Usuarios por defecto
En un entorno de Active Directory (AD), hay varios grupos y usuarios predeterminados que son creados durante la instalación. Estos grupos y usuarios tienen diferentes niveles de privilegios que permiten realizar ciertas tareas dentro del dominio.
Grupos predeterminados de Active Directory:
Domain Admins: Este grupo tiene control total sobre todos los dominios en el bosque. Cualquier usuario que sea miembro de este grupo puede realizar cualquier cambio en el dominio, como crear o eliminar otros usuarios, grupos y modificar políticas de seguridad.
Enterprise Admins: Los miembros de este grupo tienen permisos para realizar cambios a nivel de toda la empresa, incluidos todos los dominios y bosques.
Schema Admins: Los usuarios en este grupo pueden hacer cambios en el esquema de AD, que es la definición de objetos y atributos que pueden ser creados y almacenados en AD.
Account Operators: Pueden administrar las cuentas de usuario y grupos dentro de un dominio, pero no pueden modificar los miembros de los grupos de administradores ni cambiar la configuración de los servidores de dominio.
Backup Operators: Pueden realizar copias de seguridad y restaurar archivos en un servidor, independientemente de los permisos de acceso a esos archivos.
Server Operators: Pueden realizar tareas de mantenimiento en servidores de dominio.
Guests: Es un grupo que por defecto tiene privilegios mínimos, y generalmente se utiliza para proporcionar acceso temporal o limitado a la red.
Usuarios predeterminados de Active Directory:
Administrator: La cuenta de administrador del dominio que tiene acceso total a todos los servidores y estaciones de trabajo del dominio.
Guest: Una cuenta de usuario que tiene privilegios limitados, generalmente deshabilitada por defecto.
Impacto de la Compromisión de Cuentas Privilegiadas:
Si un atacante compromete una cuenta perteneciente a uno de los grupos privilegiados, como Domain Admins o Enterprise Admins, podría tener impactos severos en la seguridad de la red. Por ejemplo:
Compromiso de Domain Admins: El atacante podría crear cuentas de usuario adicionales para acceso persistente, cambiar políticas de seguridad, acceder a datos confidenciales, implementar malware en toda la red, tomar control de otros servidores y estaciones de trabajo, y más.
Compromiso de Enterprise Admins: Este nivel de acceso podría permitir al atacante afectar múltiples dominios dentro del bosque de AD, potencialmente dándoles el control sobre toda la infraestructura de IT de la empresa.
Compromiso de Schema Admins: El atacante podría modificar el esquema de AD, lo que puede tener un impacto duradero y posiblemente irreversible en la estructura del directorio y la interoperabilidad de los servicios basados en AD.
Compromiso de Account Operators: Aunque no pueden cambiar cuentas de administradores, podrían alterar otras cuentas y grupos, posiblemente creando puertas traseras para ellos mismos.
Compromiso de Backup Operators: Podrían utilizar sus privilegios para copiar datos confidenciales o alterar/eliminar respaldos para impedir la recuperación después de un incidente.
En todos estos casos, la detección y respuesta rápida son esenciales para mitigar el daño. La implementación de la menor cantidad de privilegios necesarios, la monitorización de las cuentas privilegiadas y la utilización de medidas de seguridad adicionales como la autenticación multifactor y el análisis de comportamiento son prácticas recomendadas para reducir el riesgo de compromiso.
Última actualización