Indicadores de exposición
| Nombre | Descripción | Gravedad | Type |
|---|---|---|---|
| Permisos de dMSA peligrosos de BadSuccessor | BadSuccessor es un error de escalamiento de privilegios de Active Directory en Windows Server 2025 que explota las dMSA, lo que permite que los atacantes manipulen los vínculos de cuentas y, posiblemente, vulneren el dominio. | critical | |
| Grupo no esencial | Verifica que ningún grupo esté vacío o contenga un solo miembro. | low | |
| Permisos de Exchange confidenciales | Identifique los permisos potencialmente inseguros que afecten a los recursos de Exchange o que estén asignados a grupos de Exchange. | critical | |
| Servidores de Exchange no admitidos u obsoletos | Detecta servidores de Exchange obsoletos que Microsoft ya no admite, así como aquellos a los que les faltan las actualizaciones acumulativas más recientes. | high | |
| Errores de configuración peligrosos de Exchange | Enumera los errores de configuración que afectan los recursos de Exchange o los objetos de esquema de Active Directory subyacentes correspondientes. | high | |
| Información de Entra ID híbrido | Recopila información, como los equipos y usuarios híbridos, del entorno local de Active Directory sobre los recursos que se sincronizan con Microsoft Entra ID. | low | |
| Miembros de grupo de Exchange | Cuentas poco comunes en grupos confidenciales de Exchange | high | |
| Errores de configuración en cuentas de servicios | Muestra errores de configuración potenciales de las cuentas de servicios de dominio. | medium | |
| Entidades de seguridad en conflicto | Comprueba que no haya usuarios, equipos ni grupos duplicados (en conflicto). | low | |
| Shadow Credentials | Detecta puertas traseras y errores de configuración de Shadow Credentials en la característica “Windows Hello para Empresas” y las credenciales de claves asociadas. | high | |
| Cuenta de invitado habilitada | Comprueba que la cuenta de invitado integrada esté deshabilitada. | low | |
| Errores de configuración peligrosos en cuentas de servicios administradas | Se asegura de que las cuentas de servicios administradas (MSAs) se implementen y configuren correctamente. | high | |
| Cuentas de usuario de AD privilegiadas sincronizadas con Microsoft Entra ID | Comprueba que las cuentas de usuario de Active Directory privilegiadas no se sincronicen con Microsoft Entra ID. | high | |
| Configuración de silos de autenticación con privilegios | Una guía detallada de la configuración de un silo de autenticación para cuentas con privilegios (nivel 0). | high | |
| Actualizaciones dinámicas sin protección permitidas de zonas DNS | Comprueba que la configuración de servidores DNS no permita las actualizaciones dinámicas sin protección de las zonas DNS. | high | |
| Errores de configuración peligrosos de WSUS | Enumera los parámetros con errores de configuración relacionados con Windows Server Update Services (WSUS). | critical | |
| Integridad de Property Sets | Comprueba la integridad de property sets y valida los permisos | medium | |
| Configuración peligrosa de replicación de SYSVOL | Comprueba que el mecanismo de "Distributed File System Replication" (DFS-R) haya sustituido a "File Replication Service" (FRS). | medium | |
| Detección de debilidades en contraseñas | Comprueba si hay debilidades en las contraseñas que pudieran aumentar la vulnerabilidad de las cuentas de Active Directory. | high | |
| Endurecimiento insuficiente frente al ransomware | Se asegura de que el dominio haya implementado medidas de endurecimiento para protegerse frente al ransomware. | medium | |
| Errores de configuración peligrosos de AD CS | Enumere los permisos peligrosos y los parámetros con errores de configuración relacionados con la infraestructura de clave pública (PKI) de Active Directory Certificate Services (AD CS). | critical | |
| Sanidad de la ejecución de GPO | Comprueba que los objetos de política de grupo (GPO) que se aplican a los equipos de un dominio estén sanos. | high | |
| Restricciones de inicio de sesión para usuarios privilegiados | Comprueba los usuarios privilegiados que pueden conectarse a máquinas con privilegios más bajos, lo que genera un riesgo de robo de credenciales. | high | |
| Configuración sin protección del protocolo Netlogon | CVE-2020-1472 (“Zerologon”) afecta al protocolo Netlogon y permite la elevación de privilegios | critical | |
| Atributos vulnerables relacionados con Credential Roaming | Los atributos de Credential roaming son vulnerables, lo que hace que un atacante pueda leer los secretos protegidos del usuario relacionado. | low | |
| Contraseñas potencialmente con texto no cifrado | Comprueba los objetos que potencialmente contengan contraseñas de texto no cifrado en los atributos que los usuarios del dominio pueden leer. | high | |
| Privilegios sensibles peligrosos | Identifica derechos de privilegios sensibles con errores de configuración que disminuyen la seguridad de una infraestructura de directorios. | high | |
| Certificados asignados en cuentas | Garantiza que no haya asignaciones de certificados débiles atribuidas a objetos. | critical | |
| Dominio sin GPO de endurecimiento de equipos | Comprueba que los GPO de endurecimiento se hayan implementado en el dominio. | medium | |
| El grupo Protected Users no se usa | Comprueba los usuarios privilegiados que no son miembros del grupo Protected Users. | high | |
| Cuenta con posible contraseña vacía | Identifica las cuentas de usuario que permiten las contraseñas vacías. | high | |
| Usuarios con permiso para unir equipos al dominio | Compruebe que los usuarios normales no puedan unir equipos externos al dominio. | medium | |
| Último cambio de la contraseña de la cuenta de Microsoft Entra SSO | Garantiza los cambios periódicos de la contraseña de la cuenta de Microsoft Entra SSO. | high | |
| Derechos peligrosos en el esquema de AD | Enumera las entradas del esquema que se consideran anómalas y que podrían ofrecer un medio de persistencia. | high | |
| Cuenta de usuario con contraseña antigua | Comprueba las actualizaciones periódicas de todas las contraseñas de cuentas activas en Active Directory para reducir el riesgo de robo de credenciales. | medium | |
| Verificar los permisos relacionados con cuentas de Microsoft Entra Connect | Asegúrese de que los permisos definidos en las cuentas de Microsoft Entra Connect estén equilibrados. | critical | |
| Controladores de dominio administrados por usuarios ilegítimos | Algunos controladores de dominio pueden estar administrados por usuarios no administrativos debido a derechos de acceso peligrosos. | critical | |
| Aplicación de políticas de contraseñas débiles en los usuarios | Algunas políticas de contraseñas que se aplican en cuentas de usuario específicas no son lo suficientemente seguras y pueden llevar al robo de credenciales. | critical | |
| Comprobar los permisos de objetos y archivos de GPO sensibles | Se asegura de que los permisos asignados a objetos y archivos de GPO vinculados a contenedores sensibles, como controladores de dominio o unidades organizativas, sean apropiados y seguros. | critical | |
| Dominio con configuración insegura de compatibilidad con versiones anteriores | El atributo dsHeuristics puede modificar el comportamiento de AD, pero algunos campos son sensibles desde el punto de vista de la seguridad y presentan un riesgo. | low | |
| Dominios con un nivel funcional obsoleto | Comprueba el nivel funcional correcto de un dominio o bosque, lo que determina la disponibilidad de características avanzadas y opciones de seguridad. | medium | |
| Administración de cuentas administrativas locales | Garantiza la administración segura y centralizada de las cuentas administrativas locales mediante LAPS. | medium | |
| Configuración de Kerberos en una cuenta de usuario | Detecta las cuentas que usan una configuración débil de Kerberos. | medium | |
| Permisos de objetos raíz que permiten ataques similares a DCSync | Comprueba los permisos inseguros en los objetos raíz, que pueden permitir que usuarios no autorizados roben credenciales de autenticación. | critical | |
| Cuentas que usan un control de acceso compatible con versiones anteriores a Windows 2000 | Comprueba los miembros de cuentas de un grupo de acceso compatible con versiones anteriores a Windows 2000 que puedan saltarse las medidas de seguridad. | high | |
| Cuentas deshabilitadas en grupos con privilegios | Las cuentas que ya no se usan no deben permanecer en los grupos con privilegios. | low | |
| Equipos que ejecutan un sistema operativo obsoleto | Identifica los sistemas obsoletos a los que Microsoft ya no brinda soporte y que aumentan la vulnerabilidad de la infraestructura. | high | |
| Cuentas con un atributo SID History peligroso | Comprueba las cuentas de usuario o de equipo que usan un identificador de seguridad privilegiado en el atributo SID history. | high | |
| Uso de algoritmos criptográficos débiles en la PKI de Active Directory | Identifica algoritmos criptográficos débiles que se usan en los certificados raíz implementados en una PKI interna de Active Directory. | critical | |
| Uso reciente de la cuenta Administrador predeterminada | Comprueba los usos recientes de la cuenta de administrador integrada. | medium |