<!DOCTYPE html><html lang="es"><head><meta charSet="utf-8"/><title>Indicadores<!-- --> | Tenable®</title><meta name="description" content="Tenable Identity Exposure le permite prever amenazas, detectar filtraciones de datos y responder ante incidentes y ataques para proteger su infraestructura. Desde un tablero de control intuitivo que le permite supervisar su instancia de Active Directory en tiempo real, puede detectar a simple vista las vulnerabilidades más críticas, así como los procedimientos recomendados para su corrección. Los indicadores de ataque e indicadores de exposición de Tenable Identity Exposure le permiten descubrir problemas subyacentes que afectan a su instancia de Active Directory, detectar relaciones de confianza peligrosas y analizar en profundidad los detalles de los ataques."/><meta property="og:title" content="Indicadores"/><meta property="og:description" content="Tenable Identity Exposure le permite prever amenazas, detectar filtraciones de datos y responder ante incidentes y ataques para proteger su infraestructura. Desde un tablero de control intuitivo que le permite supervisar su instancia de Active Directory en tiempo real, puede detectar a simple vista las vulnerabilidades más críticas, así como los procedimientos recomendados para su corrección. Los indicadores de ataque e indicadores de exposición de Tenable Identity Exposure le permiten descubrir problemas subyacentes que afectan a su instancia de Active Directory, detectar relaciones de confianza peligrosas y analizar en profundidad los detalles de los ataques."/><meta name="twitter:title" content="Indicadores"/><meta name="twitter:description" content="Tenable Identity Exposure le permite prever amenazas, detectar filtraciones de datos y responder ante incidentes y ataques para proteger su infraestructura. Desde un tablero de control intuitivo que le permite supervisar su instancia de Active Directory en tiempo real, puede detectar a simple vista las vulnerabilidades más críticas, así como los procedimientos recomendados para su corrección. Los indicadores de ataque e indicadores de exposición de Tenable Identity Exposure le permiten descubrir problemas subyacentes que afectan a su instancia de Active Directory, detectar relaciones de confianza peligrosas y analizar en profundidad los detalles de los ataques."/><meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"/><meta name="viewport" content="width=device-width, initial-scale=1"/><link rel="apple-touch-icon" sizes="180x180" href="https://www.tenable.com/themes/custom/tenable/images-new/favicons/apple-touch-icon-180x180.png"/><link rel="manifest" href="https://www.tenable.com/themes/custom/tenable/images-new/favicons/manifest.json"/><link rel="icon" href="https://www.tenable.com/themes/custom/tenable/images-new/favicons/favicon.ico" sizes="any"/><link rel="icon" href="https://www.tenable.com/themes/custom/tenable/images-new/favicons/tenable-favicon.svg" type="image/svg+xml"/><meta name="msapplication-config" content="https://www.tenable.com/themes/custom/tenable/images-new/favicons/browserconfig.xml"/><meta name="theme-color" content="#ffffff"/><link rel="canonical" href="https://es-la.tenable.com/indicators"/><link rel="alternate" hrefLang="x-default" href="https://www.tenable.com/indicators"/><link rel="alternate" hrefLang="en" href="https://www.tenable.com/indicators"/><meta name="next-head-count" content="18"/><script type="text/javascript">window.NREUM||(NREUM={});NREUM.info = {"agent":"","beacon":"bam.nr-data.net","errorBeacon":"bam.nr-data.net","licenseKey":"5febff3e0e","applicationID":"96358297","agentToken":null,"applicationTime":549.816824,"transactionName":"MVBabEEHChVXU0IIXggab11RIBYHW1VBDkMNYEpRHCgBHkJaRU52I2EXF1oIAA9VUUIOQxU=","queueTime":0,"ttGuid":"9c9be01055d0b0c2"}; (window.NREUM||(NREUM={})).init={ajax:{deny_list:["bam.nr-data.net"]}};(window.NREUM||(NREUM={})).loader_config={licenseKey:"5febff3e0e",applicationID:"96358297"};;/*! For license information please see nr-loader-rum-1.283.2.min.js.LICENSE.txt */ (()=>{var e,t,r={122:(e,t,r)=>{"use strict";r.d(t,{a:()=>i});var n=r(944);function i(e,t){try{if(!e||"object"!=typeof e)return(0,n.R)(3);if(!t||"object"!=typeof t)return(0,n.R)(4);const r=Object.create(Object.getPrototypeOf(t),Object.getOwnPropertyDescriptors(t)),o=0===Object.keys(r).length?e:r;for(let a in o)if(void 0!==e[a])try{if(null===e[a]){r[a]=null;continue}Array.isArray(e[a])&&Array.isArray(t[a])?r[a]=Array.from(new Set([...e[a],...t[a]])):"object"==typeof e[a]&&"object"==typeof t[a]?r[a]=i(e[a],t[a]):r[a]=e[a]}catch(e){(0,n.R)(1,e)}return r}catch(e){(0,n.R)(2,e)}}},555:(e,t,r)=>{"use strict";r.d(t,{Vp:()=>c,fn:()=>s,x1:()=>u});var n=r(384),i=r(122);const o={beacon:n.NT.beacon,errorBeacon:n.NT.errorBeacon,licenseKey:void 0,applicationID:void 0,sa:void 0,queueTime:void 0,applicationTime:void 0,ttGuid:void 0,user:void 0,account:void 0,product:void 0,extra:void 0,jsAttributes:{},userAttributes:void 0,atts:void 0,transactionName:void 0,tNamePlain:void 0},a={};function s(e){try{const t=c(e);return!!t.licenseKey&&!!t.errorBeacon&&!!t.applicationID}catch(e){return!1}}function c(e){if(!e)throw new Error("All info objects require an agent identifier!");if(!a[e])throw new Error("Info for ".concat(e," was never set"));return a[e]}function u(e,t){if(!e)throw new Error("All info objects require an agent identifier!");a[e]=(0,i.a)(t,o);const r=(0,n.nY)(e);r&&(r.info=a[e])}},217:(e,t,r)=>{"use strict";r.d(t,{D0:()=>m,gD:()=>v,xN:()=>h});r(860).K7.genericEvents;const n="experimental.marks",i="experimental.measures",o="experimental.resources",a=e=>{if(!e||"string"!=typeof e)return!1;try{document.createDocumentFragment().querySelector(e)}catch{return!1}return!0};var s=r(614),c=r(944),u=r(384),l=r(122);const d="[data-nr-mask]",f=()=>{const e={feature_flags:[],experimental:{marks:!1,measures:!1,resources:!1},mask_selector:"*",block_selector:"[data-nr-block]",mask_input_options:{color:!1,date:!1,"datetime-local":!1,email:!1,month:!1,number:!1,range:!1,search:!1,tel:!1,text:!1,time:!1,url:!1,week:!1,textarea:!1,select:!1,password:!0}};return{ajax:{deny_list:void 0,block_internal:!0,enabled:!0,autoStart:!0},distributed_tracing:{enabled:void 0,exclude_newrelic_header:void 0,cors_use_newrelic_header:void 0,cors_use_tracecontext_headers:void 0,allowed_origins:void 0},get feature_flags(){return e.feature_flags},set feature_flags(t){e.feature_flags=t},generic_events:{enabled:!0,autoStart:!0},harvest:{interval:30},jserrors:{enabled:!0,autoStart:!0},logging:{enabled:!0,autoStart:!0},metrics:{enabled:!0,autoStart:!0},obfuscate:void 0,page_action:{enabled:!0},page_view_event:{enabled:!0,autoStart:!0},page_view_timing:{enabled:!0,autoStart:!0},performance:{get capture_marks(){return e.feature_flags.includes(n)||e.experimental.marks},set capture_marks(t){e.experimental.marks=t},get capture_measures(){return e.feature_flags.includes(i)||e.experimental.measures},set capture_measures(t){e.experimental.measures=t},capture_detail:!0,resources:{get enabled(){return e.feature_flags.includes(o)||e.experimental.resources},set enabled(t){e.experimental.resources=t},asset_types:[],first_party_domains:[],ignore_newrelic:!0}},privacy:{cookies_enabled:!0},proxy:{assets:void 0,beacon:void 0},session:{expiresMs:s.wk,inactiveMs:s.BB},session_replay:{autoStart:!0,enabled:!1,preload:!1,sampling_rate:10,error_sampling_rate:100,collect_fonts:!1,inline_images:!1,fix_stylesheets:!0,mask_all_inputs:!0,get mask_text_selector(){return e.mask_selector},set mask_text_selector(t){a(t)?e.mask_selector="".concat(t,",").concat(d):""===t||null===t?e.mask_selector=d:(0,c.R)(5,t)},get block_class(){return"nr-block"},get ignore_class(){return"nr-ignore"},get mask_text_class(){return"nr-mask"},get block_selector(){return e.block_selector},set block_selector(t){a(t)?e.block_selector+=",".concat(t):""!==t&&(0,c.R)(6,t)},get mask_input_options(){return e.mask_input_options},set mask_input_options(t){t&&"object"==typeof t?e.mask_input_options={...t,password:!0}:(0,c.R)(7,t)}},session_trace:{enabled:!0,autoStart:!0},soft_navigations:{enabled:!0,autoStart:!0},spa:{enabled:!0,autoStart:!0},ssl:void 0,user_actions:{enabled:!0,elementAttributes:["id","className","tagName","type"]}}},g={},p="All configuration objects require an agent identifier!";function m(e){if(!e)throw new Error(p);if(!g[e])throw new Error("Configuration for ".concat(e," was never set"));return g[e]}function h(e,t){if(!e)throw new Error(p);g[e]=(0,l.a)(t,f());const r=(0,u.nY)(e);r&&(r.init=g[e])}function v(e,t){if(!e)throw new Error(p);var r=m(e);if(r){for(var n=t.split("."),i=0;i<n.length-1;i++)if("object"!=typeof(r=r[n[i]]))return;r=r[n[n.length-1]]}return r}},371:(e,t,r)=>{"use strict";r.d(t,{V:()=>f,f:()=>d});var n=r(122),i=r(384),o=r(154),a=r(324);let s=0;const c={buildEnv:a.F3,distMethod:a.Xs,version:a.xv,originTime:o.WN},u={customTransaction:void 0,disabled:!1,isolatedBacklog:!1,loaderType:void 0,maxBytes:3e4,onerror:void 0,ptid:void 0,releaseIds:{},appMetadata:{},session:void 0,denyList:void 0,timeKeeper:void 0,obfuscator:void 0,harvester:void 0},l={};function d(e){if(!e)throw new Error("All runtime objects require an agent identifier!");if(!l[e])throw new Error("Runtime for ".concat(e," was never set"));return l[e]}function f(e,t){if(!e)throw new Error("All runtime objects require an agent identifier!");l[e]={...(0,n.a)(t,u),...c},Object.hasOwnProperty.call(l[e],"harvestCount")||Object.defineProperty(l[e],"harvestCount",{get:()=>++s});const r=(0,i.nY)(e);r&&(r.runtime=l[e])}},324:(e,t,r)=>{"use strict";r.d(t,{F3:()=>i,Xs:()=>o,xv:()=>n});const n="1.283.2",i="PROD",o="CDN"},154:(e,t,r)=>{"use strict";r.d(t,{OF:()=>c,RI:()=>i,WN:()=>l,bv:()=>o,gm:()=>a,mw:()=>s,sb:()=>u});var n=r(863);const i="undefined"!=typeof window&&!!window.document,o="undefined"!=typeof WorkerGlobalScope&&("undefined"!=typeof self&&self instanceof WorkerGlobalScope&&self.navigator instanceof WorkerNavigator||"undefined"!=typeof globalThis&&globalThis instanceof WorkerGlobalScope&&globalThis.navigator instanceof WorkerNavigator),a=i?window:"undefined"!=typeof WorkerGlobalScope&&("undefined"!=typeof self&&self instanceof WorkerGlobalScope&&self||"undefined"!=typeof globalThis&&globalThis instanceof WorkerGlobalScope&&globalThis),s=Boolean("hidden"===a?.document?.visibilityState),c=/iPad|iPhone|iPod/.test(a.navigator?.userAgent),u=c&&"undefined"==typeof SharedWorker,l=((()=>{const e=a.navigator?.userAgent?.match(/Firefox[/\s](\d+\.\d+)/);Array.isArray(e)&&e.length>=2&&e[1]})(),Date.now()-(0,n.t)())},687:(e,t,r)=>{"use strict";r.d(t,{Ak:()=>c,Ze:()=>d,x3:()=>u});var n=r(836),i=r(606),o=r(860),a=r(646);const s={};function c(e,t){const r={staged:!1,priority:o.P3[t]||0};l(e),s[e].get(t)||s[e].set(t,r)}function u(e,t){e&&s[e]&&(s[e].get(t)&&s[e].delete(t),g(e,t,!1),s[e].size&&f(e))}function l(e){if(!e)throw new Error("agentIdentifier required");s[e]||(s[e]=new Map)}function d(e="",t="feature",r=!1){if(l(e),!e||!s[e].get(t)||r)return g(e,t);s[e].get(t).staged=!0,f(e)}function f(e){const t=Array.from(s[e]);t.every((([e,t])=>t.staged))&&(t.sort(((e,t)=>e[1].priority-t[1].priority)),t.forEach((([t])=>{s[e].delete(t),g(e,t)})))}function g(e,t,r=!0){const o=e?n.ee.get(e):n.ee,s=i.i.handlers;if(!o.aborted&&o.backlog&&s){if(r){const e=o.backlog[t],r=s[t];if(r){for(let t=0;e&&t<e.length;++t)p(e[t],r);Object.entries(r).forEach((([e,t])=>{Object.values(t||{}).forEach((t=>{t[0]?.on&&t[0]?.context()instanceof a.y&&t[0].on(e,t[1])}))}))}}o.isolatedBacklog||delete s[t],o.backlog[t]=null,o.emit("drain-"+t,[])}}function p(e,t){var r=e[1];Object.values(t[r]||{}).forEach((t=>{var r=e[0];if(t[0]===r){var n=t[1],i=e[3],o=e[2];n.apply(i,o)}}))}},836:(e,t,r)=>{"use strict";r.d(t,{P:()=>c,ee:()=>u});var n=r(384),i=r(990),o=r(371),a=r(646),s=r(607);const c="nr@context:".concat(s.W),u=function e(t,r){var n={},s={},l={},d=!1;try{d=16===r.length&&(0,o.f)(r).isolatedBacklog}catch(e){}var f={on:p,addEventListener:p,removeEventListener:function(e,t){var r=n[e];if(!r)return;for(var i=0;i<r.length;i++)r[i]===t&&r.splice(i,1)},emit:function(e,r,n,i,o){!1!==o&&(o=!0);if(u.aborted&&!i)return;t&&o&&t.emit(e,r,n);for(var a=g(n),c=m(e),l=c.length,d=0;d<l;d++)c[d].apply(a,r);var p=v()[s[e]];p&&p.push([f,e,r,a]);return a},get:h,listeners:m,context:g,buffer:function(e,t){const r=v();if(t=t||"feature",f.aborted)return;Object.entries(e||{}).forEach((([e,n])=>{s[n]=t,t in r||(r[t]=[])}))},abort:function(){f._aborted=!0,Object.keys(f.backlog).forEach((e=>{delete f.backlog[e]}))},isBuffering:function(e){return!!v()[s[e]]},debugId:r,backlog:d?{}:t&&"object"==typeof t.backlog?t.backlog:{},isolatedBacklog:d};return Object.defineProperty(f,"aborted",{get:()=>{let e=f._aborted||!1;return e||(t&&(e=t.aborted),e)}}),f;function g(e){return e&&e instanceof a.y?e:e?(0,i.I)(e,c,(()=>new a.y(c))):new a.y(c)}function p(e,t){n[e]=m(e).concat(t)}function m(e){return n[e]||[]}function h(t){return l[t]=l[t]||e(f,t)}function v(){return f.backlog}}(void 0,"globalEE"),l=(0,n.Zm)();l.ee||(l.ee=u)},646:(e,t,r)=>{"use strict";r.d(t,{y:()=>n});class n{constructor(e){this.contextId=e}}},908:(e,t,r)=>{"use strict";r.d(t,{d:()=>n,p:()=>i});var n=r(836).ee.get("handle");function i(e,t,r,i,o){o?(o.buffer([e],i),o.emit(e,t,r)):(n.buffer([e],i),n.emit(e,t,r))}},606:(e,t,r)=>{"use strict";r.d(t,{i:()=>o});var n=r(908);o.on=a;var i=o.handlers={};function o(e,t,r,o){a(o||n.d,i,e,t,r)}function a(e,t,r,i,o){o||(o="feature"),e||(e=n.d);var a=t[o]=t[o]||{};(a[r]=a[r]||[]).push([e,i])}},878:(e,t,r)=>{"use strict";function n(e,t){return{capture:e,passive:!1,signal:t}}function i(e,t,r=!1,i){window.addEventListener(e,t,n(r,i))}function o(e,t,r=!1,i){document.addEventListener(e,t,n(r,i))}r.d(t,{DD:()=>o,jT:()=>n,sp:()=>i})},607:(e,t,r)=>{"use strict";r.d(t,{W:()=>n});const n=(0,r(566).bz)()},566:(e,t,r)=>{"use strict";r.d(t,{LA:()=>s,bz:()=>a});var n=r(154);const i="xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx";function o(e,t){return e?15&e[t]:16*Math.random()|0}function a(){const e=n.gm?.crypto||n.gm?.msCrypto;let t,r=0;return e&&e.getRandomValues&&(t=e.getRandomValues(new Uint8Array(30))),i.split("").map((e=>"x"===e?o(t,r++).toString(16):"y"===e?(3&o()|8).toString(16):e)).join("")}function s(e){const t=n.gm?.crypto||n.gm?.msCrypto;let r,i=0;t&&t.getRandomValues&&(r=t.getRandomValues(new Uint8Array(e)));const a=[];for(var s=0;s<e;s++)a.push(o(r,i++).toString(16));return a.join("")}},614:(e,t,r)=>{"use strict";r.d(t,{BB:()=>a,H3:()=>n,g:()=>u,iL:()=>c,tS:()=>s,uh:()=>i,wk:()=>o});const n="NRBA",i="SESSION",o=144e5,a=18e5,s={STARTED:"session-started",PAUSE:"session-pause",RESET:"session-reset",RESUME:"session-resume",UPDATE:"session-update"},c={SAME_TAB:"same-tab",CROSS_TAB:"cross-tab"},u={OFF:0,FULL:1,ERROR:2}},863:(e,t,r)=>{"use strict";function n(){return Math.floor(performance.now())}r.d(t,{t:()=>n})},944:(e,t,r)=>{"use strict";function n(e,t){"function"==typeof console.debug&&console.debug("New Relic Warning: https://github.com/newrelic/newrelic-browser-agent/blob/main/docs/warning-codes.md#".concat(e),t)}r.d(t,{R:()=>n})},284:(e,t,r)=>{"use strict";r.d(t,{t:()=>c,B:()=>s});var n=r(836),i=r(154);const o="newrelic";const a=new Set,s={};function c(e,t){const r=n.ee.get(t);s[t]??={},e&&"object"==typeof e&&(a.has(t)||(r.emit("rumresp",[e]),s[t]=e,a.add(t),function(e={}){try{i.gm.dispatchEvent(new CustomEvent(o,{detail:e}))}catch(e){}}({loaded:!0})))}},990:(e,t,r)=>{"use strict";r.d(t,{I:()=>i});var n=Object.prototype.hasOwnProperty;function i(e,t,r){if(n.call(e,t))return e[t];var i=r();if(Object.defineProperty&&Object.keys)try{return Object.defineProperty(e,t,{value:i,writable:!0,enumerable:!1}),i}catch(e){}return e[t]=i,i}},389:(e,t,r)=>{"use strict";function n(e,t=500,r={}){const n=r?.leading||!1;let i;return(...r)=>{n&&void 0===i&&(e.apply(this,r),i=setTimeout((()=>{i=clearTimeout(i)}),t)),n||(clearTimeout(i),i=setTimeout((()=>{e.apply(this,r)}),t))}}function i(e){let t=!1;return(...r)=>{t||(t=!0,e.apply(this,r))}}r.d(t,{J:()=>i,s:()=>n})},289:(e,t,r)=>{"use strict";r.d(t,{GG:()=>o,sB:()=>a});var n=r(878);function i(){return"undefined"==typeof document||"complete"===document.readyState}function o(e,t){if(i())return e();(0,n.sp)("load",e,t)}function a(e){if(i())return e();(0,n.DD)("DOMContentLoaded",e)}},384:(e,t,r)=>{"use strict";r.d(t,{NT:()=>o,US:()=>l,Zm:()=>a,bQ:()=>c,dV:()=>s,nY:()=>u,pV:()=>d});var n=r(154),i=r(863);const o={beacon:"bam.nr-data.net",errorBeacon:"bam.nr-data.net"};function a(){return n.gm.NREUM||(n.gm.NREUM={}),void 0===n.gm.newrelic&&(n.gm.newrelic=n.gm.NREUM),n.gm.NREUM}function s(){let e=a();return e.o||(e.o={ST:n.gm.setTimeout,SI:n.gm.setImmediate,CT:n.gm.clearTimeout,XHR:n.gm.XMLHttpRequest,REQ:n.gm.Request,EV:n.gm.Event,PR:n.gm.Promise,MO:n.gm.MutationObserver,FETCH:n.gm.fetch,WS:n.gm.WebSocket}),e}function c(e,t){let r=a();r.initializedAgents??={},t.initializedAt={ms:(0,i.t)(),date:new Date},r.initializedAgents[e]=t}function u(e){let t=a();return t.initializedAgents?.[e]}function l(e,t){a()[e]=t}function d(){return function(){let e=a();const t=e.info||{};e.info={beacon:o.beacon,errorBeacon:o.errorBeacon,...t}}(),function(){let e=a();const t=e.init||{};e.init={...t}}(),s(),function(){let e=a();const t=e.loader_config||{};e.loader_config={...t}}(),a()}},843:(e,t,r)=>{"use strict";r.d(t,{u:()=>i});var n=r(878);function i(e,t=!1,r,i){(0,n.DD)("visibilitychange",(function(){if(t)return void("hidden"===document.visibilityState&&e());e(document.visibilityState)}),r,i)}},434:(e,t,r)=>{"use strict";r.d(t,{Jt:()=>o,YM:()=>c});var n=r(836),i=r(607);const o="nr@original:".concat(i.W);var a=Object.prototype.hasOwnProperty,s=!1;function c(e,t){return e||(e=n.ee),r.inPlace=function(e,t,n,i,o){n||(n="");const a="-"===n.charAt(0);for(let s=0;s<t.length;s++){const c=t[s],u=e[c];l(u)||(e[c]=r(u,a?c+n:n,i,c,o))}},r.flag=o,r;function r(t,r,n,s,c){return l(t)?t:(r||(r=""),nrWrapper[o]=t,function(e,t,r){if(Object.defineProperty&&Object.keys)try{return Object.keys(e).forEach((function(r){Object.defineProperty(t,r,{get:function(){return e[r]},set:function(t){return e[r]=t,t}})})),t}catch(e){u([e],r)}for(var n in e)a.call(e,n)&&(t[n]=e[n])}(t,nrWrapper,e),nrWrapper);function nrWrapper(){var o,a,l,d;try{a=this,o=[...arguments],l="function"==typeof n?n(o,a):n||{}}catch(t){u([t,"",[o,a,s],l],e)}i(r+"start",[o,a,s],l,c);try{return d=t.apply(a,o)}catch(e){throw i(r+"err",[o,a,e],l,c),e}finally{i(r+"end",[o,a,d],l,c)}}}function i(r,n,i,o){if(!s||t){var a=s;s=!0;try{e.emit(r,n,i,t,o)}catch(t){u([t,r,n,i],e)}s=a}}}function u(e,t){t||(t=n.ee);try{t.emit("internal-error",e)}catch(e){}}function l(e){return!(e&&"function"==typeof e&&e.apply&&!e[o])}},993:(e,t,r)=>{"use strict";r.d(t,{A$:()=>o,ET:()=>a,p_:()=>i});var n=r(860);const i={ERROR:"ERROR",WARN:"WARN",INFO:"INFO",DEBUG:"DEBUG",TRACE:"TRACE"},o={OFF:0,ERROR:1,WARN:2,INFO:3,DEBUG:4,TRACE:5},a="log";n.K7.logging},773:(e,t,r)=>{"use strict";r.d(t,{z_:()=>o,XG:()=>s,TZ:()=>n,rs:()=>i,xV:()=>a});r(154),r(566),r(384);const n=r(860).K7.metrics,i="sm",o="cm",a="storeSupportabilityMetrics",s="storeEventMetrics"},630:(e,t,r)=>{"use strict";r.d(t,{T:()=>n});const n=r(860).K7.pageViewEvent},782:(e,t,r)=>{"use strict";r.d(t,{T:()=>n});const n=r(860).K7.pageViewTiming},344:(e,t,r)=>{"use strict";r.d(t,{G4:()=>i});var n=r(614);r(860).K7.sessionReplay;const i={RECORD:"recordReplay",PAUSE:"pauseReplay",REPLAY_RUNNING:"replayRunning",ERROR_DURING_REPLAY:"errorDuringReplay"};n.g.ERROR,n.g.FULL,n.g.OFF},234:(e,t,r)=>{"use strict";r.d(t,{W:()=>o});var n=r(836),i=r(687);class o{constructor(e,t){this.agentIdentifier=e,this.ee=n.ee.get(e),this.featureName=t,this.blocked=!1}deregisterDrain(){(0,i.x3)(this.agentIdentifier,this.featureName)}}},603:(e,t,r)=>{"use strict";r.d(t,{j:()=>K});var n=r(860),i=r(555),o=r(371),a=r(908),s=r(836),c=r(687),u=r(289),l=r(154),d=r(944),f=r(773),g=r(384),p=r(344);const m=["setErrorHandler","finished","addToTrace","addRelease","recordCustomEvent","addPageAction","setCurrentRouteName","setPageViewName","setCustomAttribute","interaction","noticeError","setUserId","setApplicationVersion","start",p.G4.RECORD,p.G4.PAUSE,"log","wrapLogger"],h=["setErrorHandler","finished","addToTrace","addRelease"];var v=r(863),b=r(614),y=r(993);var w=r(646),R=r(434);const A=new Map;function E(e,t,r,n){if("object"!=typeof t||!t||"string"!=typeof r||!r||"function"!=typeof t[r])return(0,d.R)(29);const i=function(e){return(e||s.ee).get("logger")}(e),o=(0,R.YM)(i),a=new w.y(s.P);a.level=n.level,a.customAttributes=n.customAttributes;const c=t[r]?.[R.Jt]||t[r];return A.set(c,a),o.inPlace(t,[r],"wrap-logger-",(()=>A.get(c))),i}function _(){const e=(0,g.pV)();m.forEach((t=>{e[t]=(...r)=>function(t,...r){let n=[];return Object.values(e.initializedAgents).forEach((e=>{e&&e.api?e.exposed&&e.api[t]&&n.push(e.api[t](...r)):(0,d.R)(38,t)})),n.length>1?n:n[0]}(t,...r)}))}const x={};function N(e,t,g=!1){t||(0,c.Ak)(e,"api");const m={};var w=s.ee.get(e),R=w.get("tracer");x[e]=b.g.OFF,w.on(p.G4.REPLAY_RUNNING,(t=>{x[e]=t}));var A="api-",_=A+"ixn-";function N(t,r,n,o){const a=(0,i.Vp)(e);return null===r?delete a.jsAttributes[t]:(0,i.x1)(e,{...a,jsAttributes:{...a.jsAttributes,[t]:r}}),j(A,n,!0,o||null===r?"session":void 0)(t,r)}function k(){}m.log=function(e,{customAttributes:t={},level:r=y.p_.INFO}={}){(0,a.p)(f.xV,["API/log/called"],void 0,n.K7.metrics,w),function(e,t,r={},i=y.p_.INFO){(0,a.p)(f.xV,["API/logging/".concat(i.toLowerCase(),"/called")],void 0,n.K7.metrics,e),(0,a.p)(y.ET,[(0,v.t)(),t,r,i],void 0,n.K7.logging,e)}(w,e,t,r)},m.wrapLogger=(e,t,{customAttributes:r={},level:i=y.p_.INFO}={})=>{(0,a.p)(f.xV,["API/wrapLogger/called"],void 0,n.K7.metrics,w),E(w,e,t,{customAttributes:r,level:i})},h.forEach((e=>{m[e]=j(A,e,!0,"api")})),m.addPageAction=j(A,"addPageAction",!0,n.K7.genericEvents),m.recordCustomEvent=j(A,"recordCustomEvent",!0,n.K7.genericEvents),m.setPageViewName=function(t,r){if("string"==typeof t)return"/"!==t.charAt(0)&&(t="/"+t),(0,o.f)(e).customTransaction=(r||"http://custom.transaction")+t,j(A,"setPageViewName",!0)()},m.setCustomAttribute=function(e,t,r=!1){if("string"==typeof e){if(["string","number","boolean"].includes(typeof t)||null===t)return N(e,t,"setCustomAttribute",r);(0,d.R)(40,typeof t)}else(0,d.R)(39,typeof e)},m.setUserId=function(e){if("string"==typeof e||null===e)return N("enduser.id",e,"setUserId",!0);(0,d.R)(41,typeof e)},m.setApplicationVersion=function(e){if("string"==typeof e||null===e)return N("application.version",e,"setApplicationVersion",!1);(0,d.R)(42,typeof e)},m.start=()=>{try{(0,a.p)(f.xV,["API/start/called"],void 0,n.K7.metrics,w),w.emit("manual-start-all")}catch(e){(0,d.R)(23,e)}},m[p.G4.RECORD]=function(){(0,a.p)(f.xV,["API/recordReplay/called"],void 0,n.K7.metrics,w),(0,a.p)(p.G4.RECORD,[],void 0,n.K7.sessionReplay,w)},m[p.G4.PAUSE]=function(){(0,a.p)(f.xV,["API/pauseReplay/called"],void 0,n.K7.metrics,w),(0,a.p)(p.G4.PAUSE,[],void 0,n.K7.sessionReplay,w)},m.interaction=function(e){return(new k).get("object"==typeof e?e:{})};const T=k.prototype={createTracer:function(e,t){var r={},i=this,o="function"==typeof t;return(0,a.p)(f.xV,["API/createTracer/called"],void 0,n.K7.metrics,w),g||(0,a.p)(_+"tracer",[(0,v.t)(),e,r],i,n.K7.spa,w),function(){if(R.emit((o?"":"no-")+"fn-start",[(0,v.t)(),i,o],r),o)try{return t.apply(this,arguments)}catch(e){const t="string"==typeof e?new Error(e):e;throw R.emit("fn-err",[arguments,this,t],r),t}finally{R.emit("fn-end",[(0,v.t)()],r)}}}};function j(e,t,r,i){return function(){return(0,a.p)(f.xV,["API/"+t+"/called"],void 0,n.K7.metrics,w),i&&(0,a.p)(e+t,[r?(0,v.t)():performance.now(),...arguments],r?null:this,i,w),r?void 0:this}}function I(){r.e(296).then(r.bind(r,778)).then((({setAPI:t})=>{t(e),(0,c.Ze)(e,"api")})).catch((e=>{(0,d.R)(27,e),w.abort()}))}return["actionText","setName","setAttribute","save","ignore","onEnd","getContext","end","get"].forEach((e=>{T[e]=j(_,e,void 0,g?n.K7.softNav:n.K7.spa)})),m.setCurrentRouteName=g?j(_,"routeName",void 0,n.K7.softNav):j(A,"routeName",!0,n.K7.spa),m.noticeError=function(t,r){"string"==typeof t&&(t=new Error(t)),(0,a.p)(f.xV,["API/noticeError/called"],void 0,n.K7.metrics,w),(0,a.p)("err",[t,(0,v.t)(),!1,r,!!x[e]],void 0,n.K7.jserrors,w)},l.RI?(0,u.GG)((()=>I()),!0):I(),m}var k=r(217),T=r(122);const j={accountID:void 0,trustKey:void 0,agentID:void 0,licenseKey:void 0,applicationID:void 0,xpid:void 0},I={};var O=r(284);const S=e=>{const t=e.startsWith("http");e+="/",r.p=t?e:"https://"+e};let P=!1;function K(e,t={},r,n){let{init:a,info:c,loader_config:u,runtime:d={},exposed:f=!0}=t;d.loaderType=r;const p=(0,g.pV)();c||(a=p.init,c=p.info,u=p.loader_config),(0,k.xN)(e.agentIdentifier,a||{}),function(e,t){if(!e)throw new Error("All loader-config objects require an agent identifier!");I[e]=(0,T.a)(t,j);const r=(0,g.nY)(e);r&&(r.loader_config=I[e])}(e.agentIdentifier,u||{}),c.jsAttributes??={},l.bv&&(c.jsAttributes.isWorker=!0),(0,i.x1)(e.agentIdentifier,c);const m=(0,k.D0)(e.agentIdentifier),h=[c.beacon,c.errorBeacon];P||(m.proxy.assets&&(S(m.proxy.assets),h.push(m.proxy.assets)),m.proxy.beacon&&h.push(m.proxy.beacon),_(),(0,g.US)("activatedFeatures",O.B),e.runSoftNavOverSpa&&=!0===m.soft_navigations.enabled&&m.feature_flags.includes("soft_nav")),d.denyList=[...m.ajax.deny_list||[],...m.ajax.block_internal?h:[]],d.ptid=e.agentIdentifier,(0,o.V)(e.agentIdentifier,d),e.ee=s.ee.get(e.agentIdentifier),void 0===e.api&&(e.api=N(e.agentIdentifier,n,e.runSoftNavOverSpa)),void 0===e.exposed&&(e.exposed=f),P=!0}},374:(e,t,r)=>{r.nc=(()=>{try{return document?.currentScript?.nonce}catch(e){}return""})()},860:(e,t,r)=>{"use strict";r.d(t,{$J:()=>u,K7:()=>s,P3:()=>c,XX:()=>i,qY:()=>n,v4:()=>a});const n="events",i="jserrors",o="browser/blobs",a="rum",s={ajax:"ajax",genericEvents:"generic_events",jserrors:i,logging:"logging",metrics:"metrics",pageAction:"page_action",pageViewEvent:"page_view_event",pageViewTiming:"page_view_timing",sessionReplay:"session_replay",sessionTrace:"session_trace",softNav:"soft_navigations",spa:"spa"},c={[s.pageViewEvent]:1,[s.pageViewTiming]:2,[s.metrics]:3,[s.jserrors]:4,[s.spa]:5,[s.ajax]:6,[s.sessionTrace]:7,[s.softNav]:8,[s.sessionReplay]:9,[s.logging]:10,[s.genericEvents]:11},u={[s.pageViewEvent]:a,[s.pageViewTiming]:n,[s.ajax]:n,[s.spa]:n,[s.softNav]:n,[s.metrics]:i,[s.jserrors]:i,[s.sessionTrace]:o,[s.sessionReplay]:o,[s.logging]:"browser/logs",[s.genericEvents]:"ins"}}},n={};function i(e){var t=n[e];if(void 0!==t)return t.exports;var o=n[e]={exports:{}};return r[e](o,o.exports,i),o.exports}i.m=r,i.d=(e,t)=>{for(var r in t)i.o(t,r)&&!i.o(e,r)&&Object.defineProperty(e,r,{enumerable:!0,get:t[r]})},i.f={},i.e=e=>Promise.all(Object.keys(i.f).reduce(((t,r)=>(i.f[r](e,t),t)),[])),i.u=e=>"nr-rum-1.283.2.min.js",i.o=(e,t)=>Object.prototype.hasOwnProperty.call(e,t),e={},t="NRBA-1.283.2.PROD:",i.l=(r,n,o,a)=>{if(e[r])e[r].push(n);else{var s,c;if(void 0!==o)for(var u=document.getElementsByTagName("script"),l=0;l<u.length;l++){var d=u[l];if(d.getAttribute("src")==r||d.getAttribute("data-webpack")==t+o){s=d;break}}if(!s){c=!0;var f={296:"sha512-2Y8GMAOGF658KnXzOZ/v+DlLch8TBFvV0tTNnOy9wrpvtDa1t5CdZMyX+LubTymBlzPp6NUjllBghMCZqXBPmg=="};(s=document.createElement("script")).charset="utf-8",s.timeout=120,i.nc&&s.setAttribute("nonce",i.nc),s.setAttribute("data-webpack",t+o),s.src=r,0!==s.src.indexOf(window.location.origin+"/")&&(s.crossOrigin="anonymous"),f[a]&&(s.integrity=f[a])}e[r]=[n];var g=(t,n)=>{s.onerror=s.onload=null,clearTimeout(p);var i=e[r];if(delete e[r],s.parentNode&&s.parentNode.removeChild(s),i&&i.forEach((e=>e(n))),t)return t(n)},p=setTimeout(g.bind(null,void 0,{type:"timeout",target:s}),12e4);s.onerror=g.bind(null,s.onerror),s.onload=g.bind(null,s.onload),c&&document.head.appendChild(s)}},i.r=e=>{"undefined"!=typeof Symbol&&Symbol.toStringTag&&Object.defineProperty(e,Symbol.toStringTag,{value:"Module"}),Object.defineProperty(e,"__esModule",{value:!0})},i.p="https://js-agent.newrelic.com/",(()=>{var e={374:0,840:0};i.f.j=(t,r)=>{var n=i.o(e,t)?e[t]:void 0;if(0!==n)if(n)r.push(n[2]);else{var o=new Promise(((r,i)=>n=e[t]=[r,i]));r.push(n[2]=o);var a=i.p+i.u(t),s=new Error;i.l(a,(r=>{if(i.o(e,t)&&(0!==(n=e[t])&&(e[t]=void 0),n)){var o=r&&("load"===r.type?"missing":r.type),a=r&&r.target&&r.target.src;s.message="Loading chunk "+t+" failed.\n("+o+": "+a+")",s.name="ChunkLoadError",s.type=o,s.request=a,n[1](s)}}),"chunk-"+t,t)}};var t=(t,r)=>{var n,o,[a,s,c]=r,u=0;if(a.some((t=>0!==e[t]))){for(n in s)i.o(s,n)&&(i.m[n]=s[n]);if(c)c(i)}for(t&&t(r);u<a.length;u++)o=a[u],i.o(e,o)&&e[o]&&e[o][0](),e[o]=0},r=self["webpackChunk:NRBA-1.283.2.PROD"]=self["webpackChunk:NRBA-1.283.2.PROD"]||[];r.forEach(t.bind(null,0)),r.push=t.bind(null,r.push.bind(r))})(),(()=>{"use strict";i(374);var e=i(944),t=i(344),r=i(566);class n{agentIdentifier;constructor(){this.agentIdentifier=(0,r.LA)(16)}#e(t,...r){if("function"==typeof this.api?.[t])return this.api[t](...r);(0,e.R)(35,t)}addPageAction(e,t){return this.#e("addPageAction",e,t)}recordCustomEvent(e,t){return this.#e("recordCustomEvent",e,t)}setPageViewName(e,t){return this.#e("setPageViewName",e,t)}setCustomAttribute(e,t,r){return this.#e("setCustomAttribute",e,t,r)}noticeError(e,t){return this.#e("noticeError",e,t)}setUserId(e){return this.#e("setUserId",e)}setApplicationVersion(e){return this.#e("setApplicationVersion",e)}setErrorHandler(e){return this.#e("setErrorHandler",e)}addRelease(e,t){return this.#e("addRelease",e,t)}log(e,t){return this.#e("log",e,t)}}class o extends n{#e(t,...r){if("function"==typeof this.api?.[t])return this.api[t](...r);(0,e.R)(35,t)}start(){return this.#e("start")}finished(e){return this.#e("finished",e)}recordReplay(){return this.#e(t.G4.RECORD)}pauseReplay(){return this.#e(t.G4.PAUSE)}addToTrace(e){return this.#e("addToTrace",e)}setCurrentRouteName(e){return this.#e("setCurrentRouteName",e)}interaction(){return this.#e("interaction")}wrapLogger(e,t,r){return this.#e("wrapLogger",e,t,r)}}var a=i(860),s=i(217);const c=Object.values(a.K7);function u(e){const t={};return c.forEach((r=>{t[r]=function(e,t){return!0===(0,s.gD)(t,"".concat(e,".enabled"))}(r,e)})),t}var l=i(603);var d=i(687),f=i(234),g=i(289),p=i(154),m=i(384);const h=e=>p.RI&&!0===(0,s.gD)(e,"privacy.cookies_enabled");function v(e){return!!(0,m.dV)().o.MO&&h(e)&&!0===(0,s.gD)(e,"session_trace.enabled")}var b=i(389);class y extends f.W{constructor(e,t,r=!0){super(e.agentIdentifier,t),this.auto=r,this.abortHandler=void 0,this.featAggregate=void 0,this.onAggregateImported=void 0,!1===e.init[this.featureName].autoStart&&(this.auto=!1),this.auto?(0,d.Ak)(e.agentIdentifier,t):this.ee.on("manual-start-all",(0,b.J)((()=>{(0,d.Ak)(e.agentIdentifier,this.featureName),this.auto=!0,this.importAggregator(e)})))}importAggregator(t,r={}){if(this.featAggregate||!this.auto)return;let n;this.onAggregateImported=new Promise((e=>{n=e}));const o=async()=>{let o;try{if(h(this.agentIdentifier)){const{setupAgentSession:e}=await i.e(296).then(i.bind(i,861));o=e(t)}}catch(t){(0,e.R)(20,t),this.ee.emit("internal-error",[t]),this.featureName===a.K7.sessionReplay&&this.abortHandler?.()}try{if(!this.#t(this.featureName,o))return(0,d.Ze)(this.agentIdentifier,this.featureName),void n(!1);const{lazyFeatureLoader:e}=await i.e(296).then(i.bind(i,103)),{Aggregate:a}=await e(this.featureName,"aggregate");this.featAggregate=new a(t,r),t.runtime.harvester.initializedAggregates.push(this.featAggregate),n(!0)}catch(t){(0,e.R)(34,t),this.abortHandler?.(),(0,d.Ze)(this.agentIdentifier,this.featureName,!0),n(!1),this.ee&&this.ee.abort()}};p.RI?(0,g.GG)((()=>o()),!0):o()}#t(e,t){switch(e){case a.K7.sessionReplay:return v(this.agentIdentifier)&&!!t;case a.K7.sessionTrace:return!!t;default:return!0}}}var w=i(630);class R extends y{static featureName=w.T;constructor(e,t=!0){super(e,w.T,t),this.importAggregator(e)}}var A=i(908),E=i(843),_=i(878),x=i(782),N=i(863);class k extends y{static featureName=x.T;constructor(e,t=!0){super(e,x.T,t),p.RI&&((0,E.u)((()=>(0,A.p)("docHidden",[(0,N.t)()],void 0,x.T,this.ee)),!0),(0,_.sp)("pagehide",(()=>(0,A.p)("winPagehide",[(0,N.t)()],void 0,x.T,this.ee))),this.importAggregator(e))}}var T=i(773);class j extends y{static featureName=T.TZ;constructor(e,t=!0){super(e,T.TZ,t),this.importAggregator(e)}}new class extends o{constructor(t){super(),p.gm?(this.features={},(0,m.bQ)(this.agentIdentifier,this),this.desiredFeatures=new Set(t.features||[]),this.desiredFeatures.add(R),this.runSoftNavOverSpa=[...this.desiredFeatures].some((e=>e.featureName===a.K7.softNav)),(0,l.j)(this,t,t.loaderType||"agent"),this.run()):(0,e.R)(21)}get config(){return{info:this.info,init:this.init,loader_config:this.loader_config,runtime:this.runtime}}run(){try{const t=u(this.agentIdentifier),r=[...this.desiredFeatures];r.sort(((e,t)=>a.P3[e.featureName]-a.P3[t.featureName])),r.forEach((r=>{if(!t[r.featureName]&&r.featureName!==a.K7.pageViewEvent)return;if(this.runSoftNavOverSpa&&r.featureName===a.K7.spa)return;if(!this.runSoftNavOverSpa&&r.featureName===a.K7.softNav)return;const n=function(e){switch(e){case a.K7.ajax:return[a.K7.jserrors];case a.K7.sessionTrace:return[a.K7.ajax,a.K7.pageViewEvent];case a.K7.sessionReplay:return[a.K7.sessionTrace];case a.K7.pageViewTiming:return[a.K7.pageViewEvent];default:return[]}}(r.featureName).filter((e=>!(e in this.features)));n.length>0&&(0,e.R)(36,{targetFeature:r.featureName,missingDependencies:n}),this.features[r.featureName]=new r(this)}))}catch(t){(0,e.R)(22,t);for(const e in this.features)this.features[e].abortHandler?.();const r=(0,m.Zm)();delete r.initializedAgents[this.agentIdentifier]?.api,delete r.initializedAgents[this.agentIdentifier]?.features,delete this.sharedAggregator;return r.ee.get(this.agentIdentifier).abort(),!1}}}({features:[R,k,j],loaderType:"lite"})})()})();</script><link data-next-font="size-adjust" rel="preconnect" href="/" crossorigin="anonymous"/><link nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" rel="preload" href="/_next/static/css/92f230208c8f5fec.css" as="style"/><link nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" rel="stylesheet" href="/_next/static/css/92f230208c8f5fec.css" data-n-g=""/><noscript data-n-css="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx"></noscript><script defer="" nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" nomodule="" src="/_next/static/chunks/polyfills-42372ed130431b0a.js"></script><script src="/_next/static/chunks/webpack-a707e99c69361791.js" nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" defer=""></script><script src="/_next/static/chunks/framework-945b357d4a851f4b.js" nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" defer=""></script><script src="/_next/static/chunks/main-46992b6f0e7a85fe.js" nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" defer=""></script><script src="/_next/static/chunks/pages/_app-07799d5d5820dde3.js" nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" defer=""></script><script src="/_next/static/chunks/178-1500985f9b087e1a.js" nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" defer=""></script><script src="/_next/static/chunks/pages/indicators-19063c46f5a54239.js" nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" defer=""></script><script src="/_next/static/RsIzRDoxGcJZTeqNY4h8D/_buildManifest.js" nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" defer=""></script><script src="/_next/static/RsIzRDoxGcJZTeqNY4h8D/_ssgManifest.js" nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx" defer=""></script></head><body data-base-url="https://www.tenable.com" data-ga4-tracking-id=""><div id="__next"><div class="app__wrapper"><header class="banner"><div class="nav-wrapper"><ul class="list-inline nav-brand"><li class="list-inline-item"><a href="https://www.tenable.com"><img class="logo" src="https://www.tenable.com/themes/custom/tenable/img/logo.png" alt="Tenable"/></a></li><li class="list-inline-item"><a class="app-name" href="https://es-la.tenable.com/indicators">Indicadores</a></li></ul><ul class="nav-dropdown nav"><li class="d-none d-md-block dropdown nav-item"><a aria-haspopup="true" href="#" class="dropdown-toggle nav-link" aria-expanded="false">Configuración</a><div tabindex="-1" role="menu" aria-hidden="true" class="dropdown-menu dropdown-menu-right"><h6 tabindex="-1" class="dropdown-header">Vínculos</h6><a href="https://cloud.tenable.com" role="menuitem" class="dropdown-item">Tenable Cloud<!-- --> <i class="fas fa-external-link-alt external-link"></i></a><a href="https://community.tenable.com/login" role="menuitem" class="dropdown-item">Comunidad y soporte de Tenable<!-- --> <i class="fas fa-external-link-alt external-link"></i></a><a href="https://university.tenable.com/lms/index.php?r=site/sso&amp;sso_type=saml" role="menuitem" class="dropdown-item">Tenable University<!-- --> <i class="fas fa-external-link-alt external-link"></i></a><div tabindex="-1" class="dropdown-divider"></div><span tabindex="-1" class="dropdown-item-text"><div class="d-flex justify-content-between toggle-btn-group flex-row"><div class="label">Tema</div><div role="group" class="ml-3 btn-group-sm btn-group"><button type="button" class="toggle-btn btn btn-outline-primary active">Claro</button><button type="button" class="toggle-btn btn btn-outline-primary">Oscuro</button><button type="button" class="toggle-btn btn btn-outline-primary">Automático</button></div></div></span><div tabindex="-1" class="dropdown-divider"></div><button type="button" tabindex="0" role="menuitem" class="dropdown-item-link dropdown-item">Ayuda</button></div></li></ul><div class="d-block d-md-none"><button type="button" aria-label="Toggle Overlay" class="btn btn-link nav-toggle"><i class="fas fa-bars fa-2x"></i></button></div></div></header><div class="mobile-nav closed"><ul class="flex-column nav"><li class="mobile-header nav-item"><a href="https://www.tenable.com" class="float-left nav-link"><img class="logo" src="https://www.tenable.com/themes/custom/tenable/img/logo-teal.png" alt="Tenable"/></a><a class="float-right mr-2 nav-link"><i class="fas fa-times fa-lg"></i></a></li><li class="nav-item"><a class="nav-link">Plug-ins<i class="float-right mt-1 fas fa-chevron-right"></i></a></li><div class="collapse"><div class="mobile-collapse"><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins">Overview</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins/newest">Más recientes</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins/updated">Actualizados</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins/search">Búsqueda</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins/nessus/families?type=nessus">Familias de Nessus</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/plugins/families/about">Acerca de las familias de plug-ins</a></li></div></div><li class="nav-item"><a class="nav-link">Indicadores<i class="float-right mt-1 fas fa-chevron-right"></i></a></li><div class="collapse"><div class="mobile-collapse"><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/indicators">Overview</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/indicators/search">Búsqueda</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/indicators/ioa">Indicadores de ataque</a></li><li class="nav-item"><a class="nav-link " href="https://es-la.tenable.com/indicators/ioe">Indicadores de exposición</a></li></div></div><ul id="links-nav" class="flex-column mt-5 nav"><li class="nav-item"><a class="nav-link">Vínculos<i class="float-right mt-1 fas fa-chevron-right"></i></a></li><div class="collapse"><div class="mobile-collapse"><li class="nav-item"><a href="https://cloud.tenable.com" class="nav-link">Tenable Cloud</a></li><li class="nav-item"><a href="https://community.tenable.com/login" class="nav-link">Comunidad y soporte de Tenable</a></li><li class="nav-item"><a href="https://university.tenable.com/lms/index.php?r=site/sso&amp;sso_type=saml" class="nav-link">Tenable University</a></li></div></div><li class="nav-item"><a class="nav-link">Configuración<i class="float-right mt-1 fas fa-chevron-right"></i></a></li><div class="collapse"><div class="mobile-collapse py-3"><li class="nav-item"><div class="d-flex justify-content-between toggle-btn-group flex-row"><div class="label">Tema</div><div role="group" class="ml-3 btn-group-sm btn-group"><button type="button" class="toggle-btn btn btn-outline-primary active">Claro</button><button type="button" class="toggle-btn btn btn-outline-primary">Oscuro</button><button type="button" class="toggle-btn btn btn-outline-primary">Automático</button></div></div></li></div></div></ul></ul></div><div class="app__container"><div class="app__content"><div class="card callout callout-alert callout-bg-danger mb-4"><div class="card-body"><h5 class="mb-2 text-white">Your browser is no longer supported</h5><p class="text-white">Please update or use another browser for this application to function correctly.</p></div></div><div class="row"><div class="col-3 col-xl-2 d-none d-md-block"><h6 class="side-nav-heading">Detecciones</h6><ul class="side-nav bg-white sticky-top nav flex-column"><li class="nav-item"><a type="button" class="nav-link">Indicadores<i class="float-right mt-1 fas fa-chevron-down"></i></a></li><div class="side-nav-collapse collapse show"><li class="active nav-item"><a href="/indicators" class="nav-link"><span>Información general</span></a></li><li class="false nav-item"><a href="/indicators/search" class="nav-link"><span>Búsqueda</span></a></li><li class="false nav-item"><a href="/indicators/ioa" class="nav-link"><span>Indicadores de ataque</span></a></li><li class="false nav-item"><a href="/indicators/ioe" class="nav-link"><span>Indicadores de exposición</span></a></li></div></ul></div><div class="col-12 col-md-9 col-xl-10"><div class="row"><div class="col-md-8"><h1 class="h2">Indicadores</h1><p class="page-description">Tenable Identity Exposure le permite prever amenazas, detectar filtraciones de datos y responder ante incidentes y ataques para proteger su infraestructura. Desde un tablero de control intuitivo que le permite supervisar su instancia de Active Directory en tiempo real, puede detectar a simple vista las vulnerabilidades más críticas, así como los procedimientos recomendados para su corrección. Los indicadores de ataque e indicadores de exposición de Tenable Identity Exposure le permiten descubrir problemas subyacentes que afectan a su instancia de Active Directory, detectar relaciones de confianza peligrosas y analizar en profundidad los detalles de los ataques.</p></div><div class="col-md-4"><h4> Feeds RSS</h4><ul class="feed-list"><li><a target="_blank" href="/indicators/feeds?type=ioa">Indicadores de ataque</a></li><li><a target="_blank" href="/indicators/feeds?type=ioe">Indicadores de exposición</a></li></ul></div></div><div class="card"><div class="p-3 card-body"><div class="row"><div class="p-0 col"><div class="py-1 card card-body"><h4>Buscar</h4><input aria-label="Comience a escribir para buscar indicadores" placeholder="Comience a escribir…" type="text" class="form-control form-control-search form-control" value=""/></div></div></div><div class="row"><div class="p-0 col-md-6"><div class="card card-body"><h4 class="card-title"><a href="https://es-la.tenable.com/indicators/ioa">Indicadores de ataque<!-- --> ›</a></h4><ul class="results-list list-group"><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioa/I-Zerologon">Explotación de Zerologon</a></h5><h6 class="m-1 mb-3"><span class="badge badge-critical">critical</span></h6></div><div><p>La vulnerabilidad llamada Zerologon se relaciona con una vulnerabilidad crítica (CVE-2020-1472) en Windows Server, a la que Microsoft otorgó una puntuación de CVSS de 10,0. Consiste en una elevación de privilegios que se da cuando un atacante establece una conexión del canal seguro de Netlogon vulnerable con un controlador de dominio, mediante el protocolo remoto de Netlogon (MS-NRPC). Esta vulnerabilidad permite a los atacantes poner en peligro un dominio y adquirir privilegios de administrador de dominios.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioa/I-ReconAdminsEnum">Enumeración de Administradores locales</a></h5><h6 class="m-1 mb-3"><span class="badge badge-low">low</span></h6></div><div><p>El grupo Administradores locales se enumeró con la interfaz de RPC de SAMR, muy probablemente con BloodHound/SharpHound.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioa/I-DCShadow">DCShadow</a></h5><h6 class="m-1 mb-3"><span class="badge badge-critical">critical</span></h6></div><div><p>DCShadow es otro ataque kill chain de fase avanzada que permite a un atacante que tiene credenciales con privilegios registrar un controlador de dominio fraudulento para provocar cambios arbitrarios en un dominio a través de la replicación del dominio (por ejemplo, la aplicación de valores de sidHistory prohibidos).</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioa/I-DcPasswordChange">Cambio sospechoso de contraseña de controlador de dominio</a></h5><h6 class="m-1 mb-3"><span class="badge badge-critical">critical</span></h6></div><div><p>La CVE-2020-1472 crítica denominada Zerologon es un ataque que se aprovecha de un error de criptografía en el protocolo de Netlogon, lo que permite que un atacante suplante cualquier equipo y establezca un canal de Netlogon seguro con un controlador de dominio. Desde allí, pueden usarse varias técnicas posteriores a la explotación con el fin de lograr el escalamiento de privilegios, como el <strong>cambio de contraseña de la cuenta del controlador de dominio</strong>, la autenticación forzada, ataques DCSync y otros. El exploit ZeroLogon suele confundirse con las actividades posteriores a la explotación que usan la autenticación de Netlogon real falsificada (que se trata en el indicador de ataque “Explotación de Zerologon”). Este indicador se centra en <strong>una</strong> de las actividades posteriores a la explotación que pueden usarse junto con la vulnerabilidad Netlogon: la modificación de la contraseña de la cuenta de máquina del controlador de dominio.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioa/I-ProcessInjectionLsass">Volcado de credenciales del sistema operativo: memoria de LSASS </a></h5><h6 class="m-1 mb-3"><span class="badge badge-critical">critical</span></h6></div><div><p>Después de que un usuario inicia sesión, los atacantes pueden intentar acceder al material de credenciales almacenado en la memoria de proceso del Servicio de subsistema de autoridad de seguridad local (LSASS).</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioa/I-SamNameImpersonation">Suplantación de identidad de SAMAccountName</a></h5><h6 class="m-1 mb-3"><span class="badge badge-critical">critical</span></h6></div><div><p>La CVE-2021-42287 crítica puede llevar a una elevación de privilegios en el dominio a partir de una cuenta estándar. El error surge de un mal manejo de las solicitudes destinadas a un objeto con un atributo sAMAccountName inexistente. El controlador de dominio agrega automáticamente un signo de dólar ($) final al valor de sAMAccountName si no encuentra uno, lo que puede conducir a la suplantación de identidad de una cuenta de equipo objetivo.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioa/I-PasswordSpraying">Difusión de contraseña</a></h5><h6 class="m-1 mb-3"><span class="badge badge-medium">medium</span></h6></div><div><p>La difusión de contraseña es un ataque que intenta acceder a una gran cantidad de cuentas (nombres de usuario) con unas pocas contraseñas que se usan habitualmente; a veces también se conoce como método “bajo y lento”.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioa/I-PetitPotam">PetitPotam</a></h5><h6 class="m-1 mb-3"><span class="badge badge-critical">critical</span></h6></div><div><p>La herramienta PetitPotam puede usarse para forzar la autenticación de la máquina objetivo en un sistema remoto, en general para llevar a cabo ataques de retransmisión de NTLM. Si PetitPotam tiene como objetivo un controlador de dominio, un atacante puede autenticarse en otra máquina de la red que retransmite la autenticación del controlador de dominio.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioa/I-NtdsExtraction">Extracción de NTDS</a></h5><h6 class="m-1 mb-3"><span class="badge badge-critical">critical</span></h6></div><div><p>El filtrado de NTDS hace referencia a la técnica que usan los atacantes para recuperar la base de datos NTDS.dit. Este archivo almacena secretos de Active Directory como hashes de contraseñas y claves de Kerberos. Una vez que el atacante accede, analiza una copia de este archivo sin conexión, lo que brinda una alternativa a los ataques de DCSync para la recuperación del contenido sensible de Active Directory.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioa/I-MassiveComputersRecon">Reconocimiento masivo de equipos</a></h5><h6 class="m-1 mb-3"><span class="badge badge-low">low</span></h6></div><div><p>Un enorme número de solicitudes de autenticación en varios equipos, mediante los protocolos NTLM o Kerberos y provenientes del mismo origen, puede ser indicio de un ataque.</p> </div></li></ul><br/><h5><a href="https://es-la.tenable.com/indicators/ioa">Ver todos los indicadores de ataque<!-- --> ›</a></h5></div></div><div class="p-0 col-md-6"><div class="card card-body"><h4 class="card-title"><a href="https://es-la.tenable.com/indicators/ioe">Indicadores de exposición<!-- --> ›</a></h4><ul class="results-list list-group"><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioe/ad/C-CONFLICTED-OBJECTS">Entidades de seguridad en conflicto</a></h5><h6 class="m-1 mb-3"><span class="badge badge-low">low</span></h6></div><div><p>Comprueba que no haya usuarios, equipos ni grupos duplicados (en conflicto).</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioe/ad/C-SHADOW-CREDENTIALS">Shadow Credentials</a></h5><h6 class="m-1 mb-3"><span class="badge badge-high">high</span></h6></div><div><p>Detecta puertas traseras y errores de configuración de Shadow Credentials en la característica “Windows Hello para Empresas” y las credenciales de claves asociadas.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioe/ad/C-GUEST-ACCOUNT">Cuenta de invitado habilitada</a></h5><h6 class="m-1 mb-3"><span class="badge badge-low">low</span></h6></div><div><p>Comprueba que la cuenta de invitado integrada esté deshabilitada.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioe/ad/C-MSA-COMPLIANCE">Errores de configuración peligrosos en cuentas de servicios administradas</a></h5><h6 class="m-1 mb-3"><span class="badge badge-high">high</span></h6></div><div><p>Se asegura de que las cuentas de servicios administradas (MSAs) se implementen y configuren correctamente.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioe/ad/C-AAD-PRIV-SYNC">Cuentas de usuario de AD privilegiadas sincronizadas con Microsoft Entra ID</a></h5><h6 class="m-1 mb-3"><span class="badge badge-high">high</span></h6></div><div><p>Comprueba que las cuentas de usuario de Active Directory privilegiadas no se sincronicen con Microsoft Entra ID.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioe/ad/C-AUTH-SILO">Configuración de silos de autenticación con privilegios</a></h5><h6 class="m-1 mb-3"><span class="badge badge-high">high</span></h6></div><div><p>Una guía detallada de la configuración de un silo de autenticación para cuentas con privilegios (nivel 0).</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioe/ad/C-DYNAMIC-UPDATES">Actualizaciones dinámicas sin protección permitidas de zonas DNS</a></h5><h6 class="m-1 mb-3"><span class="badge badge-high">high</span></h6></div><div><p>Comprueba que la configuración de servidores DNS no permita las actualizaciones dinámicas sin protección de las zonas DNS.</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioe/ad/C-WSUS-HARDENING">Errores de configuración peligrosos de WSUS</a></h5><h6 class="m-1 mb-3"><span class="badge badge-critical">critical</span></h6></div><div><p>Enumera los parámetros con errores de configuración relacionados con Windows Server Update Services (WSUS).</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioe/ad/C-PROP-SET-SANITY">Integridad de Property Sets</a></h5><h6 class="m-1 mb-3"><span class="badge badge-medium">medium</span></h6></div><div><p>Comprueba la integridad de property sets y valida los permisos</p> </div></li><li class="list-group-item"><div class="clearfix"><h5><a href="https://es-la.tenable.com/indicators/ioe/ad/C-DFS-MISCONFIG">Configuración peligrosa de replicación de SYSVOL</a></h5><h6 class="m-1 mb-3"><span class="badge badge-medium">medium</span></h6></div><div><p>Comprueba que el mecanismo de "Distributed File System Replication" (DFS-R) haya sustituido a "File Replication Service" (FRS).</p> </div></li></ul><br/><h5><a href="https://es-la.tenable.com/indicators/ioe">Ver todos los indicadores de exposición<!-- --> ›</a></h5></div></div></div></div></div></div></div></div></div><footer class="footer"><div class="container"><ul class="footer-nav"><li class="footer-nav-item"><a href="https://www.tenable.com/">Tenable.com</a></li><li class="footer-nav-item"><a href="https://community.tenable.com">Comunidad y soporte</a></li><li class="footer-nav-item"><a href="https://docs.tenable.com">Documentación</a></li><li class="footer-nav-item"><a href="https://university.tenable.com">Capacitación</a></li></ul><ul class="footer-nav footer-nav-secondary"><li class="footer-nav-item">© <!-- -->2025<!-- --> <!-- -->Tenable®, Inc. Todos los derechos reservados</li><li class="footer-nav-item"><a href="https://www.tenable.com/privacy-policy">Política de privacidad</a></li><li class="footer-nav-item"><a href="https://www.tenable.com/legal">Información legal</a></li><li class="footer-nav-item"><a href="https://www.tenable.com/section-508-voluntary-product-accessibility">Cumplimiento con sec. 508</a></li></ul></div></footer><div class="Toastify"></div></div></div><script id="__NEXT_DATA__" type="application/json" nonce="nonce-OGI0YWEzYmMtNTVmYi00MDg5LTliN2QtMDU5NjE5NWEwYzMx">{"props":{"pageProps":{"ioeIndicators":[{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-CONFLICTED-OBJECTS","_score":null,"_source":{"language_code":"es_001","codename":"C-CONFLICTED-OBJECTS","name":"Entidades de seguridad en conflicto","id":60,"description":"\u003cp\u003eComprueba que no haya usuarios, equipos ni grupos duplicados (en conflicto).\u003c/p\u003e\n","criticity":"low","exec_summary":"\u003cp\u003eEn general, el sistema de replicación multimaestro de Active Directory funciona bien, pero pueden surgir conflictos por distintos motivos y requieren una resolución manual.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eActive Directory usa la replicación multimaestro para evitar un punto único de error. Si bien este proceso suele funcionar bien, en ocasiones pueden surgir conflictos que lleven a que haya objetos duplicados. Un conflicto puede afectar a un atributo cuando cambie simultáneamente en dos controladores de dominio distintos con valores diferentes. Este problema también puede tener lugar en todo un objeto; por ejemplo, durante su creación:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl controlador de dominio 1 crea un nuevo objeto A en el contenedor A.\u003c/li\u003e\n\u003cli\u003eA la vez, el controlador de dominio 2 crea un nuevo objeto con el mismo nombre en la misma ubicación.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eLos objetos duplicados, en particular usuarios y equipos, pueden generar confusión. Lo ideal es mantener solo una identidad y quitar las demás. Si no tiene certeza o busca el enfoque más seguro, elimine todos los objetos en conflicto en lugar de elegir guardar uno. Limpie todo para garantizar la claridad.\nUn número elevado de objetos en conflicto podría ser indicio de un problema en el proceso de replicación y podría exigir mayor investigación.\n\u003cbr\u003eEste indicador de exposición (IoE) comprueba los elementos siguientes:\u003c/p\u003e\n\u003ch4\u003eNombres distintivos relativos (RDN) duplicados en la misma unidad organizativa (OU) o contenedor.\u003c/h4\u003e\n\u003cp\u003eComprueba si al menos dos entidades de seguridad se encuentran en la misma OU o contenedor y usan el mismo Relative Distinguished Name (\u003ca href=\"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-adts/b645c125-a7da-4097-84a1-2fa7cea07714#gt_22198321-b40b-4c24-b8a2-29e44d9d92b9\"\u003eRDN\u003c/a\u003e) o CN.\u003c/p\u003e\n\u003ch4\u003esAMAccountName duplicado\u003c/h4\u003e\n\u003cp\u003eComprueba si al menos dos entidades de seguridad tienen el mismo sAMAccountName en el momento de la creación. Después de una autenticación o un nuevo intento de creación, solo un sAMAccountName puede conservar el valor correcto, mientras que los otros o todos cambian de nombre a “$DUPLICATE-xxx”, donde “xxx” es el RID del objeto en formato hexadecimal.\u003c/p\u003e\n\u003ch4\u003eMismo sAMAccountName\u003c/h4\u003e\n\u003cp\u003eComprueba si al menos dos entidades de seguridad tienen el mismo sAMAccountName. Después de una autenticación o un nuevo intento de creación, solo un sAMAccountName puede conservar el valor original, mientras que los otros o todos cambian de nombre (consulte el motivo “sAMAccountName duplicado”).\n\u003cbr\u003eNotas:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl IoE “\u003cem\u003eGPO desvinculado, deshabilitado o huérfano\u003c/em\u003e” informa sobre los GPO en conflicto, mientras que este IoE informa sobre los conflictos entre las entidades de seguridad (usuarios, equipos y grupos).\u003c/li\u003e\n\u003cli\u003eIncluso si una cuenta está deshabilitada, alguien puede intentar autenticarse.\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Quitar entidades de seguridad duplicadas","description":"Para mejorar la coherencia de la infraestructura y evitar la confusión de identidades, quite las entidades de seguridad duplicadas.","exec_summary":"\u003cp\u003ePara mejorar la coherencia de la infraestructura y evitar la confusión de identidades, quite las entidades de seguridad duplicadas.\u003c/p\u003e\n","detail":"\u003cp\u003eTenable no recomienda tener objetos duplicados, ya que son indicio de una baja integridad de los datos y de problemas de replicación potencialmente irresolubles. Esto es especialmente complejo con los usuarios y equipos, ya que la autenticación de los usuarios o servicios podría verse impedida. Al afrontar esta situación, quite los objetos en conflicto.\n\u003cbr\u003eEste IoE evalúa los siguientes motivos y Tenable recomienda este enfoque:\u003c/p\u003e\n\u003ch4\u003eRDN duplicado en la misma OU o contenedor\u003c/h4\u003e\n\u003cp\u003eElimine los objetos con “CNF” en los atributos CN/DN mediante la ejecución del siguiente comando de PowerShell (sustituya el marcador de posición \u003ccode\u003e\u0026lt;Sustituir por el CN afectado\u0026gt;\u003c/code\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003e$domainDN = (Get-ADDomain).DistinguishedName\n\n(Get-ADObject -LDAPFilter \"(cn=\u0026lt;Sustituir por el CN afectado\u0026gt;\\0ACNF:*)\" -SearchBase $domainDN -Properties DistinguishedName, Cn, SamAccountName).DistinguishedName | Remove-ADUser -Confirm:$True\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003esAMAccountName duplicado\u003c/h4\u003e\n\u003cp\u003eElimine los objetos con “$DUPLICATE-xxx” en sAMAccountName mediante la ejecución del siguiente comando de PowerShell (sustituya el marcador de posición \u003ccode\u003e\u0026lt;$DUPLICATE-xxx\u0026gt;\u003c/code\u003e o use \u003ccode\u003e$DUPLICATE-*\u003c/code\u003e para eliminar todos los objetos):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003e$domainDN = (Get-ADDomain).DistinguishedName\n\n(Get-ADObject -LDAPFilter \"(samaccountname=\u0026lt;`$DUPLICATE`-xxx\u0026gt;)\" -SearchBase $domainDN -Properties DistinguishedName, Cn, SamAccountName).DistinguishedName | Remove-ADUser -Confirm:$True\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003eMismo sAMAccountName\u003c/h4\u003e\n\u003cp\u003eIdentifique el objeto anómalo que se encuentra en la ubicación incorrecta y elimínelo mediante la ejecución del siguiente comando de PowerShell (sustituya el marcador de posición \u003ccode\u003e\u0026lt;Sustituir por el CN afectado\u0026gt;\u003c/code\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003e$domainDN = (Get-ADDomain).DistinguishedName\n\n(Get-ADObject -LDAPFilter \"(cn=\u0026lt;Sustituir por el CN afectado\u0026gt;*)\" -SearchBase $domainDN -Properties DistinguishedName, Cn, SamAccountName).DistinguishedName | Remove-ADUser -Confirm:$True\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003eUn número elevado de objetos en conflicto puede indicar un problema de replicación o justificar una mayor investigación.\u003c/p\u003e\n","resources":[{"name":"Active Directory: Duplicate Object Name Resolution (texto en inglés)","url":"https://learn.microsoft.com/es-es/archive/technet-wiki/15435.active-directory-duplicate-object-name-resolution","type":"hyperlink"},{"name":"Troubleshooting Directory Data Problems (texto en inglés)","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-2000-server/bb727059(v=technet.10)","type":"hyperlink"}]},"resources":[{"name":"Active Directory: Duplicate Object Name Resolution (texto en inglés)","url":"https://learn.microsoft.com/es-es/archive/technet-wiki/15435.active-directory-duplicate-object-name-resolution","type":"hyperlink"},{"name":"sAMAccountName is always unique in a Windows domain… or is it? (texto en inglés)","url":"https://blog.joeware.net/2012/01/04/2357/","type":"hyperlink"},{"name":"Using conflicting objects in Active Directory to gain privileges (texto en inglés)","url":"https://medium.com/tenable-techblog/using-conflicting-objects-in-active-directory-to-gain-privileges-243ef6a27928","type":"hyperlink"}],"applicable_resource_types":["ad_group","ad_user"],"attacker_known_tools":[],"category_id":5,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1136 - Create Account (texto en inglés)"]},{"tactic":"TA0005 - Defense Evasion (texto en inglés)","techniques":["T1036 - Masquerading (texto en inglés)"]},{"tactic":"TA0040 - Impact (texto en inglés)","techniques":["T1489 - Service Stop (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ja_JP","zh_CN","zh_TW","de_DE","fr_FR","ko_KR","es_001","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-CONFLICTED-OBJECTS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"low","type":"ioe","subType":"ad","availableLocales":["ja","zh-CN","zh-TW","de","fr","ko","es","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1136","name":"Create Account (texto en inglés)","url":"https://attack.mitre.org/techniques/T1136/"}]},{"tactic":{"id":"TA0005","name":"Defense Evasion (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0005/"},"techniques":[{"id":"T1036","name":"Masquerading (texto en inglés)","url":"https://attack.mitre.org/techniques/T1036/"}]},{"tactic":{"id":"TA0040","name":"Impact (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0040/"},"techniques":[{"id":"T1489","name":"Service Stop (texto en inglés)","url":"https://attack.mitre.org/techniques/T1489/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[60]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-SHADOW-CREDENTIALS","_score":null,"_source":{"language_code":"es_001","codename":"C-SHADOW-CREDENTIALS","name":"Shadow Credentials","id":59,"description":"\u003cp\u003eDetecta puertas traseras y errores de configuración de Shadow Credentials en la característica “Windows Hello para Empresas” y las credenciales de claves asociadas.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLa técnica de puerta trasera Shadow Credentials explota la característica legítima “Windows Hello para Empresas” de Microsoft. Si Active Directory no usa esta característica, resulta sencillo detectar este mecanismo de persistencia. Si la usa, los errores de configuración podrían indicar una vulneración o prácticas de administración deficientes.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003ch4\u003eIntroducción\u003c/h4\u003e\n\u003cp\u003eLa característica “Windows Hello para Empresas” (WHfB) de Microsoft aborda la creciente demanda de soluciones de autenticación sin contraseñas. Como la autenticación multifactor (MFA) está ganando popularidad frente a la autenticación tradicional basada en contraseñas, WHfB brinda una solución nativa de Microsoft para el inicio de sesión con MFA en dispositivos con Windows 10 y posteriores.\u003c/p\u003e\n\u003cp\u003eTradicionalmente, las soluciones de MFA de proveedores externos han exigido un esfuerzo sustancial para su implementación y configuración y, a menudo, han involucrado el uso de tarjetas inteligentes. “Windows Hello para Empresas” (WHfB) de Microsoft ofrece una solución de MFA nativa y optimizada, estrechamente integrada en Active Directory y Entra ID, lo que la convierte en una opción atractiva para mejorar la seguridad, en particular, para las cuentas de usuario de dominio privilegiadas, sin la sobrecarga de los productos de MFA externos.\n\u003cbr\u003eEntra ID admite tres tipos de autenticación sin contraseña:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003cstrong\u003eWindows Hello para Empresas\u003c/strong\u003e, que se comprueba con este indicador de exposición\u003c/li\u003e\n\u003cli\u003eLa aplicación Microsoft Authenticator\u003c/li\u003e\n\u003cli\u003eLlaves de seguridad FIDO2\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eA diferencia de la característica “Windows Hello” independiente que está disponible en las estaciones de trabajo Windows, WHfB solo usa métodos de autenticación basados en claves o basados en certificados, que se pueden proteger mediante un Módulo de plataforma segura (TPM).\u003c/p\u003e\n\u003cp\u003eWHfB cumple con la opción “Inicio de sesión interactivo: requerir tarjeta inteligente” para las cuentas de usuario y la configuración de la política de grupo “Inicio de sesión interactivo: requerir tarjeta inteligente” para los equipos, lo que permite la óptima integración con las configuraciones de tarjetas inteligentes existentes.\u003c/p\u003e\n\u003cp\u003eLa característica WHfB, a la vez que ofrece mejores capacidades de seguridad, presenta nuevos riesgos potenciales y posibles errores de configuración que las organizaciones deben conocer y mitigar de manera apropiada.\u003c/p\u003e\n\u003ch2\u003eMétodos de implementación de WHfB\u003c/h2\u003e\n\u003cp\u003eDurante el proceso de inscripción de WHfB, el chip TPM del equipo genera un par de claves pública/privada para la cuenta de usuario y almacena la clave privada de manera exclusiva dentro del TPM. Si un TPM no está disponible, cifra la clave privada con DPAPI-NG y la almacena localmente en el disco. El uso de este par de claves varía según el método de implementación elegido.\n\u003cbr\u003eWHfB tiene disponibles los siguientes métodos de implementación:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eConfianza de certificados (híbridos)\u003cul\u003e\n\u003cli\u003eTradicionalmente, una infraestructura de claves pública (PKI) permite que el KDC y un cliente intercambien claves públicas mediante certificados digitales firmados por una entidad de certificación (CA) de confianza. Las implementaciones de tarjetas inteligentes usan la misma infraestructura que la confianza de certificados, pero difieren en la ubicación de almacenamiento de la clave privada generada. En la confianza de certificados, el TPM protege la clave privada; mientras que en las implementaciones de tarjetas inteligentes, la clave se almacena en una tarjeta física con un chip.\u003c/li\u003e\n\u003cli\u003eDurante el proceso de inscripción en la confianza de certificados, el cliente usa las claves generadas por el TPM para emitir una solicitud de certificados y obtener un certificado de confianza de la CA.\u003c/li\u003e\n\u003cli\u003eEn este modelo, una PKI (como un servidor de AD CS) genera los certificados y un servidor de AD FS los traduce a un formato que Entra ID pueda comprender, como OAuth u OpenID Connect.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eConfianza de claves (híbridas)\u003cul\u003e\n\u003cli\u003eEste enfoque es útil para los entornos donde no se cumplen todos los requisitos previos para la implementación de la confianza de certificados, como una PKI (AD CS) y un servidor de AD FS. Sin embargo, esta simplicidad y flexibilidad viene con una dependencia en Entra ID para varios tipos de orquestación y para la disponibilidad de los servidores de Windows Server 2016+.\u003c/li\u003e\n\u003cli\u003eCon este modelo, la autenticación PKINIT, una extensión del protocolo Kerberos, usa datos de claves sin procesar, en lugar de un certificado.\u003c/li\u003e\n\u003cli\u003eDurante el proceso de inscripción en la confianza de claves, el TPM genera la clave pública y la almacena directamente dentro del nuevo objeto “credencial de claves” en el atributo “msDS-KeyCredentialLink” de la cuenta.\u003c/li\u003e\n\u003cli\u003eEn este modelo, a diferencia de la confianza de certificados, Entra ID administra las claves, por lo que se necesita AD para recuperarlas de Entra ID. Luego, Microsoft Entra Connect sincroniza esta información de Entra ID con la instancia local de AD.\u003c/li\u003e\n\u003cli\u003eEn consecuencia, la principal desventaja de esta implementación se encuentra en el aprovisionamiento de las claves en el entorno local, lo que lleva mucho tiempo debido a las demoras en la sincronización con Microsoft Entra Connect y las demoras de replicación entre los controladores de dominio.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eConfianza de Kerberos en la nube\u003cul\u003e\n\u003cli\u003eRepresenta el método de implementación más reciente y avanzado que hay disponible. Combina las fortalezas de los dos métodos anteriores, al ofrecer un aprovisionamiento instantáneo (lo que elimina las demoras debido a las varias sincronizaciones), autenticación híbrida y la no exigencia de una implementación de infraestructura adicional (como PKI o servidores de AD FS).\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eTras la inscripción, cuando un cliente busca autenticarse, Windows prueba PKINIT para Kerberos mediante la clave privada. En “confianza de claves”, el controlador de dominio descifra los datos de preautenticación con la clave pública sin procesar en el atributo “msDS-KeyCredentialLink”. En “confianza de certificados”, el controlador de dominio valida la cadena de confianza del certificado proporcionado del cliente.\n\u003cbr\u003eEl indicador de exposición se centra principalmente en el método de “confianza de claves”, que los atacantes pueden explotar de manera diferente a través de un ataque conocido como “Shadow Credentials”.\u003c/p\u003e\n\u003ch2\u003e¿Cómo funciona WHfB (confianza de claves) en AD?\u003c/h2\u003e\n\u003cp\u003eEn Active Directory, WHfB usa un atributo dedicado en las cuentas de usuario y equipo, llamado “msDS-KeyCredentialLink”. Este atributo puede aceptar varios valores conocidos como “credenciales de claves”, que representan la parte pública de un certificado (material criptográfico sin procesar, que se distingue de un certificado completo). Facilita la autenticación a través de PKINIT para Kerberos, lo que permite la autenticación basada en certificados en AD.\u003c/p\u003e\n\u003cp\u003eEste atributo puede almacenar varias credenciales de claves para cuentas de usuario y de equipo, que normalmente corresponden a distintos dispositivos vinculados, donde cada dispositivo exige una especificación individual.\u003c/p\u003e\n\u003ch4\u003eErrores de configuración de WHfB\u003c/h4\u003e\n\u003cp\u003ePueden producirse varios errores de configuración, en particular relativos a los materiales criptográficos, en el atributo “msDS-KeyCredentialLink”.\u003c/p\u003e\n\u003cp\u003eDichos errores de configuración también pueden indicar entradas sospechosas, como la puerta trasera “Shadow Credentials”.\u003c/p\u003e\n\u003ch2\u003eROCA y longitud de las claves RSA\u003c/h2\u003e\n\u003cp\u003eCada credencial de clave es una estructura específica que, en definitiva, contiene materiales criptográficos de la clave, como una clave RSA.\u003c/p\u003e\n\u003cp\u003eEn este caso, si el tamaño de la clave RSA es inferior a la longitud mínima recomendada de 2048 bits, sería posible, con una amplia potencia informática, recuperar la clave privada asociada a partir de la clave pública.\u003c/p\u003e\n\u003cp\u003eLa vulnerabilidad ROCA, descubierta en 2017, es otro factor que se debe tener en cuenta al validar las claves. Esta debilidad, conocida como “el regreso del ataque de Coppersmith”, permite la recuperación de la clave privada a partir de la clave pública cuando un dispositivo afectado por esta vulnerabilidad genera la clave.\u003c/p\u003e\n\u003ch2\u003eClave huérfana\u003c/h2\u003e\n\u003cp\u003eDado que las credenciales en el atributo “msDS-KeyCredentialLink” deben vincularse con un dispositivo en particular (una entrada por dispositivo), se puede verificar su validez. El registro de dispositivos es obligatorio para la implementación de WHfB, por lo que, si implementa WHfB con “confianza de claves”, tiene que habilitar la característica “escritura diferida de dispositivo” en Microsoft Entra Connect.\u003c/p\u003e\n\u003cp\u003eEste detalle es importante porque, de manera predeterminada, la mayoría de las herramientas de ataque establecen el GUID que representa un dispositivo (llamado “Id. de dispositivo” en Entra ID y en la estructura binaria) en un valor aleatorio.\u003c/p\u003e\n\u003cp\u003eUna clave huérfana especifica un Id. de dispositivo que no está registrado en AD, lo que podría asociarse con un dispositivo quitado anteriormente (tenga en cuenta que Microsoft no realiza una limpieza automática) o una puerta trasera de un ataque “Shadow Credentials”. En ambos casos, lo mejor es quitar estas entradas de la lista de credenciales instaladas.\u003c/p\u003e\n\u003ch2\u003eAtaque Shadow Credentials\u003c/h2\u003e\n\u003cp\u003eEl ataque Shadow Credentials explota el control del atributo “msDS-KeyCredentialLink” de una cuenta de usuario o de equipo. Si un atacante puede modificar este atributo, puede agregar credenciales alternativas para la autenticación de Kerberos. Esto permite el uso de un certificado falsificado, además de la contraseña normal de la cuenta (que el atacante no tiene necesidad de conocer), para obtener un ticket TGT de Kerberos válido. A partir de este TGT, el atacante también puede recuperar los hashes LM y NTLM de la cuenta vulnerada por medio del ataque “UnPAC-the-hash”.\n\u003cbr\u003eEn la práctica, durante la fase de explotación de este ataque, un atacante crea un certificado autofirmado con un par de claves privada/pública y, luego, establece la clave pública dentro del atributo “msDS-KeyCredentialLink”.\u003c/p\u003e\n\u003cp\u003eEste atributo puede alojar varios valores, donde cada entrada se denomina “credencial de clave”. Una misma cuenta puede tener tanto entradas legítimas como puertas traseras simultáneamente.\u003c/p\u003e\n\u003cp\u003eEste método de autenticación es independiente de la contraseña, por lo que la puerta trasera se mantiene aunque cambie la contraseña de la cuenta.\n\u003cbr\u003eAdemás de validar el contenido del atributo “msDS-KeyCredentialLink”, este IoE se asegura de que ningún permiso autorice a una cuenta sin privilegios a modificar este atributo. De manera predeterminada, solo los miembros de “Administradores de claves” y “Administradores empresariales de claves” tienen este permiso. Además, cada máquina puede cambiar su atributo por medio del derecho “Escritura validada” en este atributo.\u003c/p\u003e\n\u003ch2\u003eOrígenes inesperados\u003c/h2\u003e\n\u003cp\u003ePara una cuenta de equipo, la estructura de contenido de una credencial de clave difiere de la de una cuenta de usuario.\n\u003cbr\u003ePara las cuentas de usuario en el modelo de “confianza de claves”, Entra ID funciona como origen de los datos, ya que Microsoft Entra Connect rellena el atributo “msDS-KeyCredentialLink”. Sin embargo, para las cuentas de equipo, el equipo mismo se encarga del proceso de inscripción. Por lo tanto, para detectar una credencial de clave fraudulenta que se haya agregado a una cuenta de equipo, si el origen está establecido en Entra ID para esta credencial de clave, no se trata de una entrada válida.\n\u003cbr\u003eAdemás, la mayoría de las herramientas de ataque existentes normalmente generan un GUID al azar de manera predeterminada para el “DeviceID” asociado en las nuevas credenciales de claves fraudulentas. Esto ofrece otro mecanismo de detección de entradas no válidas, en particular para cuentas de usuario (a diferencia del método anterior para cuentas de equipo). Esta validación tiene lugar por medio de pruebas de “claves huérfanas”, lo que asegura que un dispositivo legítimo se vincule a la credencial de clave.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Analizar y corregir riesgos en la configuración de credenciales de claves de Windows Hello para Empresas","description":"Para mitigar los riesgos de un potencial escalamiento de privilegios o la instalación de puertas traseras (como Shadow Credentials) por parte de atacantes, es fundamental evaluar exhaustivamente y corregir la configuración de las credenciales de claves en Windows Hello para Empresas.\n","exec_summary":"\u003cp\u003eLos errores de configuración de las credenciales de claves en la característica Windows Hello para Empresas pueden tener un impacto significativo en la seguridad de Active Directory, lo que incluye la posible introducción de métodos de autenticación alternativos. Por lo tanto, es imprescindible prestarles total atención y supervisión.\u003c/p\u003e\n","detail":"\u003cp\u003eLa característica “Windows Hello para Empresas”, cuando se implementa con el modelo de “confianza de claves”, puede introducir varios errores de configuración, incluso en situaciones de uso legítimo. Además, incluso si no se implementó de manera activa en el entorno, los atacantes podrían aprovechar las funcionalidades técnicas subyacentes para establecer puertas traseras relacionadas con la autenticación.\u003c/p\u003e\n\u003ch4\u003eErrores de configuración de credenciales de clave\u003c/h4\u003e\n\u003cp\u003eAl abordar el atributo único “msDS-KeyCredentialLink”, puede corregir la mayoría de los errores de configuración marcados en este indicador de exposición:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eCredencial de clave huérfana\u003c/li\u003e\n\u003cli\u003eCredencial de clave vulnerable a ROCA\u003c/li\u003e\n\u003cli\u003eCredencial de clave con clave RSA corta\u003c/li\u003e\n\u003cli\u003eValor inesperado en el campo de origen de la credencial de clave\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eCabe destacar que Microsoft no cuenta con ninguna herramienta integrada oficial para remover las “credenciales de clave” problemáticas individuales de este atributo, que puede almacenar varias entradas a la vez.\u003c/p\u003e\n\u003cp\u003eSin embargo, Microsoft brinda una metodología junto con la herramienta externa \u003ca href=\"https://support.microsoft.com/es-es/topic/using-whfbtools-powershell-module-for-cleaning-up-orphaned-windows-hello-for-business-keys-779d1f3f-bb2d-c495-0f6b-9aeb940eeafb\"\u003eWHfBTools\u003c/a\u003e. (Tenga en cuenta que esta herramienta tenía problemas de seguridad tras su publicación inicial, así que revise el código antes de su ejecución).\n\u003cbr\u003eDe ser posible, se recomienda quitar todas las “credenciales de claves” asociadas a una cuenta. No obstante, esto exige la reinscripción de la cuenta, lo que puede ser complejo y llevar tiempo. No obstante, si tiene certeza de que en su entorno no se usa WHfB, este procedimiento es la opción más segura y eficiente.\n\u003cbr\u003ePara remover todas las “credenciales de clave” asociadas a una cuenta, siga el procedimiento a continuación: (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; Set-ADUser -Identity user-to-fix -Clear 'msDS-KeyCredentialLink' # For a user account\nPS\u0026gt; Set-ADComputer -Identity computer-to-fix$ -Clear 'msDS-KeyCredentialLink' # For a computer account\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eNota: Si las anomalías “Credencial de clave vulnerable a ROCA” vuelven a aparecer después de borrar el atributo \u003ccode\u003emsDS-KeyCredentialLink\u003c/code\u003e, esto puede indicar que el TPM en los dispositivos afectados sigue siendo susceptible a la vulnerabilidad ROCA (CVE-2017-15361). Microsoft \u003ca href=\"https://support.microsoft.com/es-es/topic/using-whfbtools-powershell-module-for-cleaning-up-orphaned-windows-hello-for-business-keys-779d1f3f-bb2d-c495-0f6b-9aeb940eeafb\"\u003econfirma esto\u003c/a\u003e y aconseja seguir los pasos que se describen en \u003ca href=\"https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170012\"\u003eADV170012\u003c/a\u003e como prioridad. Si no se actualiza el firmware vulnerable, las nuevas claves de Windows Hello para Empresas (WHfB) generadas en estos dispositivos seguirán estando expuestas a CVE-2017-15361 (ROCA). En consecuencia, Tenable Identity Exposure seguirá marcando estas vulnerabilidades.\u003c/p\u003e\n\u003ch4\u003eCorregir los permisos peligrosos definidos en las cuentas\u003c/h4\u003e\n\u003cp\u003ePuede realizar modificaciones en los permisos mediante la GUI (Editor ADSI) o comandos de PowerShell.\n\u003cbr\u003ePara restablecer el \u003cstrong\u003epropietario\u003c/strong\u003e de una cuenta, siga el procedimiento a continuación: (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $accountPath = \"AD:CN=user-to-fix,CN=Users,DC=DOMAIN,DC=CORP\"\nPS\u0026gt; $securityPrincipalAccount = \"DOMAIN\\Domain Admins\"\nPS\u0026gt; $securityPrincipalObject = New-Object System.Security.Principal.NTAccount($securityPrincipalAccount)\nPS\u0026gt; $aclAccount = Get-Acl -Path $accountPath\nPS\u0026gt; $aclAccount.SetOwner($securityPrincipalObject)\nPS\u0026gt; $aclAccount | Set-Acl -Path $accountPath\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003ePara quitar una \u003cstrong\u003eACE\u003c/strong\u003e problemática de una cuenta, siga el procedimiento a continuación: (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $accountPath = \"AD:CN=user-to-fix,CN=Users,DC=DOMAIN,DC=CORP\"\nPS\u0026gt; $aclAccount = Get-Acl -Path $accountPath\nPS\u0026gt; $aceToRemove = $aclAccount.Access | ? { $_.IdentityReference -eq 'DOMAIN\\unpriv' }\nPS\u0026gt; $aclAccount.RemoveAccessRule($aceToRemove)\nPS\u0026gt; $aclAccount | Set-Acl -Path $accountPath\n\u003c/code\u003e\u003c/pre\u003e\n","resources":[{"name":"Using WHfBTools PowerShell module for cleaning up orphaned Windows Hello for Business Keys","url":"https://support.microsoft.com/es-es/topic/using-whfbtools-powershell-module-for-cleaning-up-orphaned-windows-hello-for-business-keys-779d1f3f-bb2d-c495-0f6b-9aeb940eeafb","type":"hyperlink"},{"name":"Windows Hello for Business","url":"https://learn.microsoft.com/es-es/windows/security/identity-protection/hello-for-business/","type":"hyperlink"},{"name":"Windows Hello Cloud Trust","url":"https://syfuhs.net/windows-hello-cloud-trust","type":"hyperlink"},{"name":"Detecting shadow credentials","url":"https://cyberstoph.org/posts/2022/03/detecting-shadow-credentials/","type":"hyperlink"}]},"resources":[{"name":"Black Hat Europe 2019 - Exploiting Windows Hello for Business","url":"https://www.dsinternals.com/assets/documents/eu-19-Grafnetter-Exploiting-Windows-Hello-for-Business.pdf","type":"hyperlink"},{"name":"Shadow Credentials Abusing Key Trust Account Mapping for Account Takeover","url":"https://eladshamir.com/2021/06/21/Shadow-Credentials.html","type":"hyperlink"},{"name":"Shadow Credentials","url":"https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/shadow-credentials","type":"hyperlink"},{"name":"Parsing the msDS-KeyCredentialLink value for ShadowCredentials attack","url":"https://podalirius.net/en/articles/parsing-the-msds-keycredentiallink-value-for-shadowcredentials-attack/","type":"hyperlink"},{"name":"WHfB and Entra ID - Say hello to your new cache flow","url":"https://www.synacktiv.com/publications/whfb-and-entra-id-say-hello-to-your-new-cache-flow.html","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[{"name":"DSInternals","url":"https://github.com/MichaelGrafnetter/DSInternals","author":"Michael Grafnetter"},{"name":"Whisker","url":"https://github.com/eladshamir/Whisker","author":"Elad Shamir"},{"name":"pywhisker","url":"https://github.com/ShutdownRepo/pywhisker","author":"Charlie Bromberg"}],"category_id":5,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]},{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1556 - Modify Authentication Process (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","zh_TW","fr_FR","ko_KR","de_DE","ja_JP","zh_CN","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-SHADOW-CREDENTIALS","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["es","zh-TW","fr","ko","de","ja","zh-CN","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]},{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1556","name":"Modify Authentication Process (texto en inglés)","url":"https://attack.mitre.org/techniques/T1556/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[59]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-GUEST-ACCOUNT","_score":null,"_source":{"language_code":"es_001","codename":"C-GUEST-ACCOUNT","name":"Cuenta de invitado habilitada","id":58,"description":"\u003cp\u003eComprueba que la cuenta de invitado integrada esté deshabilitada.\u003c/p\u003e\n","criticity":"low","exec_summary":"\u003cp\u003eDe manera predeterminada, la cuenta de invitado está deshabilitada en Active Directory. Habilitar esta cuenta genera riesgos de seguridad al permitir el acceso anónimo al dominio, que agentes maliciosos podrían aprovechar para el reconocimiento y posiblemente vulnerar la integridad de la red al acceder a datos confidenciales y enumerar las cuentas.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eComo \u003ca href=\"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/manage/understand-default-user-accounts#guest-account\"\u003elo indicó Microsoft\u003c/a\u003e, la cuenta de invitado es una cuenta predeterminada que tiene acceso limitado a los equipos del dominio (o localmente) y está deshabilitada de manera predeterminada. La contraseña de la cuenta de invitado se deja en blanco de manera predeterminada, lo que permite que se acceda a esta cuenta sin necesidad de que el usuario escriba una contraseña.\nHabilitar la cuenta de invitado expone la red a acceso no autorizado, lo que otorga a las personas acceso a sus recursos. Esto puede facilitar el reconocimiento, que suele ser la fase inicial de un ataque.\nAdemás, deshabilitar la cuenta de invitado mejora la rastreabilidad. Si hay personas que usan esta cuenta, sus acciones pueden quedar veladas, lo que complica el seguimiento y la comprensión de la actividad de los usuarios.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Deshabilitar la cuenta de invitado","description":"No habilite la cuenta de invitado.","exec_summary":"\u003cp\u003eDeshabilite la cuenta de invitado para evitar los inicios de sesión anónimos.\u003c/p\u003e\n","detail":"\u003cp\u003eTenable recomienda mantener deshabilitada la cuenta de invitado para evitar el acceso anónimo al dominio, lo que ayuda a reducir la superficie de ataque.\nPara deshabilitar la cuenta de invitado, tiene varios procedimientos:\u003c/p\u003e\n\u003ch4\u003eGUI\u003c/h4\u003e\n\u003cp\u003eMediante una interfaz gráfica de usuario (GUI):\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra Usuarios y equipos de Active Directory.\u003c/li\u003e\n\u003cli\u003eVaya a la ubicación predeterminada \u003ccode\u003eCN=Users,DC=DOMAIN,DC=CORP\u003c/code\u003e. Si la movió, vaya a la nueva ubicación.\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en la cuenta \u003ccode\u003eGuest\u003c/code\u003e. Si le cambió el nombre, haga clic con el botón derecho en el nuevo nombre.\u003c/li\u003e\n\u003cli\u003eHaga clic en “Deshabilitar cuenta”.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch4\u003ePowerShell\u003c/h4\u003e\n\u003cp\u003eEjecute el siguiente comando de \u003ca href=\"https://learn.microsoft.com/es-es/powershell/module/activedirectory/disable-adaccount\"\u003ePowerShell\u003c/a\u003e. Si cambió el nombre de la cuenta, reemplace \u003ccode\u003eGuest\u003c/code\u003e por el nuevo nombre:\u003c/p\u003e\n\u003cpre\u003e\u003ccode class=\"language-powershell\"\u003eDisable-ADAccount -Identity Guest\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eNota: Si la cuenta de invitado se vuelve a habilitar automáticamente, compruebe si hay un objeto de política de grupo (GPO) con la opción de la política de seguridad \u003ca href=\"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/accounts-guest-account-status\"\u003eCuentas: estado de la cuenta de invitado\u003c/a\u003e.\nSi este GPO existe, establézcalo en \u003ccode\u003eDeshabilitado\u003c/code\u003e. Este indicador de exposición comprueba solo el estado de la cuenta y no el parámetro del GPO.\u003c/p\u003e\n","resources":[{"name":"Accounts: Guest account status - security policy setting (texto en inglés)","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/accounts-guest-account-status","type":"hyperlink"}]},"resources":[{"name":"Active Directory Security Assessment Checklist - Guest account enabled (texto en inglés)","url":"https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_guest","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0001 - Initial Access (texto en inglés)","techniques":["T1078.001 - Default Accounts (texto en inglés)"]},{"tactic":"TA0043 - Reconnaissance (texto en inglés)","techniques":["T1590 - Gather Victim Network Information (texto en inglés)"]},{"tactic":"TA0043 - Reconnaissance (texto en inglés)","techniques":["T1595 - Active Scanning (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["fr_FR","de_DE","zh_TW","ja_JP","es_001","ko_KR","zh_CN","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-GUEST-ACCOUNT","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"low","type":"ioe","subType":"ad","availableLocales":["fr","de","zh-TW","ja","es","ko","zh-CN","en"],"mitre_attack_information":[{"tactic":{"id":"TA0001","name":"Initial Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0001/"},"techniques":[{"id":"T1078.001","name":"Default Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/001/"}]},{"tactic":{"id":"TA0043","name":"Reconnaissance (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0043/"},"techniques":[{"id":"T1590","name":"Gather Victim Network Information (texto en inglés)","url":"https://attack.mitre.org/techniques/T1590/"}]},{"tactic":{"id":"TA0043","name":"Reconnaissance (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0043/"},"techniques":[{"id":"T1595","name":"Active Scanning (texto en inglés)","url":"https://attack.mitre.org/techniques/T1595/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[58]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-MSA-COMPLIANCE","_score":null,"_source":{"language_code":"es_001","codename":"C-MSA-COMPLIANCE","name":"Errores de configuración peligrosos en cuentas de servicios administradas","id":57,"description":"\u003cp\u003eSe asegura de que las cuentas de servicios administradas (MSAs) se implementen y configuren correctamente.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLas MSAs (cuentas de servicios administradas) ofrecen una forma segura de administrar las cuentas de servicio de Active Directory. Una MSA tiene su propia contraseña compleja, que se mantiene de manera automática, al igual que las cuentas de equipo. Esta funcionalidad debe implementarse y configurarse correctamente para que ninguna cuenta de usuario ilegítima pueda vulnerarlas (p. ej., mediante ataques “Kerberoasting”)\n.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003ch4\u003eIntroducción\u003c/h4\u003e\n\u003cp\u003eUna cuenta de servicio, según la definición de Microsoft, es una cuenta de usuario que se crea explícitamente para brindar un contexto de seguridad a los servicios que se ejecutan en sistemas operativos Windows. El contexto de seguridad determina la capacidad del servicio de acceder a recursos locales y de red.\u003c/p\u003e\n\u003cp\u003eLas cuentas de servicio, si son usuarios de dominio clásicos, son propensas a un ataque conocido llamado Kerberoasting, ya que las contraseñas de las cuentas de servicio pueden ser débiles y un atacante podría adivinarlas sin conexión. La característica de cuentas de servicios administradas aborda este problema al proporcionar cuentas de servicio que se administran automáticamente y tienen contraseñas seguras.\nEn función de los privilegios de una cuenta de servicio, puede llevar a la vulneración directa de Active Directory. Tenga en cuenta que las cuentas de servicio deben usar el modelo de privilegios mínimos y se les deben conceder solo los derechos y permisos que necesiten para ejecutar sus servicios, ya sean cuentas de servicio clásicas o cuentas de servicios administradas.\n\u003cbr\u003eTambién es importante destacar que las cuentas de servicios administradas tienen que estar correctamente configuradas y que ningún usuario ilegítimo puede elevar sus privilegios para vulnerar una de estas cuentas.\u003c/p\u003e\n\u003cp\u003eCiertamente, incluso aunque las MSA agregan una capa de abstracción en cuanto a las tareas administrativas y mejoran la seguridad de las cuentas de servicio, los administradores de Active Directory deben tener cuidado de que las MSAs estén correctamente configuradas y de que ningún derecho permisivo pueda crear una ruta de ataque hacia esas cuentas.\n\u003cbr\u003eHay dos tipos de MSA, independientes (sMSA) y por grupo (gMSA):\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eLas sMSA (cuentas de servicios administradas independientes) están ligadas solo a un equipo, no pueden reutilizarse entre varios servidores. Las sMSA ofrecen una administración automática de las contraseñas, una administración simplificada de los nombres de las entidades de servicio (SPN) y la capacidad de delegar la administración a otros administradores. El equipo mismo administra y renueva la contraseña, que luego se comunica al controlador de dominio.\u003c/li\u003e\n\u003cli\u003eLas gMSA (cuentas de servicios administradas por grupo) ofrecen la misma funcionalidad dentro del dominio que las sMSA, pero también amplían esa funcionalidad a varios servidores. En el caso de una gMSA, un controlador de dominio calcula (y renueva) la contraseña, y los equipos que hospedan la gMSA solicitan la contraseña.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch4\u003eObjetivos del indicador de exposición\u003c/h4\u003e\n\u003cp\u003eEn este indicador de exposición, se llevan a cabo varias comprobaciones para asegurar lo siguiente:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eSe cumplen los requisitos previos para instalar y usar las MSA.\u003c/li\u003e\n\u003cli\u003eLas MSA existen y están bien configuradas.\u003c/li\u003e\n\u003cli\u003eNo existe ninguna ruta de control que pueda llevar a la vulneración de una MSA.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEste indicador de exposición admite ambos tipos de cuentas de servicios administradas (sMSA y gMSA).\u003c/p\u003e\n\u003ch4\u003eAtaques a las cuentas de servicios administradas por grupo\u003c/h4\u003e\n\u003cp\u003eYa que, para las gMSA, un controlador de dominio genera la contraseña, en los objetos de gMSA existe un atributo específico para almacenar esta contraseña (además de los atributos de hash de NTLM y LM): el atributo \u003ccode\u003emsDS-ManagedPassword\u003c/code\u003e. Poder leer este atributo (tras cierta descodificación) permitirá autenticarse como esta cuenta de servicio en los recursos a los que tiene acceso. Contar con los derechos para ello es un mecanismo de persistencia en Active Directory.\u003c/p\u003e\n\u003cp\u003ePara los objetos y atributos normales, se usa un descriptor de seguridad para determinar las ACL que están configuradas en un objeto. Este atributo específico no funciona como cualquier otro atributo típico sino que, en su lugar, se basa en un atributo dedicado: el atributo \u003ccode\u003emsDS-GroupMSAMembership\u003c/code\u003e, que también tiene el formato de un descriptor de seguridad, pero especializado. Si un atacante es capaz de escribir un valor dentro de este atributo, podrá agregar una entrada en la lista de permisos para permitir que una cuenta lea la contraseña de la gMSA. Por lo tanto, este último atributo se supervisa en busca de errores de configuración o puertas traseras.\nEl contenido de este atributo tiene que validarse, así como sus permisos, para verificar que ninguna cuenta sin privilegios pueda modificarla.\n\u003cbr\u003eOtro ataque relacionado con las cuentas gMSA es \u003ccode\u003eGolden GMSA\u003c/code\u003e. Este ataque aborda algunas limitaciones técnicas del ataque anterior, al ser capaz de generar directamente la contraseña de una gMSA, totalmente sin conexión. Se basa en el control de la clave raíz del Servicio de distribución de claves (KDS) que se usó para generar la contraseña de la gMSA.\nEl atributo \u003ccode\u003emsKds-RootKeyData\u003c/code\u003e de una clave raíz del KDS contiene los elementos criptográficos que los atacantes usan para generar contraseñas y también se supervisa.\n\u003cbr\u003eObservación: Con respecto a esta comprobación de las claves raíz del KDS, solo se puede llevar a cabo si la cuenta de T.IE usada para rastrear y supervisar la instancia de Active Directory tiene acceso a este atributo. De manera predeterminada, ninguna cuenta sin privilegios tiene el derecho a leer los atributos de una clave raíz del KDS, por lo que, la mayor parte del tiempo, el producto no puede ejecutar esta comprobación. Definir los permisos para permitir que el producto tenga acceso a estos datos puede resultar peligroso, ya que esto podría permitir la elevación de privilegios, por lo que no se recomienda. No obstante, si la cuenta de servicios que se usa ya es una cuenta con privilegios altos, esta comprobación se llevará a cabo.\nPor lo tanto, las comprobaciones de las claves raíz del KDS se ejecutan en la mayor medida posible, cuando la información necesaria está disponible.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Implementar y corregir errores en cuentas de servicios administradas","description":"La característica de cuentas de servicios administrada (MSA) es una práctica de seguridad recomendada cuando se necesitan cuentas de servicios.\n","exec_summary":"\u003cp\u003eLas cuentas de servicios deben configurarse como cuentas de servicios administradas (MSAs) y protegerse de manera adecuada con el fin de evitar los mecanismos potenciales de elevación de privilegios y persistencia.\u003c/p\u003e\n","detail":"\u003ch4\u003eVentajas de usar cuentas de servicios administradas\u003c/h4\u003e\n\u003cp\u003eUna de las características más interesantes que presentó Windows Server 2008R2 son las cuentas de servicios administradas (inicialmente, MSAs independientes). Esta característica permite crear una cuenta en Active Directory que esté ligada a un conjunto específico de equipos (uno o más). Esa cuenta tiene su propia contraseña compleja, que se mantiene automáticamente (ya sea por el equipo mismo o por controladores de dominio).\nEsto se traduce en que una MSA puede ejecutar servicios en un equipo de forma segura y fácil de mantener, a la vez que se conserva la capacidad de conectarse a recursos de red en el dominio como entidad de seguridad de un usuario en particular. Por lo tanto, es conveniente usar MSAs cuando se necesiten cuentas de servicios. En particular, porque contar con una contraseña segura evita los ataques Kerberoasting.\n\u003cbr\u003eSin embargo, las MSAs no protegen los secretos si el equipo que hospeda la MSA se vulneró. Ciertamente, para asegurar una debida autenticación de las cuentas de servicios, las contraseñas se almacenan localmente en el registro (con un formato reversible).\nSi se detecta que un host se vio vulnerado, cada cuenta que ejecute un servicio (ya sea una cuenta de servicios clásica o MSA) debe considerarse en igual estado, deshabilitarse y volver a crearse desde cero.\u003c/p\u003e\n\u003ch4\u003eNingún controlador de servicio con la versión de sistema operativo necesaria para la gMSA\u003c/h4\u003e\n\u003cp\u003ePara admitir tanto sMSA como gMSA, al menos uno de los controladores de dominio del dominio debe actualizarse a Windows Server 2012 o superior. No existe un requisito específico para el nivel funcional del dominio y el nivel funcional del bosque.\u003c/p\u003e\n\u003ch4\u003eNinguna MSA configurada para el dominio\u003c/h4\u003e\n\u003cp\u003eCuando hay un producto que necesita una cuenta de servicios de dominio para ejecutar un servicio en un equipo Windows, las MSA deben ser privilegiadas. En algunas situaciones, el producto no admite esto. Para esta situación, la cuenta de servicios tiene que administrarse manualmente con cuidado. Debe tener definida una contraseña compleja que se cambie periódicamente. En general, debe existir documentación que haga referencia a todas esas cuentas de servicios, qué hay que hacer por ellas y cuándo.\u003c/p\u003e\n\u003ch4\u003eMSA con privilegios altos\u003c/h4\u003e\n\u003cp\u003eLas MSA pueden instalarse en todo tipo de equipos del dominio. Si una MSA se identifica como privilegiada, debe comprobarse que los equipos que usan esta cuenta también tengan el mismo nivel privilegiado. Por ejemplo, tener una MSA que sea miembro de un grupo con privilegios, como “Administradores de dominio”, no aumenta los riesgos si el equipo objetivo es un controlador de dominio. En cambio, si esta cuenta se usa para otros tipos de servidores que pertenecen a un nivel inferior, se trata de un alto riesgo de seguridad para el entorno de AD.\nTenga cuidado con las cuentas de servicio que se usan para copias de seguridad o para equipos de supervisión, ya que, en general, tienen derechos en el dominio por encima de los que se necesitan localmente en cada equipo.\u003c/p\u003e\n\u003cp\u003eSe debe asignar la menor cantidad de privilegios a las MSA, y los grupos del dominio deben tener la menor cantidad posible. Quite las MSA de los miembros de esos grupos si no son estrictamente necesarias.\u003c/p\u003e\n\u003ch4\u003eMSA (con privilegios) sin compatibilidad con AES\u003c/h4\u003e\n\u003cp\u003eSe trata de una práctica recomendada para admitir los algoritmos de cifrado de AES para las MSA. Esto es así de manera predeterminada, por lo que es probable que esta configuración se haya cambiado.\nUse PowerShell para revertir esta opción al valor correcto predeterminado. Por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADObject -Identity \"CN=gMSA,CN=Managed Service Accounts,DC=DOMAIN,DC=CORP\" -Replace @{'msDS-SupportedEncryptionTypes'=\"28\"}\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003eCuentas capaces de leer la contraseña de gMSA (con privilegios)\u003c/h4\u003e\n\u003cp\u003eLas únicas cuentas que deberían poder leer la contraseña de una gMSA son los equipos que la usan.\nSi las cuentas que se especifican aquí son legítimas (no pueden serlo si son cuentas de usuario y no cuentas de equipo), la configuración no se completó y el atributo “msDS-HostServiceAccount” no se definió en esas cuentas de equipo.\u003c/p\u003e\n\u003cp\u003eUse PowerShell para restablecer los equipos que pueden leer esta contraseña. Debería incluir todos los nombres de los equipos que usarán esta gMSA, no solo los nuevos que se van a permitir. Por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADServiceAccount -Identity \"gMSA\" -PrincipalsAllowedToRetrieveManagedPassword \"WIN10{[5057]}quot;,\"WIN11{[5057]}quot;\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003ePara las cuentas de equipo legítimas, use el cmdlet “Add-ADComputerServiceAccount” para completar la configuración de cada una. Por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Add-ADComputerServiceAccount -Identity \"WIN10{[5533]}quot; -ServiceAccount \"gMSA\"\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003ePermisos inseguros en cuentas MSA y propietario inseguro para cuentas MSA\u003c/h4\u003e\n\u003cp\u003ePuede hacer modificaciones en los permisos a través de la GUI (Editor ADSI) o mediante comandos de PowerShell.\u003c/p\u003e\n\u003cp\u003eSi tiene que restablecer el \u003cstrong\u003epropietario\u003c/strong\u003e de una MSA, el procedimiento es el siguiente: (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e).\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $securityPrincipalAccount = \"DOMAIN\\Domain Admins\"\nPS\u0026gt; $securityPrincipalObject = New-Object System.Security.Principal.NTAccount($securityPrincipalAccount)\nPS\u0026gt; $msaPath = \"AD:CN=gMSA,CN=Managed Service Accounts,DC=DOMAIN,DC=CORP\"\nPS\u0026gt; $msa = Get-Acl -Path $msaPath\nPS\u0026gt; $msa.SetOwner($securityPrincipalObject)\nPS\u0026gt; $msa | Set-Acl -Path $msaPath\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSi tiene que quitar una \u003cstrong\u003eACE\u003c/strong\u003e problemática de un property set, puede seguir el procedimiento a continuación. (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e).\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $msaPath = \"AD:CN=gMSA,CN=Managed Service Accounts,DC=DOMAIN,DC=CORP\"\nPS\u0026gt; $msa = Get-Acl -Path $msaPath\nPS\u0026gt; $aceToRemove = $msa.Access | ? { $_.ActiveDirectoryRights -eq 'WriteProperty' -and $_.IdentityReference -eq 'DOMAIN\\unpriv' }\nPS\u0026gt; $msa.RemoveAccessRule($aceToRemove)\nPS\u0026gt; $msa | Set-Acl -Path $msaPath\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003ePermisos inseguros en las claves raíz del KDS y propietario inseguro de las claves raíz del KDS\u003c/h4\u003e\n\u003cp\u003eUse comandos similares a los del ejemplo anterior para cambiar el propietario de una clave raíz del KDS nuevamente al predeterminado, que es “Administradores de empresas”, y para quitar las ACE peligrosas.\u003c/p\u003e\n","resources":[{"name":"Protección de cuentas de servicio administradas de grupo","url":"https://docs.microsoft.com/es-es/azure/active-directory/fundamentals/service-accounts-group-managed","type":"hyperlink"},{"name":"How to recover from a Golden gMSA attack (texto en inglés)","url":"https://learn.microsoft.com/es-es/troubleshoot/windows-server/windows-security/recover-from-golden-gmsa-attack","type":"hyperlink"}]},"resources":[{"name":"Group Managed Service Accounts Overview","url":"https://learn.microsoft.com/es-es/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview","type":"hyperlink"},{"name":"gMSA Active Directory Attacks (texto en inglés)","url":"https://www.semperis.com/blog/golden-gmsa-attack/","type":"hyperlink"},{"name":"Retrieving Cleartext GMSA Passwords from Active Directory (texto en inglés)","url":"https://www.dsinternals.com/en/retrieving-cleartext-gmsa-passwords-from-active-directory/","type":"hyperlink"},{"name":"Step-by-Step - How to work with Group Managed Service Accounts (gMSA) (texto en inglés)","url":"https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-how-to-work-with-group-managed-service-accounts/ba-p/329864","type":"hyperlink"},{"name":"Windows Server 2012 - Group Managed Service Accounts (texto en inglés)","url":"https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/windows-server-2012-group-managed-service-accounts/ba-p/255910","type":"hyperlink"}],"applicable_resource_types":["ad_domain_dns","ad_msds_group_managed_service_account","ad_msds_managed_service_account","ad_ms_kds_prov_root_key"],"attacker_known_tools":[{"name":"GoldenGMSA","url":"https://github.com/Semperis/GoldenGMSA","author":"Yuval Gordon"},{"name":"DSInternals","url":"https://github.com/MichaelGrafnetter/DSInternals","author":"Michael Grafnetter"}],"category_id":2,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_TW","fr_FR","es_001","zh_CN","ko_KR","ja_JP","de_DE","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-MSA-COMPLIANCE","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["zh-TW","fr","es","zh-CN","ko","ja","de","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[57]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-AAD-PRIV-SYNC","_score":null,"_source":{"language_code":"es_001","codename":"C-AAD-PRIV-SYNC","name":"Cuentas de usuario de AD privilegiadas sincronizadas con Microsoft Entra ID","id":56,"description":"\u003cp\u003eComprueba que las cuentas de usuario de Active Directory privilegiadas no se sincronicen con Microsoft Entra ID.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eSincronizar las cuentas de Active Directory privilegiadas con Microsoft Entra ID presenta el riesgo de permitir que los atacantes cambien de un inquilino de Entra ID vulnerado a la instancia local de Active Directory, lo que facilita su migración desde la nube.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLos usuarios de dominio de Active Directory se pueden sincronizar con un inquilino de Entra ID, con lo que se alcanza un estado “híbrido” al usar una de las herramientas siguientes o ambas (\u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/cloud-sync/what-is-cloud-sync#comparison-between-azure-ad-connect-and-cloud-sync\"\u003ecomparación\u003c/a\u003e):\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e\u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/connect/whatis-azure-ad-connect-v2\"\u003eMicrosoft Entra Connect Sync\u003c/a\u003e (anteriormente “Azure AD Connect”).\u003c/li\u003e\n\u003cli\u003e\u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/cloud-sync/what-is-cloud-sync\"\u003eMicrosoft Entra Cloud Sync\u003c/a\u003e (anteriormente “Azure AD Connect Cloud Sync”).\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e\u003cbr\u003eEn función de las \u003ca href=\"https://learn.microsoft.com/es-es/azure/security/fundamentals/identity-management-best-practices#centralize-identity-management\"\u003eprácticas recomendadas de seguridad de identidades de Microsoft\u003c/a\u003e:\u003c/p\u003e\n\u003cblockquote\u003e\n\u003cp\u003eNo sincronice con Microsoft Entra ID cuentas que tienen privilegios altos en la instancia existente de Active Directory.\nNo cambie la configuración predeterminada de Microsoft Entra Connect que filtra estas cuentas. Esta configuración mitiga el riesgo de que los atacantes cambien de la nube a activos locales (lo que podría generar un incidente grave).\u003c/p\u003e\n\u003c/blockquote\u003e\n\u003cp\u003e\u003cbr\u003eEsta vulnerabilidad podría llevar a un atacante a explotar una cuenta híbrida con privilegios en AD a través de técnicas como las siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003ePhishing para robar la contraseña de Entra ID, que es idéntica a la contraseña de AD.\u003c/li\u003e\n\u003cli\u003eForzar un cambio de contraseña en Entra ID, lo que desencadena la sincronización con AD a través de la \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/authentication/tutorial-enable-sspr-writeback\"\u003eescritura diferida de contraseñas\u003c/a\u003e.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEste indicador de exposición (IoE) trata de garantizar la \u003cstrong\u003emayor eficacia posible\u003c/strong\u003e y se basa exclusivamente en información disponible en Active Directory y no en Entra ID. El algoritmo se detalla a continuación.\n\u003cbr\u003eMicrosoft Entra Connect usa un atributo \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/connect/plan-connect-design-concepts#sourceanchor\"\u003esourceAnchor\u003c/a\u003e para identificar de manera única un objeto como que es el mismo objeto en AD y en Entra ID. Este atributo también se denomina \u003ccode\u003eimmutableId\u003c/code\u003e.\n\u003cbr\u003eEn la configuración predeterminada, las versiones anteriores de Microsoft Entra Connect (versión 1.1.486.0 de abril de 2017 y anteriores) usaban \u003ccode\u003eobjectGUID\u003c/code\u003e como atributo \u003ccode\u003esourceAnchor\u003c/code\u003e. Por el contrario, las versiones más nuevas (versión 1.1.524.0 de mayo de 2017 y posteriores) toman el valor predeterminado \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e como atributo \u003ccode\u003esourceAnchor\u003c/code\u003e siempre que sea posible.\n\u003cbr\u003eEste IoE \u003cstrong\u003edetecta cuentas híbridas al inspeccionar el atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e rellenado\u003c/strong\u003e. Si un atributo alternativo funciona como delimitador de origen o encuentra problemas de permisos que impiden que se rellene, el IoE puede pasar por alto las cuentas híbridas, lo que llevaría a falsos negativos. Normalmente, en Entra Connect versión 1.1.524.0 de mayo de 2017 y posteriores se prefiere el atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e, pero puede especificar otro atributo durante la instalación. Si una herramienta de un tercero ya usa \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e, el asistente de Microsoft Entra Connect toma \u003ccode\u003eobjectGUID\u003c/code\u003e como valor predeterminado del atributo \u003ccode\u003esourceAnchor\u003c/code\u003e.\nAdemás, Microsoft retiró Azure AD Connect V1 el 31 de agosto de 2022 y ya no ofrece soporte técnico. Lo sucedió Azure AD Connect V2 y, posteriormente, Microsoft Entra Connect V2 tomó su lugar tras el cambio de nombre de Entra ID.\n\u003cbr\u003e\u003cstrong\u003eNota:\u003c/strong\u003e El rellenado del atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e es poco probable para los usuarios híbridos con privilegios de AD. Esto se debe a que, de manera predeterminada, en la cuenta de servicio de Entra Connect o Cloud Sync AD falta el \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/connect/plan-connect-design-concepts#permission-required\"\u003epermiso\u003c/a\u003e para escribir en las cuentas de usuario de AD protegidas por el mecanismo AdminSDHolder (que se indica mediante \u003ccode\u003eadminCount=1\u003c/code\u003e y cuando la herencia está deshabilitada). Lamentablemente, esto impide que el IoE las marque como anómalas, lo que provoca falsos negativos. Para detectar este problema, puede comprobar los errores “\u003ca href=\"https://learn.microsoft.com/es-es/troubleshoot/azure/active-directory/troubleshoot-permission-issue-sync-service-manager\"\u003epermission-issue\u003c/a\u003e” en los registros de “Synchronization Service Manager” de Entra Connect.\nEsto no supone ningún problema si \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/connect/how-to-connect-configure-ad-ds-connector-account#configure-ms-ds-consistency-guid-permissions\"\u003eotorga más permisos a la cuenta de servicio\u003c/a\u003e mediante \u003ccode\u003eSet-ADSyncMsDsConsistencyGuidPermissions\u003c/code\u003e con \u003ccode\u003e-IncludeAdminSdHolders\u003c/code\u003e. Sin embargo, Tenable no recomienda hacer esto en ningún caso, ya que estas cuentas de usuario de AD privilegiadas no deben ser híbridas.\n\u003cbr\u003eSi bien en la guía de \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/cloud-sync/plan-cloud-sync-topologies#things-to-remember-about-all-scenarios-and-topologies\"\u003etopologías y escenarios admitidos para Microsoft Entra Cloud Sync\u003c/a\u003e se indica lo siguiente:\u003c/p\u003e\n\u003cblockquote\u003e\n\u003cp\u003eEl delimitador de origen de los objetos se selecciona automáticamente. Usa \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e si está presente; de lo contrario, se usa ObjectGUID.\u003c/p\u003e\n\u003c/blockquote\u003e\n\u003cp\u003eTenable no observó que Entra Cloud Sync rellenara automáticamente el atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e. Esto podría llevar a resultados incompletos si Entra Cloud Sync es el único método usado para sincronizar usuarios con Entra ID. En este caso, puede deshabilitar este IoE sin problemas.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Evite la sincronización híbrida de cuentas de Active Directory privilegiadas con Entra ID.","description":"No sincronice las cuentas de Active Directory muy privilegiadas con Microsoft Entra ID.","exec_summary":"\u003cp\u003eConfigure el filtrado en Entra Connect o Cloud Sync para excluir de la sincronización las cuentas de Active Directory privilegiadas.\u003c/p\u003e\n","detail":"\u003cp\u003eConfigure el filtrado en Entra Connect o Entra Cloud Sync, según corresponda, para excluir de la sincronización las cuentas de usuario de Active Directory privilegiadas.\nLas reglas predeterminadas ignoran automáticamente ciertas cuentas, como \u003ccode\u003eKRBTGT\u003c/code\u003e, \u003ccode\u003eInvitado\u003c/code\u003e, \u003ccode\u003eMSOL_…\u003c/code\u003e y la cuenta \u003ccode\u003eAdministrador\u003c/code\u003e integrada. Sin embargo, otros usuarios privilegiados, como miembros de Administradores de dominio, no se excluyen de manera predeterminada, lo que representa un riesgo de seguridad cuando se sincronizan con Entra ID. Configure el filtrado manualmente para abordar este problema.\n\u003cbr\u003eSegún las prácticas recomendadas, almacene los usuarios privilegiados en una unidad organizativa (OU) de nivel 0 dedicada. Use el \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/connect/how-to-connect-sync-configure-filtering#organizational-unitbased-filtering\"\u003efiltrado basado en unidades organizativas\u003c/a\u003e en Entra Connect o el método de \u003ca href=\"https://learn.microsoft.com/es-es/entra/identity/hybrid/cloud-sync/how-to-configure#scope-provisioning-to-specific-users-and-groups\"\u003eespecificación del ámbito de aprovisionamiento a usuarios y grupos específicos\u003c/a\u003e para que Entra Cloud Sync excluya de la sincronización esta OU de nivel 0.\n\u003cbr\u003eDespués de configurar el filtrado y quitar los usuarios privilegiados de la sincronización, borre el valor del atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e (como se indica en los detalles de la vulnerabilidad) para borrar el objeto de AD. Con esto, se asegura de que el IoE ya no considere las cuentas de usuario como híbridas y se resuelven las anomalías. Use el siguiente comando de PowerShell para restablecer el valor del atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e y reemplace “user-to-clean-CN” por el CN del usuario correspondiente:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Get-ADUser -Filter 'CN -like \"user-to-clean-CN\"' -Properties CN,mS-DS-ConsistencyGuid | Set-ADUser -Clear mS-DS-ConsistencyGuid\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003e\u003cstrong\u003eNota\u003c/strong\u003e: Si un usuario privilegiado se sincronizó al menos una vez, aunque haga mucho tiempo, y no borró el atributo, el IoE genera una anomalía, ya que el atributo \u003ccode\u003ems-DS-ConsistencyGuid\u003c/code\u003e indica una sincronización en curso.\u003c/p\u003e\n","resources":[{"name":"Procedimientos recomendados para la administración de identidades y la seguridad del control de acceso en Azure","url":"https://learn.microsoft.com/es-es/azure/security/fundamentals/identity-management-best-practices#centralize-identity-management","type":"hyperlink"}]},"resources":[{"name":"Procedimientos recomendados para la administración de identidades y la seguridad del control de acceso en Azure","url":"https://learn.microsoft.com/es-es/azure/security/fundamentals/identity-management-best-practices#centralize-identity-management","type":"hyperlink"},{"name":"Démos d'attaques par rebond en environnement hybride Active Directory-Azure AD (texto en francés)","url":"https://www.slideshare.net/IdentityDays/dmos-dattaques-par-rebond-en-environnement-hybride-active-directoryazure-ad","type":"hyperlink"}],"applicable_resource_types":["ad_user"],"attacker_known_tools":[],"category_id":2,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]},{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1556 - Modify Authentication Process (texto en inglés)"]},{"tactic":"TA0008 - Lateral Movement (texto en inglés)","techniques":["T1021 - Remote Services: Cloud Services (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ja_JP","ko_KR","zh_TW","de_DE","zh_CN","es_001","fr_FR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-AAD-PRIV-SYNC","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["ja","ko","zh-TW","de","zh-CN","es","fr","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]},{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1556","name":"Modify Authentication Process (texto en inglés)","url":"https://attack.mitre.org/techniques/T1556/"}]},{"tactic":{"id":"TA0008","name":"Lateral Movement (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0008/"},"techniques":[{"id":"T1021","name":"Remote Services: Cloud Services (texto en inglés)","url":"https://attack.mitre.org/techniques/T1021/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[56]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-AUTH-SILO","_score":null,"_source":{"language_code":"es_001","codename":"C-AUTH-SILO","name":"Configuración de silos de autenticación con privilegios","id":55,"description":"\u003cp\u003eUna guía detallada de la configuración de un silo de autenticación para cuentas con privilegios (nivel 0).\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eLa debida administración de las cuentas con privilegios (usuarios y equipos) es importante para la seguridad, con el fin de limitar los riesgos de que se produzca una vulneración total del entorno de Active Directory (AD). En las versiones más recientes de Windows (Windows Server 2012 R2+), Microsoft ofrece características y un diseño técnico para proteger de manera adecuada las cuentas que usan silos y políticas de autenticación.\nEste indicador de exposición intenta ayudar a los administradores de AD en la implementación de un modelo diseñado para proteger dichas cuentas con privilegios altos (es decir, de “nivel 0”).\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003ch4\u003eIntroducción\u003c/h4\u003e\n\u003cp\u003eLa administración eficaz de los equipos y usuarios privilegiados es fundamental para mitigar los riesgos asociados con el robo de credenciales. Hace unos años, Microsoft presentó un modelo de autenticación basado en silos para restringir la autenticación a un grupo específico de equipos dentro del mismo ámbito que sus usuarios. El silo de nivel 0, el más crítico, debe incluir exclusivamente las cuentas con mayores privilegios del entorno, como los usuarios “Administradores de dominio” y los equipos “Controladores de dominio” en particular.\u003c/p\u003e\n\u003ch4\u003eSilos y políticas de autenticación\u003c/h4\u003e\n\u003cp\u003eLos silos de autenticación, como se describen en el indicador de exposición “Restricciones de inicio de sesión para usuarios privilegiados”, comparten la meta de limitar las cuentas con privilegios de nivel 0 frente a la exposición de sus credenciales en sistemas menos privilegiados (p. ej., servidores y estaciones de trabajo estándar). Esta característica se centra en proteger los usuarios, en lugar de los equipos, al reemplazar los conceptos más antiguos del indicador de exposición “Restricciones de inicio de sesión para usuarios privilegiados” por un enfoque más contemporáneo hacia la configuración de las restricciones de autenticación de los usuarios.\n\u003cbr\u003eLos silos de autenticación aprovechan varios elementos fundacionales, como el protocolo Kerberos, notificaciones, políticas de autenticación, ACE condicionales y protección de Kerberos. El uso de estas características exige que los controladores de dominio ejecuten la versión 2012 R2 o superior.\n\u003cbr\u003eLa implementación de silos busca ofrecer a los administradores de AD una solución más simple y robusta en comparación con las restricciones de autenticación anteriores. El objetivo es agrupar los usuarios y equipos de nivel 0 dentro de un contexto de seguridad compartido, llamado “silo”. Esto asegura que estos usuarios solo puedan conectarse a equipos que pertenecen al mismo silo, ya sea a través de Escritorio remoto o sesiones interactivas tradicionales.\n\u003cbr\u003eUn riesgo adicional de robo de credenciales involucra la delegación de la autenticación a un equipo fuera del silo designado. \nPara abordar los desafíos de proteger por completo la autenticación NTLM, se aconseja decantarse por el protocolo Kerberos. Para proteger los administradores de nivel 0 frente a ambos riesgos, se recomienda incluirlos en el grupo “Usuarios protegidos”.\n\u003cbr\u003eLas características interconectadas esenciales para este indicador de exposición están vinculadas de la manera siguiente:\nSilo de autenticación → (requiere) → Política de autenticación → (requiere) → Notificaciones → (requiere) → Protección de Kerberos\n\u003cbr\u003eAhondar en las complejidades de estos conceptos excede el alcance de este indicador de exposición. En resumen:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eUn silo de autenticación consta de una colección de cuentas de equipo y de usuario que comparten las mismas inquietudes de seguridad, en particular para nuestro contexto, objetos con privilegios.\u003c/li\u003e\n\u003cli\u003eUna política de autenticación es un conjunto de reglas diseñadas para limitar la autenticación en distintas situaciones. Su propósito es asegurar que los usuarios dentro de un silo puedan autenticarse exclusivamente en equipos designados por el silo.\u003c/li\u003e\n\u003cli\u003eLas notificaciones se desempeñan como componentes fundacionales que permiten funcionar a los silos y las políticas de autenticación. En pocas palabras, funcionan como etiquetas en objetos, donde estas etiquetas se especifican en la configuración de las políticas de autenticación.\u003c/li\u003e\n\u003cli\u003eLa protección de Kerberos mejora el protocolo Kerberos mediante una seguridad mejorada, al proteger frente a ataques potenciales de fuerza bruta dirigidos a credenciales de usuarios por medio del acceso al tráfico de red. También introduce compatibilidad con las notificaciones, lo que permite su almacenamiento en el token de seguridad del usuario.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eNota: La protección de Kerberos exige la configuración tanto en clientes como en servidores para admitir los silos.\u003c/p\u003e\n\u003ch4\u003eRequisito previo para la instalación de silos de autenticación de nivel 0\u003c/h4\u003e\n\u003cp\u003ePara mantener el control de un silo y minimizar el riesgo, es fundamental mantener al mínimo la cantidad de cuentas de usuario y de equipo. Antes de incluir usuarios privilegiados en el silo, es fundamental restringir su número al primero usar el indicador de exposición “Miembros de grupos administrativos nativos”.\u003c/p\u003e\n\u003ch4\u003eObjetivo del indicador de exposición\u003c/h4\u003e\n\u003cp\u003eEste indicador de exposición tiene como objetivo asistir a los administradores de AD en la instalación y configuración de un silo de autenticación para las cuentas de nivel 0. La correcta configuración es esencial para evitar vulnerabilidades o brechas en la implementación.\n\u003cbr\u003eEste indicador de exposición abordará las siguientes preguntas para garantizar que se implemente una configuración apropiada:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e¿Están todos los usuarios de nivel 0 en el grupo “Usuarios protegidos”? (Esto impide el uso del protocolo NTLM, y se basa únicamente en la autenticación de Kerberos).\u003c/li\u003e\n\u003cli\u003e¿Tienen todos los controladores de dominio la versión de sistema operativo mínima necesaria para admitir silos y políticas de autenticación? (2012 R2 y superior)\u003cul\u003e\n\u003cli\u003eNota: Los silos en el lado cliente exigen estaciones de trabajo que ejecuten Windows 8+ y servidores que ejecuten Windows Server 2012+. La falta de cumplimiento no representará un riesgo de seguridad, pero impide la autenticación de usuarios de nivel 0. Este indicador de exposición no comprueba esta falta de cumplimiento, pero debería tenerse en cuenta la compatibilidad durante la configuración.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003e¿Se configuró correctamente la protección de Kerberos en los clientes y servidores? (Esta confirmación se somete a comprobaciones de parámetros de GPO).\u003c/li\u003e\n\u003cli\u003e¿Hay configurado un silo de autenticación?\u003c/li\u003e\n\u003cli\u003e¿Está debidamente configurado este silo de autenticación para las cuentas de nivel 0, según lo definido por el producto?\u003cul\u003e\n\u003cli\u003eUsuarios de nivel 0 dentro del silo\u003cul\u003e\n\u003cli\u003e¿Se encuentran en esta lista todos los usuarios privilegiados del dominio? (Los usuarios de nivel 0 deberían incluir miembros de grupos de AD privilegiados nativos. Estos se incluyen en los detalles de la anomalía).\u003c/li\u003e\n\u003cli\u003e¿Hay presente algún usuario sin validar o sin privilegios?\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eEquipos de nivel 0 dentro del silo\u003cul\u003e\n\u003cli\u003e¿Se encuentran en esta lista todos los equipos privilegiados del dominio? (De manera predeterminada, este indicador de exposición solo toma los controladores de dominio como equipos privilegiados. Sin embargo, hay disponibles varias opciones del indicador de exposición para especificar y ayudar a identificar servidores adicionales que deberían tenerse en cuenta, como servidores de AD CS, WSUS, Exchange, de copia de seguridad de AD, etc.).\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e *¿Hay presente alguna equipo sin validar o sin privilegios?\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003e¿Se configuró según lo previsto la política de autenticación del silo?\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eSegún lo que se indicó, este indicador de exposición sigue un enfoque paso a paso, y muestra anomalías solo para la información pertinente necesaria para continuar con la instalación de un silo de autenticación para las cuentas de nivel 0. \nAparecerán nuevas anomalías a medida que el indicador de exposición complete y valide cada paso y, en el proceso, resuelva las anomalías anteriores. Tras eliminar todas las anomalías, la configuración del silo de autenticación para las cuentas de nivel 0 estará completa y se considerará segura.\u003c/p\u003e\n\u003ch4\u003eImportante recordatorio de seguridad\u003c/h4\u003e\n\u003cp\u003eEste indicador de exposición no puede analizar un aspecto de seguridad importante: solo puede evaluar los datos de AD (LDAP/SYSVOL) y no puede consultar la configuración local de los equipos de nivel 0. Por lo tanto, es necesaria la verificación manual de un elemento de configuración fundamental de todos los equipos del silo de nivel 0: ningún otro administrador, ni siquiera los equipos de asistencia técnica, debería tener privilegios en estas máquinas. Esta precaución se aplica tanto a las estaciones de trabajo como a los equipos de nivel 0 que se crearon mediante un archivo maestro con una cuenta local de administrador genérica. Esto impide el acceso no autorizado y el potencial robo de credenciales de los usuarios de nivel 0.\u003c/p\u003e\n\u003ch4\u003eCaso especial para la cuenta Administrador\u003c/h4\u003e\n\u003cp\u003eTrate la cuenta “Administrador” integrada (RID=500) como cuenta de emergencia, según lo recomienda Microsoft (compruebe su uso con el indicador de exposición “Uso reciente de la cuenta Administrador predeterminada”). Úsela solo como último recurso cuando las demás opciones no sirvan y no pueda usar otros administradores del dominio; por ejemplo, cuando exista un bloqueo debido a errores de configuración de un silo de autenticación. En situaciones normales, almacene la contraseña de manera segura, ya sea en una caja fuerte física o virtual para garantizar su protección.\n\u003cbr\u003eEsto implica que esta cuenta, cuando se coloque dentro de un silo, no tendrá las mismas restricciones que las demás cuentas (es decir, no funcionará según lo esperado y no impedirá la autenticación en equipos que no sean de nivel 0). Por lo tanto, no es necesario incluirla dentro del silo de nivel 0. Puede servir como mecanismo de respaldo si queda trancado fuera de los controladores de dominio.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Implementar un silo y una política de autenticación de nivel 0","description":"Defina el modelo de niveles y especifique qué sistemas y usuarios pertenecen al nivel superior. Posteriormente, valide los pasos necesarios para implementar este modelo de manera práctica en Active Directory.\n","exec_summary":"\u003cp\u003ePara mejorar la seguridad frente a ataques y malware que intenten robar identidades privilegiadas, los usuarios privilegiados deben conectarse exclusivamente a máquinas de confianza. A través de un diseño de “modelo de niveles”, centrándose en particular en el nivel superior (llamado “nivel 0”), implemente silos y políticas de autenticación. Esto garantiza que no se pueda acceder a las credenciales de los usuarios privilegiados en servidores y estaciones de trabajo estándar.\u003c/p\u003e\n","detail":"\u003ch4\u003eIntroducción\u003c/h4\u003e\n\u003cp\u003eComo se detalla en la sección “Detalles de la vulnerabilidad” de este indicador de exposición, el paso inicial de la implementación de un silo de autenticación de nivel 0 implica documentar las cuentas (usuarios y equipos) que necesitan protección dentro de este contexto de seguridad específico.\n\u003cbr\u003eEste indicador de exposición lo ayuda al señalar los usuarios que se omitieron del silo por error. En cuanto a los equipos que requieren inclusión en el silo, las recomendaciones dependen únicamente de las opciones del indicador de exposición proporcionadas. Varias opciones “nombradas” similares ofrecen una visión de los tipos de servidor que tradicionalmente se consideraron altamente privilegiados en un entorno de AD, como los siguientes:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eLos servidores de AD CS pueden vulnerarse para generar certificados inseguros que se usan para la autenticación en controladores de dominio (consulte el indicador de exposición “Errores de configuración peligrosos de AD CS”).\u003c/li\u003e\n\u003cli\u003eLos servidores de WSUS que aplican actualizaciones en los controladores de dominio podrían vulnerarse para implementar actualizaciones de Windows falsas (consulte el indicador de exposición “Errores de configuración peligrosos de WSUS”).\u003c/li\u003e\n\u003cli\u003eLos servidores de Exchange que no tengan un endurecimiento del esquema de AD pueden poseer permisos de riesgo en la raíz del dominio (consulte el indicador de exposición “Permisos de objetos raíz que permiten ataques similares a DCSync”).\u003c/li\u003e\n\u003cli\u003eEtc.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eReserve tiempo para identificar con cuidado los servidores de nivel 0. Una especificación insuficiente del sistema podría exponer la instancia de AD a rutas de ataque, mientras que una inclusión excesiva en el silo podría poner en peligro la seguridad y visibilidad. Se aconseja ser conservador en un principio, incluir solo los servidores privilegiados obvios y agregar gradualmente más servidores cuando haya una ruta de pivoteo que pueda poner en peligro AD o los servidores existentes del silo.\n\u003cbr\u003e\u003cbr\u003eEn las secciones siguientes se detalla la secuencia de anomalías que este indicador de exposición activa y se ofrece una guía paso a paso para la instalación de silos de autenticación de nivel 0. Los administradores familiarizados con la configuración de silos y políticas de autenticación pueden elegir no seguir este procedimiento. \nTenga en cuenta que la GUI del producto presentará los pasos independientes en secuencia, mientras que una anomalía indicará las acciones que pueden tener lugar de manera simultánea.\u003c/p\u003e\n\u003ch4\u003e1. Cuenta de usuario de nivel 0 sin protección\u003c/h4\u003e\n\u003cp\u003eLos usuarios privilegiados dentro de un silo de nivel 0 deberían usar exclusivamente el protocolo Kerberos y evitar el protocolo NTLM. Además, tenga cuidado de los riesgos potenciales asociados con la delegación de autenticación de estas cuentas.\nPara mitigar ambos problemas potenciales, se aconseja incluir estos usuarios en el grupo \"Protected Users\". Consulte el indicador de exposición dedicado “El grupo Protected Users no se usa” para obtener más información sobre este grupo y las consecuencias de agregar miembros a este.\n\u003cbr\u003eNota: Si es necesario, puede deshabilitar esta comprobación con una opción si no corresponde a su situación.\n\u003cbr\u003ePor ejemplo, use el siguiente comando de PowerShell para agregar un usuario específico al grupo “Usuarios protegidos”:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Add-ADGroupMember -Identity \"Protected Users\" -Members \"adm-t0\"\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003e2. Controladores de dominio no actualizados\u003c/h4\u003e\n\u003cp\u003ePara admitir silos de autenticación y sus dependencias técnicas, los controladores de dominio deben ser Windows Server 2012 R2 o superior (la versión necesaria del lado servidor). Asegúrese de actualizar todos los controladores de dominio antes de la configuración.\u003c/p\u003e\n\u003ch4\u003e3a. Error de configuración del lado cliente\u003c/h4\u003e\n\u003cp\u003eEn el lado cliente, configure un GPO para habilitar la compatibilidad con notificaciones, autenticación compuesta y protección de Kerberos. Vincule este GPO a los contenedores de servidores y estaciones de trabajo en el silo de nivel 0 para asegurarse de que los usuarios de nivel 0 puedan autenticarse en ellos. Si bien que no se vincule ni aplique el GPO no es un riesgo de seguridad, puede provocar problemas de autenticación luego de crear el silo.\n\u003cbr\u003ePara establecer esta configuración con Directiva de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Cree un GPO o use uno existente y haga clic en \u003cem\u003eEditar…\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, debajo de \u003cem\u003eConfiguración del equipo\u003c/em\u003e, expanda la carpeta \u003cem\u003eDirectivas\u003c/em\u003e y navegue hasta alcanzar \u003cem\u003ePlantillas administrativas\\Sistema\\Kerberos\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cem\u003eEl cliente Kerberos admite notificaciones, autenticación compuesta y protección de Kerberos\u003c/em\u003e y seleccione \u003cem\u003eHabilitado\u003c/em\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eNota: Recuerde vincular este GPO también a las estaciones de trabajo y controladores de dominio de nivel 0.\u003c/p\u003e\n\u003ch4\u003e3b. Protección de Kerberos no exigida\u003c/h4\u003e\n\u003cp\u003eLa configuración del GPO del lado cliente existente es suficiente para cumplir con los requisitos. Sin embargo, para mayor seguridad, considere la posibilidad de exigir, en lugar de solicitar, la protección de Kerberos. Esto minimiza el riesgo de que atacantes intercepten el tráfico de red y recuperen credenciales.\n\u003cbr\u003ePara establecer esta configuración con Directiva de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Cree un GPO de lado cliente o use uno creado anteriormente y haga clic en \u003cem\u003eEditar…\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, debajo de \u003cem\u003eConfiguración del equipo\u003c/em\u003e, expanda la carpeta \u003cem\u003eDirectivas\u003c/em\u003e y navegue hasta alcanzar \u003cem\u003ePlantillas administrativas\\Sistema\\Kerberos\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cem\u003eGenerar un error en las solicitudes de autenticación cuando la protección de Kerberos no esté disponible\u003c/em\u003e y seleccione \u003cem\u003eHabilitado\u003c/em\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eCon estos dos parámetros definidos, los usuarios de nivel 0 pueden autenticarse en esos equipos luego de que el GPO entre en vigencia (esto puede llevar un tiempo y exigir un reinicio).\u003c/p\u003e\n\u003ch4\u003e3c. Error de configuración del lado servidor\u003c/h4\u003e\n\u003cp\u003eEn el lado servidor, tiene que configurar los controladores de dominio para que admitan los requisitos previos del silo de autenticación.\nPara ello, vincule un GPO al contenedor predeterminado de controladores de dominio (u otras unidades organizativas si los controladores de dominio se movieron).\n\u003cbr\u003ePara establecer esta configuración con Directiva de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eAbra la Consola de administración de directivas de grupo. Cree un GPO o use uno existente (no el creado anteriormente en el lado cliente) y haga clic en \u003cem\u003eEditar…\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, debajo de \u003cem\u003eConfiguración del equipo\u003c/em\u003e, expanda la carpeta \u003cem\u003eDirectivas\u003c/em\u003e y navegue hasta alcanzar \u003cem\u003ePlantillas administrativas\\Sistema\\KDC\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cem\u003eKDC admite notificaciones, autenticación compuesta y protección de Kerberos\u003c/em\u003e, seleccione \u003cem\u003eHabilitado\u003c/em\u003e y defina la opción \u003cem\u003eOpciones de notificaciones, autenticación compuesta para el control de acceso dinámico y protección de Kerberos:\u003c/em\u003e en \u003cem\u003eCompatible\u003c/em\u003e.\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eUna vez que un controlador de dominio aplique este GPO, hace un cambio en la cuenta “KRBTGT”. Este indicador de exposición valida estos cambios en la cuenta y la resolución se produce tras la detección.\u003c/p\u003e\n\u003ch4\u003e4. Error de configuración del silo de autenticación\u003c/h4\u003e\n\u003cp\u003eLa configuración del silo comprende varios pasos pequeños indicados por casillas en la anomalía. Estos cambios pueden tener lugar en cualquier orden, y en la documentación de Microsoft, detallada en los vínculos a continuación de la sección “Documentos”, se ofrece información exhaustiva sobre los detalles de implementación.\n\u003cbr\u003eEl “Centro de administración de Active Directory” es una herramienta práctica para crear el silo de autenticación y su política asociada.\nAcceda a la configuración desde el panel izquierdo, debajo de la categoría “Authentication” dentro de las subcategorías “Authentication Policies” y “Authentication Policy Silos”.\n\u003cbr\u003ePara comenzar, cree primero la política de autenticación de nivel 0 y habilite las referencias directas dentro del silo de nivel 0. En un principio, configure ambas en “Only audit policy restrictions” y “Only audit silo policies” para crear una versión inicial del silo de nivel 0. Esta opción le permite ver los registros de eventos de Windows para comprender el impacto antes de exigir la configuración.\nUna vez que tenga todo listo, los motivos a continuación le brindarán asistencia adicional para asegurarse de que se incluyan en el silo los equipos y usuarios correctos. Esas comprobaciones adicionales solo pueden ejecutarse después de haber completado cada uno de los pasos que aquí se describen.\u003c/p\u003e\n\u003ch4\u003e5a. Usuario privilegiado sin referencias\u003c/h4\u003e\n\u003cp\u003eLos siguientes motivos ofrecen contexto sobre qué cuentas de usuario y de equipo deben incluirse en el silo de nivel 0 y también indican qué cuentas deben excluirse.\n\u003cbr\u003eEste tema inicial trata sobre la importancia de contar con una lista completa de cuentas de usuario dentro del silo de nivel 0. Cada cuenta de usuario identificada como privilegiada (según se explica en detalle en el indicador de exposición “Miembros de grupos administrativos nativos”) debe incluirse en el silo.\nSi la comprobación devuelve una lista de usuarios demasiado extensa, es indicio de la necesidad de reducir la cantidad de usuarios privilegiados de antemano.\n\u003cbr\u003eLa resolución de este motivo solo puede tener lugar después de agregar al silo cada cuenta de usuario privilegiado (en la sección “Cuentas permitidas” de la configuración del silo). Esto puede exigir la creación de nuevas cuentas de usuarios administrativos para administrar los recursos que no sean confidenciales.\u003c/p\u003e\n\u003ch4\u003e5b. Usuario privilegiado sin asignar\u003c/h4\u003e\n\u003cp\u003eEl segundo paso necesario para incluir un usuario en el silo es asignarle el usuario. El primer paso es “hacer referencia” y el segundo paso es “asignar”.\n\u003cbr\u003ePara hacer esto para cada usuario, haga doble clic en cada cuenta, vaya a la sección \u003cem\u003eAuthentication Policy Silo\u003c/em\u003e , seleccione la casilla \u003cem\u003eAssign Authentication Policy Silo\u003c/em\u003e y, luego, elija el nivel 0 por su nombre en la sección \u003cem\u003eAuthentication Policy Silo\u003c/em\u003e .\u003c/p\u003e\n\u003ch4\u003e5c. Usuario privilegiado con referencias\u003c/h4\u003e\n\u003cp\u003ePara mantener el silo de nivel 0 en su tamaño mínimo y más restringido posible, incluya solo las cuentas de usuarios privilegiados esenciales. Quite las cuentas de usuarios sin privilegios que no deban formar parte del silo. Si es válido y necesario, puede excluirlas a través de la opción dedicada del indicador de exposición.\u003c/p\u003e\n\u003ch4\u003e5d. Equipo con privilegios sin referencias\u003c/h4\u003e\n\u003cp\u003eAl igual que con las cuentas de usuario, incluya cuentas de equipo en el silo de nivel 0. A diferencia de los usuarios, este indicador de exposición no puede calcular ni sugerir automáticamente los equipos con privilegios para facilitar la configuración. Sin embargo, use las distintas opciones para identificar servidores y estaciones de trabajo que tengan que incluirse en el silo de nivel 0.\u003c/p\u003e\n\u003ch4\u003e5e. Equipo con privilegios sin asignar\u003c/h4\u003e\n\u003cp\u003eDespués de hacer referencia a las cuentas de equipo, también tiene que asignarlas al silo de nivel 0.\nPara ello, haga doble clic en cada equipo y vaya a la sección \u003cem\u003eAuthentication Policy Silo\u003c/em\u003e . Seleccione la casilla \u003cem\u003eAssign Authentication Policy Silo\u003c/em\u003e y elija el silo de nivel 0 por su nombre en la sección \u003cem\u003eAuthentication Policy Silo\u003c/em\u003e .\u003c/p\u003e\n\u003ch4\u003e5f. Equipo sin privilegios con referencias\u003c/h4\u003e\n\u003cp\u003eAl igual que la configuración de los usuarios, el silo de nivel 0 solo debe contener equipos con privilegios.\nSi no están validadas, quítelas de la sección “Cuentas permitidas”. Si se acepta, agregue las unidades organizativas a través de las opciones dedicadas.\u003c/p\u003e\n\u003ch4\u003e6. Error de configuración de la política de autenticación\u003c/h4\u003e\n\u003cp\u003eConfigure la política de autenticación asociada al silo de nivel 0 con una condición para limitar que las cuentas de usuario solo se autentiquen en equipos incluidos en el silo. Sin esta restricción, las credenciales de los usuarios no tendrán protección y podrán vulnerarse en equipos de niveles inferiores si los administradores se autentican allí.\n\u003cbr\u003ePara ello, vaya a la configuración de la política de autenticación y navegue hasta la sección \u003cem\u003eInicio de sesión de usuario\u003c/em\u003e . Debajo de \u003cem\u003eClick Edit to define conditions\u003c/em\u003e, cree la siguiente condición: \u003cem\u003e(User.AuthenticationSilo Equals \"T0-Silo\")\u003c/em\u003e (adapte “T0-Silo” con el nombre del silo de nivel 0).\u003c/p\u003e\n\u003ch4\u003e7. Varios usos de la política de autenticación\u003c/h4\u003e\n\u003cp\u003eMicrosoft ofrece dos métodos para especificar una política de autenticación para la cuenta:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eSer miembro de un silo.\u003c/li\u003e\n\u003cli\u003eComo alternativa, asignar manualmente una política de autenticación a la cuenta, fuera de un silo.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eAsignar una política de autenticación directamente a una cuenta (fuera de la configuración del silo) no es una práctica recomendada, ya que complejiza la administración tanto del silo como de su política.\n\u003cbr\u003ePara quitar manualmente una cuenta asociada a la política de autenticación de un silo de nivel 0, vaya a la configuración de la política de autenticación y quite cada cuenta que se especifique en la sección \u003cem\u003eCuentas\u003c/em\u003e .\u003c/p\u003e\n","resources":[{"name":"Authentication Policies and Authentication Silos - Restricting Domain Controller Access","url":"https://social.technet.microsoft.com/wiki/contents/articles/26945.authentication-policies-and-authentication-silos-restricting-domain-controller-access.aspx","type":"hyperlink"},{"name":"Protecting Domain Administrative Credentials","url":"https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/protecting-domain-administrative-credentials/ba-p/259210","type":"hyperlink"}]},"resources":[{"name":"Authentication Policies and Authentication Policy Silos","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn486813(v=ws.11)","type":"hyperlink"},{"name":"L'administration en silo (documento de referencia en francés)","url":"https://www.sstic.org/2017/presentation/administration_en_silo/","type":"hyperlink"}],"applicable_resource_types":["ad_group","ad_user","ad_sysvol_pol","ad_domain_dns","ad_msds_auth_n_policy_silo"],"attacker_known_tools":[],"category_id":1,"mitre_attacks":[{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["ko_KR","es_001","zh_CN","de_DE","ja_JP","fr_FR","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-AUTH-SILO","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["ko","es","zh-CN","de","ja","fr","zh-TW","en"],"mitre_attack_information":[{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[55]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-DYNAMIC-UPDATES","_score":null,"_source":{"language_code":"es_001","codename":"C-DYNAMIC-UPDATES","name":"Actualizaciones dinámicas sin protección permitidas de zonas DNS","id":54,"description":"\u003cp\u003eComprueba que la configuración de servidores DNS no permita las actualizaciones dinámicas sin protección de las zonas DNS.\u003c/p\u003e\n","criticity":"high","exec_summary":"\u003cp\u003eConfigurar una zona DNS dinámica con actualizaciones sin protección puede llevar a la edición no autenticada de registros de DNS, lo que los hace vulnerables a registros de DNS fraudulentos.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eEl Domain Name System (DNS) funciona como sistema de nomenclatura jerárquico y distribuido que asigna de manera activa un nombre de host a una o varias direcciones IP. Recíprocamente, puede realizar búsquedas inversas, lo que convierte una dirección IP en su nombre de host correspondiente. En general, los controladores de dominio hospedan el rol de DNS, donde los registros de DNS están configurados para replicarse entre ellos.\nAdemás del servicio DNS tradicional, la información de DNS se almacena en Active Directory, lo que se conoce como AD Integrated DNS (ADIDNS), y al que se accede a través del protocolo LDAP.\nDynamic DNS (DDNS) funciona como servicio en tiempo real, que actualiza automáticamente los registros de DNS. Esta funcionalidad mantiene nombres de host coherentes para facilitar la accesibilidad a los dispositivos con direcciones IP dinámicas. Los clientes DDNS, que se ejecutan en dispositivos (normalmente con sistema operativo Windows), actualizan de manera activa los registros de DNS en respuesta a cambios en las direcciones IP. Este proceso sin fisuras permite que los usuarios se comuniquen con sus dispositivos de manera continua a través de un nombre de host fijo, por lo que mejora la conectividad remota.\n\u003cbr\u003eEste indicador de exposición identifica la configuración insegura de actualizaciones dinámicas de las zonas DNS.\u003c/p\u003e\n\u003ch4\u003eOpción de actualizaciones dinámicas inseguras de zonas DNS\u003c/h4\u003e\n\u003cp\u003eDe manera predeterminada, Active Directory está configurado de manera óptima, lo que permite que las zonas DNS se actualicen de manera segura y dinámica a través de la opción designada: “Solo con seguridad”. No obstante, es posible modificar esta configuración a “Ninguna” o “Sin seguridad y con seguridad”.\nDeshabilitar esta característica por completo no representa un riesgo inherente. De manera predeterminada, ciertas zonas relacionadas con Active Directory no tienen habilitado el modo dinámico, pero esto no es problema (p. ej., DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=ad,DC=tenable,DC=com). Sin embargo, si la opción cambia a “Sin seguridad y con seguridad”, la adición, edición o eliminación de registros de DNS pueden tener lugar sin exigir autenticación. Desde la perspectiva de un atacante, las consecuencias de dicha configuración sin protección incluyen:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEliminar un registro existente y dejar a la empresa bloqueada.\u003c/li\u003e\n\u003cli\u003eActualizar un registro existente para permitir suplantar la identidad de una máquina por otra. Si la red usa filtros de IP, en esta situación un atacante podría aprovecharse de estos.\u003c/li\u003e\n\u003cli\u003eCrear nuevos registros e inundar el servidor DNS.\u003c/li\u003e\n\u003c/ul\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Establecer la opción de actualizaciones dinámicas de zona DNS en “Solo con seguridad” o deshabilitar el modo dinámico","description":"Establezca la opción de actualizaciones dinámicas de zona DNS en “Solo con seguridad” o deshabilite el modo dinámico.","exec_summary":"\u003cp\u003eLos errores de configuración de las actualizaciones dinámicas de las zonas DNS pueden afectar gravemente a la seguridad de Active Directory. Por lo tanto, es fundamental usar actualizaciones dinámicas de manera segura o no usarlas en absoluto.\u003c/p\u003e\n","detail":"\u003ch4\u003eEstablecer la opción de actualizaciones dinámicas de zonas DNS en “Solo con seguridad” o deshabilitar el modo dinámico\u003c/h4\u003e\n\u003cp\u003eAl usar solo el modo seguro, los dispositivos tienen que autenticarse para agregar o actualizar registros. Si usa el modo “Sin seguridad y con seguridad”, tal vez algunos dispositivos apliquen actualizaciones sin autenticarse. Esto debe evaluarse antes de hacer el cambio.\nPuede realizar esta corrección gráficamente con la herramienta DNS RSAT o en la consola con la utilidad \u003ccode\u003ednscmd\u003c/code\u003e.\u003c/p\u003e\n\u003ch2\u003eDNS RSAT (GUI)\u003c/h2\u003e\n\u003cp\u003eAbra el “Administrador de servidores” y haga lo siguiente:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eEn la barra de menús superior, haga clic en “Herramientas” y, luego, en “DNS”.\u003c/li\u003e\n\u003cli\u003eVaya por el servidor DNS hasta “Zonas de búsqueda directa”, que muestra una zona con el nombre del dominio.\u003c/li\u003e\n\u003cli\u003eHaga clic con el botón derecho en el nombre del dominio y seleccione “Propiedades”.\u003c/li\u003e\n\u003cli\u003eEn la pestaña “General”, en “Actualizaciones dinámicas”, cambie el valor de “Sin seguridad y con seguridad” a “Solo con seguridad” para resolver la anomalía. Nota: El valor “Ninguna” significa que las actualizaciones dinámicas de DNS están deshabilitadas y no genera problemas.\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch2\u003ednscmd\u003c/h2\u003e\n\u003cp\u003eEjecute el comando siguiente para reconfigurar las zonas DNS y permitir solo las actualizaciones seguras:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ednscmd \u0026lt;nombredelservidor\u0026gt; /Config \u0026lt;zona\u0026gt; /AllowUpdate 2\n#### ejemplo: dnscmd 127.0.0.1 /Config ad.tenable.com /AllowUpdate 2\n\u003c/code\u003e\u003c/pre\u003e\n","resources":[{"name":"Dnscmd","url":"https://learn.microsoft.com/es-es/windows-server/administration/windows-commands/dnscmd","type":"hyperlink"}]},"resources":[{"name":"Active Directory Security Assessment Checklist - Misconfigured DNS zones (texto en inglés)","url":"https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_dnszone_bad_prop","type":"hyperlink"},{"name":"[MS-DNSP]: Domain Name Service (DNS) Server Management Protocol (texto en inglés)","url":"https://learn.microsoft.com/es-es/openspecs/windows_protocols/ms-dnsp/f97756c9-3783-428b-9451-b376f877319a","type":"hyperlink"},{"name":"Zonas DNS integradas de Active Directory","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/plan/active-directory-integrated-dns-zones","type":"hyperlink"},{"name":"Dynamic update","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc784052(v=ws.10)","type":"hyperlink"},{"name":"Understanding Dynamic Update","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771255(v=ws.11)","type":"hyperlink"},{"name":"Dynamic Update and Secure Dynamic Update","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-2000-server/cc959275(v=technet.10)","type":"hyperlink"},{"name":"Beyond LLMNR/NBNS Spoofing - Exploiting Active Directory-Integrated DNS","url":"https://www.netspi.com/blog/technical/network-penetration-testing/exploiting-adidns/","type":"hyperlink"},{"name":"ADIDNS Revisited - WPAD, GQBL, and More","url":"https://www.netspi.com/blog/technical/network-penetration-testing/adidns-revisited/","type":"hyperlink"}],"applicable_resource_types":["ad_dns_zone"],"attacker_known_tools":[{"name":"Powermad","url":"https://github.com/Kevin-Robertson/Powermad#adidns-functions","author":"Kevin Robertson"}],"category_id":4,"mitre_attacks":[{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1557 - Adversary-in-the-Middle (texto en inglés)"]},{"tactic":"TA0042 - Resource Development (texto en inglés)","techniques":["T1584 - Compromise Infrastructure (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["es_001","fr_FR","zh_TW","de_DE","zh_CN","ko_KR","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-DYNAMIC-UPDATES","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"high","type":"ioe","subType":"ad","availableLocales":["es","fr","zh-TW","de","zh-CN","ko","ja","en"],"mitre_attack_information":[{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1557","name":"Adversary-in-the-Middle (texto en inglés)","url":"https://attack.mitre.org/techniques/T1557/"}]},{"tactic":{"id":"TA0042","name":"Resource Development (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0042/"},"techniques":[{"id":"T1584","name":"Compromise Infrastructure (texto en inglés)","url":"https://attack.mitre.org/techniques/T1584/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[54]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-WSUS-HARDENING","_score":null,"_source":{"language_code":"es_001","codename":"C-WSUS-HARDENING","name":"Errores de configuración peligrosos de WSUS","id":53,"description":"\u003cp\u003eEnumera los parámetros con errores de configuración relacionados con Windows Server Update Services (WSUS).\u003c/p\u003e\n","criticity":"critical","exec_summary":"\u003cp\u003eWindows Server Update Services (WSUS) es el producto de Microsoft que implementa actualizaciones de Windows en estaciones de trabajo y servidores.\nLos errores de configuración de WSUS pueden llevar a que los privilegios de una cuenta estándar se eleven hasta el grado de administrador.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eWSUS permite que los administradores de TI implementen las actualizaciones más recientes para los productos de Microsoft, que descargan de los servidores de actualización de Microsoft y almacenan localmente en el servidor de WSUS. En este momento, los administradores pueden aprobar las actualizaciones para su implementación en los clientes internos. Los clientes (estaciones de trabajo y servidores) Windows pueden consultar las actualizaciones aprobadas en el servidor de WSUS local para descargarlas e instalarlas y, luego, responder al servidor de WSUS con las instalaciones correctas de las actualizaciones. Esto permite que los administradores se aseguren de que se implementaron las actualizaciones necesarias. Dado que WSUS se diseñó para instalar software y parches en una gran cantidad de sistemas operativos, está claro que un uso indebido de su funcionalidad prevista podría suponer una amenaza grave a la seguridad de la red.\n\u003cbr\u003eMuchas veces, las empresas eligen varios tipos de arquitecturas de red y, a menudo, tienen varios servidores de WSUS que replican los cambios desde un único servidor ascendente conectado al servidor de WSUS público de Microsoft.\nEl aislamiento de la red es fundamental a los efectos de la seguridad, ya que los atacantes pueden usar los métodos de ataque que se describen a continuación. Elegir el ámbito equivocado para la implementación de actualizaciones del servidor de WSUS ―como usar el mismo servidor de WSUS de referencia para los bosques aislados― puede brindar a los atacantes un medio para trasladarse hacia otro entorno totalmente independiente del que ya vulneraron.\n\u003cbr\u003eLa paradoja de un servidor de WSUS, diseñado para la protección por medio de actualizaciones de seguridad, puede, en realidad, conducir a un escalamiento de privilegios debido a su rol centralizado y, potencialmente, debilitar los silos de la red. Como consecuencia, los administradores deberían tratar los servidores de WSUS como activos de nivel 0 (equivalente en confidencialidad a un controlador de dominio) y asegurarse de que solo las cuentas con privilegios puedan autenticarse en ellos.\n\u003cbr\u003ePoner en peligro un servidor de WSUS puede permitir que un atacante propague un parche malintencionado que se ejecute como la identidad integrada SISTEMA en los clientes de WSUS. En una explotación de WSUS, se dan dos escenarios principales:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eAtaque Man-in-the-Middle (MitM) entre un servidor y un cliente de WSUS\u003c/li\u003e\n\u003cli\u003eVulneración directa de un servidor de WSUS\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e\u003cbr\u003eEn el caso de un ataque de intermediario (man in the middle), un atacante usa un enfoque MitM para inyectar una actualización malintencionada en la conexión de red entre un cliente y un servidor. Para ello, el atacante debe interceptar el tráfico HTTP entre estas dos entidades mediante métodos comunes, como el uso del protocolo de Detección automática de proxy web (WPAD) o la suplantación del Protocolo de resolución de direcciones (ARP), cuando el atacante se encuentra en el mismo segmento de la red. Antes de Windows 10, versión 1607, un usuario sin privilegios podía configurar un proxy de usuario como reserva del proxy del sistema, lo que permitía que un atacante redirigiera el tráfico de la máquina. En la actualidad, las plataformas solo usan el proxy del sistema si se configuró durante la detección de actualizaciones, pero es posible deshabilitar esta opción a través de un GPO.\n\u003cbr\u003ePor lo tanto, es importante evitar dichos ataques mediante la aplicación de HTTPS y asignaciones de certificados al comunicarse con el servidor de WSUS. El sistema aplica los certificados del almacén de WSUS de manera predeterminada para contrarrestar los ataques de proxy de intercepción de HTTPS, pero un GPO puede deshabilitar este mecanismo de asignación.\n\u003cbr\u003eEl segundo ataque, una vulneración directa, implica la infiltración de un servidor de WSUS (a través de CVE o una ruta de ataque). Dicha infiltración permitiría a un atacante insertar una carga útil malintencionada en la base de datos subyacente y distribuirla entre los clientes.\n\u003cbr\u003eEn conclusión, para minimizar los riesgos, este indicador de exposición comprueba las opciones siguientes en busca de posibles errores de configuración:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eSe asegura de que el proxy de usuario, que se usa como reserva para la detección de actualizaciones, se mantenga deshabilitado.\u003c/li\u003e\n\u003cli\u003eComprueba el uso de un protocolo cifrado (HTTPS), en lugar de HTTP, para el servidor de WSUS principal y los servidores alternativos.\u003c/li\u003e\n\u003cli\u003eConfirma que la asignación de certificados se mantenga habilitada.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eDe manera predeterminada, estas opciones aplican configuraciones correctas y no exigen modificación alguna, a menos que usen valores incorrectos.\u003c/p\u003e\n","exploitability":"Hay exploits disponibles"},"recommendation":{"name":"Corrección de errores en la configuración de WSUS","description":"Para limitar los riesgos de una vulneración total de AD, debe abordar y corregir los errores de configuración de WSUS.\n","exec_summary":"\u003cp\u003eAlgunos parámetros de Microsoft WSUS pueden tener un impacto importante en la seguridad de toda la instancia de Active Directory y, por lo tanto, exigen cuidado en el momento de su configuración.\u003c/p\u003e\n","detail":"\u003cp\u003ePara minimizar el riesgo de manipulación de las actualizaciones de WSUS, debe configurar de manera adecuada ciertas opciones de los servidores de WSUS.\n\u003cbr\u003ePara empezar, asegúrese de que la aplicación WSUS use SSL para cifrar el tráfico. Esto evita que los atacantes potenciales que se encuentran en la red ejecuten comandos en sistemas remotos para solicitar actualizaciones. Microsoft ofrece una guía completa sobre la generación de un certificado dedicado y su instalación en el servidor de WSUS. Además, se puede usar una PKI, como AD CS, a fin de generar certificados para varios servidores de WSUS.\nUna vez que haya creado e instalado el certificado, actualice el GPO donde se especifica el servidor de WSUS para la recuperación de actualizaciones a fin de aplicar el protocolo HTTPS, en lugar de HTTP.\n\u003cbr\u003ePara cambiar el valor con la política de grupo:\u003c/p\u003e\n\u003col\u003e\n\u003cli\u003eInicie la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el GPO que contiene la opción que quiere cambiar y seleccione \u003cem\u003eEditar\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eEn el árbol de la consola, debajo de \u003cem\u003eConfiguración del equipo\u003c/em\u003e, expanda la carpeta \u003cem\u003eDirectivas\u003c/em\u003e y vaya a \u003cem\u003ePlantillas administrativas\\Componentes de Windows\\Windows Update\u003c/em\u003e.\u003c/li\u003e\n\u003cli\u003eHaga doble clic en \u003cem\u003eEspecificar la ubicación del servicio Microsoft Update en la intranet\u003c/em\u003e y escriba la dirección URL de WSUS con el protocolo HTTPS en el cuadro debajo de las etiquetas \u003cem\u003eEstablecer el servicio de actualización de la intranet para detectar actualizaciones\u003c/em\u003e y establezca \u003cem\u003eServidor de descarga alternativo\u003c/em\u003e (si corresponde).\u003c/li\u003e\n\u003c/ol\u003e\n\u003cp\u003eAdemás, si la asignación de certificados se deshabilitó de manera explícita, vuelva a habilitarla para endurecer el túnel SSL.\nEn la misma categoría que lo anterior, asegúrese de que la casilla junto a \u003cem\u003eNo fuerces el anclaje de certificados TLS para que el cliente de Windows Update detecte las actualizaciones\u003c/em\u003e se mantenga desmarcada.\n\u003cbr\u003ePor último, el proxy de usuario no debe estar disponible como opción, ni siquiera como mecanismo de reserva, para descargar actualizaciones de WSUS.\nEn la misma categoría que lo anterior, en \u003cem\u003eSeleccione el comportamiento del proxy para el cliente de Windows Update para detectar actualizaciones\u003c/em\u003e, seleccione la opción \u003cem\u003eUsar solo el proxy del sistema para detectar actualizaciones (predeterminado)\u003c/em\u003e.\u003c/p\u003e\n","resources":[{"name":"Configure a software update point to use TLS/SSL with a PKI certificate","url":"https://learn.microsoft.com/es-es/mem/configmgr/sum/get-started/software-update-point-ssl","type":"hyperlink"},{"name":"Manage additional Windows Update settings","url":"https://learn.microsoft.com/es-es/windows/deployment/update/waas-wu-settings","type":"hyperlink"},{"name":"Scan changes and certificates add security for Windows devices using WSUS for updates","url":"https://techcommunity.microsoft.com/t5/windows-it-pro-blog/scan-changes-and-certificates-add-security-for-windows-devices/ba-p/2053668","type":"hyperlink"},{"name":"WSUSpendu - Recommendations (p29)","url":"https://www.blackhat.com/docs/us-17/wednesday/us-17-Coltel-WSUSpendu-Use-WSUS-To-Hang-Its-Clients-wp.pdf","type":"hyperlink"}]},"resources":[{"name":"Introducing SharpWSUS","url":"https://labs.nettitude.com/blog/introducing-sharpwsus/","type":"hyperlink"},{"name":"WSUSpendu - Injecting a new update (p17)","url":"https://www.blackhat.com/docs/us-17/wednesday/us-17-Coltel-WSUSpendu-Use-WSUS-To-Hang-Its-Clients-wp.pdf","type":"hyperlink"}],"applicable_resource_types":["ad_sysvol_pol"],"attacker_known_tools":[{"name":"WSUSpect Proxy","url":"https://github.com/ctxis/wsuspect-proxy","author":"Paul Stone, Alex Chapman"},{"name":"WSUSpendu","url":"https://github.com/tenable/WSUSpendu","author":"Romain Coltel, Yves Le Provost"}],"category_id":1,"mitre_attacks":[{"tactic":"TA0006 - Credential Access (texto en inglés)","techniques":["T1557 - Adversary-in-the-Middle (texto en inglés)"]},{"tactic":"TA0008 - Lateral Movement (texto en inglés)","techniques":["T1072 - Software Deployment Tools (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["zh_TW","ja_JP","fr_FR","zh_CN","de_DE","es_001","ko_KR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-WSUS-HARDENING","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"critical","type":"ioe","subType":"ad","availableLocales":["zh-TW","ja","fr","zh-CN","de","es","ko","en"],"mitre_attack_information":[{"tactic":{"id":"TA0006","name":"Credential Access (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0006/"},"techniques":[{"id":"T1557","name":"Adversary-in-the-Middle (texto en inglés)","url":"https://attack.mitre.org/techniques/T1557/"}]},{"tactic":{"id":"TA0008","name":"Lateral Movement (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0008/"},"techniques":[{"id":"T1072","name":"Software Deployment Tools (texto en inglés)","url":"https://attack.mitre.org/techniques/T1072/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[53]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-PROP-SET-SANITY","_score":null,"_source":{"language_code":"es_001","codename":"C-PROP-SET-SANITY","name":"Integridad de Property Sets","id":52,"description":"\u003cp\u003eComprueba la integridad de property sets y valida los permisos\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003e“Property Set” es una característica de Microsoft Active Directory (AD) que facilita la creación de permisos (lista de control de acceso o ACL) para objetos de AD y mejora el rendimiento del sistema. Sirve de mecanismo para consolidar varios atributos dentro de una entidad de AD, lo que permite que el sistema haga referencia a ellos de manera colectiva dentro de las ACL, en lugar de tener que hacer referencia a atributos individuales por separado.\n\u003cbr\u003eEste indicador de exposición pretende asegurar que no existan errores de configuración ni puertas traseras a partir de agentes malintencionados en este tipo de objeto y los atributos dentro del esquema de AD.\nActualmente, no existen vectores de ataque públicos conocidos asociados al uso de property sets. Por lo tanto, debería centrarse en abordar los errores de configuración o las peculiaridades que provienen de productos de terceros que usan esta característica.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eMicrosoft AD presentó el concepto de property sets para simplificar la administración de las listas de control de acceso (ACL). Este enfoque permite la declaración de una única entrada de control de acceso (ACE) para un property set, en lugar de varias entradas para sus atributos subyacentes.\u003c/p\u003e\n\u003cp\u003eUn property set se relaciona con un atributo o varios, aunque técnicamente, es cada atributo el que puede asociarse con un único property set.\n\u003cbr\u003eLa información relacionada con property sets tiene dos ubicaciones: la partición de configuración (en el contenedor “CN=Extended-Rights,CN=Configuration,DC=DOMAIN,DC=CORP”) y la partición del esquema.\n\u003cbr\u003eLos objetos de la clase “controlAccessRight” en la partición de configuración representan property sets. Esta clase sirve para varios propósitos, que incluyen “Escrituras validadas”, “Property Sets” y “Derechos extendidos”. Si bien este indicador de exposición se centra principalmente en property sets, lleva a cabo comprobaciones de integridad exhaustivas para brindar información más amplia.\nAl definir los “planos” de los objetos de AD, la partición del esquema desempeña un papel fundamental. Especifica los distintos objetos de atributos y clases que AD incluye. En particular, el almacenamiento de información relativa al property set al que pertenece un atributo no se encuentra dentro de los atributos del property set, sino en el propio objeto “attributeSchema”.\u003c/p\u003e\n\u003cp\u003e\u003cbr\u003eEste indicador de exposición lleva a cabo varias comprobaciones relacionadas con los property sets de la manera siguiente:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eVerificación de la instalación del esquema de AD más reciente antes de examinar la integridad de los datos. Este paso es fundamental, ya que Microsoft actualiza el esquema cuando encuentra problemas de diseño dentro de este esquema de AD, como el tema crítico de ACL predeterminadas equilibradas.\u003c/li\u003e\n\u003cli\u003eValidación de la integridad de los property sets predeterminados mediante la comprobación cruzada de los atributos “appliesTo” y “rightsGuid”, y la comparación de sus valores actuales con los configurados en el esquema de AD predeterminado más reciente.\u003cul\u003e\n\u003cli\u003eEl atributo “rightsGuid” sirve de referencia para el property set en las ACL y mediante un atributo de AD.\u003c/li\u003e\n\u003cli\u003eEl atributo “appliesTo” designa los tipos de objeto aptos para la aplicación de un property set. Un valor vacío afecta a todos los objetos que tienen este atributo. En una situación de explotación, esto normalmente también exige la modificación del atributo “rightsGuid”.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eValidación de la integridad de los atributos del esquema de AD predeterminado al comparar los valores actuales de los atributos “attributeSecurityGUID” y “schemaIDGUID” con los configurados en el esquema de AD predeterminado más reciente.\u003cul\u003e\n\u003cli\u003eEl atributo “attributeSecurityGUID” indica el property set al que pertenece el atributo; un valor vacío indica que no pertenece a ningún property set.\u003c/li\u003e\n\u003cli\u003eEl atributo “schemaIDGUID” es el GUID al que los descriptores de seguridad (ACL) pueden hacer referencia.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003cli\u003eValidación de permisos tanto en los property sets como en los objetos de atributos del esquema de AD para asegurar que ninguna cuenta sin privilegios pueda modificar estos objetos ni acceder a ellos. Además, valida de manera exhaustiva los atributos específicos descritos anteriormente.\u003c/li\u003e\n\u003cli\u003eComprobación de si hay definido un property set personalizado y validación de su legitimidad, lo que puede deberse a una extensión del esquema implementada por un producto de un tercero.\u003c/li\u003e\n\u003cli\u003eComprobación y validación de que haya definido un property set personalizado y de que no tenga configurado ningún atributo sensible. Los errores de configuración aquí podrían conducir potencialmente a una elevación indirecta de privilegios en AD, incluso aunque esto sea difícil de llevar a cabo.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e\u003cbr\u003eEs importante destacar que, de manera predeterminada, Microsoft no introduce errores de diseño en un esquema actualizado de Active Directory, ya sea en los permisos existentes o en la configuración inicial de los property sets. En consecuencia, algunas anomalías de este indicador de exposición pueden provenir de instalaciones de productos de terceros o de configuraciones personalizadas, como las implementadas por un atacante.\u003c/p\u003e\n\u003cp\u003eEsto se traduce en que los atacantes que busquen explotar property sets para generar puertas traseras en AD deben no solo incluir un atributo peligroso o sensible dentro de un property set, sino que también deben aplicar de manera estratégica ACL explícitas en objetos de AD.\n\u003cbr\u003ePara reducir la posibilidad de que surjan anomalías a partir de productos conocidos y sus property sets personalizados, este indicador de exposición incluye las versiones más recientes de productos de Microsoft que se encargan de las extensiones de esquemas, a saber:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eWindows LAPS, nuevo (presentado en 2023)\u003c/li\u003e\n\u003cli\u003eMicrosoft LAPS, heredado\u003c/li\u003e\n\u003cli\u003eExchange\u003c/li\u003e\n\u003cli\u003eSkype for Business\u003c/li\u003e\n\u003cli\u003eSystem Center (no se agregó ningún conjunto de propiedades)\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEl indicador de exposición ofrece una opción dedicada para especificar la presencia de un conjunto de propiedades personalizado en el entorno. Sin embargo, aún es necesario validar que las modificaciones llevadas a cabo a partir de un producto de un tercero se alineen con las prácticas de seguridad recomendadas, incluidos los atributos de los miembros, la configuración de permisos, etc.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Analizar y corregir riesgos en la configuración de Property Sets","description":"Para mitigar los riesgos asociados al potencial escalamiento de privilegios o instalación de puertas traseras por parte de atacantes, debería evaluar exhaustivamente y corregir la configuración de property sets.\n","exec_summary":"\u003cp\u003eLos errores de configuración de property sets pueden afectar gravemente a la seguridad de Active Directory. Por lo tanto, es fundamental prestarles atención y supervisión.\u003c/p\u003e\n","detail":"\u003cp\u003e\u003cstrong\u003e⚠️NOTA IMPORTANTE (DESCARGO DE RESPONSABILIDAD)⚠️\u003c/strong\u003e\n\u003cbr\u003e\u003cstrong\u003eLos problemas que se tratan en este indicador de exposición pertenecen a un tema complejo que puede tener consecuencias importantes en Active Directory (AD) si no se abordan de manera adecuada. Se aconseja no intentar aplicar correcciones, a menos que no tenga problemas con efectuar cambios manuales en el esquema de AD. Si no tiene confianza suficiente a este respecto, lo mejor es buscar asistencia de un socio con experiencia reconocida en AD para que valide los cambios propuestos.\nTenga en cuenta que Tenable no garantiza los comandos que se indican a continuación, que son ejemplos meramente ilustrativos que puede personalizar según sus requisitos específicos. Además, es de suma importancia que se asegure de una replicación sin fallas entre los controladores de dominio antes de avanzar con las modificaciones en el esquema. Por último, se aconseja realizar pruebas previas completas en un entorno que no sea de producción.\u003c/strong\u003e\u003c/p\u003e\n\u003ch4\u003eActualizar el esquema de AD con la versión más reciente\u003c/h4\u003e\n\u003cp\u003ePara habilitar un análisis completo del indicador de exposición, asegúrese de haber aplicado las actualizaciones más recientes del esquema de AD. De ser necesario, siga la documentación de Microsoft y la guía de prácticas recomendadas de la comunidad (consulte la sección de recursos), mediante la herramienta adprep de un ISO de Windows Server reciente. Tenga cuidado al ejecutar estos comandos, al igual que al realizar cualquier modificación en el esquema de AD.\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eadprep.exe /forestprep\nadprep.exe /domainprep\nadprep.exe /domainprep /gpprep\nadprep.exe /rodcprep\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003eAntes de implementar cambios en el entorno de producción, se aconseja hacer pruebas en el entorno de prueba.\u003c/p\u003e\n\u003ch4\u003eValidar y luego restablecer los atributos sensibles en un property set sensible\u003c/h4\u003e\n\u003cp\u003eUse PowerShell para corregir un atributo incorrecto definido para un property set (atributos “appliesTo” o “rightsGuid”). Por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADObject -Identity \"CN=Web-Information,CN=Extended-Rights,CN=Configuration,DC=DOMAIN,DC=CORP\" -Replace @{'rightsGuid'=\"E45795B3-9455-11d1-AEBD-0000F80367C1\"}\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003ePrimero debe verificar el “valor esperado” proporcionado en los detalles de la anomalía para el atributo modificado, con el fin de evitar problemas potenciales con las referencias existentes a este property set.\u003c/p\u003e\n\u003ch4\u003eValidar y luego restablecer los atributos sensibles en un atributo de esquema de AD predeterminado\u003c/h4\u003e\n\u003cp\u003eUse PowerShell para corregir un atributo incorrecto definido para un atributo del esquema de AD (atributos “attributeSecurityGUID” o “schemaIDGUID”). Por ejemplo:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Set-ADObject -Identity \"CN=WWW-Page-Other,CN=Schema,CN=Configuration,DC=DOMAIN,DC=CORP\" -Replace @{'attributeSecurityGUID'=\"e45795b3-9455-11d1-aebd-0000f80367c1\"}\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eEn los detalles de la anomalía del atributo modificado, primero debería verificar el “valor esperado” para evitar problemas potenciales (como perder su asociación con el property set o las referencias existentes con la ACL). Si acepta este cambio, luego debería agregar este atributo del esquema a la lista de permitidos en la opción dedicada. En el caso del ejemplo de PowerShell, sería “WWW-Page-Other”.\u003c/p\u003e\n\u003ch4\u003eCorregir los permisos peligrosos establecidos en property sets y atributos del esquema\u003c/h4\u003e\n\u003cp\u003ePuede realizar modificaciones de permisos por medio de la GUI (Editor ADSI) o mediante comandos de PowerShell.\u003c/p\u003e\n\u003cp\u003eSi tiene que restablecer el \u003cstrong\u003epropietario\u003c/strong\u003e de un property set, el procedimiento es el siguiente (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $securityPrincipalAccount = \"DOMAIN\\Enterprise Admins\"\nPS\u0026gt; $securityPrincipalObject = New-Object System.Security.Principal.NTAccount($securityPrincipalAccount)\nPS\u0026gt; $propSetPath = \"AD:CN=Web-Information,CN=Extended-Rights,CN=Configuration,DC=DOMAIN,DC=CORP\" \n#### $propSetPath can be replaced by $attributSchemaPath, the commands are similar for these two objects\nPS\u0026gt; $aclPropSet = Get-Acl -Path $propSetPath\nPS\u0026gt; $aclPropSet.SetOwner($securityPrincipalObject)\nPS\u0026gt; $aclPropSet | Set-Acl -Path $propSetPath\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSi tiene que quitar una \u003cstrong\u003eACE\u003c/strong\u003e que genera problemas de un property set, puede seguir el procedimiento a continuación (\u003cstrong\u003eNota: Adáptelo a su entorno\u003c/strong\u003e):\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Import-Module ActiveDirectory\nPS\u0026gt; $propSetPath = \"AD:CN=Web-Information,CN=Extended-Rights,CN=Configuration,DC=DOMAIN,DC=CORP\" \n#### $propSetPath can be replaced by $attributSchemaPath, the commands are similar for these two objects\nPS\u0026gt; $aclPropSet = Get-Acl -Path $propSetPath\nPS\u0026gt; $aceToRemove = $aclPropSet.Access | ? { $_.ActiveDirectoryRights -eq 'WriteProperty' -and $_.IdentityReference -eq 'DOMAIN\\unpriv' }\nPS\u0026gt; $aclPropSet.RemoveAccessRule($aceToRemove)\nPS\u0026gt; $aclPropSet | Set-Acl -Path $propSetPath\n\u003c/code\u003e\u003c/pre\u003e\n\u003ch4\u003eValidar la legitimidad de un property set personalizado\u003c/h4\u003e\n\u003cp\u003eLos productos de terceros pueden introducir un property set personalizado por medio de un procedimiento de extensión de esquemas.\nSi este producto ya no está presente en su entorno o si confirmó que este property set es malintencionado o representa un riesgo, puede quitarlo con el siguiente comando de PowerShell:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; Remove-ADObject -Identity \"CN=Z-Custom-PropSet,CN=Extended-Rights,CN=Configuration,DC=DOMAIN,DC=CORP\" -Confirm:$false\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eHay una opción disponible si el property set es legítimo.\u003c/p\u003e\n\u003ch4\u003eValidar y luego corregir los atributos sensibles que pertenecen a un property set personalizado\u003c/h4\u003e\n\u003cp\u003eNo se aconseja definir un atributo sensible dentro de un property set personalizado, a menos que tenga un requisito específico para ello. Esta práctica puede ocultar puertas traseras potenciales creadas por atacantes en objetos de AD y, además, es susceptible a errores, como la concesión accidental de acceso a un atributo sensible desde el punto de vista de la seguridad a usuarios básicos, lo que podrían explotar para elevar sus privilegios dentro de AD.\n\u003cbr\u003eUse el siguiente comando de PowerShell para restablecer la referencia del property set al valor correcto:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003ePS\u0026gt; $originalGuid = [System.Guid]::Parse(\"4c164200-20c0-11d0-a768-00aa006e0529\")\nPS\u0026gt; Set-ADObject -Identity \"CN=ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity,CN=Schema,CN=Configuration,DC=DOMAIN,DC=CORP\" -Replace @{'attributeSecurityGUID'=$originalGuid}\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eTenga en cuenta que la anomalía relacionada con este problema también aparecería en los resultados de las comprobaciones de integridad (aunque el riesgo es mayor para una anomalía en un atributo sensible).\u003c/p\u003e\n","resources":[{"name":"Upgrading AD DS Schema to Windows Server 2016","url":"https://samilamppu.com/2016/11/06/upgrading-ad-ds-schema-to-windows-server-2016/","type":"hyperlink"},{"name":"Best Practices for Implementing Schema Updates","url":"https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/best-practices-for-implementing-schema-updates/ba-p/255611","type":"hyperlink"},{"name":"Active Directory schema changes in Exchange Server (texto en inglés)","url":"https://learn.microsoft.com/es-es/exchange/plan-and-deploy/active-directory/ad-schema-changes?view=exchserver-2019","type":"hyperlink"}]},"resources":[{"name":"Control Access Rights (AD DS)","url":"https://learn.microsoft.com/es-es/windows/win32/ad/control-access-rights","type":"hyperlink"},{"name":"Property Sets (AD Schema) (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/win32/adschema/property-sets","type":"hyperlink"},{"name":"Creating a Control Access Right (texto en inglés)","url":"https://learn.microsoft.com/es-es/windows/win32/ad/creating-a-control-access-right","type":"hyperlink"},{"name":"Actualizaciones de esquema de Windows Server Active Directory","url":"https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/deploy/schema-updates","type":"hyperlink"},{"name":"Abusing forgotten permissions on computer objects in Active Directory","url":"https://dirkjanm.io/abusing-forgotten-permissions-on-precreated-computer-objects-in-active-directory/","type":"hyperlink"}],"applicable_resource_types":["ad_dmd","ad_control_access_right","ad_attribute_schema"],"attacker_known_tools":[],"category_id":4,"mitre_attacks":[{"tactic":"TA0003 - Persistence (texto en inglés)","techniques":["T1098 - Account Manipulation (texto en inglés)"]},{"tactic":"TA0004 - Privilege Escalation (texto en inglés)","techniques":["T1078 - Valid Accounts (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["de_DE","es_001","zh_CN","fr_FR","ja_JP","zh_TW","ko_KR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-PROP-SET-SANITY","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["de","es","zh-CN","fr","ja","zh-TW","ko","en"],"mitre_attack_information":[{"tactic":{"id":"TA0003","name":"Persistence (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0003/"},"techniques":[{"id":"T1098","name":"Account Manipulation (texto en inglés)","url":"https://attack.mitre.org/techniques/T1098/"}]},{"tactic":{"id":"TA0004","name":"Privilege Escalation (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0004/"},"techniques":[{"id":"T1078","name":"Valid Accounts (texto en inglés)","url":"https://attack.mitre.org/techniques/T1078/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[52]},{"_index":"1733326617611_indicator_ad_ioe_es_001","_type":"_doc","_id":"C-DFS-MISCONFIG","_score":null,"_source":{"language_code":"es_001","codename":"C-DFS-MISCONFIG","name":"Configuración peligrosa de replicación de SYSVOL","id":51,"description":"\u003cp\u003eComprueba que el mecanismo de \"Distributed File System Replication\" (DFS-R) haya sustituido a \"File Replication Service\" (FRS).\u003c/p\u003e\n","criticity":"medium","exec_summary":"\u003cp\u003e\"File Replication Service\" (FRS) está en desuso desde Windows Server 2008 R2. Tenable recomienda encarecidamente migrar la replicación del recurso compartido SYSVOL de FRS a “replicación de Sistema de archivos distribuido” (DFS-R) para mayor robustez, escalabilidad y rendimiento de replicación.\u003c/p\u003e\n","vulnerability_detail":{"detail":"\u003cp\u003eLos archivos que se encuentran en una carpeta SYSVOL compartida almacenan las opciones y configuraciones de las políticas de grupo, que se replican entre todos los controladores de dominio para asegurar que el contenido de la carpeta SYSVOL siga siendo idéntico en cada controlador.\n\u003cbr\u003eEn las primeras versiones de Windows 2000 y 2003, se usaba FRS (File Replication Service), que a veces se denomina NTFRS o NT-FRS (no debe confundirse con NTFS) para la replicación de SYSVOL. Con Windows Server 2008, Microsoft presentó DFS-R (Distributed File System Replication), que también se conoce como DFS, DFSR o DFS-R, para mayor confiabilidad y eficiencia.\n\u003cbr\u003eSegún \u003ca href=\"https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/the-case-for-migrating-sysvol-to-dfsr/ba-p/397642\"\u003eMicrosoft\u003c/a\u003e, entre las principales ventajas de usar DFS-R en lugar de FRS se incluyen:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eCapacidad de ejecutar un sistema operativo actualizado en los controladores de dominio: a partir de Windows Server 2016 (incluidos Windows Server 2019, 2022, 2025 y posibles versiones posteriores), no es posible ascender un servidor a controlador de dominio para un dominio si la replicación de SYSVOL usa FRS. En consecuencia, esto haría que la infraestructura de Active Directory se mantuviera estática y le impediría recibir actualizaciones de seguridad con las versiones de sistema operativo actualizadas.\u003c/li\u003e\n\u003cli\u003eUn protocolo con soporte técnico: actualmente Microsoft mantiene DFS-R, que recibe actualizaciones de seguridad periódicas, al contrario que FRS, que está en desuso desde Windows Server 2008 R2.\u003c/li\u003e\n\u003cli\u003eMejor compatibilidad con controladores de dominio de solo lectura (RODC): FRS no admite totalmente las réplicas de SYSVOL de RODC y permite que los datos se desincronicen sin ofrecer una resincronización automática.\u003c/li\u003e\n\u003cli\u003eMejor confiabilidad y rendimiento: DFS-R usa un algoritmo más eficaz que FRS que reduce significativamente el consumo de ancho de banda y acelera el proceso de replicación. Entre las principales mejoras del algoritmo se incluyen:\u003cul\u003e\n\u003cli\u003eUso de la replicación de Remote Differential Compression (RDC) para replicar cambios de archivos parciales, en lugar de archivos completos.\u003c/li\u003e\n\u003cli\u003eCompresión de archivos más eficiente de los archivos en almacenamiento provisional.\u003c/li\u003e\n\u003cli\u003eMejor replicación entre sitios y más rápida en comparación con la replicación de FRS de SYSVOL: mientras que FRS inicia la replicación entre miembros entre sitios cada 15 minutos, DFS ofrece replicación inmediata y permite la personalización para reducir el uso de ancho de banda.\u003c/li\u003e\n\u003c/ul\u003e\n\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eEste indicador de exposición identifica si un dominio aún usa FRS para la replicación. Además, comprueba los cambios de atributos en relación con DFS-R, ya que la modificación de estos atributos podría excluir los GPO del proceso de replicación, lo que les permitiría funcionar como mecanismo potencial de persistencia o puertas traseras.\n\u003cbr\u003eEste indicador de exposición comprueba los elementos siguientes:\u003c/p\u003e\n\u003ch4\u003eEl nivel funcional del dominio (DFL) corresponde a 2008 o superior\u003c/h4\u003e\n\u003cp\u003eEste es un requisito previo para usar DFS-R. De lo contrario, este indicador de exposición no comprueba otros elementos.\nSi el DFL no es suficiente para permitir la migración de FRS a DFS-R, el indicador de exposición señala una anomalía con un motivo que indica el DFL actual.\u003c/p\u003e\n\u003ch4\u003eHabilitación de DFS-R\u003c/h4\u003e\n\u003cp\u003eEl indicador de exposición comprueba este elemento solo si la infraestructura de Active Directory cumple con el requisito previo del DFL.\nLa migración de FRS a DFS-R no es automática y exige un procedimiento manual. Por consiguiente, incluso si los controladores de dominio reciben parches y actualizaciones periódicos, puede que los dominios más antiguos sigan usando FRS para la replicación de SYSVOL, lo que no es una práctica recomendada, como se explicó anteriormente.\nSi la migración no empezó o no se completó aún, el indicador de exposición señala una anomalía con un motivo que indica el estado actual de la migración.\n\u003cbr\u003eTenga en cuenta que el proceso de migración de FRS a DFS-R exige planificación y una ejecución cuidadosa para evitar cualquier perturbación del entorno de Active Directory. Para obtener lineamientos, consulte la pestaña “Recomendación”.\u003c/p\u003e\n\u003ch4\u003eComprobaciones de integridad de DFS-R\u003c/h4\u003e\n\u003cp\u003eEste indicador de exposición puede comprobar este elemento solo si DFS-R se encarga de la replicación de SYSVOL.\nLa integridad de los atributos msDFSR-FileFilter y msDFSR-DirectoryFilter del objeto de clase msDFSR-ContentSet que se encuentra en CN=SYSVOL Share,CN=Content,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=ad,DC=tenable,DC=com se comprueba con sus valores predeterminados de la siguiente manera:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003emsDFSR-FileFilter: [\"~\u003cem\u003e\", \"\u003c/em\u003e.TMP\", \"*.BAK\"]\u003c/li\u003e\n\u003cli\u003emsDFSR-DirectoryFilter: [\"DO_NOT_REMOVE_NtFrs_PreInstall_Directory\", \"NtFrs_PreExisting___See_EventLog\"]\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003ePara corregir el problema de “\u003ca href=\"https://learn.microsoft.com/es-es/troubleshoot/windows-server/group-policy/directory-is-not-empty\"\u003eLa importación de un GPO mediante GPMC produce un error con 'El directorio no está vacío'\u003c/a\u003e”, Microsoft recomienda excluir de la replicación los siguientes directorios temporales, lo que el indicador de exposición considera legítimo:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eMachineOld\u003c/li\u003e\n\u003cli\u003eUserOld\u003c/li\u003e\n\u003cli\u003eMachineStaging\u003c/li\u003e\n\u003cli\u003eUserStaging\u003c/li\u003e\n\u003cli\u003eAdmOld\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003eLas modificaciones incorrectas de estos atributos podrían representar un riesgo de seguridad, lo que podría llevar a problemas, como la denegación de servicio o la reducción de la seguridad del dominio, por lo que es fundamental que los administradores analicen y evalúen exhaustivamente estas modificaciones.\nSi se elimina uno de los valores predeterminados o se agrega un valor no recomendado por Microsoft, el indicador de exposición señala una anomalía para indicar que se alteró la integridad del atributo correspondiente.\n\u003cstrong\u003eExcepción: Si una de las carpetas recomendadas por Microsoft como solución al problema anterior está presente en la opción (el valor predeterminado), pero no en el valor del atributo, no se generará ninguna anomalía, ya que la ausencia de estos directorios no representa un riesgo de seguridad.\u003c/strong\u003e\nSi los administradores aprueban la modificación de un nuevo valor, puede agregarlo a la opción dedicada del indicador de exposición.\u003c/p\u003e\n","exploitability":"No se requiere ningún exploit"},"recommendation":{"name":"Usar DFS para la replicación de SYSVOL y no FRS","description":"Para un mejor rendimiento y seguridad, \"Distributed File System Replication\" (DFS-R) debe sustituir a \"File Replication Service\" (FRS), que es un protocolo antiguo y obsoleto.","exec_summary":"\u003cp\u003eMicrosoft recomienda usar el protocolo reciente y con soporte técnico DFS-R para la replicación de SYSVOL. Debe migrar los recursos compartidos de SYSVOL que aún usen \"File Replication Service\" (FRS) a \"Distributed File System Replication\" (DFS-R) manualmente según el procedimiento de Microsoft.\u003c/p\u003e\n","detail":"\u003ch4\u003eUsar un nivel funcional de dominio (DFL) correspondiente a 2008 o superior\u003c/h4\u003e\n\u003cp\u003ePara aumentar el DFL, consulte la pestaña de recomendaciones del indicador de exposición “Dominios con un nivel funcional anticuado”.\u003c/p\u003e\n\u003ch4\u003eMigrar de FRS a DFS-R\u003c/h4\u003e\n\u003cp\u003eLa migración de FRS a DFS-R no es automática, requiere un procedimiento manual.\nPor consiguiente, incluso si los controladores de dominio reciben parches y actualizaciones periódicos, puede que los dominios más antiguos sigan usando FRS para la replicación de SYSVOL, lo que no es una práctica recomendada, como se explicó anteriormente.\nConsulte la guía completa de Microsoft: “\u003ca href=\"https://learn.microsoft.com/es-es/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr#procedures\"\u003eMigración de la replicación de SYSVOL a la replicación DFS\u003c/a\u003e”.\n\u003cbr\u003e\u003cstrong\u003eDebe seguir al pie de la letra el procedimiento detallado de Microsoft según se indica \u003ca href=\"https://learn.microsoft.com/es-es/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr#procedures\"\u003eaquí\u003c/a\u003e.\u003c/strong\u003e El siguiente es solo un resumen del procedimiento.\n\u003cbr\u003eRequisitos previos para la migración:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl controlador de dominio debe ejecutar, como mínimo, Windows Server 2008 R2, pero, de preferencia, debe ser una versión más reciente, como 2022 o 2025.\u003c/li\u003e\n\u003cli\u003eEl DFL debe corresponder a 2008 o superior.\u003c/li\u003e\n\u003c/ul\u003e\n\u003cp\u003e\u003cstrong\u003ePaso 1\u003c/strong\u003e\nEn el Primary Domain Controller (PDCE), ejecute la herramienta dfsrmig.exe y establezca el estado global de migración en el estado '\u003cstrong\u003ePREPARED\u003c/strong\u003e' (Estado 1). Para ello, abra PowerShell y ejecute:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /setglobalstate 1\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eAntes de continuar, asegúrese de que este paso se haya completado en todos los controladores de dominio. Para supervisar el progreso de la migración y asegurarse de que todos los controladores de dominio se migren correctamente al estado '\u003cstrong\u003ePREPARED\u003c/strong\u003e', ejecute el comando:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /getMigrationState\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSi algún controlador de dominio aún no está listo, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eThe following Domain Controllers are not in sync with Global state \u0026lt;'Prepared'\u0026gt;:\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eUna vez que todos los controladores de dominio están listos, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eAll Domain Controllers have migrated successfuly to Global state \u0026lt;'Prepared'\u0026gt;.\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003e\u003cstrong\u003ePaso 2\u003c/strong\u003e\nDespués de que todos los controladores de dominio se migren correctamente al estado '\u003cstrong\u003ePREPARED\u003c/strong\u003e', proceda de la manera siguiente: en el PDCE, ejecute la herramienta dfsrmig.exe y establezca el estado global de migración en el estado '\u003cstrong\u003eREDIRECTED\u003c/strong\u003e' (Estado 2). Para ello, abra PowerShell y ejecute este comando:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /setglobalstate 2\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eAntes de continuar, asegúrese de que este paso se haya completado en todos los controladores de dominio. Para supervisar el progreso de la migración y asegurarse de que todos los controladores de dominio se migren correctamente al estado '\u003cstrong\u003ePREPARED\u003c/strong\u003e', ejecute el comando:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /getMigrationState\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSi algún controlador de dominio aún no está listo, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eThe following Domain Controllers are not in sync with Global state \u0026lt;'Redirected'\u0026gt;:\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eUna vez que todos los controladores de dominio están listos, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eAll Domain Controllers have migrated successfuly to Global state \u0026lt;'Redirected'\u0026gt;.\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003e\u003cstrong\u003ePaso 3\u003c/strong\u003e\nRecuerde que no puede revertir el proceso de migración al estado '\u003cstrong\u003eELIMINATED\u003c/strong\u003e' bajo ningún concepto. Por lo tanto, asegúrese de que la replicación de SYSVOL use correctamente las funciones del servicio de replicación DFS antes de avanzar con la finalización del proceso de migración.\n\u003cbr\u003eUna vez que todos los controladores de dominio se migren correctamente al estado '\u003cstrong\u003eREDIRECTED\u003c/strong\u003e', proceda de la manera siguiente: en el PDCE, ejecute la herramienta dfsrmig.exe y establezca el estado global de migración en el estado '\u003cstrong\u003eREDIRECTED\u003c/strong\u003e' (Estado 2). Para ello, abra PowerShell y ejecute este comando:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /setglobalstate 3\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eEste paso puede llevar algún tiempo. Para supervisar el progreso de la migración y asegurarse de que todos los controladores de dominio se hayan migrado correctamente al estado '\u003cstrong\u003eELIMINATED\u003c/strong\u003e', ejecute este comando:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003edfsrmig /getMigrationState\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eSi algún controlador de dominio aún no está listo, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eThe following Domain Controllers are not in sync with Global state \u0026lt;'Eliminated'\u0026gt;:\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eUna vez que todos los controladores de dominio están listos, la salida muestra:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eAll Domain Controllers have migrated successfuly to Global state \u0026lt;'Eliminated'\u0026gt;.\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003e\u003cbr\u003ePara verificar que cada controlador de dominio del dominio comparte correctamente la carpeta compartida SYSVOL, y que esta corresponde a la carpeta SYSVOL_DFSR que DFS-R replicó, abra una ventana del símbolo del sistema en cada controlador de dominio y escriba:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003enet share\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eEl resultado debería ser parecido al siguiente:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003eShare name Resource Remark\n\n--------------------------------------------------------------------------------\n[…]\nNETLOGON C:\\Windows\\SYSVOL_DFSR\\sysvol\\ad.tenable.com\\SCRIPTS\n Logon server share\nSYSVOL C:\\Windows\\SYSVOL_DFSR\\sysvol Logon server share\n\u003c/code\u003e\u003c/pre\u003e\n\u003cp\u003eEsta salida confirma que la carpeta compartida SYSVOL está compartida y asignada correctamente a la carpeta SYSVOL_DFSR que DFS-R replicó.\u003c/p\u003e\n\u003ch4\u003eComprobaciones de integridad de DFS-R\u003c/h4\u003e\n\u003cp\u003eDos atributos, msDFSR-FileFilter y msDFSR-DirectoryFilter, pertenecientes al objeto de la clase msDFSR-ContentSet, que se encuentra en CN=SYSVOL Share,CN=Content,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=ad,DC=tenable,DC=com, pueden ser de interés para los atacantes, dado que pueden usarlos para excluir archivos o carpetas de la replicación.\nComo se indica en la pestaña “Detalles de la vulnerabilidad” del indicador de exposición, en ciertos casos Microsoft aconseja agregar directorios específicos a la lista de exclusión. Al hacerlo, el indicador de exposición no informa estos directorios como anómalos, siempre que estén presentes en el valor de la opción.\n\u003cbr\u003eCompruebe la legitimidad de los valores de filtro no predeterminados restantes y confirme con los administradores de Active Directory. Una vez que haya confirmado, agréguelos como opciones del indicador de exposición para evitar marcarlos como anómalos.\u003c/p\u003e\n","resources":[{"name":"Migración de la replicación de SYSVOL a la replicación DFS","url":"https://learn.microsoft.com/es-es/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr","type":"hyperlink"},{"name":"Replicar SYSVOL mediante la replicación de DFS","url":"https://learn.microsoft.com/es-es/services-hub/health/remediation-steps-ad/migrate-sysvol-to-dfs-replication","type":"hyperlink"}]},"resources":[{"name":"Active Directory Security Assessment Checklist - SYSVOL replication through NTFRS (texto en inglés)","url":"https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_sysvol_ntfrs","type":"hyperlink"},{"name":"Windows Server version 1709 no longer supports FRS","url":"https://learn.microsoft.com/es-es/troubleshoot/windows-server/networking/windows-server-version-1709-no-longer-supports-frs","type":"hyperlink"},{"name":"FRS Technical Reference","url":"https://learn.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2003/cc759297(v=ws.10)","type":"hyperlink"},{"name":"Preguntas frecuentes de replicación DFS","url":"https://learn.microsoft.com/es-es/windows-server/storage/dfs-replication/dfsr-faq","type":"hyperlink"},{"name":"The Case for Migrating SYSVOL to DFSR","url":"https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/the-case-for-migrating-sysvol-to-dfsr/ba-p/397642","type":"hyperlink"},{"name":"Importing a GPO using GPMC fails with \"The Directory is not empty\" (texto en inglés)","url":"https://learn.microsoft.com/es-es/troubleshoot/windows-server/group-policy/directory-is-not-empty","type":"hyperlink"}],"applicable_resource_types":["ad_cross_ref","ad_msdfsr_content_set","ad_msdfsr_global_settings"],"attacker_known_tools":[],"category_id":4,"mitre_attacks":[{"tactic":"TA0005 - Defense Evasion (texto en inglés)","techniques":["T1484.001 - Domain Policy Modification - Group Policy Modification (texto en inglés)"]}],"indicator_type":"Active Directory Indicator of Exposure","released":true,"available_languages":["fr_FR","es_001","zh_CN","de_DE","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220200.tar.gz","file_path":"exports/tenable_ad_ioe/v2","data_file_name":"C-DFS-MISCONFIG","created_at":"2025-02-22T02:06:48","updated_at":"2025-02-22T02:06:48"},"severity":"medium","type":"ioe","subType":"ad","availableLocales":["fr","es","zh-CN","de","zh-TW","en"],"mitre_attack_information":[{"tactic":{"id":"TA0005","name":"Defense Evasion (texto en inglés)","url":"https://attack.mitre.org/tactics/TA0005/"},"techniques":[{"id":"T1484.001","name":"Domain Policy Modification - Group Policy Modification (texto en inglés)","url":"https://attack.mitre.org/techniques/T1484/001/"}]}],"index":"1733326617611_indicator_ad_ioe_es_001"},"sort":[51]}],"ioaIndicators":[{"_index":"1733326624247_indicator_ad_ioa_es_001","_type":"_doc","_id":"I-Zerologon","_score":null,"_source":{"language_code":"es_001","codename":"I-Zerologon","name":"Explotación de Zerologon","description":"\u003cp\u003eLa vulnerabilidad llamada Zerologon se relaciona con una vulnerabilidad crítica (CVE-2020-1472) en Windows Server, a la que Microsoft otorgó una puntuación de CVSS de 10,0. Consiste en una elevación de privilegios que se da cuando un atacante establece una conexión del canal seguro de Netlogon vulnerable con un controlador de dominio, mediante el protocolo remoto de Netlogon (MS-NRPC). Esta vulnerabilidad permite a los atacantes poner en peligro un dominio y adquirir privilegios de administrador de dominios.\u003c/p\u003e\n","criticity":"critical","resources":[{"name":"Documento técnico de Secura sobre Zerologon","url":"https://www.secura.com/uploads/whitepapers/Zerologon.pdf","type":"hyperlink"},{"name":"Documentación de Microsoft sobre CVE-2020-1472","url":"https://support.microsoft.com/es-es/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e","type":"hyperlink"},{"name":"Actualización de seguridad de Microsoft","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-1472","type":"hyperlink"}],"mitre_attack_description":"\u003cspan\u003eIdentificador: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1210/\" target=\"_blank\"\u003eT1210\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eSubtécnica de: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1210/\" target=\"_blank\"\u003eT1210\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eTáctica: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/tactics/TA0008/\" target=\"_blank\"\u003eTA0008\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003e\u003cbr /\u003e\u003c/span\u003e","indicator_type":"Indicator of Attack","released":true,"available_languages":["es_001","zh_CN","de_DE","ja_JP","ko_KR","fr_FR","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220210.tar.gz","file_path":"exports/tenable_ad_ioa/v2","data_file_name":"I-Zerologon","created_at":"2025-02-22T02:21:50","updated_at":"2025-02-22T02:21:50"},"severity":"critical","type":"ioa","availableLocales":["es","zh-CN","de","ja","ko","fr","zh-TW","en"],"index":"1733326624247_indicator_ad_ioa_es_001"},"sort":[-9223372036854776000]},{"_index":"1733326624247_indicator_ad_ioa_es_001","_type":"_doc","_id":"I-ReconAdminsEnum","_score":null,"_source":{"language_code":"es_001","codename":"I-ReconAdminsEnum","name":"Enumeración de Administradores locales","description":"\u003cp\u003eEl grupo Administradores locales se enumeró con la interfaz de RPC de SAMR, muy probablemente con BloodHound/SharpHound.\u003c/p\u003e\n","criticity":"low","resources":[{"name":"Descripción de MITRE ATT\u0026CK","url":"https://attack.mitre.org/techniques/T1069/001/","type":"hyperlink"},{"name":"Herramienta BloodHound","url":"https://bloodhound.readthedocs.io/en/latest/data-collection/sharphound.html","type":"hyperlink"}],"mitre_attack_description":"\u003cspan\u003eIdentificador: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1069/001/\" target=\"_blank\"\u003eT1069.001\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eSubtécnica de: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1069/\" target=\"_blank\"\u003eT1069\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eTáctica: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/tactics/TA0007/\" target=\"_blank\"\u003eTA0007\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003e\u003cbr /\u003e\u003c/span\u003e","indicator_type":"Indicator of Attack","released":true,"available_languages":["es_001","ko_KR","fr_FR","zh_CN","ja_JP","de_DE","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502201410.tar.gz","file_path":"exports/tenable_ad_ioa/v2","data_file_name":"I-ReconAdminsEnum","created_at":"2025-02-20T14:21:46","updated_at":"2025-02-20T14:21:46"},"severity":"low","type":"ioa","availableLocales":["es","ko","fr","zh-CN","ja","de","zh-TW","en"],"index":"1733326624247_indicator_ad_ioa_es_001"},"sort":[-9223372036854776000]},{"_index":"1733326624247_indicator_ad_ioa_es_001","_type":"_doc","_id":"I-DCShadow","_score":null,"_source":{"language_code":"es_001","codename":"I-DCShadow","name":"DCShadow","description":"\u003cp\u003eDCShadow es otro ataque kill chain de fase avanzada que permite a un atacante que tiene credenciales con privilegios registrar un controlador de dominio fraudulento para provocar cambios arbitrarios en un dominio a través de la replicación del dominio (por ejemplo, la aplicación de valores de sidHistory prohibidos).\u003c/p\u003e\n","criticity":"critical","resources":[{"name":"MITRE ATT\u0026CK description","url":"https://attack.mitre.org/techniques/T1207/","type":"hyperlink"},{"name":"DCShadow official","url":"https://www.DCShadow.com/","type":"hyperlink"},{"name":"DCShadow explained","url":"https://blog.alsid.eu/DCShadow-explained-4510f52fc19d","type":"hyperlink"}],"mitre_attack_description":"\u003cspan\u003eIdentificador: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1207/\" target=\"_blank\"\u003eT1207\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eSubtécnica de: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1207/\" target=\"_blank\"\u003eT1207\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eTáctica: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/tactics/TA0005/\" target=\"_blank\"\u003eTA0005\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003e\u003cbr /\u003e\u003c/span\u003e","indicator_type":"Indicator of Attack","released":true,"available_languages":["es_001","zh_TW","fr_FR","de_DE","zh_CN","ja_JP","ko_KR","en_US"],"tvdb_export_source":{"file_name":"all-202412031358.tar.gz","file_path":"exports/tenable_ad_ioa/v2","data_file_name":"I-DCShadow","created_at":"2024-12-04T15:37:04","updated_at":"2024-12-04T15:37:04"},"severity":"critical","type":"ioa","availableLocales":["es","zh-TW","fr","de","zh-CN","ja","ko","en"],"index":"1733326624247_indicator_ad_ioa_es_001"},"sort":[-9223372036854776000]},{"_index":"1733326624247_indicator_ad_ioa_es_001","_type":"_doc","_id":"I-DcPasswordChange","_score":null,"_source":{"language_code":"es_001","codename":"I-DcPasswordChange","name":"Cambio sospechoso de contraseña de controlador de dominio","description":"\u003cp\u003eLa CVE-2020-1472 crítica denominada Zerologon es un ataque que se aprovecha de un error de criptografía en el protocolo de Netlogon, lo que permite que un atacante suplante cualquier equipo y establezca un canal de Netlogon seguro con un controlador de dominio. Desde allí, pueden usarse varias técnicas posteriores a la explotación con el fin de lograr el escalamiento de privilegios, como el \u003cstrong\u003ecambio de contraseña de la cuenta del controlador de dominio\u003c/strong\u003e, la autenticación forzada, ataques DCSync y otros. El exploit ZeroLogon suele confundirse con las actividades posteriores a la explotación que usan la autenticación de Netlogon real falsificada (que se trata en el indicador de ataque “Explotación de Zerologon”). Este indicador se centra en \u003cstrong\u003euna\u003c/strong\u003e de las actividades posteriores a la explotación que pueden usarse junto con la vulnerabilidad Netlogon: la modificación de la contraseña de la cuenta de máquina del controlador de dominio.\u003c/p\u003e\n","criticity":"critical","resources":[{"name":"MITRE ATT\u0026CK description","url":"https://attack.mitre.org/techniques/T1210/","type":"hyperlink"},{"name":"CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability","url":"https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472","type":"hyperlink"},{"name":"Security policy settings - Domain member: Maximum machine account password age","url":"https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age","type":"hyperlink"},{"name":"Use Netdom.exe to reset machine account passwords of a Windows Server domain controller","url":"https://learn.microsoft.com/es-es/troubleshoot/windows-server/windows-security/use-netdom-reset-domain-controller-password","type":"hyperlink"},{"name":"Machine Account Password Process","url":"https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/machine-account-password-process/ba-p/396026","type":"hyperlink"}],"mitre_attack_description":"\u003cspan\u003eIdentificador: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1210/\" target=\"_blank\"\u003eT1210\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eSubtécnica de: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1210/\" target=\"_blank\"\u003eT1210\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eTáctica: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/tactics/TA0008/\" target=\"_blank\"\u003eTA0008\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003e\u003cbr /\u003e\u003c/span\u003e","indicator_type":"Indicator of Attack","released":true,"available_languages":["fr_FR","zh_TW","ja_JP","es_001","zh_CN","de_DE","ko_KR","en_US"],"tvdb_export_source":{"file_name":"diff-202502220210.tar.gz","file_path":"exports/tenable_ad_ioa/v2","data_file_name":"I-DcPasswordChange","created_at":"2025-02-22T02:21:50","updated_at":"2025-02-22T02:21:50"},"severity":"critical","type":"ioa","availableLocales":["fr","zh-TW","ja","es","zh-CN","de","ko","en"],"index":"1733326624247_indicator_ad_ioa_es_001"},"sort":[-9223372036854776000]},{"_index":"1733326624247_indicator_ad_ioa_es_001","_type":"_doc","_id":"I-ProcessInjectionLsass","_score":null,"_source":{"language_code":"es_001","codename":"I-ProcessInjectionLsass","name":"Volcado de credenciales del sistema operativo: memoria de LSASS\n","description":"\u003cp\u003eDespués de que un usuario inicia sesión, los atacantes pueden intentar acceder al material de credenciales almacenado en la memoria de proceso del Servicio de subsistema de autoridad de seguridad local (LSASS).\u003c/p\u003e\n","criticity":"critical","resources":[{"name":"MITRE ATT\u0026CK description","url":"https://attack.mitre.org/techniques/T1003/001/","type":"hyperlink"},{"name":"ADsecurity.org - Extract Hashes from LSASS","url":"https://adsecurity.org/?p=462","type":"hyperlink"},{"name":"Microsoft - Using ProcDump","url":"https://learn.microsoft.com/es-es/sysinternals/downloads/procdump#using-procdump","type":"hyperlink"}],"mitre_attack_description":"\u003cspan\u003eIdentificador: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1003/001/\" target=\"_blank\"\u003eT1003.001\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eSubtécnica de: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1003/\" target=\"_blank\"\u003eT1003\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eTáctica: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/tactics/TA0006/\" target=\"_blank\"\u003eTA0006\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003ePermisos necesarios: **administrador, SISTEMA**\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003e\u003cbr /\u003e\u003c/span\u003e","indicator_type":"Indicator of Attack","released":true,"available_languages":["de_DE","ja_JP","zh_TW","es_001","fr_FR","ko_KR","zh_CN","en_US"],"tvdb_export_source":{"file_name":"diff-202502220210.tar.gz","file_path":"exports/tenable_ad_ioa/v2","data_file_name":"I-ProcessInjectionLsass","created_at":"2025-02-22T02:21:50","updated_at":"2025-02-22T02:21:50"},"severity":"critical","type":"ioa","availableLocales":["de","ja","zh-TW","es","fr","ko","zh-CN","en"],"index":"1733326624247_indicator_ad_ioa_es_001"},"sort":[-9223372036854776000]},{"_index":"1733326624247_indicator_ad_ioa_es_001","_type":"_doc","_id":"I-SamNameImpersonation","_score":null,"_source":{"language_code":"es_001","codename":"I-SamNameImpersonation","name":"Suplantación de identidad de SAMAccountName","description":"\u003cp\u003eLa CVE-2021-42287 crítica puede llevar a una elevación de privilegios en el dominio a partir de una cuenta estándar. El error surge de un mal manejo de las solicitudes destinadas a un objeto con un atributo sAMAccountName inexistente. El controlador de dominio agrega automáticamente un signo de dólar ($) final al valor de sAMAccountName si no encuentra uno, lo que puede conducir a la suplantación de identidad de una cuenta de equipo objetivo.\u003c/p\u003e\n","criticity":"critical","resources":[{"name":"Descripción de MITRE ATT\u0026CK","url":"https://attack.mitre.org/techniques/T1068/","type":"hyperlink"},{"name":"CVE-2021-42287/CVE-2021-42278 Weaponisation","url":"https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html","type":"hyperlink"},{"name":"PACRequestorEnforcement and Kerberos Authentication","url":"https://blog.netwrix.com/2022/01/10/pacrequestorenforcement-and-kerberos-authentication/","type":"hyperlink"},{"name":"KB5008380: actualizaciones de autenticación (CVE-2021-42287)","url":"https://support.microsoft.com/es-es/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041","type":"hyperlink"}],"mitre_attack_description":"\u003cspan\u003eIdentificador: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1068/\" target=\"_blank\"\u003eT1068\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eSubtécnica de: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1068/\" target=\"_blank\"\u003eT1068\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eTáctica: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/tactics/TA0004/\" target=\"_blank\"\u003eTA0004\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003e\u003cbr /\u003e\u003c/span\u003e","indicator_type":"Indicator of Attack","released":true,"available_languages":["ko_KR","zh_TW","fr_FR","ja_JP","zh_CN","es_001","de_DE","en_US"],"tvdb_export_source":{"file_name":"diff-202502220210.tar.gz","file_path":"exports/tenable_ad_ioa/v2","data_file_name":"I-SamNameImpersonation","created_at":"2025-02-22T02:21:50","updated_at":"2025-02-22T02:21:50"},"severity":"critical","type":"ioa","availableLocales":["ko","zh-TW","fr","ja","zh-CN","es","de","en"],"index":"1733326624247_indicator_ad_ioa_es_001"},"sort":[-9223372036854776000]},{"_index":"1733326624247_indicator_ad_ioa_es_001","_type":"_doc","_id":"I-PasswordSpraying","_score":null,"_source":{"language_code":"es_001","codename":"I-PasswordSpraying","name":"Difusión de contraseña","description":"\u003cp\u003eLa difusión de contraseña es un ataque que intenta acceder a una gran cantidad de cuentas (nombres de usuario) con unas pocas contraseñas que se usan habitualmente; a veces también se conoce como método “bajo y lento”.\u003c/p\u003e\n","criticity":"medium","resources":[{"name":"MITRE ATT\u0026CK description","url":"https://attack.mitre.org/techniques/T1110/003/","type":"hyperlink"},{"name":"Microsoft - Protecting your organization against password spray attacks","url":"https://www.microsoft.com/es-es/security/blog/2020/04/23/protecting-organization-password-spray-attacks/","type":"hyperlink"},{"name":"Domain PasswordSpray Tool","url":"https://github.com/dafthack/DomainPasswordSpray","type":"hyperlink"}],"mitre_attack_description":"\u003cspan\u003eIdentificador: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1110/003/\" target=\"_blank\"\u003eT1110.003\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eSubtécnica de: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1110/\" target=\"_blank\"\u003eT1110\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eTáctica: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/tactics/TA0006/\" target=\"_blank\"\u003eTA0006\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003ePermisos necesarios: **usuario**\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003e\u003cbr /\u003e\u003c/span\u003e","indicator_type":"Indicator of Attack","released":true,"available_languages":["zh_CN","zh_TW","fr_FR","es_001","ko_KR","de_DE","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502220210.tar.gz","file_path":"exports/tenable_ad_ioa/v2","data_file_name":"I-PasswordSpraying","created_at":"2025-02-22T02:21:50","updated_at":"2025-02-22T02:21:50"},"severity":"medium","type":"ioa","availableLocales":["zh-CN","zh-TW","fr","es","ko","de","ja","en"],"index":"1733326624247_indicator_ad_ioa_es_001"},"sort":[-9223372036854776000]},{"_index":"1733326624247_indicator_ad_ioa_es_001","_type":"_doc","_id":"I-PetitPotam","_score":null,"_source":{"language_code":"es_001","codename":"I-PetitPotam","name":"PetitPotam","description":"\u003cp\u003eLa herramienta PetitPotam puede usarse para forzar la autenticación de la máquina objetivo en un sistema remoto, en general para llevar a cabo ataques de retransmisión de NTLM. Si PetitPotam tiene como objetivo un controlador de dominio, un atacante puede autenticarse en otra máquina de la red que retransmite la autenticación del controlador de dominio.\u003c/p\u003e\n","criticity":"critical","resources":[{"name":"Descripción de MITRE ATT\u0026CK","url":"https://attack.mitre.org/techniques/T1187/","type":"hyperlink"},{"name":"Herramienta PetitPotam","url":"https://github.com/topotam/PetitPotam","type":"hyperlink"},{"name":"Herramienta Coercer","url":"https://github.com/p0dalirius/Coercer","type":"hyperlink"},{"name":"Microsoft - KB5005413: Uso de PetitPotam para la vulnerabilidad de AD CS","url":"https://support.microsoft.com/es-es/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429","type":"hyperlink"}],"mitre_attack_description":"\u003cspan\u003eIdentificador: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1187/\" target=\"_blank\"\u003eT1187\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eSubtécnica de: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1187/\" target=\"_blank\"\u003eT1187\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eTáctica: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/tactics/TA0006/\" target=\"_blank\"\u003eTA0006\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003e\u003cbr /\u003e\u003c/span\u003e","indicator_type":"Indicator of Attack","released":true,"available_languages":["fr_FR","ja_JP","es_001","ko_KR","de_DE","zh_CN","zh_TW","en_US"],"tvdb_export_source":{"file_name":"diff-202502220210.tar.gz","file_path":"exports/tenable_ad_ioa/v2","data_file_name":"I-PetitPotam","created_at":"2025-02-22T02:21:50","updated_at":"2025-02-22T02:21:50"},"severity":"critical","type":"ioa","availableLocales":["fr","ja","es","ko","de","zh-CN","zh-TW","en"],"index":"1733326624247_indicator_ad_ioa_es_001"},"sort":[-9223372036854776000]},{"_index":"1733326624247_indicator_ad_ioa_es_001","_type":"_doc","_id":"I-NtdsExtraction","_score":null,"_source":{"language_code":"es_001","codename":"I-NtdsExtraction","name":"Extracción de NTDS","description":"\u003cp\u003eEl filtrado de NTDS hace referencia a la técnica que usan los atacantes para recuperar la base de datos NTDS.dit. Este archivo almacena secretos de Active Directory como hashes de contraseñas y claves de Kerberos. Una vez que el atacante accede, analiza una copia de este archivo sin conexión, lo que brinda una alternativa a los ataques de DCSync para la recuperación del contenido sensible de Active Directory.\u003c/p\u003e\n","criticity":"critical","resources":[{"name":"Descripción de MITRE ATT\u0026CK","url":"https://attack.mitre.org/techniques/T1003/003/","type":"hyperlink"},{"name":"How Attackers Dump Active Directory Database Credentials (texto en inglés)","url":"https://adsecurity.org/?p=2398","type":"hyperlink"},{"name":"Extracting Password Hashes from the Ntds.dit File (texto en inglés)","url":"https://www.ultimatewindowssecurity.com/blog/default.aspx?d=10/2017","type":"hyperlink"}],"mitre_attack_description":"\u003cspan\u003eIdentificador: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1003/003/\" target=\"_blank\"\u003eT1003.003\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eSubtécnica de: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1003/\" target=\"_blank\"\u003eT1003\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eTáctica: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/tactics/TA0006/\" target=\"_blank\"\u003eTA0006\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003ePermisos necesarios: **administrador**\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003e\u003cbr /\u003e\u003c/span\u003e","indicator_type":"Indicator of Attack","released":true,"available_languages":["es_001","zh_TW","de_DE","ja_JP","fr_FR","ko_KR","zh_CN","en_US"],"tvdb_export_source":{"file_name":"all-202412031358.tar.gz","file_path":"exports/tenable_ad_ioa/v2","data_file_name":"I-NtdsExtraction","created_at":"2024-12-04T15:37:04","updated_at":"2024-12-04T15:37:04"},"severity":"critical","type":"ioa","availableLocales":["es","zh-TW","de","ja","fr","ko","zh-CN","en"],"index":"1733326624247_indicator_ad_ioa_es_001"},"sort":[-9223372036854776000]},{"_index":"1733326624247_indicator_ad_ioa_es_001","_type":"_doc","_id":"I-MassiveComputersRecon","_score":null,"_source":{"language_code":"es_001","codename":"I-MassiveComputersRecon","name":"Reconocimiento masivo de equipos","description":"\u003cp\u003eUn enorme número de solicitudes de autenticación en varios equipos, mediante los protocolos NTLM o Kerberos y provenientes del mismo origen, puede ser indicio de un ataque.\u003c/p\u003e\n","criticity":"low","resources":[{"name":"Descripción de MITRE ATT\u0026CK","url":"https://attack.mitre.org/techniques/T1069/","type":"hyperlink"},{"name":"Herramienta BloodHound","url":"https://bloodhound.readthedocs.io/en/latest/data-collection/sharphound.html","type":"hyperlink"}],"mitre_attack_description":"\u003cspan\u003eIdentificador: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1069/\" target=\"_blank\"\u003eT1069\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eSubtécnica de: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/techniques/T1069/\" target=\"_blank\"\u003eT1069\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003eTáctica: \u003ca rel=\"noopener noreferrer\" href=\"https://attack.mitre.org/tactics/TA0007/\" target=\"_blank\"\u003eTA0007\u003c/a\u003e\u003cbr /\u003e\u003c/span\u003e\u003cspan\u003e\u003cbr /\u003e\u003c/span\u003e","indicator_type":"Indicator of Attack","released":true,"available_languages":["zh_CN","ko_KR","de_DE","es_001","fr_FR","zh_TW","ja_JP","en_US"],"tvdb_export_source":{"file_name":"diff-202502201410.tar.gz","file_path":"exports/tenable_ad_ioa/v2","data_file_name":"I-MassiveComputersRecon","created_at":"2025-02-20T14:21:46","updated_at":"2025-02-20T14:21:46"},"severity":"low","type":"ioa","availableLocales":["zh-CN","ko","de","es","fr","zh-TW","ja","en"],"index":"1733326624247_indicator_ad_ioa_es_001"},"sort":[-9223372036854776000]}]},"cookies":{},"user":null,"flash":null,"env":{"baseUrl":"https://www.tenable.com","host":"es-la.tenable.com","ga4TrackingId":""},"isUnsupportedBrowser":true,"__N_SSP":true},"page":"/indicators","query":{},"buildId":"RsIzRDoxGcJZTeqNY4h8D","isFallback":false,"isExperimentalCompile":false,"gssp":true,"appGip":true,"locale":"es","locales":["en","de","es","fr","ja","ko","zh-CN","zh-TW"],"defaultLocale":"es","domainLocales":[{"domain":"www.tenable.com","defaultLocale":"en"},{"domain":"de.tenable.com","defaultLocale":"de"},{"domain":"es-la.tenable.com","defaultLocale":"es"},{"domain":"fr.tenable.com","defaultLocale":"fr"},{"domain":"jp.tenable.com","defaultLocale":"ja"},{"domain":"kr.tenable.com","defaultLocale":"ko"},{"domain":"www.tenablecloud.cn","defaultLocale":"zh-CN"},{"domain":"zh-tw.tenable.com","defaultLocale":"zh-TW"}],"scriptLoader":[]}</script></body></html>