En un entorno de Active Directory (AD), hay varios grupos y usuarios predeterminados que son creados durante la instalación. Estos grupos y usuarios tienen diferentes niveles de privilegios que permiten realizar ciertas tareas dentro del dominio.
- Domain Admins: Este grupo tiene control total sobre todos los dominios en el bosque. Cualquier usuario que sea miembro de este grupo puede realizar cualquier cambio en el dominio, como crear o eliminar otros usuarios, grupos y modificar políticas de seguridad.
- Enterprise Admins: Los miembros de este grupo tienen permisos para realizar cambios a nivel de toda la empresa, incluidos todos los dominios y bosques.
- Schema Admins: Los usuarios en este grupo pueden hacer cambios en el esquema de AD, que es la definición de objetos y atributos que pueden ser creados y almacenados en AD.
- Account Operators: Pueden administrar las cuentas de usuario y grupos dentro de un dominio, pero no pueden modificar los miembros de los grupos de administradores ni cambiar la configuración de los servidores de dominio.
- Backup Operators: Pueden realizar copias de seguridad y restaurar archivos en un servidor, independientemente de los permisos de acceso a esos archivos.
- Server Operators: Pueden realizar tareas de mantenimiento en servidores de dominio.
- Guests: Es un grupo que por defecto tiene privilegios mínimos, y generalmente se utiliza para proporcionar acceso temporal o limitado a la red.
- Administrator: La cuenta de administrador del dominio que tiene acceso total a todos los servidores y estaciones de trabajo del dominio.
- Guest: Una cuenta de usuario que tiene privilegios limitados, generalmente deshabilitada por defecto.
Si un atacante compromete una cuenta perteneciente a uno de los grupos privilegiados, como Domain Admins o Enterprise Admins, podría tener impactos severos en la seguridad de la red. Por ejemplo:
- Compromiso de Domain Admins: El atacante podría crear cuentas de usuario adicionales para acceso persistente, cambiar políticas de seguridad, acceder a datos confidenciales, implementar malware en toda la red, tomar control de otros servidores y estaciones de trabajo, y más.
- Compromiso de Enterprise Admins: Este nivel de acceso podría permitir al atacante afectar múltiples dominios dentro del bosque de AD, potencialmente dándoles el control sobre toda la infraestructura de IT de la empresa.
- Compromiso de Schema Admins: El atacante podría modificar el esquema de AD, lo que puede tener un impacto duradero y posiblemente irreversible en la estructura del directorio y la interoperabilidad de los servicios basados en AD.
- Compromiso de Account Operators: Aunque no pueden cambiar cuentas de administradores, podrían alterar otras cuentas y grupos, posiblemente creando puertas traseras para ellos mismos.
- Compromiso de Backup Operators: Podrían utilizar sus privilegios para copiar datos confidenciales o alterar/eliminar respaldos para impedir la recuperación después de un incidente.
En todos estos casos, la detección y respuesta rápida son esenciales para mitigar el daño. La implementación de la menor cantidad de privilegios necesarios, la monitorización de las cuentas privilegiadas y la utilización de medidas de seguridad adicionales como la autenticación multifactor y el análisis de comportamiento son prácticas recomendadas para reducir el riesgo de compromiso.