Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, es posible que el estado siga tardando tiempo hasta que se marque como Completado.
Eliminación de cuentas obsoletas de Active Directory (versión preliminar)
Descripción
En esta recomendación se enumeran las cuentas de usuario de Active Directory que están obsoletas, lo que significa que no han iniciado sesión en absoluto durante los últimos 90 días.
Cuentas excluidas:
- Cuentas de servicio
- Cuentas deshabilitadas o eliminadas.
Impacto en el usuario
Las cuentas obsoletas suponen un riesgo de seguridad porque proporcionan posibles destinos para los atacantes sin que se supervisen activamente. Las cuentas obsoletas en peligro se pueden usar para obtener acceso no autorizado, moverse lateralmente en el entorno o escalar privilegios. Quitarlos o deshabilitarlos reduce la exposición innecesaria y fortalece la posición de seguridad general.
Implementación
Revise las entidades expuestas para identificar qué cuentas de usuario obsoletas no han iniciado sesión en los últimos 90 días.
Deshabilite la cuenta si se confirma que no se usa o la quita por completo según la directiva de retención.
Deshabilite y elimine cuentas de usuario sin inicios de sesión durante 90 días después de un período de supervisión.
Quite las cuentas de los empleados anteriores para evitar el acceso no autorizado.
Microsoft Entra ID cuentas de usuario con privilegios que también tienen privilegios en Active Directory (versión preliminar)
Descripción
En esta recomendación se enumeran las cuentas de usuario que tienen roles con privilegios en Microsoft Entra ID (como administrador global) y que también son miembros de grupos de Active Directory con privilegios elevados (por ejemplo, administradores de dominio, administradores de empresa). Estas cuentas con doble privilegio aumentan significativamente la superficie expuesta a ataques de la organización.
Nota:
Los invitados, las identidades externas y las cuentas no sincronizadas con Microsoft Entra ID se excluyen de este informe. Solo se incluyen las cuentas que están habilitadas y tienen privilegios tanto en Entra ID como en Active Directory.
Impacto en el usuario
Los atacantes pueden aprovechar las cuentas con privilegios en Microsoft Entra ID y Active Directory para obtener control total sobre los entornos locales y en la nube. El riesgo de una sola cuenta podría permitir el movimiento lateral, la escalación de privilegios y el acceso a recursos confidenciales en entornos híbridos. Las cuentas con privilegios dobles son objetivos de alto valor y pueden acelerar los ataques si no se administran correctamente.
Implementación
Revise la lista de entidades expuestas para identificar qué cuentas tienen acceso con privilegios tanto en Entra ID como en Active Directory.
Corrija la cuenta mediante la reducción de privilegios en uno o ambos entornos para aplicar los privilegios mínimos. Solo conservar los privilegios duales si es necesario y documentar la justificación.
Considere la posibilidad de separar roles locales y en la nube entre diferentes cuentas o implementar el acceso Just-In-Time para reducir la exposición permanente.
Use Microsoft Entra Privileged Identity Management (PIM) para aplicar flujos de trabajo de aprobación y limitar el acceso permanente para las cuentas que deben conservar privilegios elevados.
Por ejemplo:
Un usuario que sea administrador global en Microsoft Entra ID y un Administración de dominio en Active Directory debe tener uno de los roles reducidos o reemplazados por acceso administrativo delegado.
Si se requieren privilegios duales para operaciones críticas, habilite MFA, supervise los inicios de sesión de forma estrecha y revise las pertenencias con regularidad.
Identificación de cuentas de servicio en grupos con privilegios
Descripción
Enumera las cuentas de servicio de Active Directory dentro del entorno que son miembros de grupos con privilegios, incluida la pertenencia directa y anidada.
Impacto en el usuario
Las cuentas de servicio suelen tener credenciales de larga duración y las usan aplicaciones, scripts o tareas automatizadas. Cuando estas cuentas son miembros de grupos con privilegios elevados (por ejemplo, administradores de dominio o administradores de empresa), aumentan la superficie expuesta a ataques de la organización. El riesgo de una de estas cuentas puede conceder a un atacante un amplio acceso administrativo a los sistemas y datos críticos. Además, dado que las cuentas de servicio no están vinculadas a un usuario específico y a menudo carecen de supervisión interactiva, la actividad malintencionada realizada en estas cuentas podría pasar desapercibida, lo que retrasa la detección y la respuesta.
Implementación
Revise las entidades expuestas para identificar las cuentas de servicio de Active Directory que son miembros de grupos con privilegios, como administradores de dominio, administradores de empresa o administradores.
Quite la cuenta del grupo con privilegios si no se requiere acceso con privilegios elevados o deshabilite la cuenta si no se usa.
Por ejemplo:
Cuenta de servicio sin usar o retirada:
Deshabilite la cuenta en Active Directory después de confirmar que no hay ningún inicio de sesión o dependencias recientes.
Supervisión durante un breve período (7-14 días). Si está inactivo, elimínelo según la directiva.
Cuenta de servicio activa sin necesidad de derechos de administrador:
Quítelo del grupo con privilegios tal como se expone en el informe.
Conceda solo el acceso mínimo necesario a través de permisos delegados o grupos de seguridad con ámbito.
Reemplace las cuentas heredadas:
- Migre las cuentas de servicio a cuentas de servicio administradas de grupo (gMSA) para la rotación automática de contraseñas y la exposición reducida de credenciales.
Cuentas que deben permanecer con privilegios
Restrinja dónde pueden iniciar sesión mediante la propiedad Iniciar sesión en .
Limite los inicios de sesión interactivos a través de directiva de grupo y habilite la auditoría centrada para su actividad.
Requerir la propiedad, la documentación y la revisión periódica de la pertenencia con privilegios.
Buscar cuentas en grupos de operadores integrados
Descripción
Enumera las cuentas de Active Directory (usuarios, cuentas de servicio y grupos) que son miembros de grupos de operadores integrados, como operadores de servidor, operadores de copia de seguridad, operadores de impresión o operadores de cuenta, incluida la pertenencia directa e indirecta. Estos grupos conceden privilegios elevados que se pueden usar para poner en peligro los controladores de dominio o los servidores confidenciales.
Impacto en el usuario
Los grupos de operadores proporcionan un amplio control sobre los servidores, los archivos y las operaciones del sistema. Los miembros de estos grupos pueden realizar acciones administrativas, como detener servicios críticos, modificar archivos o restaurar datos, que se pueden aprovechar para escalar privilegios o obtener persistencia. Dado que estos grupos rara vez son necesarios en entornos modernos, dejar cuentas en ellos innecesariamente aumenta el riesgo de abuso de privilegios o movimiento lateral.
Implementación
Revise la lista de entidades expuestas para identificar cuáles de las cuentas de AD son miembros de uno de los grupos de operadores integrados (por ejemplo, Operadores de servidor, Operadores de copia de seguridad, Operadores de impresión y Operadores de cuenta).
Quite la cuenta del grupo de operadores si no se requiere acceso con privilegios elevados o deshabilite la cuenta si no se usa.
Por ejemplo:
Quite la pertenencia o deshabilite el servicio o la cuenta de administrador que se agregaron a los operadores de copia de seguridad para un proceso de copia de seguridad heredado que ya no se ejecuta.
Si una cuenta sigue realizando tareas operativas pero no requiere amplios derechos de operador, delegue solo los permisos específicos que necesita (por ejemplo, la restauración de archivos o la administración de impresión en un único servidor).
Si la pertenencia a grupos de operadores es esencial para una función administrativa específica, supervise la cuenta, restrinja a los hosts necesarios y revísela periódicamente para confirmar la necesidad continua.
Cuentas con un identificador de grupo principal no predeterminado
Descripción
En esta recomendación se enumeran todas las cuentas de equipos y usuarios cuyo atributo primaryGroupId (PGID) no es el predeterminado para los usuarios de dominio y los equipos de Active Directory.
Impacto en el usuario
El atributo primaryGroupId de una cuenta de usuario o equipo concede una pertenencia implícita a un grupo. La pertenencia a través de este atributo no aparece en la lista de miembros del grupo en algunas interfaces. Este atributo puede usarse como un intento de ocultar la pertenencia a grupos. Puede ser una manera sigilosa de que un atacante escale los privilegios sin desencadenar la auditoría normal de los cambios de pertenencia a grupos.
Implementación
Revise la lista de entidades expuestas para detectar cuál de las cuentas tiene un primaryGroupId sospechoso.
Realice las acciones adecuadas en esas cuentas restableciendo su atributo a sus valores predeterminados o agregando el miembro al grupo correspondiente:
Cuentas de usuario: 513 (usuarios del dominio) o 514 (invitados de dominio);
Cuentas de equipo: 515 (equipos de dominio);
Cuentas de controlador de dominio: 516 (controladores de dominio);
Cuentas de controlador de dominio de solo lectura (RODC): 521 (controladores de dominio de solo lectura).
Eliminación de derechos de acceso en cuentas sospechosas con el permiso Administración SDHolder
Descripción
Tener cuentas no confidenciales con permisos de Administración SDHolder (titular del descriptor de seguridad) puede tener implicaciones de seguridad importantes, entre las que se incluyen:
- Conduce a una escalación de privilegios no autorizada, donde los atacantes pueden aprovechar estas cuentas para obtener acceso administrativo y poner en peligro los sistemas o datos confidenciales.
- Aumentar la superficie expuesta a ataques, dificultando el seguimiento y la mitigación de incidentes de seguridad, lo que podría exponer a la organización a mayores riesgos.
Implementación
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para quitar derechos de acceso en cuentas sospechosas con el permiso Administración SDHolder.
Por ejemplo:
Revise la lista de entidades expuestas para detectar qué cuentas no confidenciales tienen el permiso Administración SDHolder.
Tome las medidas adecuadas en esas entidades quitando sus derechos de acceso con privilegios. Por ejemplo:
- Use la herramienta de edición de ADSI para conectarse al controlador de dominio.
- Vaya al contenedor CN=System>CN=AdminSDHolder y abra las propiedades del contenedor CN=AdminSDHolder .
- Seleccione la pestaña >SeguridadAvanzadas y quite las entidades que no sean confidenciales. Estas son las entidades marcadas como expuestas en la evaluación de seguridad.
Para obtener más información, consulte la documentación sobre las interfaces de servicio de Active Directory y la edición de ADSI .
Para lograr la puntuación completa, corrija todas las entidades expuestas.
Cambio de la contraseña de la cuenta de krbtgt
Descripción
Esta recomendación enumera cualquier cuenta krbtgt dentro de su entorno con la contraseña establecida por última vez hace más de 180 días.
Impacto en el usuario
La cuenta krbtgt de Active Directory es una cuenta integrada que usa el servicio de autenticación Kerberos. Cifra y firma todos los vales de Kerberos, lo que habilita la autenticación segura dentro del dominio. La cuenta no se puede eliminar y protegerla es fundamental, ya que el riesgo podría permitir a los atacantes falsificar vales de autenticación.
Si la contraseña de la cuenta KRBTGT está en peligro, un atacante puede usar su hash para generar vales de autenticación Kerberos válidos, lo que les permite realizar ataques golden ticket y obtener acceso a cualquier recurso del dominio de AD. Dado que Kerberos se basa en la contraseña KRBTGT para firmar todos los vales, la supervisión estrecha y el cambio regular de esta contraseña es esencial para mitigar el riesgo de tales ataques.
Implementación
Revise la lista de entidades expuestas para detectar cuál de las cuentas krbtgt tiene una contraseña antigua.
Realice las acciones adecuadas en esas cuentas restableciendo su contraseña dos veces para invalidar el ataque golden ticket.
Nota:
La cuenta de Kerberos krbtgt de todos los dominios de Active Directory admite el almacenamiento de claves en todos los centros de distribución de claves kerberos (KDC). Para renovar las claves Kerberos para el cifrado TGT, cambie periódicamente la contraseña de la cuenta krbtgt .
Se recomienda restablecer la contraseña dos veces, esperando al menos 10 horas entre los restablecimientos. Este proceso invalida los vales de Kerberos existentes para ayudar a evitar ataques de Golden Ticket.
Para ver el procedimiento oficial y compatible, consulte Restablecer la contraseña de krbtgt.
Cambio de contraseña para una cuenta local con credenciales potencialmente filtradas (versión preliminar)
Descripción
En este informe se enumeran los usuarios cuyas credenciales válidas se han filtrado. Cuando los cibercriminales ponen en peligro las contraseñas válidas de los usuarios legítimos, los delincuentes suelen compartir esas credenciales. Esto se hace publicándolos públicamente en la web oscura o pegar sitios o negociando o vendiendo las credenciales en el mercado negro. El servicio de credenciales filtradas de Microsoft adquiere pares de nombre de usuario y contraseña mediante la supervisión de sitios web públicos y oscuros y trabajando con los equipos de seguridad de aplicación de la ley de Investigadores en Microsoft Otros orígenes de confianza.
Impacto en el usuario
Cuando el servicio adquiere credenciales de usuario de la web oscura, los actores malintencionados pueden aprovechar los sitios de pegado o los orígenes anteriores con una cuenta con credenciales en peligro para obtener acceso no autorizado.
Implementación
- Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actionsPara cambiar la contraseña de las cuentas con credenciales potencialmente filtradas.
- Revise la lista de entidades expuestas para detectar cuál de las contraseñas de cuenta se filtró.
- Realice las acciones adecuadas en esas entidades quitando la cuenta de servicio:
- Abra la consola de Usuarios y equipos de Active Directory (ADUC) e inicie sesión con una cuenta de administrador.
- Vaya a la unidad organizativa (OU) donde se encuentra la cuenta de usuario.
- Busque y seleccione la cuenta de usuario que necesita un cambio de contraseña.
- Haga clic con el botón derecho en la cuenta de usuario, seleccione Restablecer contraseña, escriba la nueva contraseña y confírmela.
Cambio de la contraseña de la cuenta de administrador de dominio integrada
Descripción
En esta recomendación se enumeran las cuentas de administrador de dominio integradas dentro del entorno con la contraseña establecida por última vez hace más de 180 días.
Impacto en el usuario
La cuenta de administrador de dominio integrada es una cuenta de AD predeterminada con privilegios elevados con control total sobre el dominio. No se puede eliminar, tiene acceso sin restricciones y es fundamental para administrar los recursos del dominio.
La actualización periódica de la contraseña de la cuenta de administrador integrada es esencial debido a sus elevados privilegios, lo que la convierte en un destino principal para los atacantes. Si está en peligro, puede conceder control no autorizado sobre el dominio. Dado que esta cuenta a menudo no se usa y es posible que su contraseña no se actualice con frecuencia, los cambios regulares reducen la exposición y mejoran la seguridad.
Implementación
Revise la lista de entidades expuestas para detectar cuáles de las cuentas de administrador de dominio integradas tienen una contraseña antigua.
Realice las acciones adecuadas en esas cuentas restableciendo su contraseña.
Por ejemplo:
Entidades inactivas en grupos confidenciales
Descripción
Microsoft Defender for Identity detecta si determinados usuarios son confidenciales, además de proporcionar atributos que aparecen si están inactivos, deshabilitados o expirados.
Sin embargo, las cuentas confidenciales también pueden quedar inactivas si no se usan durante un período de 180 días. Las entidades confidenciales inactivas son objetivos de oportunidad para que los actores malintencionados obtengan acceso confidencial a su organización.
Para obtener más información, consulte Etiquetas de entidad de Defender for Identity en Microsoft Defender XDR.
Impacto en el usuario
Las organizaciones que no protegen sus cuentas de usuario inactivas dejan la puerta abierta a sus datos confidenciales a salvo.
Los actores malintencionados, al igual que los ladrones, suelen buscar la manera más sencilla y tranquila de entrar en cualquier entorno. Una ruta de acceso fácil y silenciosa en la organización es a través de cuentas de usuario y servicio confidenciales que ya no están en uso.
No importa si la causa es la rotación de empleados o la mala administración de recursos: omitir este paso deja a las entidades más confidenciales de la organización vulnerables y expuestas.
Implementación
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar cuáles de las cuentas confidenciales están inactivas.
Realice las acciones adecuadas en esas cuentas de usuario quitando sus derechos de acceso con privilegios o eliminando la cuenta.
Eliminación de cuentas que no son de administrador con permisos DCSync
Descripción
Las cuentas con el permiso DCSync pueden iniciar la replicación de dominio. Los atacantes pueden aprovechar la replicación de dominio para obtener acceso no autorizado, manipular datos de dominio o poner en peligro la integridad y la disponibilidad del entorno de Active Directory.
Es fundamental administrar y restringir cuidadosamente la pertenencia de este grupo para garantizar la seguridad y la integridad del proceso de replicación de dominio.
Implementación
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actionsPara quitar cuentas que no son de administrador con permisos DCSync.
Revise esta lista de entidades expuestas para detectar cuáles de las cuentas tienen permisos DCSync y también son administradores que no son de dominio.
Tome las medidas adecuadas en esas entidades quitando sus derechos de acceso con privilegios.
Para lograr la puntuación máxima, corrija todas las entidades expuestas.
Puede acceder a Usuarios y equipos de Active Directory iniciando sesión en el controlador de dominio. Para quitar los permisos de DCSync de una cuenta que no es administrador:
Abra Usuarios y equipos de Active Directory.
Active Características avanzadas. Esto es necesario para mostrar la pestaña Seguridad en objetos de dominio.
Abra Propiedades de dominio, seleccione el nombre de dominio (por ejemplo, contoso.local) y, a continuación, seleccione Propiedades.
Seleccione la ficha Seguridad.
Seleccione el usuario o grupo de destino y, a continuación, seleccione el usuario o la cuenta de servicio que no sean administradores que no deben tener estos permisos.
Desactive los permisos de replicación. Desplázate por la lista "Permisos para [usuario]" desactiva los siguientes permisos si están seleccionados:
- Replicación de cambios en el directorio
- Replicar todos los cambios de directorio
Seleccione Aplicar y luego Aceptar.
Asegurarse de que las cuentas con privilegios no están delegadas
Descripción
En esta recomendación se enumeran todas las cuentas con privilegios que no tienen habilitada la configuración "no delegada", resaltando las que podrían estar expuestas a riesgos relacionados con la delegación. Las cuentas con privilegios son cuentas que son miembros de un grupo con privilegios, como administradores de dominio, administradores de esquemas, etc.
Impacto en el usuario
Si la marca confidencial está deshabilitada, los atacantes podrían aprovechar la delegación de Kerberos para usar mal las credenciales de la cuenta con privilegios, lo que provocaría acceso no autorizado, movimiento lateral y posibles infracciones de seguridad en toda la red. Establecer la marca confidencial en cuentas de usuario con privilegios impide que los usuarios obtengan acceso a la cuenta y manipule la configuración del sistema.
Para las cuentas de dispositivo, establecerlas en "no delegados" es importante para evitar que se use en cualquier escenario de delegación, lo que garantiza que las credenciales de esta máquina no se puedan reenviar para acceder a otros servicios.
Implementación
Revise la lista de entidades expuestas para detectar cuáles de las cuentas con privilegios no tienen la marca de configuración "esta cuenta es confidencial y no se puede delegar".
Realice las acciones adecuadas en esas cuentas:
Para las cuentas de usuario: al establecer las marcas de control de la cuenta en "esta cuenta es confidencial y no se puede delegar". En la pestaña Cuenta, active la casilla de esta marca en la sección Opciones de cuenta. Esto impide que los usuarios obtengan acceso a la cuenta y manipule la configuración del sistema.
Para cuentas de dispositivo:
El enfoque más seguro es usar un script de PowerShell para configurar el dispositivo y evitar que se use en cualquier escenario de delegación, lo que garantiza que las credenciales de esta máquina no se puedan reenviar para acceder a otros servicios.$name = "ComputerA" Get-ADComputer -Identity $name | Set-ADAccountControl -AccountNotDelegated:$trueOtra opción consiste en establecer el
UserAccountControlatributoNOT_DELEGATED = 0x100000en en la pestaña Editor de atributos del dispositivo expuesto.Por ejemplo:
Entidades que exponen credenciales en texto no cifrado
Descripción
Esta evaluación de seguridad supervisa el tráfico de las entidades que exponen credenciales en texto no cifrado y le avisa de los riesgos de exposición actuales (entidades más afectadas) de la organización con la corrección sugerida.
Impacto en el usuario
Las entidades que exponen credenciales en texto no cifrado son riesgosas no solo para la entidad expuesta en cuestión, sino para toda la organización.
El mayor riesgo se debe a que el tráfico no seguro, como ldap simple-bind, es muy susceptible a la interceptación por parte de ataques de atacante en el medio. Estos tipos de ataques dan lugar a actividades malintencionadas, incluida la exposición de credenciales, en las que un atacante puede aprovechar las credenciales con fines malintencionados.
Implementación
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions.
Investigue por qué esas entidades usan LDAP en texto no cifrado.
Corrija los problemas y detenga la exposición.
Después de confirmar la corrección, se recomienda requerir la firma LDAP de nivel de controlador de dominio. Para más información sobre la firma del servidor LDAP, consulte Requisitos de firma del servidor LDAP del controlador de dominio.
Nota:
Esta evaluación se actualiza casi en tiempo real. Los informes muestran las entidades afectadas de los últimos 30 días. Después de ese tiempo, las entidades ya no afectadas se quitarán de la lista de entidades expuestas.
Uso de Microsoft LAPS
Descripción
La "Solución de contraseñas de administrador local" (LAPS) de Microsoft proporciona administración de contraseñas de cuenta de administrador local para equipos unidos a un dominio. Las contraseñas se aleatorizan y almacenan en Active Directory (AD), protegidas por ACL, por lo que solo los usuarios aptos pueden leerlas o solicitar su restablecimiento.
Esta evaluación de seguridad admite la laps heredada de Microsoft y Windows LAPS.
Impacto en el usuario
LAPS proporciona una solución al problema de usar una cuenta local común con una contraseña idéntica en cada equipo de un dominio. LAPS resuelve este problema estableciendo una contraseña aleatoria diferente y rotada para la cuenta de administrador local común en todos los equipos del dominio.
LAPS simplifica la administración de contraseñas y ayuda a los clientes a implementar defensas más recomendadas contra ciberataques. En concreto, la solución mitiga el riesgo de escalación lateral que se produce cuando los clientes usan la misma combinación de cuenta local administrativa y contraseña en sus equipos. LAPS almacena la contraseña de la cuenta de administrador local de cada equipo en AD, protegida en un atributo confidencial en el objeto de AD correspondiente del equipo. El equipo puede actualizar sus propios datos de contraseña en AD y los administradores de dominio pueden conceder acceso de lectura a usuarios o grupos autorizados, como administradores del departamento de soporte técnico de la estación de trabajo.
Nota:
En algunos casos, es posible que Microsoft Entra máquinas unidas híbridas sigan apareciendo en la evaluación de la posición de seguridad incluso si LAPS está configurado en Microsoft Entra ID. Esto puede deberse a cómo se aplica la directiva o a cómo informa el dispositivo de su estado. Si esto ocurre, se recomienda revisar la configuración de LAPS en Microsoft Entra ID para confirmar que todo está configurado según lo esperado. Puede encontrar más detalles aquí.
Implementación
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar qué dominios tienen algunos (o todos) dispositivos Windows compatibles que no están protegidos por LAPS o que no han cambiado su contraseña administrada por LAPS en los últimos 60 días.
En el caso de los dominios que están parcialmente protegidos, seleccione la fila correspondiente para ver la lista de dispositivos no protegidos por LAPS en ese dominio.
Realice las acciones adecuadas en esos dispositivos descargando, instalando y configurando o solucionando problemas de LAPS de Microsoft o Windows LAPS.
Eliminación de contraseñas detectables en atributos de cuenta de Active Directory (versión preliminar)
Descripción
Algunos atributos de texto libre a menudo se pasan por alto durante la protección, pero son legibles por cualquier usuario autenticado en el dominio. Cuando las credenciales o pistas se almacenan por error en estos atributos, los atacantes pueden abusar de ellos para moverse lateralmente por el entorno o escalar privilegios.
Los atacantes buscan rutas de baja fricción para expandir el acceso. Las contraseñas expuestas en estos atributos representan una ventaja fácil porque:
Los atributos no tienen restricciones de acceso.
No se supervisan de forma predeterminada.
Proporcionan atacantes de contexto que pueden aprovechar para el movimiento lateral y la escalación de privilegios.
La eliminación de las credenciales expuestas de estos atributos reduce el riesgo de peligro de identidad y refuerza la posición de seguridad de la organización.
Nota:
Los resultados pueden incluir falsos positivos. Valide siempre los resultados antes de tomar medidas.
Microsoft Defender for Identity detecta la posible exposición de credenciales en Active Directory mediante el análisis de atributos de texto libre que se usan habitualmente. Esto incluye la búsqueda de formatos de contraseña comunes, sugerencias, 'description', 'info'y 'adminComment' campos, y otras pistas contextuales que podrían sugerir la presencia de un uso indebido de credenciales.
Esta recomendación usa el análisis con tecnología GenAI de los atributos de Active Directory para detectar:
Contraseñas o variaciones de texto no cifrado. Por ejemplo, '
Password=Summer2025!'Patrones de credenciales, sugerencias de restablecimiento o información confidencial de la cuenta.
Otros indicadores que sugieren un uso incorrecto operativo de los campos de directorio.
Las coincidencias detectadas aparecen en puntuación segura y en el informe de evaluación de seguridad para su revisión y corrección.
Implementación
Para abordar esta evaluación de seguridad, siga estos pasos:
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions Para quitar contraseñas detectables en los atributos de cuenta de Active Directory.
Revise las entradas expuestas en el informe de seguridad. Identifique cualquier contenido de campo que incluya:
Contraseñas de texto no cifrado
Restablecer instrucciones o pistas de credenciales
Información confidencial del sistema o de la empresa
Quite información confidencial de los campos de atributo enumerados mediante herramientas de administración de directorios estándar (por ejemplo, PowerShell o ADSI Edit).
Quite completamente la información confidencial. No solo enmascara el valor. La ofuscación parcial (por ejemplo, P@ssw***) todavía puede ofrecer pistas útiles a los atacantes.
Quitar cuentas de servicio obsoletas (versión preliminar)
Descripción
En esta recomendación se enumeran las cuentas de servicio de Active Directory detectadas como obsoletas en los últimos 90 días.
Impacto en el usuario
Las cuentas de servicio sin usar crean riesgos de seguridad significativos, ya que algunas de ellas pueden tener privilegios elevados. Si los atacantes obtienen acceso, el resultado puede ser un daño considerable. Las cuentas de servicio obsoletas pueden conservar permisos elevados o heredados. Cuando se ponen en peligro, proporcionan a los atacantes puntos de entrada discretos en sistemas críticos, lo que concede mucho más acceso que una cuenta de usuario estándar.
Esta exposición crea varios riesgos:
Acceso no autorizado a aplicaciones y datos confidenciales.
Movimiento lateral a través de la red sin detección.
Implementación
Para usar esta evaluación de seguridad de forma eficaz, siga estos pasos:
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para quitar la cuenta de servicio obsoleta.
Revise la lista de entidades expuestas para detectar cuáles de las cuentas de servicio están obsoletas y no han realizado ninguna actividad de inicio de sesión en los últimos 90 días.
Realice las acciones adecuadas en esas entidades quitando la cuenta de servicio. Por ejemplo:
Deshabilite la cuenta: Evite cualquier uso deshabilitando la cuenta identificada como expuesta.
Supervisión del impacto: Espere varias semanas y supervise los problemas operativos, como interrupciones del servicio o errores.
Elimine la cuenta: Si no se observa ningún problema, elimine la cuenta y quite completamente su acceso.
Rutas de desplazamiento lateral más arriesgadas (LMP)
Descripción
Microsoft Defender for Identity supervisa continuamente el entorno para identificar cuentas confidenciales con las rutas de desplazamiento lateral más arriesgadas que exponen un riesgo de seguridad e informes sobre estas cuentas para ayudarle a administrar su entorno. Las rutas de acceso se consideran de riesgo si tienen tres o más cuentas no confidenciales que pueden exponer la cuenta confidencial al robo de credenciales por parte de actores malintencionados.
Para obtener más información sobre las rutas de desplazamiento lateral, consulte:
- Comprender e investigar las rutas de desplazamiento lateral (LMP) con Microsoft Defender for Identity
- MITRE ATT&movimiento lateral de CK
Impacto en el usuario
Las organizaciones que no protegen sus cuentas confidenciales dejan la puerta abierta para actores malintencionados.
Los actores malintencionados, al igual que los ladrones, suelen buscar la manera más sencilla y tranquila de entrar en cualquier entorno. Las cuentas confidenciales con rutas de desplazamiento lateral de riesgo son ventanas de oportunidades para los atacantes y pueden exponer riesgos.
Por ejemplo, las rutas de acceso más arriesgadas son más visibles para los atacantes y, si se ponen en peligro, pueden proporcionar a un atacante acceso a las entidades más confidenciales de la organización.
Implementación
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar cuál de las cuentas confidenciales tiene LMP de riesgo.
Realice las acciones adecuadas:
- Quite la entidad del grupo tal y como se especifica en la recomendación.
- Quite los permisos de administrador local para la entidad del dispositivo especificado en la recomendación.
Delegación de Kerberos no segura
Descripción
La delegación de Kerberos es una configuración de delegación que permite a las aplicaciones solicitar credenciales de acceso de usuario final para acceder a los recursos en nombre del usuario de origen.
Impacto en el usuario
La delegación de Kerberos no segura proporciona a una entidad la capacidad de suplantarle a cualquier otro servicio elegido. Por ejemplo, imagine que tiene un sitio web de IIS y que la cuenta del grupo de aplicaciones está configurada con delegación sin restricciones. El sitio web de IIS también tiene habilitada la autenticación de Windows, lo que permite la autenticación Kerberos nativa, y el sitio usa un SQL Server back-end para los datos empresariales. Con la cuenta de Administración dominio, vaya al sitio web de IIS y autentíquese en él. El sitio web, mediante la delegación sin restricciones, puede obtener un vale de servicio de un controlador de dominio al servicio SQL y hacerlo en su nombre.
El problema principal con la delegación de Kerberos es que debe confiar en la aplicación para hacer siempre lo correcto. En su lugar, los actores malintencionados pueden forzar a la aplicación a hacer lo incorrecto. Si ha iniciado sesión como administrador de dominio, el sitio puede crear un vale para cualquier otro servicio que desee, actuando como usted, el administrador de dominio. Por ejemplo, el sitio podría elegir un controlador de dominio y realizar cambios en el grupo de administración de empresa . Del mismo modo, el sitio podría adquirir el hash de la cuenta KRBTGT o descargar un archivo interesante del departamento de recursos humanos. El riesgo es claro y las posibilidades con delegación no segura son casi infinitas.
A continuación se muestra una descripción del riesgo que suponen los distintos tipos de delegación:
- Delegación sin restricciones: se puede abusar de cualquier servicio si una de sus entradas de delegación es confidencial.
- Delegación restringida: las entidades restringidas se pueden abusar si una de sus entradas de delegación es confidencial.
- Delegación restringida basada en recursos (RBCD): las entidades restringidas basadas en recursos se pueden abusar si la propia entidad es confidencial.
Implementación
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar cuál de las entidades del controlador de dominio no está configurada para la delegación de Kerberos no segura.
Tome las medidas adecuadas para los usuarios en riesgo, como quitar su atributo sin restricciones o cambiarlo a una delegación restringida más segura.
Use la corrección adecuada para el tipo de delegación.
Deshabilite la delegación o use uno de los siguientes tipos de delegación restringida de Kerberos (KCD):
Delegación sin restricciones
Seleccione Confiar en este equipo para la delegación sólo a los servicios especificados.
Especifique los servicios a los que esta cuenta puede presentar credenciales delegadas.
Delegación restringida
Restringe los servicios que esta cuenta puede suplantar.
Revise los usuarios confidenciales que aparecen en las recomendaciones y quítelos de los servicios a los que la cuenta afectada puede presentar credenciales delegadas.
Delegación restringida basada en recursos (RBCD)
La delegación restringida basada en recursos restringe qué entidades pueden suplantar esta cuenta. KCD basado en recursos se configura mediante PowerShell.
Puede usar los cmdlets Set-ADComputer o Set-ADUser , en función de si la cuenta de suplantación es una cuenta de equipo o una cuenta de usuario o cuenta de servicio.
Revise los usuarios confidenciales que aparecen en las recomendaciones y quítelos del recurso. Para obtener más información sobre cómo configurar RBCD, vea Configurar la delegación restringida de Kerberos (KCD) en Servicios de dominio de Microsoft Entra.
Atributos de historial de SID no seguros
Descripción
El historial de SID es un atributo que admite escenarios de migración. Cada cuenta de usuario tiene un identificador de seguridad (SID) asociado que se usa para realizar un seguimiento de la entidad de seguridad y el acceso que tiene la cuenta al conectarse a los recursos. El historial de SID permite clonar de forma eficaz el acceso de otra cuenta a otra y resulta útil para garantizar que los usuarios conserven el acceso cuando se mueven (migran) de un dominio a otro.
La evaluación comprueba las cuentas con atributos de historial de SID que Microsoft Defender for Identity perfiles de riesgo.
Impacto en el usuario
Las organizaciones que no protegen sus atributos de cuenta dejan la puerta abierta para actores malintencionados.
Los actores malintencionados, al igual que los ladrones, suelen buscar la manera más sencilla y tranquila de entrar en cualquier entorno. Las cuentas configuradas con un atributo sid history no seguro son ventanas de oportunidades para los atacantes y pueden exponer riesgos.
Por ejemplo, una cuenta no confidencial de un dominio puede contener el SID de enterprise Administración en su historial de SID desde otro dominio del bosque de Active Directory, lo que "eleva" el acceso de la cuenta de usuario a un dominio efectivo Administración en todos los dominios del bosque. Si tiene una confianza de bosque sin el filtrado de SID habilitado (también denominado cuarentena), es posible insertar un SID desde otro bosque y se agregará al token de usuario cuando se autentique y se use para las evaluaciones de acceso.
Implementación
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar qué cuentas tienen un atributo de historial de SID no seguro.
Realice las acciones adecuadas para quitar el atributo SID History de las cuentas mediante PowerShell mediante los pasos siguientes:
Identifique el SID en el atributo SIDHistory de la cuenta.
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistoryQuite el atributo SIDHistory mediante el SID identificado anteriormente.
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
Atributos de cuenta no seguros
Descripción
Microsoft Defender for Identity supervisa continuamente el entorno para identificar cuentas con valores de atributo que exponen un riesgo de seguridad e informes sobre estas cuentas para ayudarle a proteger el entorno.
Impacto en el usuario
Las organizaciones que no protegen sus atributos de cuenta dejan la puerta abierta para actores malintencionados.
Los actores malintencionados, al igual que los ladrones, suelen buscar la manera más sencilla y tranquila de entrar en cualquier entorno. Las cuentas configuradas con atributos no seguros son ventanas de oportunidad para los atacantes y pueden exponer riesgos.
Por ejemplo, si el atributo PasswordNotRequired está habilitado, un atacante puede acceder fácilmente a la cuenta. Esto es especialmente arriesgado si la cuenta tiene acceso con privilegios a otros recursos.
Implementación
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar qué cuentas tienen atributos no seguros.
Realice las acciones adecuadas en esas cuentas de usuario modificando o quitando los atributos pertinentes.
Use la corrección adecuada para el atributo pertinente, tal como se describe en la tabla siguiente:
| Acción recomendada | Corrección | Reason |
|---|---|---|
| Quitar No requerir autenticación previa de Kerberos | Quitar esta configuración de las propiedades de la cuenta en Active Directory (AD) | La eliminación de esta configuración requiere una autenticación previa de Kerberos para la cuenta que da como resultado una seguridad mejorada. |
| Eliminación de la contraseña de almacenamiento mediante el cifrado reversible | Quitar esta configuración de las propiedades de la cuenta en AD | La eliminación de esta configuración impide el descifrado sencillo de la contraseña de la cuenta. |
| No se requiere quitar la contraseña | Quitar esta configuración de las propiedades de la cuenta en AD | La eliminación de esta configuración requiere que se use una contraseña con la cuenta y ayuda a evitar el acceso no autorizado a los recursos. |
| Quitar contraseña almacenada con cifrado débil | Restablecimiento de la contraseña de la cuenta | Cambiar la contraseña de la cuenta permite usar algoritmos de cifrado más seguros para su protección. |
| Habilitación de la compatibilidad con el cifrado AES de Kerberos | Habilitación de características de AES en las propiedades de la cuenta en AD | Habilitar AES128_CTS_HMAC_SHA1_96 o AES256_CTS_HMAC_SHA1_96 en la cuenta ayuda a evitar el uso de cifrados más débiles para la autenticación Kerberos. |
| Eliminación del uso de tipos de cifrado DES de Kerberos para esta cuenta | Quitar esta configuración de las propiedades de la cuenta en AD | La eliminación de esta configuración permite el uso de algoritmos de cifrado más seguros para la contraseña de la cuenta. |
| Quitar un nombre de entidad de seguridad de servicio (SPN) | Quitar esta configuración de las propiedades de la cuenta en AD | Cuando se configura una cuenta de usuario con un conjunto de SPN, significa que la cuenta se ha asociado a uno o más SPN. Esto suele ocurrir cuando un servicio está instalado o registrado para ejecutarse en una cuenta de usuario específica y el SPN se crea para identificar de forma única el área de trabajo del servicio para la autenticación Kerberos. Esta recomendación solo se mostró para cuentas confidenciales. |
| Restablecer contraseña cuando se quitó la configuración de SmartcardRequired | Restablecimiento de la contraseña de la cuenta | Al cambiar la contraseña de la cuenta después de quitar la marca de UAC SmartcardRequired, se garantiza que se estableció en las directivas de seguridad actuales. Esto ayuda a evitar la posible exposición de contraseñas creadas cuando la aplicación de tarjetas inteligentes todavía estaba activa. |
Use la marca UserAccountControl (UAC) para manipular perfiles de cuenta de usuario. Para más información, vea: