Acceder a objetos o contenedores de AD

Rol de usuario obligatorio: administrador de dominio de Active Directory

Nota: Esta sección solo se aplica a una licencia de Tenable Identity Exposure para el módulo de indicadores de exposición.

Tenable Identity Exposure no requiere privilegios administrativos para encargarse de la supervisión de la seguridad.

Este enfoque se basa en la capacidad de la cuenta de usuario que Tenable Identity Exposure usa para leer todos los objetos de Active Directory que se almacenan en un dominio (incluidas las cuentas de usuario, las unidades organizativas, los grupos, etc.).

De manera predeterminada, la mayoría de los objetos tienen acceso de lectura para el grupo “Usuarios del dominio” que usa la cuenta de servicio de Tenable Identity Exposure. Sin embargo, tiene que configurar manualmente algunos contenedores para permitir el acceso de lectura a la cuenta de usuario de Tenable Identity Exposure.

En la siguiente tabla se detallan los objetos y contenedores de Active Directory que requieren configuración manual para el acceso de lectura en cada dominio que Tenable Identity Exposure supervisa.

Ubicación del contenedor

Descripción

CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD>

Un contenedor que hospeda objetos eliminados.

CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD>

(Opcional) Un contenedor que hospeda objetos de configuración de contraseñas.

Para conceder acceso a objetos y contenedores de AD:

  • En la consola de PowerShell del controlador de dominio, ejecute los siguientes comandos para otorgar acceso a objetos o contenedores de Active Directory:

    Nota: Debe ejecutar estos comandos en cada dominio que Tenable Identity Exposure supervisa.
    Nota: Cuando se usa el comando takeownership, se reasigna la propiedad de un contenedor. Esto permite que el usuario actual modifique permisos que anteriormente eran demasiado restrictivos.
    Si el usuario actual pertenece a los grupos recomendados por Tenable, como Administradores de dominio o Administradores de empresas, uno de estos grupos se convertirá en el nuevo propietario. Esto se considera una cesión segura de propiedad.
    Sin embargo, si el usuario no está en uno de estos grupos, la cuenta de usuario en sí se convierte en el nuevo propietario. Esta no es una práctica recomendada y tendrá que restablecer manualmente la propiedad a un grupo más seguro.

    Si el usuario actual pertenece a los grupos recomendados, como Administradores de dominio o Administradores de empresas, uno de estos grupos se convertirá en el nuevo propietario. Esto se considera una cesión segura de propiedad.

    Sin embargo, si el usuario *no* está en ninguno de estos grupos, la cuenta de usuario en sí se convierte en el nuevo propietario. Esta no es una práctica recomendada y tendrá que restablecer manualmente la propiedad a un grupo más seguro.

    Copiar 
    #Set Service Account
    $serviceAccount = "<SERVICE_ACCOUNT>"

    #Don't Edit after here
    $domain = Get-ADDomain
    @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object {
        & dsacls $_ /takeownership
        & dsacls $_ /g "$($serviceAccount):LCRP" /I:T
    }
    donde <__SERVICE_ACCOUNT__> hace referencia a la cuenta de servicio que Tenable Identity Exposure usa.

Como alternativa, si PowerShell no está disponible, también puede ejecutar estos comandos para cada contenedor:

Copiar 
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

donde:

  • <__CONTAINER__> hace referencia al contenedor que requiere acceso.

  • <__SERVICE_ACCOUNT__> hace referencia a la cuenta de servicio que Tenable Identity Exposure usa.