":"https://github.com/gdedrouas/Exchange-AD-Privesc/blob/master/DomainObject/DomainObject.md","type":"hyperlink"},{"name":"Reducing permissions required to run Exchange Server when you use the Shared Permissions Model","url":"https://support.microsoft.com/es-es/topic/reducing-permissions-required-to-run-exchange-server-when-you-use-the-shared-permissions-model-e1972d47-d714-fd76-1fd5-7cdcb85408ed","type":"hyperlink"}]},"resources":[{"name":"Privileged Accounts and Groups in Active Directory","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/plan/security-best-practices/appendix-b--privileged-accounts-and-groups-in-active-directory\n","type":"hyperlink"},{"name":"Mimikatz DCSync Usage, Exploitation, and Detection","url":"https://adsecurity.org/?p=1729\n","type":"hyperlink"}],"applicable_resource_types":["ad_configuration","ad_dmd","ad_root_domain"],"attacker_known_tools":[{"name":"Mimikatz DCSync","url":"https://github.com/gentilkiwi/mimikatz","author":"gentilkiwi"}],"category_id":5,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":[]},{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1003.006 - OS Credential Dumping - DCSync (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","ja_JP","ko_KR","zh_TW","zh_CN","fr_FR","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-ROOTOBJECTS-SD-CONSISTENCY","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["de","ja","ko","zh-TW","zh-CN","fr","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[]},{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1003.006","name":"OS Credential Dumping - DCSync (texto en inglés)","url":"https://attack.mitre.org/techniques/T1003/006/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[21]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-PRE-WIN2000-ACCESS-MEMBERS","_score":null,"_source":{"language_code":"es_001","codename":"C-PRE-WIN2000-ACCESS-MEMBERS","name":"Cuentas que usan un control de acceso compatible con versiones anteriores a Windows 2000","id":20,"description":"\u003cp\u003eComprueba los miembros de cuentas de un grupo de acceso compatible con versiones anteriores a Windows 2000 que puedan saltarse las medidas de seguridad.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLa compatibilidad con sistemas heredados puede disminuir el nivel de seguridad de la instancia completa de Active Directory.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eCuando Microsoft publicó la primera versión de Active Directory, agregó un grupo de \u003ccode\u003eacceso compatible con versiones anteriores de Windows 2000\u003c/code\u003e con permisos de lectura en la mayoría de los objetos de dominio y datos de configuración para facilitar la compatibilidad con sistemas antiguos.\n\u003cbr\u003eElegir la compatibilidad con sistemas heredados llena el grupo con la identidad \u003ccode\u003eTodos\u003c/code\u003e, incluido el usuario \u003ccode\u003eAnónimo\u003c/code\u003e, que permite que usuarios sin autenticar accedan a leer todos los datos de configuración del dominio. Los atacantes pueden explotar esto para descubrir objetivos o lanzar ataques de fuerza bruta.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Limpiar los miembros del grupo de acceso compatible con versiones anteriores a Windows 2000","description":"Se deberían quitar algunos miembros del grupo de acceso compatible con versiones anteriores a Windows 2000.","exec_summary":"\u003cp\u003eQuite algunos miembros del grupo de acceso compatible con versiones anteriores a Windows 2000.\u003c/p\u003e\n","detail":"\u003cp\u003eQuite los miembros siguientes del grupo de Pre-Windows 2000 compatible access:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eANONYMOUS LOGON, con identificador de seguridad S-1-5-7\u003c/li\u003e\n\u003cli\u003eEVERYONE, con identificador de seguridad S-1-1-0\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eDe manera predeterminada, Windows Server 2000 y 2003 permiten las sesiones nulas o sin autenticar. Esto permite que usuarios sin autenticar extraigan información potencialmente sensible del directorio, como nombres de usuario y contraseñas de texto no cifrado que se encuentran en las descripciones.\n\u003cbr\u003eWindows Server 2008 ya no permite las sesiones nulas en las instalaciones nuevas, pero las actualizaciones mantendrán la compatibilidad de AD con las versiones anteriores.\n\u003cbr\u003ePara deshabilitar las sesiones NULL de SMB o NetBIOS en los controladores de dominio mediante una política de grupo, siga los pasos a continuación (para acceder a estas opciones de la política de grupo, edite el GPO y vaya a Computer configuration\\Policies\\Windows Settings\\Security Settings\\Local Policies\\SecurityOptions).\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAgregue la siguiente configuración de la política de grupo al objeto GPO que se aplica a los controladores de dominio (que suele ser la Default Domain Controllers Policy):\u003c/li\u003e\n\u003c/ol\u003e\n\u003cul\u003e\n\u003cli\u003eNetwork access: Restrict Anonymous access to Named Pipes and Shares\u003c/li\u003e\n\u003cli\u003eNetwork access: Do not allow anonymous enumeration of SAM accounts\u003c/li\u003e\n\u003cli\u003eNetwork access: Do not allow anonymous enumeration of SAM accounts and shares\u003c/li\u003e\n\u003c/ul\u003e\n\u003col start=\"2\"\u003e\n\u003cli\u003eDeshabilite la siguiente opción de la política de grupo:\u003c/li\u003e\n\u003c/ol\u003e\n\u003cul\u003e\n\u003cli\u003eNetwork access: Let Everyone permissions apply to anonymous users\u003c/li\u003e\n\u003cli\u003eNetwork access: Allow anonymous SID/Name translation\u003c/li\u003e\n\u003c/ul\u003e\n\u003col start=\"3\"\u003e\n\u003cli\u003ePersonalice el “Acceso de red:\u003c/li\u003e\n\u003c/ol\u003e\n\u003cul\u003e\n\u003cli\u003eNetwork access: Shares that can be accessed anonymously\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEn general, el grupo Authenticated Users es miembro del grupo de \u003ccode\u003eacceso compatible con versiones anteriores a Windows 2000\u003c/code\u003e, lo que no representa un riesgo de seguridad. No se recomienda quitar este grupo, ya que puede afectar negativamente a las soluciones de software y la visibilidad de los atributos de Active Directory, incluido Tenable Identity Exposure.\n\u003cbr\u003eQuite los otros miembros potenciales de ser necesario, teniendo en cuenta que algunas aplicaciones heredadas y dispositivos (como impresoras) pueden perder la funcionalidad que se basa en esta característica heredada.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"Pre-Windows 2000 Compatible Access","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/manage/understand-security-groups#prewindows-2000-compatible-access\n","type":"hyperlink"},{"name":"Pre-Windows 2000 Compatible Access Group Object","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/7a76a403-ed8d-4c39-adb7-a3255cab82c5","type":"hyperlink"},{"name":"Security Identifiers from Windows Server 2003","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc780850(v=ws.10)","type":"hyperlink"}],"applicable_resource_types":["ad_group"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0043 - Reconnaissance (texto en inglés)","techniques":["T1592 - Gather Victim Host Information (texto en inglés)","T1589 - Gather Victim Identity Information (texto en inglés)","T1590 - Gather Victim Network Information (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","ko_KR","fr_FR","zh_TW","ja_JP","zh_CN","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-PRE-WIN2000-ACCESS-MEMBERS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["de","ko","fr","zh-TW","ja","zh-CN","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0043","name":"Reconnaissance (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0043/"},"techniques":[{"id":"T1592","name":"Gather Victim Host Information (texto en inglés)","url":"https://attack.mitre.org/techniques/T1592/"},{"id":"T1589","name":"Gather Victim Identity Information (texto en inglés)","url":"https://attack.mitre.org/techniques/T1589/"},{"id":"T1590","name":"Gather Victim Network Information (texto en inglés)","url":"https://attack.mitre.org/techniques/T1590/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[20]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-DISABLED-ACCOUNTS-PRIV-GROUPS","_score":null,"_source":{"language_code":"es_001","codename":"C-DISABLED-ACCOUNTS-PRIV-GROUPS","name":"Cuentas deshabilitadas en grupos con privilegios","id":19,"description":"\u003cp\u003eLas cuentas que ya no se usan no deben permanecer en los grupos con privilegios.\u003c/p\u003e\n","criticity":"low","exec_summary":"\u003cp\u003eContar con un proceso de administración de cuentas sano exige supervisar la pertenencia a grupos con privilegios.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eCuando un administrador o usuario avanzado dejan la empresa o cambian de puesto, quíteles los privilegios de inmediato. Para comenzar, deshabilite la cuenta y, luego, quítela de los grupos con privilegios para evitar la reactivación accidental y asegurarse de que solo las cuentas con privilegios conserven el acceso privilegiado. Además, esto permite que otros administradores comprueben rápidamente que en los grupos con privilegios solo haya presentes cuentas legítimas.\n\u003cbr\u003eEste indicador de exposición tiene en cuenta las siguientes entidades con privilegios integradas:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePublicadores de certificados\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de esquema\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de empresas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePropietarios del creador de directivas de grupo\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores empresariales de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidor\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eReplicadores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales\u003c/code\u003e\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Quitar cuentas deshabilitadas de grupos con privilegios","description":"Las cuentas sin usar deben quitarse de los grupos con privilegios.","exec_summary":"\u003cp\u003eCuando un administrador abandona la empresa, quite su cuenta de los grupos con privilegios para evitar la reactivación accidental y simplificar la administración de usuarios.\u003c/p\u003e\n","detail":"\u003cp\u003eAl retirar un servicio con privilegios o cuando un administrador deja su cargo, siga el procedimiento a continuación:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eDesactive la cuenta de usuario o de servicio correspondiente.\u003c/li\u003e\n\u003cli\u003eQuite la cuenta de todos los grupos con privilegios.\u003c/li\u003e\n\u003cli\u003eMueva la cuenta a una unidad organizativa especial con fines de archivado.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eExcluir las cuentas deshabilitadas de los grupos con privilegios evita la reactivación accidental y simplifica la administración de usuarios, ya que se reduce la cantidad de miembros de estos grupos críticos.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"Understanding User Accounts","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc755130(v=ws.11)","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_CN","ja_JP","ko_KR","fr_FR","de_DE","zh_TW","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-DISABLED-ACCOUNTS-PRIV-GROUPS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"low","type":"ioe","subType":"ad","availableLocales":["zh-CN","ja","ko","fr","de","zh-TW","es","en"],"mitre_attack_information":[],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[19]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-OBSOLETE-SYSTEMS","_score":null,"_source":{"language_code":"es_001","codename":"C-OBSOLETE-SYSTEMS","name":"Equipos que ejecutan un sistema operativo obsoleto","id":18,"description":"\u003cp\u003eIdentifica los sistemas obsoletos a los que Microsoft ya no brinda soporte y que aumentan la vulnerabilidad de la infraestructura.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLos proveedores de sistemas operativos, como Microsoft, solo ofrecen un período de soporte limitado, tras el cual dejan de ofrecer actualizaciones de seguridad para los sistemas operativos.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLas vulnerabilidades de software son frecuentes, pero los proveedores mitigan su impacto rápidamente a través de actualizaciones periódicas. El software actualizado es difícil de explotar, ya que los atacantes tienen una ventana restringida donde actuar.\n\u003cbr\u003eCon frecuencia, los proveedores publican parches para las vulnerabilidades de software, pero no corrigen los errores recién descubiertos en el software para el que ya no brindan soporte. Los atacantes pueden explotar errores conocidos por el público para controlar sistemas rápidamente, lo que representa una amenaza grave a la infraestructura.\n\u003cbr\u003eEste indicador de exposición solo informa sobre los sistemas operativos de Microsoft obsoletos por cuatro motivos distintos, por lo que en la interfaz pueden usarse filtros para ayudar a priorizarlos:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eSO obsoleto activo\u003c/li\u003e\n\u003cli\u003eSO obsoleto inactivo\u003c/li\u003e\n\u003cli\u003eEquipo privilegiado con SO obsoleto activo\u003c/li\u003e\n\u003cli\u003eEquipo privilegiado con SO obsoleto inactivo\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eNotas:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eUn equipo se considera inactivo si el intervalo entre el presente y su \u003ccode\u003elastLogonTimestamp\u003c/code\u003e es superior a dos años (de manera predeterminada, esto puede cambiarse con una opción del IoE).\u003c/li\u003e\n\u003cli\u003eUn equipo deshabilitado se marca de inmediato como inactivo.\u003c/li\u003e\n\u003cli\u003eLa fecha de vencimiento empleada es la correspondiente al final de las siguientes fases del ciclo de vida, según lo anunciado por Microsoft:\u003c/li\u003e\n\u003cli\u003ePara versiones de Windows Server: soporte extendido (por lo tanto, sin “Actualizaciones de seguridad extendidas”)\u003c/li\u003e\n\u003cli\u003ePara versiones de escritorio de Windows:\u003c/li\u003e\n\u003cli\u003eAntes de Windows 10: soporte extendido\u003c/li\u003e\n\u003cli\u003eA partir de Windows 10: soporte normal, para versiones Education y Enterprise (con soporte más prolongado que Home y Pro)\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Aislar sistemas Windows obsoletos","description":"Se recomienda aislar los sistemas vulnerables para proteger otros recursos de los directorios.\n","exec_summary":"\u003cp\u003eSin el soporte del proveedor, los sistemas obsoletos son vulnerables e imposibles de proteger, ya que surgen nuevos errores, pero no hay parches para corregirlos. Si los reemplazos o las actualizaciones no son posibles, aislar estos sistemas es la única manera de limitar la exposición.\u003c/p\u003e\n","detail":"\u003cp\u003eAlgunos sistemas operativos obsoletos no pueden migrarse debido a necesidades operativas. En este caso, deben adoptarse algunas medidas para proteger las infraestructuras de los directorios frente a las amenazas que provienen de esos sistemas.\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEstablecer una matriz precisa del flujo de red para filtrar el tráfico no obligatorio con un firewall.\u003c/li\u003e\n\u003cli\u003eQuitar la máquina de Active Directory y cambiar las credenciales o servicios compartidos para evitar futuros ataques en caso de vulneración.\u003c/li\u003e\n\u003cli\u003eConfigurar una amplia supervisión del registro de eventos para detectar rápidamente los marcadores de vulneración y responder de inmediato.\u003c/li\u003e\n\u003c/ul\u003e\n","resources":[]},"resources":[{"name":"The Most Common Active Directory Security Issues and What You Can Do to Fix Them","url":"https://adsecurity.org/?p=1684","type":"hyperlink"},{"name":"El soporte de Windows 7 finalizó el 14 de enero de 2020","url":"https://support.microsoft.com/es-es/windows/windows-7-support-ended-on-january-14-2020-b75d4580-2cc7-895a-2c9c-1466d9a53962","type":"hyperlink"},{"name":"End of support for Windows Server 2008 and Windows Server 2008 R2 (texto en inglés)","url":"https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-server-eos-faq/end-of-support-windows-server-2008-2008r2","type":"hyperlink"},{"name":"Finalización del soporte de Windows 10","url":"https://learn.microsoft.com/es-es/lifecycle/products/windows-10-enterprise-and-education","type":"hyperlink"},{"name":"Finalización del soporte de Windows 11","url":"https://learn.microsoft.com/es-es/lifecycle/products/windows-11-enterprise-and-education","type":"hyperlink"},{"name":"End of support for Windows Server 2016+ (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows-server/get-started/windows-server-release-info","type":"hyperlink"},{"name":"Directiva de ciclo de vida fijado: soporte extendido","url":"https://learn.microsoft.com/es-es/lifecycle/policies/fixed#extended-support","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[],"category_id":4,"mitre_attacks":[{"tactic":"TA0002 - Execution (texto en inglés)","techniques":["T1203 - Exploitation for Client Execution (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_TW","ko_KR","de_DE","zh_CN","es_001","ja_JP","fr_FR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-OBSOLETE-SYSTEMS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["zh-TW","ko","de","zh-CN","es","ja","fr","en"],"mitre_attack_information":[{"tactic":{"id":"TA0002","name":"Execution (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0002/"},"techniques":[{"id":"T1203","name":"Exploitation for Client Execution (texto en inglés)","url":"https://attack.mitre.org/techniques/T1203/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[18]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-ACCOUNTS-DANG-SID-HISTORY","_score":null,"_source":{"language_code":"es_001","codename":"C-ACCOUNTS-DANG-SID-HISTORY","name":"Cuentas con un atributo SID History peligroso","id":17,"description":"\u003cp\u003eComprueba las cuentas de usuario o de equipo que usan un identificador de seguridad privilegiado en el atributo SID history.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eEn situaciones de migración, los administradores usan el mecanismo SID History, pero los atacantes pueden explotarlo para escalar sus privilegios.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLos atacantes que hayan escalado sus privilegios pueden usar esta característica para agregar de manera discreta privilegios del identificador de seguridad a su propio SID History. Esto les otorgará los mismos privilegios aumentados, pero será mucho más difícil de detectar.\n\u003cbr\u003eEste indicador de exposición considera como privilegiadas las siguientes entidades integradas:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePublicadores de certificados\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de esquema\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de empresas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePropietarios del creador de directivas de grupo\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores empresariales de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eReplicadores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales\u003c/code\u003e\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eSolo informa las cuentas (usuarios y equipos) y grupos activos.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Limpiar el SID history","description":"Quite los identificadores de seguridad privilegiados del SID history.","exec_summary":"\u003cp\u003eDebería quitar los valores peligrosos que se almacenen con fines de migración.\u003c/p\u003e\n","detail":"\u003cp\u003eDebería limpiar los identificadores de seguridad privilegiados que se almacenan en el atributo sIDHistory. Quite los elementos siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eIdentificadores de seguridad conocidos de grupos con privilegios: brindan privilegios altos a los usuarios sin exigir la pertenencia a grupos. Si detecta actividad malintencionada, debería llevar a cabo un análisis forense de todo el bosque de Active Directory, ya que los atacantes necesitan privilegios altos de administrador de dominio o equivalente para modificar el historial de identificadores de seguridad de manera malintencionada.\u003c/li\u003e\n\u003cli\u003eIdentificadores de seguridad del dominio actual: debería otorgar privilegios solo a través de la pertenencia a grupos para el domino actual, no a través de sIDHistory.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eCompruebe todos los identificadores de seguridad restantes. Incluso si se agregaron para facilitar la migración, los identificadores de seguridad de dominio antiguos crean registros que son difíciles de leer (puede que el identificador de seguridad no tenga un nombre distintivo válido correspondiente). Modifique los derechos de acceso en todos los servicios (recursos compartidos de SMB, Exchange, etc.) para usar los nuevos identificadores de seguridad. Aunque se trata de una práctica de mantenimiento recomendada, identificar y corregir todas las ACL resulta complicado.\n\u003cbr\u003eUn usuario que tenga los derechos para editar el atributo sIDHistory en el propio objeto puede quitarlo. A diferencia de la creación, esta acción no requiere derechos de administrador de dominio.\n\u003cbr\u003eLas herramientas gráficas, como Usuarios y equipos de Active Directory, no pueden quitar el atributo sIDHistory por motivos que se desconocen. Tiene que usar PowerShell, por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode class=\"language-powershell\"\u003eSet-ADUser -Identity \u0026lt;usuario\u0026gt; -Remove @{sidhistory=\"S-1-...\"}\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003ePrecaución: Quitar un valor de sIDHistory es sencillo, pero deshacer esta operación es complicado, ya que exige que vuelva a crearlo, lo que, a su vez, exige la presencia de un dominio potencialmente retirado. Por lo tanto, Microsoft aconseja prepararse con snapshots o copias de seguridad.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"How to remove SID History with PowerShell","url":"https://learn.microsoft.com/es-es/archive/blogs/ashleymcglone/how-to-remove-sid-history-with-powershell\n","type":"hyperlink"},{"name":"Security Considerations for Trusts","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc755321(v=ws.10)","type":"hyperlink"}],"applicable_resource_types":["ad_group","ad_user"],"attacker_known_tools":[],"category_id":5,"mitre_attacks":[{"tactic":"TA0001 - Initial Access (texto en inglés)","techniques":["T1199 - Trusted Relationship (texto en inglés)"]},{"tactic":"TA0008 - Lateral Movement (texto en inglés)","techniques":["T1550 - Use Alternate Authentication Material (texto en inglés)"]},{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":[]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1134.005 - Access Token Manipulation - SID-History Injection (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["fr_FR","zh_CN","es_001","ko_KR","zh_TW","ja_JP","de_DE","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-ACCOUNTS-DANG-SID-HISTORY","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["fr","zh-CN","es","ko","zh-TW","ja","de","en"],"mitre_attack_information":[{"tactic":{"id":"TA0001","name":"Initial Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0001/"},"techniques":[{"id":"T1199","name":"Trusted Relationship (texto en inglés)","url":"https://attack.mitre.org/techniques/T1199/"}]},{"tactic":{"id":"TA0008","name":"Lateral Movement (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0008/"},"techniques":[{"id":"T1550","name":"Use Alternate Authentication Material (texto en inglés)","url":"https://attack.mitre.org/techniques/T1550/"}]},{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1134.005","name":"Access Token Manipulation - SID-History Injection (texto en inglés)","url":"https://attack.mitre.org/techniques/T1134/005/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[17]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-PKI-WEAK-CRYPTO","_score":null,"_source":{"language_code":"es_001","codename":"C-PKI-WEAK-CRYPTO","name":"Uso de algoritmos criptográficos débiles en la PKI de Active Directory","id":16,"description":"\u003cp\u003eIdentifica algoritmos criptográficos débiles que se usan en los certificados raíz implementados en una PKI interna de Active Directory.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eLas instancias de Active Directory usan una infraestructura de clave pública (PKI) con fines de autenticación. Los distintos algoritmos criptográficos exigen una configuración correcta.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eActive Directory le da la posibilidad de agregar certificados e implementar PKI personalizadas. Estos certificados deben usar una criptografía segura para evitar que los atacantes falsifiquen solicitudes de autenticación válidas.\n\u003cbr\u003eLos certificados que presentan las debilidades siguientes ponen en riesgo la seguridad del dominio:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eCertificados que usan algoritmos criptográficos débiles, como los hashes \u003cstrong\u003eMD5\u003c/strong\u003e o \u003cstrong\u003eSHA1\u003c/strong\u003e, para la firma.\u003c/li\u003e\n\u003cli\u003eCertificados que usan claves cortas, como RSA, con una clave de menos de \u003cstrong\u003e2048 bits\u003c/strong\u003e.\u003c/li\u003e\n\u003cli\u003e\u003cstrong\u003eCertificados vencidos\u003c/strong\u003e.\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"No hay disponibles exploits conocidos"},"recommendation":{"name":"Quitar certificados débiles","description":"Los certificados con propiedades criptográficas débiles deben quitarse y volver a generarse.\n","exec_summary":"\u003cp\u003eQuite los certificados que tengan propiedades criptográficas débiles con el fin de evitar que los atacantes vulneren su clave privada.\u003c/p\u003e\n","detail":"\u003cp\u003eRetire todos los certificados anómalos.\nVuelva a generar la clave privada incrustada para evitar cualquier vulneración potencial.\u003c/p\u003e\n\u003cp\u003eAntes de quitar los certificados, evalúe los elementos que se basan en una PKI en particular para la autenticación. Si quita el certificado sin reemplazarlo, algunas aplicaciones pueden dejar de funcionar. Siga este procedimiento para que no haya imprevistos en la transición:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eGenere un nuevo certificado raíz con una configuración criptográfica robusta.\u003c/li\u003e\n\u003cli\u003eAgregue el certificado a la instancia de Active Directory.\u003c/li\u003e\n\u003cli\u003eImplemente los nuevos certificados en las aplicaciones mediante esta PKI para la autenticación.\u003c/li\u003e\n\u003cli\u003eQuite de Active Directory los certificados en desuso.\u003c/li\u003e\n\u003c/ol\u003e\n","resources":[]},"resources":[{"name":"Block Cipher Techniques","url":"https://csrc.nist.gov/projects/block-cipher-techniques","type":"hyperlink"}],"applicable_resource_types":["ad_certification_authority"],"attacker_known_tools":[],"category_id":4,"mitre_attacks":[],"indicator_type":"Indicator of Exposure","released":true,"available_languages":["fr_FR","ko_KR","ja_JP","es_001","zh_TW","zh_CN","de_DE","en_US"],"tvdb_export_source":{"file_name":"all-202412031400.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-PKI-WEAK-CRYPTO","created_at":"2024-12-04T15:36:57","updated_at":"2024-12-04T15:36:57"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["fr","ko","ja","es","zh-TW","zh-CN","de","en"],"mitre_attack_information":[],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[16]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-ADM-ACC-USAGE","_score":null,"_source":{"language_code":"es_001","codename":"C-ADM-ACC-USAGE","name":"Uso reciente de la cuenta Administrador predeterminada","id":15,"description":"\u003cp\u003eComprueba los usos recientes de la cuenta de administrador integrada.\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003eExcepto en casos específicos muy poco frecuentes, evite usar cuentas administrativas integradas.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEvite usar la cuenta administrativa integrada, que normalmente se llama \u003ccode\u003eAdministrador\u003c/code\u003e, excepto en caso de error global excepcional o cuando un administrador de dominio normal no pueda acceder a su cuenta. Esta cuenta \u003ccode\u003eAdministrador\u003c/code\u003e se distingue por su identificador de seguridad, que tiene un RID de 500 (S-1-5-21-DOMAIN-500). Usar esta cuenta habitualmente es señal de prácticas de administración deficientes. Este indicador de exposición marca las cuentas de usuario activas con una fecha de último inicio de sesión dentro del último mes.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Impedir el uso frecuente de cuentas administrativas integradas","description":"No use la cuenta de administrador integrada para las tareas administrativas habituales.\n","exec_summary":"\u003cp\u003eLos administradores deberían usar una cuenta administrativa nominativa y dedicada para llevar a cabo las tareas administrativas cotidianas.\u003c/p\u003e\n","detail":"\u003cp\u003eEvite usar las cuentas \u003ccode\u003eAdministrador\u003c/code\u003e integradas para las tareas administrativas habituales. En su lugar, cree cuentas dedicadas y nominativas para cada administrador. Use las cuentas integradas solo en caso de emergencia y almacene las contraseñas en una caja fuerte. No obstante, dichas emergencias no son frecuentes y las cuentas nominativas deberían bastar para la mayoría de los casos.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"Securing Active Directory Administrative Groups and Accounts","url":"https://learn.microsoft.com/es-es/previous-versions/tn-archive/cc875827(v=technet.10)","type":"hyperlink"},{"name":"Appendix D: Securing Built-In Administrator Accounts in Active Directory","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory\n","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1003 - OS Credential Dumping (texto en inglés)"]},{"tactic":"TA0005 - Defense Evasion (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["fr_FR","ja_JP","es_001","ko_KR","zh_CN","de_DE","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-ADM-ACC-USAGE","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["fr","ja","es","ko","zh-CN","de","zh-TW","en"],"mitre_attack_information":[{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1003","name":"OS Credential Dumping (texto en inglés)","url":"https://attack.mitre.org/techniques/T1003/"}]},{"tactic":{"id":"TA0005","name":"Defense Evasion (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0005/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[15]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-DANG-PRIMGROUPID","_score":null,"_source":{"language_code":"es_001","codename":"C-DANG-PRIMGROUPID","name":"Grupo principal de usuarios","id":14,"description":"\u003cp\u003eComprueba que el grupo principal de los usuarios no haya cambiado.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eSi bien los grupos son la manera normal de dar acceso a los recursos en un entorno, otra funcionalidad de Active Directory (AD) menos conocida, pero igual de importante, Primary Group, también puede brindar acceso a los recursos.\n\u003cbr\u003ePrimary Group ID (PGID) es un mecanismo que Microsoft creó para admitir aplicaciones UNIX heredadas que almacenan las pertenencias a grupos de manera diferente a Windows.\n\u003cbr\u003ePor lo tanto, ser miembro de un grupo o tener un Primary Group definido para este grupo funciona exactamente igual en AD.\n\u003cbr\u003eEl software de administración de Microsoft AD conoce esta funcionalidad, pero no así todas las herramientas de supervisión externas.\n\u003cbr\u003ePor lo tanto, usar Primary Group es, como mínimo, una práctica no recomendada y, en el peor de los casos, un riesgo de seguridad que debe atenderse.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEl mecanismo de grupo principal (PGID) es una manera de transponer los permisos de grupos de UNIX a Active Directory en forma de un nuevo atributo en cada objeto de usuario y equipo dentro de un dominio. Como su nombre lo sugiere, PGID es un identificador que mantiene la información sobre un grupo. Como entidad de seguridad, un grupo tiene un identificador de seguridad (SID) exclusivo compuesto por varias partes, incluido el identificador relativo (RID). Dado que el RID identifica de manera exclusiva a una entidad de seguridad, Microsoft lo usó directamente en el grupo principal (primaryGroupId).\n\u003cbr\u003eUn entorno de dominio predeterminado solo puede tener unos pocos grupos principales distintos:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e513: \u003ccode\u003eusuarios de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e514: cuenta \u003ccode\u003eInvitado\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e515: \u003ccode\u003eequipos de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e516: \u003ccode\u003econtroladores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e521: \u003ccode\u003econtroladores de dominio de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e498: \u003ccode\u003econtroladores de dominio empresariales de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eDe manera predeterminada, cada usuario tiene su primaryGroupId definido en 513, lo que no se debe cambiar. Agregar un usuario a un grupo ―como el usuario privilegiado Administrador de dominio― no cambia el valor de primaryGroupId, que se mantiene en 513. Solo cambia el atributo del miembro del grupo y recibe el nombre distintivo del usuario.\n\u003cbr\u003eDado que el primaryGroupId solo puede contener un grupo, los grupos con privilegios suelen ser los objetivos.\nPor ejemplo, definir el primaryGroupId de un usuario sin privilegios en 512 (RID del grupo Administradores de dominio) tiene el mismo efecto que agregar el usuario a los miembros del grupo Administradores de dominio. En caso de que se produzca un ataque, como DCShadow, este evento no se inscribe en ningún registro. Esto permite que un usuario sin privilegios acceda a cada recurso del dominio.\n\u003cbr\u003eDado que no todos los programas de software del mercado son compatibles con la característica PGID, los atacantes pueden explotarla para mantener el acceso a los recursos luego de una vulneración inicial.\n\u003cbr\u003eEste indicador de exposición genera una alerta cuando:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eUn usuario, incluidos los miembros de grupos con privilegios, tiene definido un primaryGroupId distinto de 513 (PGID 514, que representa al grupo Invitados del dominio, está permitido de manera predeterminada. Esto se puede cambiar con una opción del indicador de exposición).\u003c/li\u003e\n\u003cli\u003eUn equipo o servidor normales tienen definido un primaryGroupId distinto de 515.\u003c/li\u003e\n\u003cli\u003eUn controlador de dominio tiene definido un primaryGroupId distinto de 516, 521 y 498.\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Restablecer el grupo principal de los usuarios","description":"Definir el grupo principal de los usuarios en uno que no sea peligroso","exec_summary":"\u003cp\u003eRestablezca los atributos primaryGroupId de todos los usuarios a un valor seguro.\u003c/p\u003e\n","detail":"\u003cp\u003eEl grupo principal (PGID) no debe usarse, debido a sus limitaciones técnicas y de seguridad. Existen soluciones nuevas y mejores para unir equipos UNIX a Active Directory.\n\u003cbr\u003eDesde el punto de vista de la seguridad, restablezca el valor de PGID de todas las cuentas del dominio a su valor predeterminado para protegerlas frente a un mecanismo de puerta trasera de la manera siguiente:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003ePara todas las cuentas de usuario del dominio, establezca el primaryGroupId en 513, que corresponde al grupo \u003ccode\u003eUsuarios del dominio\u003c/code\u003e, independientemente de sus tipos funcionales (usuario normal o privilegiado, cuenta de servicio, usuario VIP, etc.).\u003c/li\u003e\n\u003cli\u003ePara la cuenta Invitado como cuenta de usuario específico, establezca el primaryGroupId en 514.\u003c/li\u003e\n\u003cli\u003ePara todas las cuentas de equipo del dominio, establezca el primaryGroupId en 515, independientemente de sus tipos funcionales (escritorio o servidor), excepto para los controladores de dominio.\u003c/li\u003e\n\u003cli\u003ePara todos los controladores de dominio del dominio, establezca el primaryGroupId según su tipo apropiado:\u003cul\u003e\n\u003cli\u003ePara los controladores de dominio estándar de lectura y escritura, establezca el primaryGroupId en 516.\u003c/li\u003e\n\u003cli\u003ePara los controladores de dominio de solo lectura, establezca el primaryGroupId en 521.\u003c/li\u003e\n\u003cli\u003ePara los controladores de dominio empresariales de solo lectura, establezca el primaryGroupId en 498.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003ePor último y como precaución, compruebe periódicamente que los atacantes no usen este mecanismo para ocultar privilegios altos.\u003c/p\u003e\n","resources":[{"name":"Change a User's Primary Group","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771489(v=ws.11)","type":"hyperlink"},{"name":"Integrating Linux Systems with Active Directory Environments","url":"https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/windows_integration_guide/index","type":"hyperlink"}]},"resources":[{"name":"Resolving a Primary Group ID","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd378789(v=ws.10)","type":"hyperlink"},{"name":"Well-known security identifiers in Windows operating systems","url":"https://learn.microsoft.com/en-US/windows-server/identity/ad-ds/manage/understand-security-identifiers#well-known-sids\n","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[{"name":"mimikatz - DCShadow","url":"https://github.com/gentilkiwi/mimikatz/releases","author":"Gentil Kiwi"}],"category_id":5,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","ja_JP","zh_CN","es_001","ko_KR","fr_FR","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-DANG-PRIMGROUPID","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["de","ja","zh-CN","es","ko","fr","zh-TW","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[14]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-UNCONST-DELEG","_score":null,"_source":{"language_code":"es_001","codename":"C-UNCONST-DELEG","name":"Delegación peligrosa de Kerberos","id":13,"description":"\u003cp\u003eComprueba la delegación no autorizada de Kerberos y garantiza la protección de los usuarios privilegiados frente a esta.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eEl protocolo Kerberos, que es fundamental para la seguridad de Active Directory, permite que ciertos servidores reutilicen las credenciales de usuarios. Si un atacante pone en peligro uno de estos servidores, podría robar estas credenciales y usarlas para autenticarse en otros recursos mediante el uso indebido de la “delegación sin restricciones” o la “delegación restringida (basada en recursos)”.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eCuando un usuario inicia sesión en un servidor que tiene habilitada la opción \u003ccode\u003eTrusted for delegation\u003c/code\u003e, el controlador de dominio envía al servidor una copia de las credenciales del usuario. Esto permite que el servidor se autentique en nombre del usuario. Sin embargo, si se pone en peligro el servidor, un atacante podría robar las credenciales de todos los usuarios que inician sesión en el servidor y usarlas para autenticarse en otros recursos. Si un administrador inicia sesión en la máquina vulnerada, el atacante puede escalar sus privilegios y volverse también administrador. Para evitar esto, la propiedad \u003ccode\u003eTrusted for delegation\u003c/code\u003e debe permitirse solo en los servidores de confianza, como los controladores de dominio. Esto se denomina “delegación sin restricciones”.\n\u003cbr\u003eLa delegación restringida es una delegación con transición de protocolos, donde el usuario o equipo tienen establecida la marca \u003ccode\u003eTrusted to authenticate for delegation\u003c/code\u003e. Esto permite la autenticación en un conjunto restringido de servicios. No obstante, con esta marca establecida, un usuario o un equipo pueden autenticarse como cualquier otro usuario en los servicios enumerados sin que ese usuario tenga que conectarse a ellos. En función de la lista de servicios autorizados y el impacto comercial, esto podría ser incluso más peligroso que la delegación sin restricciones.\n\u003cbr\u003eLa delegación totalmente restringida es tan peligrosa como la delegación sin restricciones si uno de los servicios objetivo es un controlador de dominio o un host peligroso identificado. Este indicador de exposición informa todas las cuentas que tienen dichos atributos de delegación y excluye las cuentas deshabilitadas. Los usuarios privilegiados no deben tener atributos de delegación. Para proteger a estos usuarios, márquelos como \u003ccode\u003eLa cuenta es importante y no se puede delegar\u003c/code\u003e o agréguelos al grupo \u003ccode\u003eUsuarios protegidos\u003c/code\u003e.\n\u003cbr\u003eLa delegación restringida, con y sin transición de protocolos, está sujeta al ataque SPN-jacking: los atacantes pueden cambiar el valor del SPN o reutilizar uno antiguo, pero el SPN sin usar aún está configurado en el atributo \u003ccode\u003emsDS-AllowedToDelegateTo\u003c/code\u003e de un objeto. Esto permite que un atacante ponga en peligro una máquina en la que solo tenga permisos para modificar el SPN.\nLos atacantes pueden manipular el SPN de una cuenta de equipo o servicio para redirigir la delegación restringida preconfigurada a destinos no previstos, incluso sin obtener los privilegios SeEnableDelegation.\n\u003cbr\u003ePara administrar mejor los recursos, Microsoft presentó en Windows Server 2012 una nueva característica de Kerberos llamada \u003ccode\u003edelegación restringida basada en recursos\u003c/code\u003e. Esto permite que los administradores de un recurso específico definan los permisos autorizados directamente en él, sin que los administradores del dominio tengan que definir la necesidad empresarial. Si bien esta característica no es peligrosa, su uso debe controlarse, ya que puede convertirse en una puerta trasera oculta en la instancia de Activa Directory si un atacante obtiene derechos administrativos en un recurso.\n\u003cbr\u003eLleve a cabo las comprobaciones siguientes:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eCompruebe que el atributo asociado (msDS-AllowedToActOnBehalfOfOtherIdentity) no esté definido para los recursos con privilegios (como las cuentas administrativas de Active Directory).\u003c/li\u003e\n\u003cli\u003eAsegúrese de que las cuentas sin privilegios no tengan permisos para modificar el valor del atributo anterior ni la propiedad “Account Restrictions” de estos recursos.\u003c/li\u003e\n\u003c/ol\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Restringir el uso de la delegación sin restricciones","description":"La delegación sin restricciones podría provocar un escalamiento de privilegios si se vulnera el servicio con permisos de delegación.\n","exec_summary":"\u003cp\u003eLas únicas cuentas que usen la delegación sin restricciones deben ser las cuentas del controlador de dominio. También se debe proteger a los administradores frente a cualquier tipo de delegación peligrosa.\u003c/p\u003e\n","detail":"\u003cp\u003eEn general, no debería permitirse la delegación en una cuenta de administrador, ya que un atacante que tome el control del servicio podría robar sus credenciales. Tenable recomienda agregar todos los usuarios privilegiados al grupo \u003ccode\u003eUsuarios protegidos\u003c/code\u003e o agregar la marca DONT_DELEGATE al atributo userAccountControl. Entre otras ventajas, el grupo \u003ccode\u003eUsuarios protegidos\u003c/code\u003e puede contener otros grupos. En esta situación, agregar un usuario a un grupo con privilegios coloca a ese usuario automáticamente en el grupo \u003ccode\u003eUsuarios protegidos\u003c/code\u003e, sin necesidad de que recuerde agregar el atributo correcto al usuario.\n\u003cbr\u003eSin embargo, el grupo \u003ccode\u003eUsuarios protegidos\u003c/code\u003e incluye medidas de seguridad adicionales que impiden que las conexiones usen el protocolo NTLM, lo que afecta la compatibilidad. Esto exige un período de prueba para asegurar una transición sin problemas. De manera predeterminada, el grupo \u003ccode\u003eUsuarios protegidos\u003c/code\u003e puede encontrarse en el contenedor \u003ccode\u003eUsuarios\u003c/code\u003e predeterminado mediante la herramienta \u003ccode\u003eUsuarios y equipos de Active Directory\u003c/code\u003e. Para agregar la marca DONT_DELEGATE al atributo userAccountControl, seleccione la opción \u003ccode\u003eLa cuenta es importante y no se puede delegar\u003c/code\u003e en la pestaña \u003ccode\u003eCuenta\u003c/code\u003e de las propiedades de todas las cuentas.\n\u003cbr\u003eEvite los siguientes tipos de delegación:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eDelegación sin restricciones: un atacante que tome el control del servicio delegado mediante la delegación sin restricciones puede reutilizar las credenciales de todos los usuarios conectados para autenticarse en cualquier otro servicio objetivo. Esta es la opción predeterminada para los controladores de dominio, pero no debería activarse para ninguna otra cuenta.\u003c/li\u003e\n\u003cli\u003eDelegación restringida con transición de protocolos: un atacante que tome el control de un servicio delegado mediante la delegación restringida con transición de protocolos puede pedir un ticket de Kerberos para cualquier cuenta de usuario que no esté protegida frente a la delegación. La transición de protocolos resulta útil cuando los clientes no pueden autenticarse en el servicio delegado mediante el protocolo Kerberos. Pero dado el riesgo, debería evitarse. Además, si el atributo msDS-AllowedToDelegateTo hace referencia a un SPN que ya no existe, se debe limpiar.\u003c/li\u003e\n\u003cli\u003eDelegación restringida con un recurso sensible como objetivo: si un atacante puede vulnerar un servicio delegado que usa la delegación restringida y tiene como objetivo una entidad sensible, como un controlador de dominio, es posible que pueda usar las credenciales del usuario de ese servicio y las reproduzca en el objetivo sensible. Si bien la delegación restringida limita el servicio objetivo al que puede conectarse el servicio delegado, si el servicio objetivo es sensible, como un controlador de dominio, el riesgo es similar a la delegación sin restricciones y debería quitarse.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003ePuede acceder a estas opciones en la pestaña \u003ccode\u003eDelegación\u003c/code\u003e de las propiedades de la cuenta de máquina con la herramienta \u003ccode\u003eUsuarios y equipos de Active Directory\u003c/code\u003e:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eLa delegación sin restricciones corresponde a la opción \u003ccode\u003eConfiar en este equipo para la delegación a cualquier servicio (solo Kerberos)\u003c/code\u003e.\u003c/li\u003e\n\u003cli\u003eLa delegación restringida con transición de protocolos corresponde a la opción \u003ccode\u003eConfiar en este equipo para la delegación solo a los servicios especificados\u003c/code\u003e con la opción \u003ccode\u003eUsar cualquier protocolo de autenticación\u003c/code\u003e seleccionada.\u003c/li\u003e\n\u003cli\u003eLa delegación restringida a un recurso sensible corresponde a la opción \u003ccode\u003eConfiar en este equipo para la delegación solo a los servicios especificados\u003c/code\u003e; considere cualquier host de la columna \u003ccode\u003eUsuario o PC\u003c/code\u003e como sensible.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eSi bien puede agregar excepciones si fuera necesario, es fundamental tener sumo cuidado al tratar con servidores que funcionan con delegación sin restricciones. \u003cstrong\u003eLas cuentas administrativas no deben conectarse nunca a estos servidores, ya que un atacante podría robar sus credenciales\u003c/strong\u003e.\n\u003cbr\u003eTenable recomienda usar Resource-Based Constrained Delegation (RBCD) con la configuración correcta. Permitir que las cuentas sin privilegios accedan a cuentas con privilegios por medio de la delegación restringida basada en recursos (RBCD) puede poner en peligro todo un dominio a partir de esa cuenta. Los atacantes pueden usar esta técnica para crear una puerta trasera a la instancia de Active Directory mediante la inserción de una cuenta en el atributo o mediante permisos. Por lo tanto, para detectar dichas puertas traseras, es muy importante analizar tanto el valor del atributo msDS-AllowedToActOnBehalfOfOtherIdentity como los permisos asociados en los recursos críticos.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"Kerberos Unconstrained Delegation (or How Compromise of a Single Server Can Compromise the Domain) (texto en inglés)","url":"https://adsecurity.org/?p=1667","type":"hyperlink"},{"name":"Get rid of accounts that use Kerberos Unconstrained Delegation","url":"https://learn.microsoft.com/es-es/archive/blogs/389thoughts/get-rid-of-accounts-that-use-kerberos-unconstrained-delegation\n","type":"hyperlink"},{"name":"Abusing Resource-Based Constrained Delegation to Attack Active Directory","url":"https://eladshamir.com/2019/01/28/Wagging-the-Dog.html\n","type":"hyperlink"},{"name":"SPN-jacking: An Edge Case in WriteSPN Abuse\n","url":"https://eladshamir.com/2022/02/10/SPN-jacking.html\n","type":"hyperlink"},{"name":"SPN-jacking","url":"https://www.thehacker.recipes/ad/movement/kerberos/spn-jacking\n","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[{"name":"Rubeus","url":"https://github.com/GhostPack/Rubeus","author":"HarmJ0y, Elad Shamir"}],"category_id":5,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":[]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":[]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_TW","zh_CN","de_DE","fr_FR","ko_KR","es_001","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-UNCONST-DELEG","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["zh-TW","zh-CN","de","fr","ko","es","ja","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[13]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-USERS-REVER-PWDS","_score":null,"_source":{"language_code":"es_001","codename":"C-USERS-REVER-PWDS","name":"Contraseñas reversibles","id":12,"description":"\u003cp\u003eComprueba que no pueda habilitarse la opción para almacenar contraseñas en un formato reversible.\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003eSi bien Active Directory admite el funcionamiento de aplicaciones heredadas que exigen contraseñas en formato de texto no cifrado, debería deshabilitar esta característica.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003ePara admitir las aplicaciones heredadas que exigen contraseñas de usuario para la autenticación, Active Directory ofrece la opción de almacenar las contraseñas en un formato reversible por medio de una clave muy conocida; es decir, que cualquiera puede descifrarlas. Sin embargo, esta funcionalidad ahora está deshabilitada de manera predeterminada. Los administradores deben estar atentos y controlar que no vuelva a habilitarse de manera inadvertida debido a una aplicación que falla o un error\n\u003cbr\u003e.Otra manera de que los usuarios almacenen contraseñas de texto no cifrado es definir propiedades específicas en la raíz del dominio, lo que hace que Active Directory almacene cada contraseña de los usuarios en texto no cifrado, en lugar de cifrarlas.\n\u003cbr\u003ePor último, los objetos de configuración de contraseña (PSO) ―que se usan para aplicar políticas de contraseña personalizadas en las cuentas y grupos de usuarios― también pueden configurarse para almacenar contraseñas mediante un cifrado reversible.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Quitar las contraseñas reversibles de las cuentas de dominio","description":"Las cuentas cuyas contraseñas se almacenan en texto sin formato tienen que restablecerse.","exec_summary":"\u003cp\u003eLas cuentas cuyas contraseñas están almacenadas en un formato reversible en la instancia de Active Directory suelen ser cuentas de servicio heredadas, cuya eliminación debería analizar.\u003c/p\u003e\n","detail":"\u003cp\u003eMicrosoft dejó en desuso la práctica de almacenar contraseñas en un formato reversible, ya que cualquier usuario del dominio puede descifrarlas. Si tiene cuentas que tienen habilitada esta propiedad, debería examinarlas y, de ser posible, quitar la opción de la política \u003ccode\u003eAlmacenar contraseña mediante cifrado reversible\u003c/code\u003e.\n\u003cbr\u003eEn los objetos de configuración de contraseña (PSO), debe desmarcarse la casilla asociada al parámetro \u003ccode\u003eAlmacenar contraseña mediante cifrado reversible\u003c/code\u003e para evitar el riesgo que representan estas cuentas.\n\u003cbr\u003eDespués de desactivar esta opción, cambie la contraseña de la cuenta, ya que puede que se haya vulnerado.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"Store password using reversible encryption for all users in the domain","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-2000-server/cc957013(v=technet.10)","type":"hyperlink"},{"name":"Store passwords using reversible encryption","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh994559(v=ws.11)","type":"hyperlink"},{"name":"[MS-SAMR]: Security Account Manager (SAM) Remote Protocol (Client-to-Server) (texto en inglés)","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-samr/4df07fab-1bbc-452f-8e92-7853a3c7e380","type":"hyperlink"}],"applicable_resource_types":["ad_root_domain","ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1556.005 - Modify Authentication Process - Reversible Encryption (texto en inglés)"]},{"tactic":"TA0008 - Lateral Movement (texto en inglés)","techniques":["T1021 - Remote Services (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ja_JP","fr_FR","de_DE","ko_KR","zh_CN","zh_TW","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-USERS-REVER-PWDS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["ja","fr","de","ko","zh-CN","zh-TW","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1556.005","name":"Modify Authentication Process - Reversible Encryption (texto en inglés)","url":"https://attack.mitre.org/techniques/T1556/005/"}]},{"tactic":{"id":"TA0008","name":"Lateral Movement (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0008/"},"techniques":[{"id":"T1021","name":"Remote Services (texto en inglés)","url":"https://attack.mitre.org/techniques/T1021/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[12]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-REVER-PWD-GPO","_score":null,"_source":{"language_code":"es_001","codename":"C-REVER-PWD-GPO","name":"Contraseñas reversibles en GPO","id":11,"description":"\u003cp\u003eComprueba que las preferencias de los GPO no permitan contraseñas en un formato reversible.\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003eAl crear cuentas locales en máquinas a través de GPO mediante la funcionalidad de preferencias de políticas de grupo (GPP), es posible que, sin saberlo, algunos administradores almacenen las contraseñas en un formato al que los atacantes puedan acceder. Además, configurar los equipos para que omitan los requisitos de contraseña durante el arranque también puede generar tales problemas de seguridad.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLas preferencias de GPO, también conocidas como “preferencias de políticas de grupo (GPP)”, almacenan las contraseñas de usuario en un formato cifrado que los atacantes pueden descifrar fácilmente, ya que la clave de cifrado es la misma para cada instancia de Active Directory y es ampliamente conocida. Esto equivale a almacenar contraseñas en texto no cifrado.\n\u003cbr\u003eLos atacantes también buscan contraseñas en los archivos de información de inicio de sesión que se usan durante el arranque de los equipos, en especial cuando los GPO tienen configurado el inicio de sesión automático; por ejemplo, en los quioscos que almacenan contraseñas en texto no cifrado.\n\u003cbr\u003ePara evitar que las contraseñas se recuperen de este modo, es necesario auditar los GPO. Actualmente, este indicador de exposición solo comprueba las \u003ccode\u003epreferencias de políticas de grupo\u003c/code\u003e y no los scripts.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Quitar los GPO con contraseñas reversibles","description":"Los GPO que contienen contraseñas reversibles deben quitarse.","exec_summary":"\u003cp\u003eNormalmente, los GPO que almacenan contraseñas reversibles son configuraciones heredadas o características de inicio de sesión automático que deben eliminarse. Estas configuraciones exponen las credenciales válidas y representan un riesgo de seguridad.\u003c/p\u003e\n","detail":"\u003cp\u003eAhora, Microsoft bloquea de manera \u003ca href=\"https://support.microsoft.com/es-es/kb/2962486\"\u003eexplícita\u003c/a\u003e la creación de preferencias de GPO que contienen contraseñas reversibles. Revise los GPO existentes y programe su eliminación lo antes posible. Tras la eliminación, cambie todas las contraseñas anteriormente almacenadas en los GPO, ya que todos los usuarios del dominio tuvieron acceso a ellas.\n\u003cbr\u003eDebería limitar los archivos de información de inicio de sesión a la configuración del sistema local únicamente y evitar incluirlos en un GPO. En general, el inicio de sesión automático es adecuado para quioscos o equipos específicos, y no para todo un conjunto de equipos que expondrían las credenciales de la cuenta que inició sesión a cualquier usuario del dominio.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"MS14-025: Una vulnerabilidad en las preferencias de directivas de grupo podría permitir la elevación de privilegios","url":"https://support.microsoft.com/es-es/topic/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevation-of-privilege-may-13-2014-60734e15-af79-26ca-ea53-8cd617073c30\n","type":"hyperlink"}],"applicable_resource_types":["ad_gpo_preferences"],"attacker_known_tools":[],"category_id":3,"mitre_attacks":[{"tactic":"TA0001 - Initial Access (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1552.006 - Unsecured Credentials - Group Policy Preferences (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_CN","fr_FR","de_DE","zh_TW","ja_JP","ko_KR","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-REVER-PWD-GPO","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["zh-CN","fr","de","zh-TW","ja","ko","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0001","name":"Initial Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0001/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1552.006","name":"Unsecured Credentials - Group Policy Preferences (texto en inglés)","url":"https://attack.mitre.org/techniques/T1552/006/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[11]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-SDPROP-CONSISTENCY","_score":null,"_source":{"language_code":"es_001","codename":"C-SDPROP-CONSISTENCY","name":"Asegurar la coherencia de SDProp","id":10,"description":"\u003cp\u003eControle que el objeto AdminSDHolder se encuentre en un estado limpio.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eActive Directory ofrece protección de objetos críticos, como administradores de dominio, mediante la aplicación periódica de reglas predeterminadas de control de acceso en esos objetos. Es fundamental comprobar la coherencia de estas reglas predeterminadas, ya que afectan a la seguridad de los objetos más importantes de Active Directory.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eActive Directory garantiza que las reglas de control de acceso implementadas en objetos críticos se encuentren siempre en un estado óptimo por medio del procedimiento siguiente:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl agente SDProp (que se ejecuta en controladores de dominio) extrae la lista de control de acceso (ACL) de un objeto de plantilla específico, AdminSDHolder.\u003c/li\u003e\n\u003cli\u003eLuego, el agente copia estas reglas y las aplica periódicamente, en general cada una hora, en las cuentas críticas, como los administradores de dominio.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eCon posterioridad, Active Directory sobrescribe periódicamente toda modificación directa en la ACL de los administradores de dominio. Los atacantes que vulneraron un dominio de Active Directory normalmente cambian la ACL del objeto AdminSDHolder y todo permiso que agregan a la ACL se copia en los usuarios privilegiados, lo que facilita la configuración de puertas traseras.\n\u003cbr\u003ePara evitarlo, Active Directory incluye en una whitelist las entidades siguientes (grupos y cuentas integrados), ya que tienen permisos legítimos en el objeto AdminSDHolder:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePublicadores de certificados\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de esquema\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de empresas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePropietarios del creador de directivas de grupo\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores empresariales de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidor\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eReplicadores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003eNT AUTHORITY\\System\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Mejorar el permiso de objetos críticos","description":"El contenedor AdminSDHolder solo debe configurarse para usar permisos estándar.","exec_summary":"\u003cp\u003eLos permisos definidos en el contenedor AdminSDHolder solo deben permitir el acceso privilegiado a las cuentas administrativas.\u003c/p\u003e\n","detail":"\u003cp\u003eLos permisos predeterminados del contenedor AdminSDHolder (ubicado en “CN=AdminSDHolder,CN=System,DC=DOMAIN,DC=CORP”) solo deben permitir el control de las entidades siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eGrupo Administradores de dominio\u003c/li\u003e\n\u003cli\u003eGrupo Administradores de empresas\u003c/li\u003e\n\u003cli\u003eGrupo Administradores integrados\u003c/li\u003e\n\u003cli\u003eCuenta del sistema integrada\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eRevise las demás entidades con permisos importantes asignados al contenedor AdminSDHolder. Asegúrese de que ninguna cuenta o grupo sin privilegios tengan permisos que superen el acceso de lectura básico.\u003c/p\u003e\n\u003ch4\u003eCómo corregir ACL incorrectas mediante herramientas de Microsoft\u003c/h4\u003e\n\u003cp\u003ePuede corregir las ACL incorrectas a través de la interfaz gráfica, con la herramienta \u003cem\u003eUsuarios y equipos de Active Directory\u003c/em\u003e . Siga el procedimiento correspondiente al motivo específico del IoE que quiere abordar.\u003c/p\u003e\n\u003ch2\u003eCómo corregir un propietario incorrecto\u003c/h2\u003e\n\u003col\u003e\n\u003cli\u003eInicie “Usuarios y equipos de Active Directory”.\u003c/li\u003e\n\u003cli\u003eHaga clic en “Vista” y compruebe que la opción “Características avanzadas” esté habilitada.\u003c/li\u003e\n\u003cli\u003eEn el contenedor “Sistema”, haga clic con el botón derecho en el contenedor “AdminSDHolder” y elija “Propiedad”.\u003c/li\u003e\n\u003cli\u003eEn la pestaña “Seguridad”, haga clic en “Avanzado”.\u003c/li\u003e\n\u003cli\u003eEn la parte superior de la ventana, verá la información de “Propietario”. A un lado, en azul, hay un botón “Cambiar” donde puede hacer clic. Haga clic en él.\n a. Escriba “Administradores de dominio” como nuevo propietario en el campo de entrada (es el valor predeterminado).\n b. Haga clic en “Aceptar”.\u003c/li\u003e\n\u003cli\u003eHaga clic en “Aplicar” para confirmar todos los cambios.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch2\u003eCómo corregir permisos incorrectos\u003c/h2\u003e\n\u003col\u003e\n\u003cli\u003eInicie “Usuarios y equipos de Active Directory”.\u003c/li\u003e\n\u003cli\u003eHaga clic en “Vista” y compruebe que la opción “Características avanzadas” esté habilitada.\u003c/li\u003e\n\u003cli\u003eEn el contenedor “Sistema”, haga clic con el botón derecho en el contenedor “AdminSDHolder” y elija “Propiedad”.\u003c/li\u003e\n\u003cli\u003eEn la pestaña “Seguridad”, haga clic en “Avanzado”.\u003c/li\u003e\n\u003cli\u003eEn la pestaña “Permisos”, para cada línea que haga referencia a una entidad de seguridad (usuario, equipo o grupo) informada en este IoE:\n a. Seleccione la línea.\n b. Haga clic en “Quitar”.\u003c/li\u003e\n\u003cli\u003eHaga clic en “Aplicar” para confirmar todos los cambios.\u003c/li\u003e\n\u003c/ol\u003e\n","resources":[{"name":"Appendix C: Protected Accounts and Groups in Active Directory\n","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory\n","type":"hyperlink"}]},"resources":[{"name":"Reducing the Active Directory Attack Surface","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/plan/security-best-practices/reducing-the-active-directory-attack-surface\n","type":"hyperlink"},{"name":"Securing Active Directory Administrative Groups and Accounts","url":"https://learn.microsoft.com/es-es/previous-versions/tn-archive/cc875827(v=technet.10)","type":"hyperlink"},{"name":"Sneaky Active Directory Persistence #15: Leverage AdminSDHolder \u0026 SDProp to (Re)Gain Domain Admin Rights\n","url":"https://adsecurity.org/?p=1906","type":"hyperlink"}],"applicable_resource_types":["ad_container"],"attacker_known_tools":[],"category_id":5,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["fr_FR","zh_CN","de_DE","zh_TW","ko_KR","es_001","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-SDPROP-CONSISTENCY","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["fr","zh-CN","de","zh-TW","ko","es","ja","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[10]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-KRBTGT-PASSWORD","_score":null,"_source":{"language_code":"es_001","codename":"C-KRBTGT-PASSWORD","name":"Último cambio de contraseña en la cuenta KRBTGT","id":9,"description":"\u003cp\u003eComprueba las cuentas KRBTGT que no han cambiado de contraseña durante un intervalo superior al recomendado.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eCada dominio de Active Directory tiene una cuenta fundamental llamada KRBTGT que protege el secreto maestro de todos los demás secretos del dominio, lo que la hace vital para proteger esta cuenta a toda costa y evitar ataques como “Golden Ticket”.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003ch4\u003eCuenta KRBTGT estándar\u003c/h4\u003e\n\u003cp\u003ePara autenticar usuarios y máquinas, Active Directory usa el protocolo Kerberos, que se basa en un secreto maestro que protege todos los demás secretos del dominio. Si un atacante obtiene este secreto, puede suplantar la identidad de cualquier otro miembro del dominio, incluidos los administradores.\n\u003cbr\u003eEl secreto maestro se almacena como la contraseña de la cuenta de usuario KRBTGT, que es la contraseña más valiosa del dominio y exige cambios periódicos.\n\u003cbr\u003eEl indicador de exposición marca las cuentas KRBTGT que no han cambiado de contraseña durante más de \u003cstrong\u003edos años\u003c/strong\u003e, lo que permite a los atacantes persistir durante años mediante la técnica “Golden Ticket”.\u003c/p\u003e\n\u003ch4\u003eCuenta KRBTGT para Microsoft Entra Kerberos (confianza en la nube)\u003c/h4\u003e\n\u003cp\u003eMicrosoft brinda tres tipos de implementación para la característica “Windows Hello para Empresas” (WHfB):\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eConfianza de clave híbrida\u003c/li\u003e\n\u003cli\u003eConfianza de certificados híbridos\u003c/li\u003e\n\u003cli\u003eConfianza de Kerberos en la nube\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eConfianza de Kerberos en la nube se creó para ofrecer lo mejor de los primeros dos métodos: es fácil de implementar, dado que no tiene muchos requisitos técnicos, como una PKI instalada o un servidor de AD FS, y es eficaz inmediatamente después de su configuración (sin demoras debido a varias sincronizaciones).\n\u003cbr\u003eOfrece una forma de inicio de sesión único (SSO) sin problemas en los recursos de AD locales desde un equipo totalmente en la nube, es decir, no unido al dominio de AD local (“dispositivo unido a Microsoft Entra”).\n\u003cbr\u003eEn esta implementación, para generar un TGT “parcial” (“parcial” porque no se puede usar tal cual) desde la nube, se usa un objeto de una cuenta del controlador de dominio de solo lectura (RODC) (que se crea primero en AD y no representa una máquina real del RODC), que luego se sincroniza con Microsoft Entra ID. La creación de este objeto demuestra que Entra ID es de confianza para autenticarse en el entorno local. Este TGT parcial solo mantiene el nombre de usuario de una cuenta (este ticket no proporciona ninguna pertenencia a grupos). Está cifrado y firmado con el secreto de la cuenta del RODC que se creó inicialmente y se envió a un cliente, luego a un controlador de dominio de lectura o escritura (Windows Server 2016 o superior) para canjear un TGT completo para esa cuenta.\n\u003cbr\u003eEl secreto de esta cuenta del RODC se almacena dentro del objeto de usuario “krbtgt_AzureAD”. Como con la cuenta KRBTGT normal, se recomienda encarecidamente rotar la contraseña periódicamente con el fin de evitar la persistencia de un atacante que haya podido recuperar el hash de la cuenta “krbtgt_AzureAD”.\n\u003cbr\u003eEste ataque es uno de los métodos que pueden usarse para pivotar de la nube al entorno local.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Cambiar la contraseña de la cuenta KRBTGT","description":"La cuenta especial KRBTGT debe protegerse mediante la rotación periódica de su contraseña.\n","exec_summary":"\u003cp\u003eMicrosoft admite totalmente la operación especial de cambiar la contraseña de la cuenta KRBTGT.\u003c/p\u003e\n","detail":"\u003ch4\u003eContraseña antigua de KRBTGT\u003c/h4\u003e\n\u003cp\u003eEl cambio de contraseña de KRBTGT exige una secuencia de operaciones específica. La ejecución incorrecta puede afectar a la autenticación en el controlador de dominio. Microsoft presenta un \u003ca href=\"https://cloudblogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/\"\u003eprocedimiento oficial\u003c/a\u003e y un \u003ca href=\"https://github.com/microsoft/New-KrbtgtKeys.ps1\"\u003escript auxiliar\u003c/a\u003e.\u003c/p\u003e\n\u003ch4\u003eContraseña antigua de KRBTGT en Entra ID\u003c/h4\u003e\n\u003cp\u003ePara la cuenta “krbtgt_AzureAD”, el procedimiento de renovación de la contraseña no es el mismo que para la cuenta KRBTGT normal.\n\u003cbr\u003eDespués de la autenticación correcta en un servidor donde está instalado el software Microsoft Entra Connect, use y adapte el siguiente ejemplo de comando de PowerShell:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module \"C:\\Program Files\\Microsoft Azure Active Directory Connect\\AzureADKerberos\\AzureAdKerberos.psd1\"\nPS\u0026gt; $domain = \"DOMAIN.CORP\" # To be replaced with your domain FQDN\nPS\u0026gt; $cloudCred = Get-Credential -Message 'Provide the credentials for an account that has the Global Administrator role in Entra ID'\nPS\u0026gt; Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -RotateServerKey\n\u003c/code\u003e\u003c/pre\u003e\n","resources":[{"name":"Rotate the Microsoft Entra Kerberos server key","url":"https://learn.microsoft.com/es-es/entra/identity/authentication/howto-authentication-passwordless-security-key-on-premises#rotate-the-microsoft-entra-kerberos-server-key","type":"hyperlink"}]},"resources":[{"name":"KRBTGT Account Password Reset Scripts now available for customers","url":"https://www.microsoft.com/es-es/security/blog/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/\n","type":"hyperlink"},{"name":"Kerberos \u0026 KRBTGT: Active Directory's Domain Kerberos Service Account","url":"https://adsecurity.org/?p=483","type":"hyperlink"},{"name":"Reset the krbtgt account password/keys","url":"https://github.com/microsoft/New-KrbtgtKeys.ps1","type":"hyperlink"},{"name":"Windows Hello Cloud Trust","url":"https://syfuhs.net/windows-hello-cloud-trust","type":"hyperlink"},{"name":"Obtaining Domain Admin from Azure AD by abusing Cloud Kerberos Trust","url":"https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[{"name":"mimikatz","url":"https://github.com/gentilkiwi/mimikatz/releases","author":"Gentil Kiwi"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":[]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","fr_FR","ja_JP","zh_CN","ko_KR","zh_TW","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-KRBTGT-PASSWORD","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["de","fr","ja","zh-CN","ko","zh-TW","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[9]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-NATIVE-ADM-GROUP-MEMBERS","_score":null,"_source":{"language_code":"es_001","codename":"C-NATIVE-ADM-GROUP-MEMBERS","name":"Miembros de grupos administrativos nativos","id":8,"description":"\u003cp\u003eCuentas inusuales en los grupos administrativos nativos de Active Directory\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eCon respecto a los grupos con privilegios en Active Directory, hay muy pocos casos donde es necesario agregar una cuenta a los grupos administrativos predeterminados. La pertenencia a estos grupos debe analizarse y justificarse con cuidado.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eMuy pocas operaciones específicas exigen los privilegios otorgados a los grupos administrativos nativos:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePublicadores de certificados\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de esquema\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de empresas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePropietarios del creador de directivas de grupo\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores empresariales de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidor\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eReplicadores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales\u003c/code\u003e\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eLa cantidad de miembros que pertenecen a estos grupos debe mantenerse lo más baja posible, ya que un atacante que tome el control de cualquiera de estos obtendrá al instante el control de todo el bosque. La lista de cuentas que pertenecen a estos grupos se encuentra en el anexo de datos técnicos y debe controlarse de cerca.\n\u003cbr\u003eLas tareas administrativas diarias no deben estar a cargo de estas cuentas, sino de aquellas con menos privilegios a las que se les hayan delegado tareas específicas. Se informan las cuentas de usuario y de equipos activas e inactivas (este comportamiento puede cambiarse en las opciones para excluir las cuentas deshabilitadas).\n\u003cbr\u003eAl analizar los resultados de este indicador, deben tenerse en cuenta algunos casos específicos. En primer lugar, los objetos a los que se hace referencia en otros dominios que no están bajo la supervisión de Tenable Identity Exposure, ya que Tenable Identity Exposure no tiene toda la información necesaria para que sea precisa (p. ej., no es posible acceder a los miembros de un grupo si el dominio asociado no está bajo supervisión). Por lo tanto, independientemente del objeto al que se dirija (usuario, equipo o grupo), se contará como un único “usuario”. En segundo lugar, no debe haber objetos Contact en los grupos de seguridad con privilegios, ya que también se cuentan.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Limitar la pertenencia a grupos administrativos","description":"Limitar la cantidad de cuentas en grupos con privilegios altos","exec_summary":"\u003cp\u003eRestrinja al mínimo la pertenencia a grupos administrativos con privilegios.\u003c/p\u003e\n","detail":"\u003cp\u003eTenable recomienda realizar todas las operaciones con una cuenta con menos privilegios. Implemente una matriz de delegación para definir los privilegios obligatorios necesarios para ejecutar tareas administrativas, así como qué privilegios deben otorgarse a cualquier grupo nuevo que se defina.\n\u003cbr\u003eMuy pocas operaciones exigen los privilegios otorgados a los miembros de los siguientes grupos administrativos:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePublicadores de certificados\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de esquema\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de empresas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePropietarios del creador de GPO\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidor\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eReplicadores\u003c/code\u003e\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003ePor ejemplo, solo se necesitan derechos de Administrador de esquema al encarar una reestructuración profunda del dominio, lo que no sucede más de una vez al año en situaciones normales.\u003c/p\u003e\n","resources":[]},"resources":[{"name":"Securing Privileged Access","url":"https://learn.microsoft.com/es-es/security/compass/overview\n","type":"hyperlink"}],"applicable_resource_types":["ad_group","ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ko_KR","ja_JP","es_001","zh_CN","de_DE","fr_FR","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-NATIVE-ADM-GROUP-MEMBERS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["ko","ja","es","zh-CN","de","fr","zh-TW","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[8]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-PRIV-ACCOUNTS-SPN","_score":null,"_source":{"language_code":"es_001","codename":"C-PRIV-ACCOUNTS-SPN","name":"Cuentas con privilegios que ejecutan servicios de Kerberos","id":7,"description":"\u003cp\u003eDetecta cuentas con muchos privilegios con el atributo Service Principal Name (SPN) que afecta a su seguridad.\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eEn 2014, surgió un nuevo tipo de ataque denominado Kerberoast que tiene como objetivo las cuentas de usuario de dominio con privilegios al explotar los mecanismos internos del protocolo de autenticación Kerberos. La meta del atacante es descubrir la contraseña de texto no cifrado de una cuenta, lo que le otorga derechos asociados.\n\u003cbr\u003eEste ataque puede ocurrir desde el interior de un entorno de Active Directory mediante una sencilla cuenta de usuario sin privilegios. Si hay establecido un atributo específico de Active Directory (\u003ccode\u003eservicePrincipalName\u003c/code\u003e) en una cuenta, esto afecta a la seguridad subyacente de esta cuenta. La contraseña de esta cuenta se puede adivinar, y los mecanismos de seguridad tradicionales que bloquean una cuenta después de varios errores en la contraseña no pueden impedir los ataques exhaustivos a las contraseñas.\n\u003cbr\u003eEn general, el objetivo son algunas cuentas con muchos privilegios (p. ej., usuarios del grupo \u003ccode\u003eAdministradores de dominio\u003c/code\u003e). Esas cuentas pueden llevar a una vulneración de todo el dominio muy rápidamente y, por lo tanto, deben protegerse frente a esta amenaza de configuración de Kerberos.\n\u003cbr\u003eEl indicador de ataque \u003cstrong\u003eKerberoasting\u003c/strong\u003e puede poner en alerta al personal de seguridad si un atacante intenta explotar esta vulnerabilidad. Sin embargo, es necesario corregir el problema subyacente para proteger las cuentas con muchos privilegios, lo que puede llevar a una vulneración de todo el dominio rápidamente.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEl concepto “tickets” está en los cimientos de Kerberos, el protocolo de autenticación principal que se usa en entornos de Active Directory. Kerberos usa dos tipos de tickets: el Ticket Granting Tickets (TGT) y el ticket de servicio (ST), que se crean de la misma manera, pero tienen propósitos distintos. El TGT genera varios ST tras la autenticación del usuario, lo que otorga acceso a los recursos sin necesidad de tener que volver a autenticarse, mientras que el ST se usa para acceder a un recurso en concreto al demostrar la identidad del usuario y se renueva con mayor frecuencia que los TGT.\n\u003cbr\u003ePara garantizar la seguridad (integridad y autenticidad) de los tickets, algunas partes de los tickets se cifran con el hash de contraseña de la cuenta (hash de NT de manera predeterminada). El TGT se protege mediante una cuenta específica (cuenta del centro de servicio de distribución de claves), mientras que el ST se protege mediante la cuenta de Active Directory (AD) del servicio.\n\u003cbr\u003eEl atributo \u003ccode\u003eservicePrincipalName\u003c/code\u003e (SPN) en una cuenta se usa para identificar cada instancia del servicio en el mundo de Kerberos. En los entornos de Active Directory, la base de datos SQL Server es un servicio común con un SPN que se agrega automáticamente en la cuenta configurada.\n\u003cbr\u003eEl ataque Kerberoast es posible debido a dos motivos: un ST puede pedirse con una única solicitud cuando una cuenta tiene un atributo SPN y la debilidad de la contraseña de la cuenta. Por lo tanto, un atacante puede solicitar un ST para una cuenta compatible con SPN e intentar descifrarlo sin conexión a través de varias contraseñas.\n\u003cbr\u003eEste ataque es más peligroso que los ataques en línea, ya que es más sigiloso, dado que solo se hace una solicitud para obtener el ticket, y es más rápido, gracias al uso de equipos y GPU potentes.\n\u003cbr\u003eSin embargo, una cuenta normal sin un SPN sería inmune a este ataque, por lo que es importante comprobar periódicamente que ninguna cuenta con privilegios tenga un SPN. Además, si la contraseña del usuario es lo suficientemente segura, a un atacante le tomaría demasiado tiempo como para que fuera eficiente.\n\u003cbr\u003ePara elevar sus privilegios en el dominio después de vulnerar una cuenta estándar, un atacante se dirigiría específicamente a cuentas con privilegios con un SPN. Para evitar esto, este indicador de exposición se asegura de que los miembros siguientes de los grupos con privilegios específicos no estén en riesgo:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePublicadores de certificados\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de esquema\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de empresas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003ePropietarios del creador de directivas de grupo\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio de solo lectura\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores empresariales de claves\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eAdministradores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de cuentas\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de servidor\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de impresión\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eOperadores de copia de seguridad\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eReplicadores\u003c/code\u003e\u003c/li\u003e\n\u003cli\u003e\u003ccode\u003eControladores de dominio empresariales\u003c/code\u003e\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e El indicador de ataque \u003cstrong\u003eKerberoasting\u003c/strong\u003e puede poner en alerta al personal de seguridad si un atacante intenta explotar esta vulnerabilidad. Sin embargo, es necesario corregir el problema subyacente para proteger las cuentas con muchos privilegios, lo que puede llevar a una vulneración de todo el dominio rápidamente.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Quitar atributos SPN en cuentas con muchos privilegios","description":"Para proteger este secreto, se recomienda quitar los atributos SPN en las cuentas administrativas.","exec_summary":"\u003cp\u003eLas cuentas con privilegios no deberían tener un Service Principal Name.\u003c/p\u003e\n","detail":"\u003cp\u003eLa presencia de un SPN en una cuenta con privilegios, junto con un ataque de fuerza bruta sin conexión para obtener su contraseña, puede poner en riesgo el bosque entero. Para evitarlo, adopte las medidas siguientes para asegurarse de que las cuentas con privilegios no sean vulnerables al ataque Kerberoast.\u003c/p\u003e\n\u003ch4\u003eUsar una cuenta de servicio administrada por grupo (gMSA), en lugar de una cuenta de usuario\u003c/h4\u003e\n\u003cp\u003eMicrosoft presentó la característica gMSA en Windows Server 2012, que almacena los objetos gMSA en el contenedor Managed Service Account de Active Directory. Se recomienda usar gMSA para las cuentas de servicio que requieren un SPN, siempre que el servicio o aplicación sean compatibles con gMSA. Esto ofrece una manera de generar contraseñas seguras que se renuevan automáticamente. Siga los pasos a continuación:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra un comando de PowerShell en el contexto de seguridad de un miembro de los grupos Administradores de dominio u Operadores de cuentas y use el comando New-ADServiceAccount:\u003c/li\u003e\n\u003c/ol\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; New-ADServiceAccount -Name \u0026lt;String\u0026gt; `\n -Description \u0026lt;String\u0026gt; `\n -DNSHostName \u0026lt;String\u0026gt; `\n -ManagedPasswordIntervalInDays \u0026lt;Int32\u0026gt; `\n -PrincipalsAllowedToRetrieveManagedPassword \u0026lt;ADPrincipal[]\u0026gt; `\n -Enabled $True | $False `\n -PassThru\n\u003c/code\u003e\u003c/pre\u003e\n\u003col start=\"2\"\u003e\n\u003cli\u003eAsocie la gMSA con el servicio o aplicación.\u003c/li\u003e\n\u003cli\u003eQuite el SPN de la cuenta con privilegios.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003eUsar una cuenta sin privilegios para la asociación de SPN de ser necesario por motivos funcionales\u003c/h4\u003e\n\u003cp\u003eCuando no sea posible usar una gMSA debido a la compatibilidad del servicio o aplicación con esta característica de Active Directory, use una cuenta de usuario sin privilegios:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eCree una cuenta sin privilegios.\u003c/li\u003e\n\u003cli\u003eDefina una contraseña aleatoria y compleja (de preferencia, generada mediante una aplicación de administración de contraseñas; p. ej., KeePass).\u003c/li\u003e\n\u003cli\u003eAgregue el SPN a la cuenta sin privilegios:\n a. Mediante el complemento MMC de \u003cem\u003eUsuarios y equipos de Active Directory\u003c/em\u003e : haga clic con el botón derecho en la cuenta, seleccione \u003cem\u003ePropiedades\u003c/em\u003e, seleccione la pestaña \u003cem\u003eEditor de atributos\u003c/em\u003e , busque el atributo servicePrincipalName en la lista y edítelo.\n b. Mediante el comando SetSPN: setspn -s service/name yourserviceaccount.\u003c/li\u003e\n\u003cli\u003eAsocie la cuenta sin privilegios con el servicio o aplicación.\u003c/li\u003e\n\u003cli\u003eQuite el SPN de la cuenta con privilegios.\u003c/li\u003e\n\u003cli\u003eComo práctica recomendada, defina un procedimiento para renovar periódicamente la contraseña de la cuenta sin privilegios.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003ePrácticas recomendadas y verificaciones adicionales\u003c/h4\u003e\n\u003cul\u003e\n\u003cli\u003eAumente la complejidad de la contraseña para mitigar este ataque.\u003c/li\u003e\n\u003cli\u003eAsegúrese de que el ticket de servicio (ST) se cifre con un algoritmo de cifrado seguro, como AES, en lugar del RC4 predeterminado (hash de NT).\u003c/li\u003e\n\u003cli\u003eUse tarjetas inteligentes para generar una contraseña que no se relacione con el código PIN del usuario y sea lo suficientemente segura para brindar una autenticación segura.\u003c/li\u003e\n\u003cli\u003eQuite los usuarios innecesarios de los grupos con privilegios. Durante este proceso, es importante asegurarse de que las cuentas de servicio no sean miembros de ningún grupo con privilegios y solo tengan los derechos mínimos necesarios con el fin de evitar una variedad de ataques a la instancia de Active Directory.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eTenga en cuenta que, por el mismo motivo que para las cuentas de servicios administradas por grupo (gMSA) y las tarjetas inteligentes, las cuentas de equipo no se ven afectadas.\u003c/p\u003e\n","resources":[{"name":"Group Managed Service Accounts overview","url":"https://learn.microsoft.com/es-es/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview","type":"hyperlink"},{"name":"Managed Service Accounts","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd378925(v=ws.10)","type":"hyperlink"},{"name":"Windows Configurations for Kerberos Supported Encryption Type","url":"https://learn.microsoft.com/es-es/archive/blogs/openspecification/windows-configurations-for-kerberos-supported-encryption-type","type":"hyperlink"},{"name":"Removing SPNs","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc731241(v%3Dws.11)#removing-spns","type":"hyperlink"}]},"resources":[{"name":"MITRE ATT\u0026CK - Steal or Forge Kerberos Tickets: Kerberoasting","url":"https://attack.mitre.org/techniques/T1558/003/","type":"hyperlink"},{"name":"Kerberos: An Authentication Service for Computer Networks (texto en inglés)","url":"https://gost.isi.edu/publications/kerberos-neuman-tso.html","type":"hyperlink"},{"name":"Secrets d’authentification épisode II: Kerberos contre-attaque (texto en francés)","url":"https://www.sstic.org/media/SSTIC2014/SSTIC-actes/secrets_dauthentification_pisode_ii__kerberos_cont/SSTIC2014-Article-secrets_dauthentification_pisode_ii__kerberos_contre-attaque-bordes_2.pdf\n","type":"hyperlink"},{"name":"Sneaky Persistence Active Directory Trick: Dropping SPNs on Admin Accounts for Later Kerberoasting","url":"https://adsecurity.org/?p=3466","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[{"name":"Kerberoast","url":"https://github.com/nidem/kerberoast","author":null},{"name":"Empire","url":"https://github.com/EmpireProject/Empire","author":null},{"name":"Impacket","url":"https://github.com/SecureAuthCorp/impacket","author":null},{"name":"PowerSploit","url":"https://github.com/PowerShellMafia/PowerSploit","author":null}],"category_id":5,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","ja_JP","zh_TW","zh_CN","es_001","ko_KR","fr_FR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-PRIV-ACCOUNTS-SPN","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["de","ja","zh-TW","zh-CN","es","ko","fr","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[7]}],"total":105,"type":"ioe","page":1},"cookies":{},"user":null,"flash":null,"env":{"baseUrl":"https://www.tenable.com","host":"es-la.tenable.com","ga4TrackingId":""},"isUnsupportedBrowser":true,"__N_SSP":true},"page":"/indicators/ioe","query":{},"buildId":"RsIzRDoxGcJZTeqNY4h8D","isFallback":false,"isExperimentalCompile":false,"gssp":true,"appGip":true,"locale":"es","locales":["en","de","es","fr","ja","ko","zh-CN","zh-TW"],"defaultLocale":"es","domainLocales":[{"domain":"www.tenable.com","defaultLocale":"en"},{"domain":"de.tenable.com","defaultLocale":"de"},{"domain":"es-la.tenable.com","defaultLocale":"es"},{"domain":"fr.tenable.com","defaultLocale":"fr"},{"domain":"jp.tenable.com","defaultLocale":"ja"},{"domain":"kr.tenable.com","defaultLocale":"ko"},{"domain":"www.tenablecloud.cn","defaultLocale":"zh-CN"},{"domain":"zh-tw.tenable.com","defaultLocale":"zh-TW"}],"scriptLoader":[]}</script></body></html>