Delegación peligrosa de Kerberos.

El protocolo Kerberos, que es fundamental para la seguridad de Active Directory, permite que ciertos servidores reutilicen las credenciales de usuarios. Si un atacante pone en peligro uno de estos servidores, podría robar estas credenciales y usarlas para autenticarse en otros recursos.

Este IoE de nivel crítico informa todas las cuentas que tienen atributos de delegación y excluye las cuentas deshabilitadas. Los usuarios privilegiados no deben tener atributos de delegación. Para proteger estas cuentas de usuario, agréguelas al grupo “Usuarios protegidos” o márquelas como “La cuenta es importante y no se puede delegar”.

  1. En Tenable Identity Exposure, haga clic en Indicadores de exposición en el panel de navegación para que se abra.

    De manera predeterminada, Tenable Identity Exposure muestra solo los IoE que contienen objetos anómalos.

  2. Haga clic en el mosaico del IoE Delegación peligrosa de Kerberos.

    Se abre el panel Detalles del indicador.

  3. Pase el cursor por el objeto anómalo y haga clic en él para mostrar los detalles y anote el nombre del dominio y la cuenta. (En este ejemplo: Dominio = OLYMPUS.CORP y cuenta = adm-t0).

  4. En el Administrador de Escritorio remoto (o una herramienta similar), busque el nombre del dominio y navegue hasta el dominio y la cuenta que Tenable Identity Exposure marcó.

    Permiso necesario: Para seguir el procedimiento, debe tener una cuenta de administrador en el dominio.

  5. Haga clic en el nombre de la cuenta para abrir el cuadro de diálogo Propiedades y seleccione la pestaña Miembro de.

  6. Desde la lista de miembros, haga clic en Agregar.

    Aparece el cuadro de diálogo Seleccionar grupos.

  7. Escriba el nombre del objeto “Usuarios protegidos” y haga clic en Comprobar nombres.

  8. Haga clic en Aceptar para cerrar el cuadro de diálogo.

  9. En el cuadro de diálogo Propiedades, haga clic en Aplicar.

    El nuevo grupo aparece en la lista de miembros.

  10. Haga clic en Aceptar para cerrar el cuadro de diálogo.

  11. En Tenable Identity Exposure, regrese al panel “Detalles del indicador” y actualice la página.

    El objeto anómalo ya no aparece en la lista.

  1. En el Administrador de Escritorio remoto, busque el nombre del dominio y navegue hasta el dominio y la cuenta que Tenable Identity Exposure marcó.

    Permiso necesario: Para seguir el procedimiento, debe tener una cuenta de administrador en el dominio.

  2. Haga clic en el nombre de la cuenta para abrir el cuadro de diálogo Propiedades y seleccione la pestaña Cuenta.

  3. De la lista de opciones de cuenta, seleccione “La cuenta es importante y no se puede delegar” y haga clic en Aplicar.

  4. Haga clic en Aceptar para cerrar el cuadro de diálogo.

  5. En Tenable Identity Exposure, regrese al panel “Detalles del indicador” y actualice la página.

    El objeto anómalo ya no aparece en la lista.