Restricciones de inicio de sesión para usuarios privilegiados
high
Idioma:
Descripción
Las credenciales de un usuario que inicia sesión en una máquina suelen quedar expuestas en memoria, lo que permite que malware las robe y suplante la identidad del usuario. Los usuarios privilegiados con acceso a datos empresariales confidenciales solo deben conectarse a máquinas seguras y de confianza para minimizar el riesgo de robo de identidades. Existen medidas técnicas para exigir esta regla, y este indicador de exposición comprueba su implementación.
Solución
Para aumentar la dificultad de que atacantes y malware roben identidades privilegiadas y sus permisos asociados, los usuarios privilegiados solo deben conectarse a máquinas de confianza. Después de establecer los usuarios privilegiados y las máquinas de confianza mediante un “modelo de niveles”, implemente medidas técnicas para exigir las restricciones de inicio de sesión a los usuarios privilegiados durante las operaciones diarias, incluso en caso de error.
Consulte también
User-Workstations deprecation notice (texto en inglés)
User right: Deny log on as a batch job (SeDenyBatchLogonRight) (texto en inglés)
User right: Deny log on as a service (SeDenyServiceLogonRight) (texto en inglés)
User right: Deny log on locally (SeDenyInteractiveLogonRight) (texto en inglés)
Description of Selective Authentication (introduced by Windows 2003) (texto en inglés)
How selective authentication affects domain controller behavior (texto en inglés)
Detalles del indicador
Nombre: Restricciones de inicio de sesión para usuarios privilegiados
Nombre en clave: C-ADMIN-RESTRICT-AUTH
Gravedad: High
Tipo: Active Directory Indicator of Exposure
Family: Cuentas privilegiadas
Herramientas conocidas de atacantes
Benjamin Delpy: Mimikatz
SpecterOps: BloodHound
SpecterOps: SharpHound