Usuarios con permiso para unir equipos al dominio

De manera predeterminada, cualquier usuario privilegiado o sin privilegios puede agregar un equipo a un dominio al crear una nueva cuenta de equipo en la instancia de Active Directory. Si en este equipo se almacena información confidencial, podría volverse un riesgo de seguridad y el usuario que la haya agregado podría aún tener privilegios en ella, por lo que se podrían crear puertas traseras. Esta característica también puede simplificar la explotación de vulnerabilidades (CVE-2021-42278, CVE-2021-42287). Se recomienda deshabilitar esta característica y comprobar los equipos existentes que se hayan agregado por medio de esta característica.
El indicador de ataque Suplantación de identidad de sAMAccountName puede detectar ataques, pero no evita que haya que solucionar el problema.

Asegúrese de que no todos los usuarios puedan unir equipos al dominio de Active Directory; para ello, modifique el valor predeterminado del infame atributo ms-DS-MachineAccountQuota (también conocido como “MachineAccountQuota”) para autorizar únicamente a administradores designados. Además, es posible que algunos equipos existentes se hayan agregado al dominio por medios no autorizados. En tales casos, puede que sea necesario reinstalar esos equipos y aplicar el archivo maestro de Windows de la organización. Si bien esta puede ser una tarea costosa, es importante analizar los riesgos potenciales a los que lo dejan expuesto estos equipos, que pueden carecer del endurecimiento de seguridad adecuado o contener puertas traseras ocultas que podrían dejar el dominio vulnerable a los ataques.

Nombre: Usuarios con permiso para unir equipos al dominio

Nombre en clave: C-USERS-CAN-JOIN-COMPUTERS

Gravedad: Medium

Tipo: Active Directory Indicator of Exposure

Family: Política y configuración