Concesión dada para actuar

Descripción

La entidad de seguridad de origen puede otorgarse a sí misma o a otra una relación Puede actuar con el equipo de destino. A menudo, esto lleva a poner en total peligro el equipo de destino a través de un ataque de delegación de RBCD de Kerberos.

Esto es posible porque el origen tiene permiso para editar el atributo “msDS-AllowedToActOnBehalfOfOtherIdentity” del destino.

Una entidad de seguridad malintencionada que realice esta operación puede crear una relación de ataque “Puede actuar”.

Explotación

Los atacantes que pongan en peligro la entidad de seguridad de origen deben editar el atributo msDS-AllowedToActOnBehalfOfOtherIdentity del equipo de destino mediante PowerShell (por ejemplo, “Set-ADComputer <target> -PrincipalsAllowedToDelegateToAccount… ”).

Corrección

Varias entidades de seguridad privilegiadas de forma nativa tienen este permiso de manera predeterminada, a saber, Operadores de cuentas, Administradores, Administradores de dominio, Administradores de empresas y SISTEMA. Estas entidades de seguridad son legítimas y no requieren corrección.

La RBCD de Kerberos se diseñó para que los administradores de un equipo puedan otorgar los derechos para realizar delegaciones en el equipo a cualquier usuario que lo necesite. Esto difiere de otros modos de delegación de Kerberos que requieren el permiso de nivel Administradores de dominio. Esto permite que administradores de nivel inferior gestionen estas opciones de seguridad por sí mismos, que es un principio también conocido como “delegación”. En este caso, la relación es legítima.

Sin embargo, si la entidad de seguridad de origen no es un administrador legítimo del equipo de destino, la relación no es legítima y debe quitarse este permiso.

Para modificar el descriptor de seguridad del equipo de destino:

1. En “Usuarios y equipos de Active Directory”, haga clic con el botón derecho en Propiedades > Seguridad.

2. Quite el permiso dado a la entidad de seguridad de origen. Busque permisos como “Escribir msDS-AllowedToActOnBehalfOfOtherIdentity”, “Escribir todas las propiedades”, “Write account restrictions”, “Control total”, etc.

 

Consulte también

• Agregar credencial de clave

• Agregar miembro

• Puede actuar

• Puede delegar

• Pertenece a GPO

• DCSync

• Tiene historial de SID

• Toma de control implícita

• Heredar GPO

• GPO vinculado

• Miembro de

• Es propietario

• Restablecer la contraseña

• Gestión de RODC

• Escribir DACL

• Escribir propietario