Detecciones

Errores de configuración peligrosos en cuentas de servicios administradas

high

Idioma:

Descripción

Las MSAs (cuentas de servicios administradas) ofrecen una forma segura de administrar las cuentas de servicio de Active Directory. Una MSA tiene su propia contraseña compleja, que se mantiene de manera automática, al igual que las cuentas de equipo. Esta funcionalidad debe implementarse y configurarse correctamente para que ninguna cuenta de usuario ilegítima pueda vulnerarlas (p. ej., mediante ataques “Kerberoasting”) .

Solución

Las cuentas de servicios deben configurarse como cuentas de servicios administradas (MSAs) y protegerse de manera adecuada con el fin de evitar los mecanismos potenciales de elevación de privilegios y persistencia.

Consulte también

Group Managed Service Accounts Overview

gMSA Active Directory Attacks (texto en inglés)

Retrieving Cleartext GMSA Passwords from Active Directory (texto en inglés)

Step-by-Step - How to work with Group Managed Service Accounts (gMSA) (texto en inglés)

Windows Server 2012 - Group Managed Service Accounts (texto en inglés)

Detalles del indicador

Nombre: Errores de configuración peligrosos en cuentas de servicios administradas

Nombre en clave: C-MSA-COMPLIANCE

Gravedad: High

Tipo: Active Directory Indicator of Exposure

Family: Servicios y aplicaciones

Información de MITRE ATT&CK:

Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1078 - Valid Accounts (texto en inglés)

Herramientas conocidas de atacantes

Yuval Gordon: GoldenGMSA

Michael Grafnetter: DSInternals