Glosario de seguridad de AD

Parte de una lista de control de acceso (ACL), una entrada de control de acceso (ACE) define quién tiene acceso a un recurso y qué operaciones puede realizar. Una ACE mal configurada puede dar lugar a un acceso no autorizado a los recursos o a una escalada de privilegios.

Véase también: lista de control de acceso (ACL)

Una lista de control de acceso (ACL) es una lista de entradas de control de acceso (ACE) que se aplican a un objeto de AD (es decir, un usuario, grupo u objeto informático). Cada ACE de una ACL identifica a un administrador y especifica los derechos de acceso permitidos, denegados o auditados para ese administrador. Una configuración incorrecta de las ACL puede dar lugar a accesos no autorizados o a la exposición de datos.

Véase también: entrada de control de acceso (ACE)

Un token de acceso es un token de seguridad que contiene identificadores de seguridad (SID) de usuario y de grupo. Los derechos de usuario y algunos SID de grupo del token pueden utilizarse para la autorización. Si los tokens de acceso son secuestrados o manipulados, un atacante puede hacerse pasar por un usuario o escalar privilegios.

En un ataque de persistencia de ACL, un adversario manipula la lista de control de acceso discrecional (DACL) de un objeto de Active Directory para mantener ciertos privilegios o permisos. Este ataque permite al atacante persistir en la red incluso después de que el vector de intrusión inicial haya sido remediado.

Active Directory (AD) es un servicio de directorio desarrollado por Microsoft para redes de dominios Windows. AD utiliza un almacenamiento de datos jerárquico y estructurado para servicios y componentes. AD se utiliza principalmente para almacenar objetos como usuarios, grupos y ordenadores, permitiendo la gestión de estos recursos, incluidos sus permisos. AD realiza la autenticación de usuarios y controla el acceso a los recursos y datos de una organización. Más del 90 por ciento de las organizaciones utilizan AD, Azure AD o una combinación de ambos (AD híbrido) como su solución de identidad principal. AD es a menudo un objetivo para los ciberatacantes debido a su papel central en la gestión de la red. Las configuraciones de AD mal configuradas han sido explotadas en múltiples ataques de alto perfil.

Active Directory Administrative Center (ADAC) es una consola de administración en Windows Server que utiliza un modelo de administración basado en tareas para administrar usuarios, grupos, equipos y otros objetos en un dominio.

Los ataques a entornos de AD suelen seguir una ruta determinada: movimiento lateral entre sistemas, escalada de privilegios, inserción de malware o ransomware en controladores de dominio, establecimiento de persistencia, exfiltración de datos y (en el caso del ransomware) detonación/cifrado. Por lo tanto, la seguridad de AD depende de la defensa en cada etapa de este ciclo de vida: antes, durante y después de un intento de ciberataque.

Véase también: cadena de muerte cibernética, dominio dominante

Una copia de seguridad específica de Active Directory separa los componentes de AD (por ejemplo, base de datos, registros, archivos comprimidos del registro) de las copias de seguridad de las unidades del sistema de una máquina física o virtual, incluidas las aplicaciones, los sistemas operativos, etc. Las copias de seguridad específicas de AD permiten a su organización recuperar rápidamente AD de forma segura y libre de malware o ransomware. Por el contrario, la recuperación del estado del sistema o bare metal puede reintroducir malware oculto en las copias de seguridad.

Véase también: restauración del estado del sistema

Active Directory Certificate Services (AD CS) proporciona soluciones de control de identidad y acceso para una organización. Si un atacante compromete AD CS, puede emitir certificados fraudulentos, dando lugar a ataques man-in-the-middle u otras actividades no autorizadas.

Para el 90% de las organizaciones empresariales, Active Directory controla el acceso a todos los usuarios, sistemas y recursos. Si AD no funciona, no funciona nada. Recuperar AD tras un ciberataque u otro desastre es el paso más importante para restablecer las operaciones y demostrar la ciberresiliencia.

Active Directory Domain Services (AD DS) es la función central de AD. AD DS proporciona los métodos para almacenar datos de directorio y hacer que estos datos estén disponibles para los usuarios y administradores de la red. Un compromiso de AD DS puede conducir a un acceso no autorizado a los recursos de la red.

El módulo Active Directory Domain Services (ADDS) PowerShell proporciona una colección de cmdlets que permiten utilizar PowerShell para gestionar y administrar diversos aspectos de AD, como usuarios, grupos, equipos y unidades organizativas.

Active Directory Federation Services (ADFS) es un componente de software desarrollado por Microsoft. ADFS puede ejecutarse en sistemas operativos Windows Server para proporcionar a los usuarios acceso de inicio de sesión único a sistemas y aplicaciones ubicados más allá de los límites de la organización. Si no se protege adecuadamente, ADFS puede ser blanco de ataques destinados a obtener acceso no autorizado.

Semperis ADFR es una solución de copia de seguridad y recuperación especialmente diseñada para recuperar Active Directory de ciberdesastres. Semperis ADFR automatiza por completo el proceso de recuperación de bosques de AD, reduce el tiempo de inactividad, elimina el riesgo de reinfección por malware y permite realizar análisis forenses posteriores a la infracción.

El endurecimiento de Active Directory implica técnicas prácticas para proteger su entorno AD. AD desempeña un papel fundamental en la infraestructura de TI y garantiza la armonía y la seguridad de los distintos recursos de red en un entorno global e interconectado.

Ninguna organización con una infraestructura informática es inmune a los ataques, pero unas políticas, procesos y controles adecuados pueden ayudar a proteger segmentos clave de la infraestructura informática de su organización, incluido AD. Endurecer AD puede ayudar a evitar que una brecha u otra amenaza crezca hasta comprometer por completo el entorno informático.

Evaluar regularmente el riesgo y la salud del Directorio Activo de su organización es un paso importante para reducir la superficie de ataque del Directorio Activo. Una solución sólida de evaluación de la seguridad de AD como Purple Knight puede proporcionar una lista priorizada de recomendaciones, específica para su infraestructura desplegada, para mejorar la salud de su AD.

Active Directory Lightweight Directory Services (AD LDS), anteriormente conocido como Active Directory Application Mode (ADAM), es un servicio de directorio Lightweight Directory Access Protocol (LDAP) que proporciona soporte flexible para aplicaciones habilitadas para directorios. AD LDS se puede utilizar para crear un directorio independiente para aplicaciones que requieren autenticación e información de usuario sin tener que crear cuentas de usuario adicionales en el AD DS principal. Por ejemplo, una aplicación web puede utilizar AD LDS para almacenar perfiles de usuario e información de control de acceso de forma separada del Directorio Activo principal, reduciendo la superficie de ataque y minimizando los posibles riesgos de seguridad. Las instancias de AD LDS que se ejecutan en un servidor pueden conllevar riesgos de seguridad adicionales, ya que podrían explotarse para obtener acceso no autorizado a la información.

Active Directory Migration Tool (ADMT) es una utilidad de Microsoft que permite a los administradores migrar objetos (es decir, cuentas de usuario, grupos de seguridad y equipos) de un dominio de Active Directory Domain Services (AD DS) a otro, a menudo durante un proyecto de reestructuración o consolidación.

Véase también: Servicios de dominio de Active Directory (AD DS)

Los ciberatacantes que consiguen penetrar en el entorno de una organización suelen intentar obtener privilegios en Active Directory para acceder a datos y recursos. Una vez que los actores de amenazas consiguen un punto de apoyo, lo utilizan para aumentar su alcance, idealmente hasta comprometer una cuenta administrativa. Este aumento del acceso se conoce como escalada de privilegios.

La recuperación de AD restaura cada dominio del bosque a su estado en el momento de la última copia de seguridad de confianza. Restaurar Active Directory a partir de una copia de seguridad o reinstalar los servicios de dominio de AD en cada controlador de dominio de un bosque puede ser una tarea lenta y complicada. Sin embargo, el ransomware que bloquea o corrompe AD hace que este paso sea necesario. 

Cuando se combina con una copia de seguridad específica de AD, una solución de recuperación de AD que automatice los pasos del proceso de restauración puede reducir significativamente el tiempo de inactividad de AD. Por ejemplo, Semperis Active Directory Forest Recovery acelera la recuperación de bosques de AD hasta en un 90 %.

La Papelera de reciclaje de Active Directory (Papelera de reciclaje de AD) es una función de AD que permite restaurar objetos eliminados sin reiniciar, interrumpir el servicio o restaurar desde una copia de seguridad. Si no se protege adecuadamente, la Papelera de reciclaje de AD puede ser explotada para restaurar cuentas o grupos maliciosos eliminados.

Active Directory Replication Status Tool (ADREPLSTATUS) es una herramienta de diagnóstico que proporciona información detallada sobre el estado de replicación de los controladores de dominio dentro de un bosque AD. ADREPLSTATUS ayuda a identificar problemas de replicación y a solucionar problemas relacionados con la replicación.

Active Directory Rights Management Services (AD RMS) es una tecnología de Microsoft que utiliza el cifrado y una forma de denegación de funcionalidad selectiva para limitar el acceso a documentos como correos electrónicos corporativos, documentos de Word y páginas web.

Una evaluación de riesgos de Active Directory busca indicadores de exposición (IOE) o indicadores de compromiso (IOC) para determinar el riesgo de su organización durante un ciberataque u otro evento catastrófico. Una evaluación de riesgos sólida proporciona orientación práctica específica para ayudarle a mitigar los riesgos de seguridad del Directorio Activo y de su organización.

Véase también: Comprobación de la salud de Active Directory, indicadores de compromiso, indicadores de exposición

Dado que Active Directory se utiliza para configurar los permisos y el acceso a la red, es un objetivo primordial para los ciberatacantes. Los años de crecimiento, las fusiones, etc., a menudo dan lugar a una "desviación de la configuración" y a configuraciones erróneas que dejan a AD abierto a los ataques. Cerrar las brechas de seguridad en AD es, por tanto, una parte importante de la estrategia global de ciberseguridad de una organización. 

Una evaluación del entorno de AD de una organización para ayudarla a identificar, cuantificar y reducir los riesgos que afectan a su AD. Este análisis genera una lista de problemas que deben abordarse y también puede ofrecer orientaciones de corrección y mejores prácticas para mejorar el rendimiento o la seguridad de la infraestructura de AD.

Véase también: Auditoría de seguridad de Active Directory

Proceso de recopilación de datos sobre objetos y atributos de AD y de análisis y elaboración de informes sobre dichos datos para determinar el estado general del directorio, la idoneidad de los controles del sistema, el cumplimiento de la política y los procedimientos de seguridad establecidos, cualquier infracción en los servicios de seguridad y cualquier cambio que se indique para tomar contramedidas.

La auditoría de seguridad de AD le ayuda a detectar y responder a las amenazas internas, el uso indebido de privilegios y otros indicadores de exposición (IOE) o indicadores de compromiso (IOC), reforzando así su postura de seguridad.

Véase también: Evaluación de la seguridad de Active Directory

Los indicadores de seguridad de AD se dividen en varias categorías:

• Indicadores de ataque (IOA)
• Indicadores de compromiso (IOC)
• Indicadores de exposición (IOE)

Soluciones como Semperis Purple Knight y Directory Services Protector ( DSP) utilizan estos indicadores para ayudar a las organizaciones a identificar los vectores de ataque que los actores de amenazas pueden utilizar para acceder al entorno AD. Estas vulnerabilidades que pueden conducir a una escalada de privilegios y, finalmente, al despliegue de malware.

Active Directory Service Interfaces (ADSI) es un conjunto de interfaces COM que se utiliza para acceder a las características de los servicios de directorio de diferentes proveedores de red. ADSI es una interfaz programática para AD que permite a los desarrolladores realizar tareas comunes como añadir nuevos usuarios. Los ciberatacantes pueden utilizar ADSI para manipular las entradas del directorio.

El snap-in de Microsoft Management Console (MMC) Active Directory Service Interfaces Editor (ADSIEdit) actúa como un editor de bajo nivel para Active Directory. ADSIEdit proporciona acceso a las propiedades de los objetos que no están expuestas en otras interfaces de AD, ofreciendo una vista detallada de cada objeto y atributo en un bosque de AD.

Active Directory Sites and Services (ADSS) es un complemento de Microsoft Management Console (MMC) que se utiliza para administrar la replicación de datos de directorio entre todos los sitios de un bosque de AD. Los errores de configuración pueden afectar al rendimiento de AD y también provocar la replicación de datos de seguridad defectuosos.

Las relaciones de confianza de Active Directory (AD trusts) permiten a los usuarios de un dominio AD acceder a recursos de otro dominio AD. Gestione con cuidado las relaciones de confianza para evitar la escalada no intencionada de privilegios o la exposición de recursos.

Usuarios y equipos de Active Directory (ADUC) es un complemento de Microsoft Management Console (MMC) que permite a los administradores gestionar cuentas de usuario y otros objetos de AD. Un uso incorrecto puede dar lugar a asignaciones de privilegios no intencionadas o a la exposición de datos.

Una evaluación de las vulnerabilidades del entorno de Active Directory de su organización puede ayudar a identificar, cuantificar y reducir los riesgos de seguridad y configuración de AD. Dichos análisis generan una lista de problemas que deben abordarse y también pueden ofrecer orientación para la corrección y mejores prácticas para mejorar el rendimiento o la seguridad de la infraestructura de AD.

Véase también: Evaluación de la seguridad de Active Directory

Active Directory Web Services (ADWS) es un servicio web alojado en controladores de dominio que ejecutan Windows Server 2008 R2 y versiones posteriores. ADWS proporciona un protocolo para acceder y gestionar los servicios de directorio a través de los protocolos web estándar HTTP y HTTPS.

Add-ADComputer es un cmdlet de PowerShell que se puede utilizar para crear un nuevo objeto de equipo en Active Directory. Si se utiliza incorrectamente, este cmdlet puede conducir a la creación de cuentas de equipo no autorizadas, potencialmente utilizadas para la persistencia o el movimiento lateral.

Add-ADComputerServiceAccount es un cmdlet de PowerShell que se puede utilizar para agregar una cuenta de servicio a un objeto de equipo en AD. Un atacante que compromete este cmdlet puede asociar cuentas de servicio con sistemas no deseados, potencialmente ganando privilegios no autorizados.

Add-ADGroupMember es un cmdlet de PowerShell que se puede utilizar para agregar uno o más usuarios, grupos, cuentas de servicio o equipos a un grupo de AD. El uso indebido de este cmdlet puede dar lugar a una escalada de privilegios no autorizada.

Add-ADPrincipalGroupMembership es un cmdlet de PowerShell que se puede utilizar para agregar un usuario, grupo, cuenta de servicio o equipo a uno o varios grupos de AD. Si se utiliza de forma malintencionada, este cmdlet puede otorgar a un atacante acceso a recursos.

Add-ADUser es un cmdlet de PowerShell que se puede utilizar para crear un nuevo objeto de usuario en Active Directory.

El Protocolo de Resolución de Direcciones (ARP) se utiliza para asignar una dirección IP a una dirección física (MAC) en una red local. Aunque no es específico de AD, la suplantación de respuestas ARP es un vector de ataque común en entornos LAN.

ADExplorer, que forma parte de Sysinternals Suite de Microsoft, es una herramienta legítima que se utiliza para ver la estructura y los objetos de Active Directory y editarlos. Los atacantes pueden utilizar esta herramienta para explorar las estructuras de AD, analizar objetos, permisos y mucho más.

ADfind es una herramienta de línea de comandos desarrollada por Joe Richard (DS-MVP) para consultar Active Directory.

La estratificación administrativa ayuda a una organización a proteger mejor su entorno digital definiendo tres o más capas de acceso a recursos y sistemas. Esta estratificación crea zonas de amortiguación que separan la administración de activos de alto riesgo o valiosos, como los controladores de dominio de Active Directory.

AdminSDHolder es un objeto de Active Directory que contiene el descriptor de seguridad para objetos que son miembros de grupos privilegiados. El proceso SDProp garantiza que las listas de control de acceso (ACL) de los objetos protegidos sean siempre coherentes con el objeto AdminSDHolder. Un objeto AdminSDHolder comprometido puede conducir a un ataque SDProp.

Adprep es una herramienta de línea de comandos que se utiliza para preparar un bosque o dominio para una actualización de Windows Server. Adprep realiza las actualizaciones de esquema e infraestructura necesarias para admitir la versión más reciente de Windows Server.

ADRecon es una herramienta que recopila información sobre AD y genera un informe que puede proporcionar una imagen holística del estado actual del entorno AD objetivo. Los ciberatacantes pueden utilizar ADRecon como reconocimiento para identificar posibles vulnerabilidades.

La gestión avanzada de directivas de grupo (AGPM), una característica de Microsoft Desktop Optimization Pack (MDOP), permite mejorar el control y la gestión de los objetos de directiva de grupo (GPO). AGPM incluye funciones de seguimiento de versiones, delegación basada en funciones y aprobación de cambios.

El principio de seguridad Anonymous Logon permite el acceso anónimo a determinados servicios de un equipo. En el contexto de AD, Anonymous Logon representa conexiones de usuarios que no presentan un conjunto válido de credenciales. Esto puede suponer un riesgo para la seguridad y a menudo se limita o desactiva.

Active Directory utiliza una partición de directorio de aplicaciones para contener datos específicos de una determinada aplicación o servicio, como DNS. Si no se protege adecuadamente, esta partición puede ser explotada por entidades maliciosas para la persistencia o extracción de datos.

Los objetos de Active Directory tienen atributos, que definen las características del objeto (por ejemplo, número de teléfono del usuario, nombre del grupo). La manipulación de los atributos a veces puede conducir a actividades no autorizadas o a la divulgación de información.

Las políticas de auditoría definen los tipos de eventos de seguridad que deben registrarse en el registro de seguridad de los controladores de dominio y los ordenadores. Una política de auditoría deficiente podría no detectar intentos de intrusión u otras actividades maliciosas.

El proceso de autenticación valida las credenciales de una persona, proceso informático o dispositivo. La autenticación de Active Directory implica probar la identidad de un usuario que inicia sesión en un entorno AD y, si se ve comprometida, puede dar lugar a un acceso no autorizado.

Una restauración autoritativa actualiza los controladores de dominio existentes con los datos restaurados, que luego se replican a todos los demás DC en un entorno multi-DC.

Véase también: restauración no autorizada

El proceso de autorización, que determina qué permisos y derechos tiene un usuario autenticado, sigue al proceso de autenticación. En AD, la autorización se gestiona a menudo a través de la pertenencia a grupos. Una configuración inadecuada de la autorización puede conducir a un acceso no autorizado o a una escalada de privilegios.

Véase también: autenticación

La clase auxiliar es una clase opcional en el esquema de AD que puede utilizarse para ampliar los atributos de otras clases. Una configuración incorrecta de las clases auxiliares puede dar lugar a vulnerabilidades de seguridad.

La disponibilidad es uno de los tres pilares de la seguridad de la información (junto con la confidencialidad y la integridad). La disponibilidad se refiere a la capacidad de acceder a los recursos como se espera. En el contexto de Active Directory, la disponibilidad puede estar relacionada con la resistencia de los controladores de dominio y la infraestructura de red que soporta AD.

Microsoft Azure Active Directory (Azure AD o AAD, ahora rebautizado Entra ID) es el servicio de gestión de identidad y acceso (IAM) basado en la nube de Microsoft. Azure AD ayuda a las organizaciones a gestionar y proteger el acceso a aplicaciones, datos y redes tanto en la nube como en las instalaciones. En el contexto de la ciberseguridad, los ciberatacantes a menudo se dirigen a Azure AD para obtener acceso no autorizado o escalar privilegios, utilizando tácticas como ataques de pulverización de contraseñas, phishing de consentimiento o explotando configuraciones erróneas en las políticas de seguridad y los controles de acceso. Por lo tanto, es fundamental proteger Azure AD.

Aunque Azure AD comparte parte de su nombre con el AD local, tiene un modelo de seguridad completamente diferente. Si su organización utiliza Microsoft 365, también utiliza Azure AD.

Azure Active Directory join (Azure AD join) es un proceso que registra un dispositivo en un tenant específico de Azure AD, lo que permite gestionar y proteger el dispositivo mediante políticas y servicios basados en la nube.

Un atributo de enlace hacia atrás es un tipo de atributo en el esquema de un bosque de Active Directory. Este atributo está vinculado a un atributo de enlace directo. Juntos, se utilizan para crear y gestionar atributos enlazados.

El proceso BackSync replica objetos y propiedades de vuelta a un servidor de catálogo global desde un controlador de dominio dentro del mismo dominio.

El atributo BadPasswordTime de un objeto de usuario AD registra la hora del último intento de inicio de sesión incorrecto.

El atributo BadPwdCount de un objeto de usuario AD realiza un seguimiento de los intentos de contraseña incorrecta. Este atributo se puede supervisar para detectar posibles ataques de fuerza bruta.

Una BMR restaura una copia de seguridad del estado del sistema más todos los datos no relacionados con el usuario de los volúmenes críticos del servidor. Dado que se trata de una versión ampliada de una copia de seguridad del estado del sistema, una BMR está sujeta a las mismas restricciones (mismo hardware, residencia de malware) que una copia de seguridad del estado del sistema.

Ver copia de seguridad de Active Directory (copia de seguridad de AD)

Una búsqueda LDAP comienza con el DN base. Este DN puede ser un punto de partida potencial para que un atacante con acceso no autorizado comience a explorar la estructura de Active Directory.

Base64 es un esquema de codificación binario a texto. En el contexto de Active Directory, ciertos atributos, como userPhoto, están codificados en Base64.

Best Practice Analyzer (BPA) es una herramienta de gestión de servidores que está disponible en Windows Server. BPA puede ayudar a un administrador a reducir las violaciones de las mejores prácticas mediante el análisis de un rol de AD DS y la generación de informes cuando un rol no cumple con las mejores prácticas.

Un BLOB es una colección de datos binarios almacenados como una única entidad en una base de datos, incluido Active Directory. Los BLOB suelen ser imágenes, audio u otros objetos multimedia, aunque a veces también puede almacenarse como BLOB código binario ejecutable.

En el contexto de Active Directory, la vinculación es el proceso de establecer una conexión con el servicio de directorio, que luego se puede utilizar para realizar operaciones. Si los atacantes pueden enlazarse a su Active Directory, pueden empezar a ejecutar consultas y potencialmente hacer cambios si los permisos lo permiten.

BitLocker es una función de cifrado de volúmenes completos incluida en las versiones de Microsoft Windows a partir de Windows Vista. BitLocker está diseñado para proteger los datos mediante el cifrado de volúmenes completos. Si un atacante obtiene acceso físico a un servidor, BitLocker puede impedir el acceso no autorizado a los datos almacenados en su interior.

Si esta clave de recuperación para el cifrado de la unidad BitLocker se ve comprometida, un atacante podría descifrar una unidad cifrada con BitLocker.

BitLocker To Go extiende la protección de datos de BitLocker a unidades extraíbles, como discos duros externos y unidades flash USB. Estas unidades sólo se pueden bloquear y desbloquear mediante contraseña, tarjeta inteligente o clave de recuperación.

BlackCat/ALPHV es el primer malware de alto perfil escrito en Rust, un lenguaje de programación moderno y multiplataforma. Capaz de comprometer sistemas operativos basados en Windows y Linux, BlackCat opera como ransomware como servicio (RaaS) por ALPHV, un grupo de ciberatacantes de habla rusa. Utiliza credenciales de usuario comprometidas para obtener acceso inicial a los sistemas objetivo y luego aprovecha ese acceso para comprometer aún más las cuentas de usuario y administrador en Active Directory (AD). Los ataques BlackCat suelen emplear una táctica de triple extorsión, mediante la cual exigen rescates individuales por descifrar los archivos infectados, no publicar los datos robados y no lanzar ataques de denegación de servicio (DoS).

Una lista negra es un control de seguridad básico en el que se bloquea o deniega el acceso a una lista de direcciones IP, usuarios, ordenadores, etc. En el contexto de Active Directory, una lista negra puede ayudar a proteger el directorio de entidades maliciosas conocidas.

BloodHound es una herramienta de reconocimiento de AD. BloodHound visualiza entornos AD, destacando las relaciones que pueden ser explotadas para la escalada de privilegios. Se utiliza a menudo en ataques de amenazas persistentes avanzadas (APT).

Véase también: Ataques de sabuesos

Un atacante puede utilizar BloodHound, una herramienta que puede mapear las relaciones AD, para comprender la estructura del entorno AD de una organización y planificar ataques basados en la información.

Véase también: BloodHound

En las pruebas de ciberseguridad, un equipo azul es el grupo de personas responsables de analizar y proteger un sistema de información, identificar sus vulnerabilidades y fallos de seguridad y defender el entorno contra posibles atacantes (es decir, el equipo rojo).

Véase también: equipo rojo

BlueKeep es una vulnerabilidad de ejecución remota de código (RME) que se propaga a través de redes informáticas como un gusano. BlueKeep surgió en 2019 como una amenaza para las versiones antiguas del sistema operativo Microsoft Windows. Microsoft respondió lanzando parches para sus sistemas operativos no compatibles en riesgo de ser explotados por BlueKeep. Sin embargo, este tipo de amenaza destaca la importancia de tener un proceso de recuperación endurecido establecido para responder rápidamente, en caso de que Active Directory y otros servicios de red cruciales se vean comprometidos.

La replicación de arranque es la replicación inicial de datos cuando se añade un nuevo controlador de dominio a un dominio.

Un servidor de cabeza de puente es el punto de contacto para la replicación entre sitios en un bosque de Active Directory. Si un atacante compromete un servidor de cabeza de puente, puede manipular los datos de replicación.

BYOD hace referencia a los empleados que traen sus propios dispositivos informáticos -como smartphones, portátiles y PDA- al lugar de trabajo para su uso y conectividad. BYOD puede plantear problemas de seguridad para Active Directory si no se gestiona y controla adecuadamente.

Proceso de visualización de objetos dentro de Active Directory. Un atacante que pueda navegar por su directorio puede empezar a trazar la estructura y los detalles de su entorno AD.

El término incorporado hace referencia a los grupos y cuentas de usuario predeterminados que se crean automáticamente al instalar los Servicios de dominio de Active Directory (AD DS). Estos grupos y cuentas tienen asignados permisos y derechos predeterminados, por lo que es importante revisar estos valores predeterminados para asegurarse de que se ajustan a las políticas de seguridad de su organización.

Un contenedor integrado es un contenedor especial de Active Directory que existe en el contexto de seguridad del controlador de dominio local. Este contenedor contiene grupos que son locales al controlador de dominio y se crea por defecto cuando se instala AD.

Proceso mediante el cual se pueden importar grandes cantidades de datos al Directorio Activo, a menudo utilizando herramientas como CSVDE. Si un atacante puede manipular este proceso, puede potencialmente crear numerosas entradas maliciosas en AD.

Un Plan de Continuidad de Negocio (BCP) es un documento que describe cómo una empresa continuará operando durante una interrupción no planificada del servicio. En el contexto de Active Directory, un BCP puede incluir planes sobre cómo restaurar el servicio después de una interrupción o ataque importante.

Cain & Abel es una herramienta de recuperación de contraseñas para sistemas operativos Microsoft. Esta herramienta permite recuperar fácilmente varios tipos de contraseñas mediante el rastreo de la red, el descifrado de contraseñas cifradas mediante ataques de diccionario, fuerza bruta y criptoanálisis.

Un nombre canónico es el nombre DNS de un objeto en Active Directory y se utiliza para hacer referencia a objetos en scripts u otras tareas programáticas de administración.

En Active Directory, una política de acceso central (PAC) es un conjunto de reglas que se pueden aplicar a varios servidores de un dominio para controlar el acceso a los archivos. Estas reglas forman parte del control de acceso dinámico (DAC) en Windows Server.

Una lista de revocación de certificados (CRL) es una lista de certificados digitales que han sido revocados por la autoridad de certificación (CA) emisora antes de su fecha de caducidad programada. Es crucial mantener esta lista actualizada en un entorno AD para mantener la integridad de las comunicaciones seguras.

Certificate Services es una función de servidor que permite a su organización emitir y gestionar certificados digitales que pueden utilizarse para comunicaciones seguras y otras funciones relacionadas con la seguridad dentro de Active Directory.

Un dominio hijo en una estructura multidominio de Active Directory está bajo un dominio padre. El dominio hijo comparte el espacio de nombres del dominio padre y se establecen automáticamente relaciones de confianza entre ellos.

El tipo de reclamación representa un aspecto de la identidad de un usuario, como la pertenencia a un grupo, y se utiliza en el Control de Acceso Dinámico (DAC) para las decisiones de autorización. Los tipos de reclamación mal configurados pueden provocar una escalada de privilegios o un acceso no autorizado.

La autenticación basada en reclamos es un proceso en el que un usuario obtiene un token firmado digitalmente de una fuente de confianza y lo presenta a un sistema. A continuación, el sistema puede validar el token y utilizar las declaraciones que contiene (por ejemplo, nombre de usuario, función) para identificar al usuario.

Los usuarios ejecutan aplicaciones en estaciones de trabajo informáticas también conocidas como máquinas cliente. Si una estación de trabajo está conectada a una red, los usuarios pueden aprovechar los servicios prestados por los servidores. Las máquinas cliente no suelen almacenar datos localmente, sino que reciben los datos solicitados de los servidores ejecutando aplicaciones cliente-servidor.

Los servicios en la nube están disponibles a través de Internet desde un proveedor de computación en la nube. Aunque no son específicos de Active Directory, muchas organizaciones utilizan servicios en la nube como Azure Active Directory junto con o como alternativa a su AD local.

El ataque del ransomware Colonial Pipeline de 2021 es uno de los ataques a infraestructuras críticas más conocidos de la historia reciente. El ataque a Colonial Pipeline demostró la importancia de mantener una sólida postura de seguridad de Active Directory.

Un archivo de valores separados por comas (CSV) almacena datos tabulares. Los archivos CSV mal protegidos pueden dar lugar a fugas de datos, especialmente cuando se utilizan para importar o exportar datos masivos de Active Directory.

CSVDE es una herramienta para importar y exportar datos de Active Directory. Los archivos de valores separados por comas (CSV) pueden manipularse y dar lugar a una importación o exportación de datos errónea si no se validan correctamente, lo que puede suponer una amenaza para la seguridad.

Un nombre común (CN) es el nombre de un objeto en Active Directory y debe ser único dentro de su contenedor. El CN forma parte del nombre distinguido (DN) del objeto, que identifica un objeto de forma exclusiva en el directorio LDAP. Por ejemplo, "cn=Daniel Petri,ou=Engineering,dc=semperis,dc=com".

Esta operación de mantenimiento reduce el tamaño del archivo de base de datos (NTDS.DIT). Esta operación requiere un acceso con privilegios elevados y, si se utiliza incorrectamente, puede provocar ataques de denegación de servicio (DoS).

En Active Directory, un objeto de equipo es una representación de un equipo que forma parte del dominio. Contiene varios atributos sobre el equipo, como su nombre, configuración de seguridad y asociación con cuentas de usuario o grupos.

En el contexto de Active Directory, una expresión condicional puede referirse a declaraciones condicionales en un objeto de directiva de grupo (GPO) o dentro de un script o herramienta utilizada para la gestión de AD.

El contenedor Configuración en Active Directory contiene información sobre la estructura lógica del bosque, incluyendo detalles sobre sitios, servicios y particiones de directorio. Estos datos se replican en todos los controladores de dominio de un bosque. Desde el punto de vista de la ciberseguridad, los cambios no autorizados en el contenedor de configuración podrían provocar problemas de replicación, afectar al rendimiento de la red o alterar el comportamiento de los servicios que dependen de esta información. Por lo tanto, el acceso para modificar el contenedor de Configuración debe ser estrictamente controlado y monitoreado.

En Active Directory, un contenedor es un objeto que puede almacenar otros objetos de AD, como cuentas de usuario, grupos e incluso otras unidades organizativas (OU). A los contenedores no se les pueden aplicar políticas de grupo. Las OUs también son contenedores y pueden contener los mismos objetos, además de otras OUs, y pueden tener políticas de grupo aplicadas.

Un menú contextual en una interfaz gráfica de usuario (GUI) aparece al interactuar con el usuario, como por ejemplo al hacer clic con el botón derecho del ratón. En Usuarios y equipos de Active Directory (ADUC), los menús contextuales ofrecen varias opciones, como restablecer contraseñas, mover objetos o iniciar la replicación.

Las operaciones de creación, lectura, actualización y eliminación (CRUD) son las funciones fundamentales que se realizan en cualquier sistema de base de datos, incluido Active Directory.

La itinerancia de credenciales es una función de Active Directory que permite copiar y transferir de forma segura las credenciales y certificados de los usuarios entre varios dispositivos. La itinerancia de credenciales ayuda a gestionar identidades digitales en distintos sistemas.

Las credenciales son el nombre de usuario y la contraseña que un usuario proporciona para autenticarse. Si las credenciales no están debidamente protegidas, pueden ser objeto de ataques de relleno de credenciales o de fuerza bruta.

Se puede crear una relación de confianza entre dos bosques de Active Directory. Esta relación permite a los usuarios de un bosque acceder a los recursos del otro, ampliando la colaboración y manteniendo los límites de seguridad.

Un objeto de referencia cruzada es un objeto en la partición de configuración que asocia un contexto de nomenclatura con un servidor de directorio. Un atacante que lo comprometa puede causar problemas de replicación y provocar que los datos de seguridad no estén actualizados.

Cross-site scripting es un tipo de vulnerabilidad de seguridad que no es específica de Active Directory, pero puede afectar potencialmente a cualquier interfaz basada en web utilizada para la administración de AD si la interfaz no valida correctamente la entrada.

La criptografía es la práctica y el estudio de técnicas para la comunicación segura. En Active Directory, la criptografía se utiliza en varios lugares, como el LDAP seguro, la autenticación Kerberos y el sistema de cifrado de archivos (EFS).

La cibercadena asesina es un marco que describe los pasos de un ciberataque. En general, se considera que consta de siete pasos:

1. Reconocimiento
2. Armatización
3. Entrega
4. Explotación
5. Instalación
6. Mando y control
7. Acción sobre el objetivo

Dentro de los entornos híbridos y multi-nube, Semperis soporta la integridad y disponibilidad de los servicios críticos de directorio empresarial en cada paso de la cadena de muerte cibernética.

La guerra cibernética es una serie de ciberataques contra los sistemas informáticos críticos de un país, estado u organización. Uno de los ejemplos más infames es NotPetya, un malware que se originó en Rusia en 2017, se dirigió a Ucrania y se propagó rápidamente por todo el mundo con efectos devastadores.

"NotPetya marcó el comienzo de una era completamente nueva de guerra cibernética, y AD está en su punto de mira", dijo el CEO de Semperis, Mickey Bresman. "Los programas de ciberseguridad, grandes y pequeños, están en primera línea de una nueva guerra que prácticamente no tiene límites ni reglas de enfrentamiento. Si pensamos en hospitales que no pueden acceder a sus sistemas para salvar una vida, o en ciudades que son tomadas como rehenes, tenemos la responsabilidad de ayudar a las organizaciones a recuperar el control."

Un ciberataque es un intento malicioso de obtener acceso no autorizado a los recursos de un sistema de información informático con el fin de robar, alterar, exponer y destruir datos o interrumpir las operaciones. Los sistemas de identidad como Active Directory son los principales objetivos de los ciberatacantes. Por ello, Gartner y otras firmas analistas han señalado que las organizaciones necesitan soluciones de seguridad y recuperación específicas para AD para proteger adecuadamente sus entornos AD híbridos.

La Agencia de Ciberseguridad y Seguridad de las Infraes tructuras (CISA) es una agencia del Departamento de Seguridad Nacional de Estados Unidos encargada de reforzar la ciberseguridad y las infraestructuras frente a las amenazas.

Un ataque de puerta trasera de lista de control de acceso discrecional (DACL) implica que un atacante añada una entrada a la DACL de un objeto. Esto otorga al atacante ciertos permisos o derechos sobre ese objeto sin necesidad de comprometer una cuenta con esos derechos.

Ciberataque que se produce con el propósito de robar o exponer información confidencial, sensible o protegida a una persona no autorizada. 

En un ataque DCShadow, un adversario modifica el esquema de Active Directory registrando un controlador de dominio falso. A continuación, el atacante puede propagar los cambios de replicación maliciosos a los controladores de dominio reales. 

Los ataques DCSync utilizan como arma la función DCSync de Active Directory, que suplanta la identidad de un controlador de dominio (DC) mediante el uso de Directory Replication Services (DRS) para solicitar datos de contraseñas al DC. El ataque se puede utilizar para "extraer" los hashes de contraseñas del controlador de dominio, sin necesidad de ejecutar código en el propio controlador de dominio. Este tipo de ataque es experto en eludir los métodos tradicionales de auditoría y detección. 

La defensa en profundidad utiliza múltiples medidas de seguridad en un enfoque estratificado para proteger a una organización de los ciberataques.

Véase también: defensa por capas.

La delegación Kerberos es una característica que permite a un servicio hacerse pasar por un usuario ante otros servicios. Si no se configura correctamente, puede ser explotada por un atacante para escalar privilegios o moverse lateralmente a través de la red.

Véase también: Kerberos

Semperis Directory Services Protector ( DSP) es la única solución de detección y respuesta a amenazas de identidad (ITDR) que proporciona una visión única de las vulnerabilidades de seguridad en entornos híbridos Active Directory/Azure AD. Con DSP, puede correlacionar cambios en AD local y Azure AD, detectar ataques avanzados, automatizar la corrección de cambios sospechosos y minimizar la superficie de ataque de AD.

Los bosques de Active Directory suelen contener múltiples riesgos de seguridad, desde errores de gestión hasta vulnerabilidades sin parchear. Con acceso a AD o Azure AD, los actores de amenazas pueden dominar toda su infraestructura. Los ciberatacantes se dirigen a AD para elevar privilegios y ganar persistencia en la organización. Para defender AD, los administradores necesitan saber cómo los atacantes se dirigen al entorno y qué vulnerabilidades podrían explotar.

Véase también: Escalada de privilegios en Active Directory, indicadores de compromiso, indicadores de exposición

Active Directory depende en gran medida de DNS para la resolución de nombres y la localización de servicios. Los ataques de DNS, como la suplantación de DNS o el envenenamiento de DNS, pueden redirigir o manipular las solicitudes de DNS, lo que lleva al acceso no autorizado o la interrupción de los servicios de AD.

Los miembros del grupo DnsAdmins tienen acceso a la información DNS de la red. Este grupo sólo existe si el rol de servidor DNS está o estuvo instalado en un controlador de dominio en el dominio. Los atacantes que obtienen acceso a este grupo pueden utilizarlo para comprometer Active Directory.

Un atacante con pertenencia al grupo DNSAdmins puede cargar una DLL arbitraria en el servicio DNS, que se ejecuta con privilegios a nivel de sistema, consiguiendo así una escalada de privilegios.

Si un atacante obtiene control no autorizado sobre un controlador de dominio (DC), puede manipular objetos de Active Directory, modificar permisos, crear puertas traseras o realizar otras acciones maliciosas que comprometan toda la infraestructura de AD.

Durante un ciberataque, los actores de amenazas a menudo buscan acceso a Active Directory. Dicho acceso puede permitir a los atacantes obtener eventualmente privilegios administrativos y el poder definitivo sobre los dominios de Active Directory y, por tanto, sobre todas las aplicaciones y datos que dependen de Active Directory.

Véase también: Ciclo de vida de los ataques a Active Directory, cadena de ciberataques

En un entorno con múltiples dominios de confianza, un atacante con acceso de administrador a un dominio de nivel de confianza inferior puede aprovechar la relación de confianza para obtener acceso a un dominio de nivel de confianza superior.

Local Security Authority Subsystem Service (LSASS) almacena credenciales en memoria que pueden ser volcadas y extraídas por un atacante. Herramientas como Mimikatz se utilizan a menudo para este fin.

Los permisos efectivos son un conjunto de permisos concedidos a un usuario o grupo basados en una combinación de permisos explícitos y heredados. Comprender los permisos efectivos es fundamental para las auditorías de seguridad y las evaluaciones de riesgos.

Los privilegios elevados son permisos de nivel superior, normalmente privilegios administrativos, que se conceden a una cuenta de usuario. Un atacante que obtenga privilegios elevados puede causar daños significativos o violaciones de datos.

Empire, un marco de postexplotación de PowerShell y Python, ofrece una serie de herramientas para explotar sistemas Windows. Entre sus funciones se encuentran la recolección de credenciales, la creación de puertas traseras y el establecimiento de la persistencia en un entorno AD.

Este cmdlet de PowerShell se utiliza para habilitar una cuenta de usuario deshabilitada en Active Directory. Un mal uso puede reactivar cuentas maliciosas previamente deshabilitadas.

Esta función de Windows permite cifrar y descifrar archivos de forma transparente mediante algoritmos criptográficos estándar avanzados. Aunque EFS puede mejorar la seguridad de los datos, debe gestionarse adecuadamente para evitar accesos no autorizados o pérdidas de datos.

El cifrado es el proceso de convertir datos en una forma codificada para impedir el acceso no autorizado. AD utiliza el cifrado de diversas formas para la comunicación segura, como los tickets Kerberos o las conexiones LDAPS.

La protección de endpoints es la práctica de proteger los endpoints o puntos de entrada de los dispositivos de usuario final, como ordenadores de sobremesa, portátiles y dispositivos móviles, para evitar que sean explotados por actores y campañas maliciosos. Si no se gestionan correctamente, los puntos finales infectados pueden poner en peligro la seguridad de AD.

Este grupo de alto nivel en AD tiene control total sobre todos los activos dentro de todo el bosque. El grupo Enterprise Admins es un objetivo de alto valor para los atacantes, ya que el compromiso de una cuenta Enterprise Admins puede conducir a la toma de control completa del dominio.

Un directorio común, como Microsoft Active Directory, permite un entorno más seguro para los usuarios del directorio y expectativas comunes del papel que el directorio puede proporcionar tanto a los usuarios como a las aplicaciones. Un recurso de directorio empresarial común facilita el acceso basado en funciones a los recursos informáticos.

EMM es un conjunto de servicios y tecnologías diseñados para proteger los datos corporativos en los dispositivos móviles de los empleados. EMM se utiliza junto con AD para la gestión de identidades y accesos.

La enumeración es el proceso de extracción de información detallada sobre objetos dentro de AD. La enumeración incontrolada puede conducir a la divulgación de información que podría ayudar a un atacante.

La escalada de privilegios (o escalada de privilegios) es un tipo de intrusión en la red que se aprovecha de errores de programación o fallos de diseño para conceder al intruso un acceso elevado a la red y a sus datos y aplicaciones asociados. En un contexto AD, un atacante que puede aprovechar las configuraciones erróneas o vulnerabilidades para escalar sus privilegios puede potencialmente obtener el control total sobre el dominio.

Ethernet es una familia de tecnologías de redes informáticas utilizadas habitualmente en redes de área local (LAN), redes de área metropolitana (MAN) y redes de área extensa (WAN). Ethernet se introdujo comercialmente en 1980 y desde entonces se ha ido perfeccionando para soportar mayores velocidades binarias y distancias de enlace más largas. Hoy en día, Ethernet es la tecnología de red de área local más instalada. Los cables Ethernet, como los Cat 5e y Cat 6, se utilizan habitualmente en redes cableadas. Las últimas versiones de Ethernet pueden soportar velocidades de transferencia de datos de hasta 400 gigabits por segundo.

Los registros de eventos son registros de incidentes significativos en un sistema operativo u otro software. En el contexto de AD, la supervisión de los registros de eventos puede ayudar a detectar incidentes de seguridad o configuraciones problemáticas. Sin embargo, algunos ataques están diseñados para evadir el registro de eventos.

Este complemento de Microsoft Management Console (MMC) proporciona una vista de los registros de eventos de Windows. Los administradores utilizan el Visor de eventos para supervisar, gestionar y solucionar problemas dentro de AD, y la herramienta es crucial para identificar signos de posibles ciberataques.

Exchange Server es la plataforma de correo electrónico, calendario, contactos, programación y colaboración de Microsoft desplegada en el sistema operativo Windows Server para su uso en un entorno empresarial o de mayor tamaño. Exchange Server interactúa con AD para la información y autenticación de usuarios.

La pertenencia explícita a un grupo se produce cuando un usuario o grupo se añade directamente a un grupo de AD en lugar de obtener la pertenencia a través de grupos anidados. Comprender la pertenencia explícita e implícita (anidada) a un grupo es importante para gestionar los permisos y los controles de acceso.

Esta configuración de directiva de grupo permite exportar la configuración de usuarios y equipos. La habilitación de esta capacidad puede suponer un problema de seguridad si no se controla adecuadamente, ya que puede dar lugar a la exposición de información de configuración confidencial.

EPA es una función de seguridad que mejora la protección y el tratamiento de las credenciales de autenticación cuando se transmiten por la red. Esta tecnología está diseñada para contrarrestar los ataques de tipo "man-in-the-middle" (MitM), que roban o manipulan las credenciales durante la transmisión. La habilitación de la EPA puede mejorar la seguridad de los protocolos utilizados para la comunicación y el intercambio de datos. Por ejemplo, cuando se utiliza con LDAP, EPA puede evitar ataques como la retransmisión NTLM.

Los derechos ampliados son un conjunto de permisos no estándar que pueden concederse a una entidad de seguridad. Los derechos ampliados proporcionan derechos de acceso de control específicos al objeto al que se aplican. Una mala configuración de los derechos ampliados puede dar lugar a vulnerabilidades de seguridad.

Un esquema ampliado es un esquema de AD que se modifica o amplía con atributos o clases adicionales, normalmente para admitir aplicaciones de terceros. Sin embargo, las modificaciones inadecuadas pueden provocar problemas de funcionalidad o vulnerabilidades de seguridad.

XML es un lenguaje de marcado que define un conjunto de reglas para codificar documentos en un formato legible tanto por humanos como por máquinas. En el contexto de Active Directory, XML puede utilizarse de muchas formas, como la creación de scripts personalizados para operaciones específicas, la definición de configuraciones de directivas de grupo o el formateo de informes de datos.

Esta tecnología de almacenamiento de datos ISAM basada en Jet (anteriormente conocida como Jet Blue) se utiliza en Active Directory y Exchange Server. El motor de base de datos ESE permite almacenar y recuperar datos de forma rápida y eficaz mediante acceso indexado y secuencial.

Una confianza externa es un tipo de confianza en Active Directory que se define manualmente y no se extiende más allá de dos dominios. Los riesgos de seguridad pueden surgir de confianzas mal configuradas, ya que pueden permitir el acceso no autorizado a través de dominios.

Una extranet es una red privada controlada que permite el acceso de socios, vendedores y proveedores, o de un conjunto autorizado de clientes, normalmente a un subconjunto de información accesible desde la intranet de una organización. En relación con AD, una autenticación y autorización adecuadas son esenciales para asegurar los recursos de la extranet.

Failback es el proceso de restaurar un sistema u otro componente de un sistema a su estado original después de un failover.

En Active Directory, la conmutación por error se refiere al proceso por el cual los servicios de red se trasladan a un servidor en espera en caso de fallo de un servidor primario. Es una parte crucial para garantizar una alta disponibilidad.

Failover clustering es una tecnología de Windows Server que permite crear y gestionar failover clusters, que proporcionan alta disponibilidad para servicios de red y aplicaciones.

Esta función de red permite a un ordenador compartir archivos de datos e impresoras conectadas con otros ordenadores y dispositivos de la red.

FRS es un servicio de Microsoft Windows Server para distribuir archivos compartidos y objetos de directiva de grupo (GPO). FRS ha sido sustituido por Distributed File System Replication (DFSR) en las nuevas versiones de Windows Server.

La seguridad del sistema de archivos se refiere a los controles de acceso y permisos asignados a archivos y directorios. En el contexto de Active Directory, la seguridad del sistema de archivos suele referirse a los permisos establecidos mediante objetos de directiva de grupo.

Los atributos FAS no se replican en los controladores de dominio de sólo lectura (RODC).

En el contexto de Active Directory, el filtrado se utiliza para limitar los objetos o atributos sobre los que actúa una operación de replicación o consulta. Un filtrado inadecuado puede provocar una replicación ineficaz o resultados de consulta imprecisos, lo que afecta al rendimiento y puede dar lugar a datos incorrectos.

En Windows Server 2008 y posteriores, estas políticas permiten especificar varias políticas de contraseñas dentro de un mismo dominio. De este modo, puede aplicar diferentes restricciones para las políticas de contraseñas y bloqueo de cuentas a distintos conjuntos de usuarios de su dominio.

FOCA es una herramienta que se utiliza para encontrar metadatos e información oculta en documentos. FOCA puede utilizarse para extraer información de archivos públicos alojados en el sitio web de una empresa, proporcionando a los atacantes información sobre la estructura interna de un entorno AD.

Este dispositivo de seguridad de red supervisa el tráfico de red entrante y saliente y decide si permite o bloquea un tráfico específico en función de un conjunto definido de reglas de seguridad.

La configuración y las reglas que determinan cómo gestionará el cortafuegos el tráfico entrante y saliente. Una mala configuración puede dejar los puertos abiertos para que los atacantes los exploten, lo que convierte al cortafuegos en un aspecto crítico de la seguridad de la red.

Las excepciones del cortafuegos son configuraciones que permiten al tráfico de red específico eludir los controles de seguridad, a menudo necesarios para que determinadas aplicaciones o servicios funcionen correctamente en una red.

Las políticas que rigen el funcionamiento de un cortafuegos. Estas reglas pueden definir los tipos de tráfico permitidos o bloqueados por el cortafuegos, y a dónde se permite que vaya ese tráfico. La configuración y gestión adecuadas de las reglas del cortafuegos son cruciales para mantener la seguridad de la red.

Un nombre plano es el nombre NetBIOS del dominio y puede ser diferente del nombre DNS del dominio.

Proceso de transferencia forzosa de roles FSMO de un controlador de dominio no operativo a un controlador de dominio operativo dentro de un dominio de Active Directory. La incautación de FSMO es un proceso de recuperación de emergencia en el que un controlador de dominio de Active Directory toma por la fuerza un rol de FSMO de otro controlador de dominio que funciona mal o está permanentemente fuera de línea. Se trata normalmente de una medida de último recurso, ya que la incautación de un rol FSMO puede provocar incoherencias de datos en el servicio de directorio si el titular original del rol vuelve a estar disponible.

Proceso de transferencia de roles FSMO de un controlador de dominio a otro. La transferencia de roles FSMO suele ser un proceso planificado, a diferencia de la incautación de roles FSMO, que suele ser un proceso de emergencia. La transferencia de FSMO necesita ser gestionada de forma segura para prevenir que un atacante tome el control de estos roles cruciales.

Véase también: Embargo de la función de Operaciones Maestras Únicas Flexibles (FSMO)

Los roles FSMO son roles especiales asignados a uno o más controladores de dominio en un entorno Active Directory. Estos roles gestionan operaciones que sólo puede realizar un DC a la vez. Los roles ayudan a asegurar la consistencia y a eliminar el potencial de actualizaciones conflictivas en un entorno Active Directory. Sin embargo, una gestión inadecuada o el fallo de un servidor con uno de estos roles puede provocar interrupciones en el entorno de AD.

Existen cinco funciones de la FSMO:

• Maestro de esquemas (uno por bosque)
• Maestro de nombres de dominio (uno por bosque)
• Emulador PDC (uno por dominio)
• RID Master (uno por dominio)
• Maestro de infraestructura (uno por dominio)

La redirección de carpetas es una función de directiva de grupo que cambia la ubicación de determinadas carpetas, como Escritorio, Documentos e Imágenes, a una nueva ubicación en la red.

En este tipo de ataque, un atacante fuerza a una cuenta de usuario o servicio a cambiar su contraseña. El atacante captura el hash de la nueva contraseña cuando se transmite al controlador de dominio y lo utiliza para autenticarse como usuario o cuenta de servicio.

Objeto que representa a una entidad de seguridad (como un usuario o un grupo de seguridad) situada en un dominio de confianza externo al bosque. Estos objetos permiten a las entidades de seguridad externas convertirse en miembros de grupos de seguridad dentro del dominio.

En Active Directory, un bosque es una colección de uno o más árboles de dominio, cada uno con un espacio de nombres DNS diferente. Todos los árboles de dominio de un bosque comparten un esquema común y un contenedor de configuración. Cuando se instala Active Directory por primera vez, al crear el primer dominio también se crea un bosque. Los bosques sirven como el contenedor lógico superior en una configuración de Active Directory, encapsulando dominios.

Forest Druid es una herramienta de seguridad gratuita de la comunidad de Semperis que identifica y prioriza las rutas de ataque que conducen a los activos de nivel 0. La herramienta ayuda a los equipos defensivos de ciberseguridad a priorizar rápidamente las configuraciones erróneas de alto riesgo que podrían representar oportunidades para que los atacantes obtengan acceso privilegiado al dominio. En lugar de perseguir todas las vías, los defensores pueden utilizar Forest Druid para identificar rápidamente las rutas de ataque no deseadas o inesperadas para su reparación, acelerando el proceso de cierre de puertas traseras en Active Directory.

Forest Druid te ayuda:

1. Identificar los grupos y cuentas con acceso a los activos de nivel 0
2. Definir los activos de nivel 0 que, de otro modo, no se incluirían en las configuraciones por defecto.
3. Análisis de AD para detectar infracciones de alto riesgo
4. Proteger los activos de nivel 0 aplicando los resultados del análisis para priorizar las medidas correctoras y reducir los privilegios excesivos, centrándose en los activos de nivel 0.

La configuración de FFL determina las capacidades disponibles de Servicios de dominio de Active Directory (AD DS) que se pueden utilizar en un bosque.

Véase también: Servicios de dominio de Active Directory (AD DS)

El dominio raíz del bosque es el primer dominio creado en el bosque. Este dominio contiene algunas características especiales y es crucial para el funcionamiento de todo el bosque AD. El dominio raíz del bosque no se puede eliminar.

Se establece una relación de confianza forestal entre dos bosques de Active Directory. Una confianza de bosque permite a los usuarios de diferentes bosques acceder a los recursos de forma recíproca, sujetos a los permisos configurados. Una configuración incorrecta de estas relaciones de confianza puede exponer los recursos a usuarios no autorizados, lo que podría dar lugar a filtraciones de datos.

Un enlace hacia adelante en Active Directory es un tipo de atributo de enlace que apunta de un objeto a otro. Cuando se modifica el enlace hacia adelante, el sistema actualiza automáticamente la tabla de enlaces para el atributo de enlace hacia atrás. Por ejemplo, el atributo member de un objeto de grupo es un enlace directo, que apunta a los usuarios que son miembros del grupo, mientras que el atributo memberOf es el enlace inverso relacionado.

Una zona de búsqueda directa es una parte del servidor DNS en Active Directory que se utiliza para traducir nombres de dominio en direcciones IP. Si no se protege adecuadamente, podría ser explotada por atacantes para obtener acceso no autorizado o para lanzar un ataque de envenenamiento DNS.

El acto de transferir por la fuerza roles FSMO (Flexible Single Master Operations) de un Controlador de Dominio a otro. Esto suele hacerse cuando el Controlador de Dominio original ya no está disponible y debe utilizarse como último recurso, ya que puede provocar problemas dentro del dominio. Una incautación incorrecta puede interrumpir la funcionalidad de AD e introducir problemas de seguridad.

El proceso de devolver un sistema informático a su estado original, normalmente utilizando una copia de seguridad completa del sistema en caso de fallo o corrupción críticos del sistema.

El FQDN es el nombre de dominio completo de un ordenador específico, o host, en Internet. El FQDN consta de dos partes: el nombre de host y el nombre de dominio. En el caso de Active Directory, el FQDN se utiliza para identificar con precisión la ubicación de un objeto dentro del directorio.

En Active Directory, el nivel funcional determina las capacidades disponibles del dominio o bosque AD DS. También determina qué sistemas operativos Windows Server se pueden ejecutar en los controladores de dominio del dominio o bosque. Sin embargo, una vez que se eleva el nivel funcional, los controladores de dominio que ejecutan versiones anteriores de Windows Server no pueden introducirse en el dominio o bosque.

Este comando de PowerShell recupera la política de replicación de contraseñas resultante para una cuenta de AD. Un atacante podría utilizar esta información para saber qué contraseñas se están replicando y dónde, lo que ayudaría a planificar el ataque.

Este cmdlet de PowerShell recupera un objeto de controlador de dominio o realiza una búsqueda para recuperar varios objetos de controlador de dominio de AD. Si se utiliza de forma inadecuada, puede proporcionar a un atacante información valiosa sobre el controlador de dominio en un entorno AD.

Este cmdlet de PowerShell recupera políticas de contraseñas detalladas de AD. Si estas directivas se configuran incorrectamente o se filtran, podría ayudar a un atacante a planificar un ataque de descifrado de contraseñas.

Este cmdlet de PowerShell recupera un objeto de grupo o realiza una búsqueda para recuperar varios objetos de grupo de AD. El uso indebido o la exposición inadecuada pueden proporcionar a un atacante información valiosa sobre la estructura y la pertenencia a grupos en un entorno AD.

Este comando de PowerShell recupera los miembros de un grupo de AD. Un atacante podría utilizarlo para identificar cuentas con privilegios elevados.

Este comando de PowerShell recupera un objeto de AD o realiza una búsqueda para recuperar varios objetos. Es comúnmente utilizado en el reconocimiento por un atacante para entender los objetos dentro de AD.

Este cmdlet de PowerShell recupera los metadatos de replicación de atributos de los objetos de AD, que pueden utilizarse para solucionar problemas de replicación. Sin embargo, en manos de un atacante, podría revelar información confidencial.

Este comando de PowerShell recupera la raíz del árbol de información de directorios (DIT) de un dominio AD. Los atacantes pueden utilizarlo para recopilar información sobre la estructura del dominio.

Este cmdlet de PowerShell recupera un objeto de confianza o realiza una búsqueda para recuperar varios objetos de confianza de AD. Si se utiliza de forma inadecuada, puede proporcionar a un atacante información valiosa sobre las relaciones de confianza en un entorno AD.

Este cmdlet de PowerShell recupera un objeto de usuario o realiza una búsqueda para recuperar varios objetos de usuario de AD. Si se utiliza o se expone de forma inadecuada, puede proporcionar a un atacante información valiosa sobre las cuentas de usuario de un entorno AD e identificar posibles objetivos de ataques dentro de AD.

La GAL es un directorio accesible de todos los usuarios, grupos, contactos compartidos y recursos registrados en los Servicios de Dominio Active Directory (AD DS) de una organización. El acceso inapropiado o la manipulación de la GAL puede conducir a un acceso no autorizado a la información o a ataques de phishing.

El Catálogo Global es un repositorio de datos distribuido que contiene una representación parcial y con capacidad de búsqueda de cada objeto en cada dominio de un bosque multidominio de Servicios de Dominio Active Directory (AD DS). El GC se utiliza para acelerar las búsquedas y los inicios de sesión, especialmente en entornos de gran tamaño. Si un servidor de GC deja de estar disponible o se ve comprometido, pueden producirse problemas con los inicios de sesión y las búsquedas.

Los grupos globales pueden tener miembros de su propio dominio pero se les pueden conceder permisos en cualquier dominio del bosque. Si se utilizan incorrectamente, estos grupos pueden dar lugar a una escalada de privilegios no deseada.

Un número de referencia único utilizado en programación, creado por el sistema para identificar de forma única un objeto AD. Un GUID en Active Directory es un número de 128 bits que se utiliza para identificar objetos de forma exclusiva. Cada objeto creado en un Directorio Activo obtiene un GUID que permanece igual durante toda la vida del objeto, incluso si el objeto se mueve o cambia de nombre. La manipulación de los GUID puede dar lugar a ataques como la suplantación de identidad de objetos. 

Un ataque Golden gMSA es un ciberataque en el que los atacantes vuelcan los atributos de la clave raíz del Servicio de Distribución de Claves (KDS) y generan las contraseñas de todos los gMSA asociados sin conexión. Este proceso de dos pasos comienza con la recuperación por parte del atacante de varios atributos de la clave raíz KDS del dominio. Después, utilizando la herramienta Golden gMSA, el atacante genera la contraseña de cualquier gMSA que esté asociada a la clave (sin tener una cuenta privilegiada).

Un ataque Golden Ticket permite a un atacante falsificar un ticket Kerberos, dándole acceso no autorizado a cualquier sistema en el dominio como un usuario altamente privilegiado, como un administrador de dominio. Estos privilegios elevados pueden dar al atacante un acceso casi ilimitado a Active Directory y a los recursos que dependen de él. 

Esta herramienta de línea de comandos en sistemas operativos Windows fuerza una actualización inmediata de la directiva de grupo en el equipo local. Esta herramienta puede ser útil para aplicar cambios de política inmediatamente, en lugar de esperar al ciclo de actualización automática.

Se pueden configurar políticas de auditoría granulares en AD para recopilar información más detallada. Los errores de configuración pueden provocar lagunas en la supervisión y el registro, lo que podría permitir a los atacantes evitar la detección.

Este valor único identifica a un grupo específico en un entorno AD. En un contexto UNIX, el GID se utiliza a menudo para asignar grupos UNIX a sus homólogos de Windows. Esta capacidad puede ser manipulada para ataques de elusión de control de acceso en entornos de SO mixtos.

Una cuenta de servicio administrada por grupo (gMSA) es una cuenta de dominio administrada que ayuda a proteger servicios en varios servidores. Introducida en Windows Server 2012, la gMSA es un tipo especial de cuenta de servicio en Active Directory y cuenta con rotación automática de contraseñas cada 30 días. También proporciona una gestión simplificada del nombre principal de servicio (SPN) y la posibilidad de delegar la gestión a otros administradores. Si se ponen en peligro, las GMSA pueden utilizarse para escalar privilegios o desplazarse lateralmente por una red.

Véase también: Ataque dorado gMSA

Las contraseñas de las cuentas de servicios gestionados por grupos (gMSA) son gestionadas por AD. Estas cuentas, si se ven comprometidas, pueden permitir a un atacante moverse lateralmente a través de una red o escalar privilegios.

Véase también: Cuenta de servicios gestionados por grupo (gMSA)

En Active Directory, los usuarios se agrupan para simplificar el proceso de concesión de permisos o delegación de control. Una pertenencia incorrecta a un grupo puede otorgar a un usuario más derechos de acceso de los necesarios; seguir el principio del mínimo privilegio puede reducir el riesgo.

El anidamiento de grupos se refiere a la práctica de añadir grupos como miembros de otros grupos. Aunque el anidamiento puede simplificar la gestión de permisos, también puede crear estructuras de permisos complejas y difíciles de seguir, lo que puede dar lugar a un exceso de permisos y a problemas de seguridad.

Este snap-in de Microsoft Management Console (MMC) proporciona una única interfaz administrativa para gestionar las directivas de grupo en toda la empresa en un entorno Active Directory. GPMC simplifica la gestión de directivas de grupo facilitando la comprensión, el despliegue y la gestión de las implementaciones de directivas.

Esta herramienta de planificación y solución de problemas para directivas de grupo puede simular el impacto potencial de las GPO, pero un uso incorrecto o un malentendido de sus resultados puede llevar a configuraciones erróneas.

Las políticas de grupo permiten a los administradores de TI implementar configuraciones específicas para usuarios y equipos. Las configuraciones de directiva de grupo están contenidas en objetos de directiva de grupo (GPO), que están vinculados a contenedores de servicios de dominio de Active Directory (AD DS). Un GPO es un componente de la directiva de grupo que se utiliza para representar configuraciones de directiva aplicadas a usuarios o equipos. Los GPO pueden convertirse en un objetivo para los atacantes que desean alterar la configuración de seguridad a nivel de todo el sistema.

Véase también: Abuso de objetos de directiva de grupo (GPO)

Los atacantes con permisos para modificar los GPO pueden aprovechar esta capacidad para ejecutar código malicioso, modificar la configuración del sistema o interrumpir las operaciones del sistema en los sistemas en los que se aplica el GPO.

Parte de la directiva de grupo, GPP permite una configuración más avanzada de los sistemas. GPP destaca por un problema de seguridad: Solía almacenar contraseñas en un formato cifrado reversible, una vulnerabilidad que ha sido explotada en el pasado.

Véase también: Ataque a la contraseña de las Preferencias de directiva de grupo (GPP)

Antes de que una actualización de Microsoft eliminara la función Preferencias de directiva de grupo (GPP), esta permitía a los administradores almacenar contraseñas en objetos de directiva de grupo (GPO). Las contraseñas cifradas se podían descifrar fácilmente, y los GPO más antiguos aún podían contener estas entradas de contraseñas obsoletas, lo que los convertía en un objetivo para los atacantes.

Informe de la configuración de las directivas de grupo en el ámbito de un objeto (usuario o equipo). Este informe puede ser valioso para la solución de problemas, pero también puede exponer a los atacantes posibles puntos débiles o configuraciones erróneas en las GPO.

La directiva de grupo es una función integrada en Microsoft Active Directory. Su objetivo principal es permitir a los administradores de TI gestionar de forma centralizada los usuarios y equipos de un dominio AD. Esto incluye tanto a usuarios empresariales y privilegiados como administradores de TI, estaciones de trabajo, servidores, controladores de dominio (DC) y otros equipos. La seguridad de las directivas de grupo es una parte importante de la seguridad de AD.

Los ámbitos de grupo definen el alcance de los grupos de AD en términos de su capacidad para incluir a otros grupos o usuarios como miembros, y la medida en que se pueden conceder permisos a estos grupos. Una configuración incorrecta de los ámbitos de grupo puede dar lugar a un acceso no autorizado a los recursos.

Active Directory define dos tipos de grupos: Seguridad y Distribución. Los grupos de Seguridad se utilizan para los permisos, mientras que los grupos de Distribución se utilizan para las listas de distribución de correo electrónico.

Endurecer un entorno AD implica proteger el entorno contra ataques reduciendo la superficie de vulnerabilidad. Esto puede incluir medidas como implementar el acceso con mínimo privilegio, monitorizar la actividad sospechosa, actualizar y parchear regularmente los sistemas, etc.

En el contexto de Active Directory, el hashing se refiere a cómo se almacenan las contraseñas. AD utiliza un algoritmo hash para almacenar las contraseñas en un formato hash no reversible, lo que mejora la seguridad. Sin embargo, los atacantes aún pueden utilizar técnicas como los ataques pass-the-hash para explotar estas credenciales hash.

Las comprobaciones de estado de Active Directory son importantes para garantizar el correcto funcionamiento y rendimiento de un entorno AD. Las comprobaciones de estado periódicas pueden identificar problemas antes de que se conviertan en problemas graves. Desde el punto de vista de la seguridad, también pueden identificar actividades inusuales que puedan indicar una infracción o un intento de ataque.

Un destinatario oculto en Active Directory es un usuario que no aparece en las listas de direcciones. Si los destinatarios ocultos no se gestionan correctamente, un atacante podría utilizarlos para filtrar datos sin que salten las alarmas.

La estructura de AD se construye como una jerarquía, empezando por los bosques hasta los dominios, las unidades organizativas y los objetos individuales. Comprender esta jerarquía es crucial tanto para gestionar AD como para protegerlo frente a posibles ataques.

En AD, el directorio personal es una ubicación de red específica que se conecta automáticamente cada vez que un usuario inicia sesión. Si no se protegen adecuadamente, estos directorios pueden ser explotados por atacantes para obtener acceso no autorizado a datos confidenciales.

En ciberseguridad, una cuenta honeypot es una cuenta AD señuelo utilizada para atraer y detectar actividades maliciosas. Si se accede a la cuenta honeypot o se altera, podría ser un indicio de una brecha de seguridad.

Un host es un ordenador conectado a una red.

En Active Directory, un registro de host (A) asigna un nombre de dominio a una dirección IP en DNS. Si estos registros no están debidamente protegidos, los atacantes podrían manipularlos y redirigir el tráfico a sitios maliciosos.

En el contexto de los Servicios de federación de Active Directory (AD FS), se utiliza un encabezado de host para enrutar las solicitudes HTTP/HTTPS entrantes que se envían a un servidor de federación AD FS específico en una granja.

Un HIDS es un sistema que supervisa un sistema informático, en lugar de una red, en busca de actividades maliciosas o infracciones de las políticas. Implementar un HIDS en servidores AD críticos puede ayudar a detectar y prevenir posibles ataques.

Un hotfix es un paquete único y acumulativo que incluye información (a menudo en forma de archivos) que se utiliza para solucionar un problema en un producto de software como Active Directory. Desde el punto de vista de la ciberseguridad, la aplicación periódica de hotfixes es esencial para protegerse de vulnerabilidades conocidas.

Un entorno de Directorio Activo Híbrido integra AD local con soluciones basadas en la nube como Azure AD (ahora Entra ID). Esta configuración permite a los usuarios tener una única identidad para ambos sistemas. Desde el punto de vista de la ciberseguridad, gestionar el acceso y las identidades en entornos locales y en la nube puede ser complejo y requiere un enfoque de seguridad integral.

En un despliegue de nube híbrida, Active Directory puede servir para autenticar y autorizar usuarios y equipos en una red que combina infraestructura local y servicios en la nube. Es necesario tener en cuenta las medidas de seguridad en ambos entornos.

En la actualidad, muchas organizaciones utilizan tanto Active Directory local como Azure AD en la nube. Este entorno de identidad híbrida permite una identidad de usuario y de sistema común para la autenticación y autorización de recursos independientemente de la ubicación. Sin embargo, también presenta retos de ciberseguridad únicos.

Como respuesta, Semperis ofrece soluciones de detección y respuesta a amenazas de identidad (ITDR) diseñadas para la protección de identidades híbridas. También patrocinamos las series Hybrid Identity Protection (HIP) Podcast y Hybrid Identity Protection Conference (hipconf.com).

Hydra, una popular herramienta de fuerza bruta, es compatible con numerosos protocolos, incluidos SMB y HTTP, que se utilizan a menudo en entornos AD. Hydra puede utilizarse para adivinar o descifrar contraseñas, permitiendo el acceso no autorizado a cuentas de usuario.

HTTPS se utiliza a menudo en los Servicios de federación de AD (ADFS) para proteger las comunicaciones. Es importante mantener los certificados actualizados y utilizar protocolos de cifrado sólidos para mantener la seguridad.

IAM es un marco de políticas y tecnologías para garantizar que las personas adecuadas de una empresa tengan el acceso apropiado a los recursos tecnológicos. Los sistemas IAM pueden utilizarse para iniciar, capturar, registrar y gestionar las identidades de los usuarios y sus permisos de acceso correspondientes.

Desde los correos electrónicos de phishing hasta los ciberataques dirigidos a Active Directory, a los actores de amenazas les encanta apuntar a los recursos de identidad. Si un ciberatacante puede obtener las credenciales de identidad de un usuario (por ejemplo, a través de un correo electrónico de phishing), no necesita irrumpir en su entorno; simplemente puede iniciar sesión. Una vez dentro de su entorno, el atacante puede intentar hacerse con identidades adicionales, ascendiendo (a través de la escalada de privilegios) hasta el nivel de acceso de administrador. En ese punto, el atacante puede realizar cambios en Active Directory para tomar el control, bloquear o cerrar cuentas, recursos y datos de usuarios y sistemas.

La IdM es un área administrativa amplia que implica la identificación de individuos en un sistema (como un país, una red o una empresa) y el control de su acceso a los recursos dentro de ese sistema mediante la asociación de derechos y restricciones de usuario con la identidad establecida.

IdP es un sistema que crea, mantiene y gestiona la información de identidad de los principales y proporciona autenticación de principales a otros proveedores de servicios dentro de una federación, como con AD Federation Services (ADFS).

Los sistemas de identidad están siendo objeto de ataques constantes. El uso indebido de credenciales es ahora uno de los principales métodos que utilizan los ciberatacantes para acceder a los sistemas y lograr sus objetivos.

Gartner definió la categoría de detección de amenazas a la identidad y respuesta (ITDR) para evaluar las soluciones que detectan y desbaratan los ataques basados en la identidad. ITDR hace referencia al conjunto de prácticas, estrategias y tecnologías utilizadas para detectar y responder a posibles amenazas y ataques dirigidos a las identidades y credenciales de los usuarios. En el contexto de Active Directory, esto suele incluir la supervisión de actividades sospechosas, como patrones de inicio de sesión anómalos, un número excesivo de intentos de inicio de sesión fallidos o una escalada de privilegios inesperada. 

La ITDR es un componente crucial de la ciberseguridad, ya que las credenciales de usuario comprometidas son a menudo un trampolín para que los atacantes obtengan acceso a recursos sensibles, realicen movimientos laterales o lleven a cabo una escalada de privilegios dentro de la red. Por lo tanto, las organizaciones necesitan un conjunto de herramientas y procesos para defender los sistemas de identidad. 

Este atributo de AD vincula un usuario local a un usuario de Office 365. ImmutableID se utiliza a menudo durante las migraciones o consolidaciones de AD.

Impacket es una colección de clases Python desarrolladas para trabajar con protocolos de red, a menudo utilizadas para crear herramientas de red. Proporciona un marco robusto y completo para la elaboración y decodificación de paquetes de red, permitiendo a los desarrolladores construir y analizar el tráfico de red. Aunque Impacket es una herramienta importante para los administradores de red legítimos y los profesionales de la ciberseguridad, también puede ser explotada por actores maliciosos para ataques de red, como los ataques de retransmisión NTLM en Active Directory.

Véase también: Ataque de retransmisión NTLM

La suplantación se refiere a la capacidad de un hilo de ejecutar en un contexto de seguridad que es diferente del contexto del proceso que posee el hilo. En un contexto de ciberseguridad, la suplantación es un método de ataque común que podría conducir a un acceso no autorizado o a una escalada de privilegios.

Identidades especiales que representan a distintos usuarios en distintos momentos, según las circunstancias. Por ejemplo: Inicio de sesión anónimo, Lote, Usuario autenticado y más.

Método de indexación de datos para una rápida recuperación utilizado por el Motor de Almacenamiento Extensible (ESE) utilizado en Active Directory.

Los indicadores de ataque (IOA) en ciberseguridad son indicadores de seguridad que demuestran la intención de un ciberataque. Detectar los IOA en una fase temprana de un ataque puede ayudar a los defensores a evitar daños mayores.

Véase también: indicadores de seguridad, indicadores de compromiso, indicadores de exposición

Los indicadores de compromiso (IOC) en ciberseguridad son indicadores de seguridad que demuestran que la seguridad de la red ha sido vulnerada. Los investigadores suelen detectar los IOC tras ser informados de un incidente sospechoso, descubrir llamadas inusuales de la red o durante una evaluación de seguridad. Semperis Purple Knight y Directory Services Protector ( DSP) buscan IOC.

Véase también: indicadores de seguridad, indicadores de ataque, indicadores de exposición

Los indicadores de exposición (IOE) son indicadores de seguridad que proporcionan información sobre posibles vulnerabilidades explotables antes de que se produzca un incidente de ciberseguridad. Al conocer estos riesgos, los equipos de seguridad pueden priorizar mejor los esfuerzos de gestión de la seguridad y estar preparados para contener rápidamente los ataques. Semperis Purple Knight y Directory Services Protector ( DSP) buscan IOE.

Véase también: indicadores de seguridad, indicadores de ataque, indicadores de compromiso

IRM es una forma de tecnología de seguridad informática utilizada para proteger la información de accesos no autorizados. En el contexto de Active Directory, el IRM puede ayudar a proteger datos confidenciales controlando quién tiene acceso a ellos y qué puede hacer con ellos, por ejemplo, impidiendo que se impriman o reenvíen datos.

Conjunto de políticas emitidas por una organización para garantizar que todos los usuarios de TI dentro del dominio de la organización acatan sus normas y directrices relacionadas con la seguridad de la información. Las políticas están diseñadas para proteger los datos de la organización y gestionar los riesgos para la confidencialidad, integridad y disponibilidad de la información.

Uno de los cinco roles FSMO en AD, el maestro de infraestructura es responsable de actualizar las referencias de objetos en su dominio a objetos en otros dominios. Si todos los controladores de dominio son también servidores de Catálogo Global, el rol de maestro de infraestructura no realiza ninguna tarea.

Véase también: Funciones de Operaciones Maestras Únicas Flexibles (FSMO)

La herencia hace referencia a la transmisión de permisos en cascada de los objetos padre a los objetos hijo dentro del árbol de Active Directory. En AD, los permisos concedidos en un nivel superior de la jerarquía pueden ser heredados por los objetos de nivel inferior, a menos que la herencia se bloquee explícitamente. La herencia simplifica la gestión de permisos, pero las configuraciones incorrectas podrían exponer los recursos a usuarios no autorizados. 

Los controladores de dominio no autorizados o el compromiso del controlador de dominio pueden llevar a la replicación de datos de servicios de directorio a un actor malicioso, permitiéndole reunir información sensible y credenciales.

Esta función permite a los administradores instalar un controlador de dominio utilizando archivos de copia de seguridad restaurados. Al utilizar la opción Instalar desde medios (IFM), puede minimizar la replicación de datos de directorio a través de la red. Esto le ayuda a instalar controladores de dominio adicionales en sitios remotos de forma más eficiente, especialmente cuando los enlaces WAN a estos sitios son relativamente lentos y/o el tamaño de la base de datos AD existente es considerablemente grande.

Este comando PowerShell instala un nuevo controlador de dominio en AD.

Este comando PowerShell instala un nuevo bosque AD DS. Se trata de un comando altamente privilegiado que, si se utiliza incorrectamente, puede conducir a la creación de un bosque malicioso, lo que podría comprometer todo el entorno de AD.

Se refiere a un DNS que está integrado con un dominio de Active Directory. Un servidor DNS integrado en AD almacena sus datos en Active Directory. Esto permite que la información DNS se replique en todos los demás controladores de dominio del dominio, lo que mejora la tolerancia a fallos de su DNS.

Una confianza establecida entre dos bosques de Active Directory. Una confianza entre bosques puede ser unidireccional o bidireccional y proporciona un acceso controlado a los recursos de cada bosque. Es crucial gestionar y supervisar las confianzas entre bosques para mitigar el riesgo de acceso no autorizado.

En Active Directory, la función ISTG la desempeña un controlador de dominio en cada sitio y es responsable de crear un árbol de expansión de todos los enlaces del sitio y de construir una topología de enrutamiento de mínimo coste para la replicación entre controladores de dominio dentro del sitio.

Este tipo de inicio de sesión se produce cuando un usuario introduce sus credenciales directamente en el sistema, normalmente a través de la consola del sistema. En Active Directory, los inicios de sesión interactivos se registran como un evento específico (Event ID 528 en Windows Server 2003 y versiones anteriores, y Event ID 4624 en Windows Server 2008 y versiones posteriores).

Internet es una red mundial de ordenadores y servidores que se comunican entre sí mediante protocolos normalizados, principalmente TCP/IP (Transmission Control Protocol/Internet Protocol). Internet ofrece varios servicios, como la World Wide Web, el correo electrónico, la transferencia de archivos y los servicios en la nube. En términos de ciberseguridad, Internet es a menudo el principal vector de una amplia gama de amenazas dirigidas a entornos de Active Directory, incluyendo ataques de phishing, distribución de malware y explotación remota de vulnerabilidades. Por lo tanto, asegurar las conexiones a Internet y supervisar los servicios orientados a Internet son tareas cruciales en la seguridad de la red.

IAS es la implementación de Microsoft de un servidor y proxy RADIUS (Remote Authentication Dial-In User Service) en Windows Server 2000 y 2003. IAS realiza la autenticación centralizada de conexiones, la autorización y la contabilidad para muchos tipos de acceso a la red, incluidas las conexiones inalámbricas y VPN. Desde el punto de vista de la ciberseguridad, proteger el IAS es crucial, ya que los atacantes que lo pongan en peligro podrían manipular los procesos de autenticación, obtener acceso no autorizado a la red o espiar el tráfico de red. Desde Windows Server 2008, IAS ha sido sustituido por Network Policy Server (NPS).

IIS es un software de servidor web creado por Microsoft para su uso con la familia Windows NT. IIS es compatible con HTTP, HTTPS, FTP, FTPS, SMTP y NNTP. En el contexto de AD, IIS se utiliza a menudo para alojar servicios necesarios basados en web, como ADFS.

IPsec es un conjunto de protocolos que asegura las comunicaciones IP autenticando y cifrando cada paquete IP en un flujo de datos. En términos de Active Directory, las políticas IPsec se pueden utilizar para proporcionar seguridad para el tráfico entre los controladores de dominio AD y los servidores miembros o clientes, añadiendo así una capa adicional de seguridad.

Una intranet es una red privada dentro de una organización. Las intranets suelen utilizarse para compartir información de la empresa y recursos informáticos entre los empleados. Desde el punto de vista de la seguridad, el acceso no controlado o no autorizado a la intranet puede dar lugar a fugas de información u otras formas de ataques internos.

Dispositivo o aplicación de software que supervisa una red o sistemas en busca de actividades maliciosas o violaciones de las políticas. Un IDS desempeña un papel crucial en una arquitectura de seguridad robusta.

Un inventario de hardware o software suele referirse al proceso de recopilación de información detallada sobre todo el hardware o software utilizado en una organización. Un inventario preciso es esencial para gestionar los recursos, planificar las necesidades futuras y mantener la seguridad.

Una dirección IP es una etiqueta numérica asignada a cada dispositivo que participa en una red informática que utiliza el Protocolo de Internet para la comunicación. En un entorno Active Directory, el direccionamiento IP adecuado es crucial para la comunicación en red y el acceso a los recursos.

Esta serie de reglas dicta qué forma de IPsec debe utilizarse en una transacción entre el servidor y el cliente. Una mala configuración de las reglas podría dejar vulnerabilidades de seguridad en su entorno AD.

Una sección de una red aislada del resto de la red. El uso de segmentos de red aislados puede limitar el daño potencial si se produce un incidente de seguridad en un segmento diferente.

Este conjunto de prácticas detalladas para la gestión de servicios de TI (ITSM) se centra en alinear los servicios de TI con las necesidades de la empresa.

La base de datos de Active Directory está basada en el motor Microsoft Jet Blue y utiliza Extensible Storage Engine (ESE) para almacenar, editar, borrar y leer datos. La base de datos de Active Directory es un único archivo llamado ntds.dit. Por defecto, esta base de datos se almacena en la carpeta %SYSTEMROOT%NTDS de cada controlador de dominio y se replica entre ellos.

Un descifrador de contraseñas rápido, utilizado para detectar contraseñas débiles. Los atacantes utilizan John the Ripper para descifrar contraseñas con hash, lo que permite el acceso no autorizado.

Operación por la que un ordenador pasa a formar parte de un dominio de Active Directory. Unirse a un dominio permite al sistema utilizar la autenticación central proporcionada por AD, acceder a los recursos y adherirse a las políticas establecidas por el dominio. Los errores en este proceso pueden causar vulnerabilidades y controles de acceso inadecuados.

Esta tecnología de seguridad permite la administración delegada para cualquier cosa gestionada por PowerShell. En un contexto AD, JEA puede ayudar a limitar los ataques de escalada de privilegios reduciendo el número de personas que tienen plenos derechos administrativos.

Véase también: Administración "justo a tiempo" (JIT)

Este método de asignación de privilegios a los usuarios es similar a la Administración Suficiente (JEA). La JIT otorga a los usuarios los privilegios que necesitan para realizar una tarea, pero sólo durante un periodo de tiempo determinado. Esto puede minimizar el riesgo de escalada de privilegios o robo de credenciales.

Véase también: Administración Suficiente (JEA)

Kerberoasting se centra en la debilidad del protocolo de autenticación Kerberos utilizado por Active Directory. Los atacantes solicitan un ticket de servicio para una cuenta de servicio objetivo y luego descifran el ticket de servicio cifrado fuera de línea para obtener la contraseña de la cuenta.

Véase también: Kerberos, Abuso de delegación Kerberos, Adivinación de contraseñas Kerberos

Rubeus es una potente herramienta para interactuar con el protocolo Kerberos de Microsoft. En los ataques Kerberoasting, los atacantes utilizan Rubeus para solicitar tickets de servicio y descifrarlos fuera de línea para obtener credenciales de cuentas de servicio.

Kerberos es el principal método de autenticación utilizado en los dominios de Active Directory para autenticar usuarios y equipos. Los sistemas operativos más antiguos admiten cifrado DES, mientras que Windows Server 2008 y posteriores admiten cifrado AES. Kerberos es propenso a varios tipos de ataques, como los ataques Golden Ticket y Silver Ticket, que aprovechan la forma en que se crean y utilizan los tickets de Kerberos en un entorno AD.

El protocolo de seguridad de redes informáticas Kerberos gestiona la autenticación y autorización en Active Directory. El Instituto Tecnológico de Massachusetts (MIT), creador de Kerberos, lo describe como el uso de criptografía fuerte para permitir que un cliente demuestre su identidad a un servidor en una conexión de red no segura. Después de que cliente y servidor utilicen Kerberos para demostrar sus identidades, también pueden cifrar sus comunicaciones para garantizar la privacidad y la integridad de los datos. Hace dos décadas, el protocolo Kerberos cambió las reglas del juego en cuanto a seguridad, unificación y avance de AD hacia la gestión de identidades. Pero la evolución de los métodos de ataque y la migración a la nube han hecho que Kerberos sea cada vez más vulnerable a las ciberamenazas.

Véase también: Abuso de delegación Kerberos, Adivinación de contraseñas Kerberos, Kerberoasting

Esta función de seguridad de Active Directory permite que un servicio se haga pasar por un usuario para acceder a un servicio diferente. La función está diseñada para reducir el número de usuarios con privilegios excesivos. Sin embargo, una mala configuración puede permitir a los atacantes elevar los privilegios o eludir los sistemas de autenticación.

Véase también: Abuso de la delegación Kerberos

Los atacantes pueden manipular la delegación no restringida, restringida y restringida basada en recursos para hacerse pasar por otros usuarios o elevar privilegios dentro del dominio. Este abuso se aprovecha de las complejidades y la confianza implícita del protocolo Kerberos.

Véase también: Kerberoasting, Kerberos, Kerberos Constrained Delegation (KCD), Adivinación de contraseñas Kerberos

En este ataque, un adversario ataca cuentas de usuario que no requieren preautenticación Kerberos. El atacante intenta autenticarse en el centro de distribución de claves (KDC) y recibe un vale de acceso cifrado (TGT) que contiene la contraseña cifrada del usuario, que puede descifrarse sin conexión.

Véase también: Kerberos, abuso de delegación Kerberos, Kerberoasting

La política de Kerberos define las propiedades de los vales para todos los usuarios del dominio, como la vida útil y la renovación de los vales. Esta directiva forma parte de la directiva de grupo y, si no se configura correctamente, puede permitir que los actores de amenazas reproduzcan tickets de Kerberos antiguos para obtener acceso no autorizado.

El SPN se utiliza en Active Directory para asociar una instancia de servicio con una cuenta de inicio de sesión de servicio. Los SPN pueden ser un objetivo para ciertos tipos de ataques, como Kerberoasting, en el que un atacante utiliza un ticket de Kerberos válido para solicitar datos de ticket de servicio, que luego pueden ser forzados mediante brute offline para revelar la contraseña en texto plano de la cuenta de servicio.

Kerbrute es una herramienta diseñada para realizar Kerberos pre-auth brute-forcing. Se puede utilizar para validar si existen nombres de usuario en un entorno de Active Directory sin riesgo de bloqueo de cuentas.

En el protocolo Kerberos, el KDC es responsable de autenticar a los usuarios y de proporcionar tickets de concesión de tickets (TGT), que luego se utilizan para obtener tickets de servicio para diversos recursos de la red. Un KDC comprometido podría tener graves implicaciones, ya que puede llevar al compromiso de cualquier usuario o servicio en el dominio.

Esta utilidad de línea de comandos enumera los tickets de Kerberos del usuario que ejecuta el comando. La herramienta es útil para solucionar problemas de autenticación Kerberos.

Este servicio de Active Directory genera la topología de replicación para el sistema de replicación de Active Directory. Si KCC falla o se ve comprometido, puede provocar incoherencias en los datos del directorio.

Un estado seguro conocido representa el estado de un entorno que se ha confirmado que no contiene ningún malware o ransomware. Volver a un estado seguro conocido tras un ciberataque ayuda a evitar la pérdida de confidencialidad, integridad o disponibilidad de la información.

Esta utilidad de línea de comandos se utiliza para configurar un equipo que no está unido a un dominio para utilizar recursos de dominio. La herramienta se utiliza a menudo para configurar una máquina para utilizar Kerberos para la autenticación en escenarios no tradicionales.

L0phtCrack es un auditor de contraseñas que ayuda a automatizar la recuperación de contraseñas a partir de hashes, ayudando a los atacantes a entrar en los sistemas descifrando la contraseña del usuario.

Este atributo identifica la última ubicación conocida de un objeto AD movido o eliminado. Si no se supervisa adecuadamente, puede ayudar en el seguimiento del ciclo de vida del objeto y, potencialmente, en la restauración del objeto, lo que supone un riesgo para la seguridad.

Este atributo especifica la última vez que el usuario ha iniciado sesión. Las irregularidades en este atributo podrían indicar un posible acceso no autorizado o un ataque pass-the-hash.

El movimiento lateral se produce cuando un ciberatacante utiliza cuentas comprometidas para obtener acceso a clientes y cuentas adicionales en toda la red de una organización. Los ciberatacantes utilizan el movimiento lateral en combinación con la escalada de privilegios para identificar y obtener acceso a cuentas y recursos sensibles que comparten credenciales de inicio de sesión almacenadas en cuentas, grupos y máquinas. Un objetivo típico del movimiento lateral exitoso es el acceso administrativo eventual a los controladores de dominio de Active Directory.

Véase también: dominio, privilegio mínimo, acceso privilegiado, escalada de privilegios.

Una defensa por capas es aquella que aplica múltiples capas de protección (por ejemplo, seguridad de puntos finales, SIEM y seguridad de Active Directory) para ayudar a garantizar que un ciberatacante que penetre una capa de defensa será detenido por una capa posterior.

Véase también: defensa en profundidad

Proceso de enlace entre la capa de transporte y la capa de aplicación, creando una unidad cohesiva. En lo que respecta a la vinculación de canales LDAP, la capa de aplicación LDAP está esencialmente entrelazada con el túnel TLS. Esta estrecha interconexión crea un identificador distinto y único, o huella digital, para la comunicación LDAP, por lo que cualquier comunicación LDAP interceptada no puede ser reutilizada por los atacantes.

Conexiones lógicas unidireccionales de un controlador de dominio a otro con el propósito de replicación. Si se ponen en peligro, los objetos de conexión LDAP se pueden explotar para obtener control no autorizado sobre la replicación.

Un formato estándar de intercambio de datos de texto sin formato. Representa el contenido del directorio como registros para solicitudes de actualización en Active Directory. Utilizado por la utilidad de línea de comandos LDIFDE.

Véase también: Intercambio de directorios con formato de intercambio de datos LDAP (LDIFDE)

Una utilidad de Microsoft que puede utilizarse para importar/exportar objetos AD a/desde archivos LDIF. El uso indebido puede dar lugar a la exportación/importación no autorizada de datos.

Véase también: Formato de intercambio de datos LDAP (LDIF)

LDAP Directory Probe es una utilidad gráfica de Windows Support Tool que los administradores utilizan para ejecutar operaciones LDAP contra AD. El mal uso de esta herramienta puede exponer información sensible o alterar objetos AD.

En este tipo de ataque, un atacante manipula los campos de entrada para insertar y ejecutar comandos del Protocolo Ligero de Acceso a Directorios (LDAP). El atacante utiliza estos comandos para consultar y manipular los datos almacenados en un servidor LDAP, a menudo utilizado junto con Active Directory.

Extensión de LDAP que cifra el tráfico LDAP. Si no se configura correctamente, LDAPS puede dejar el tráfico susceptible de ser interceptado.

Políticas que definen el comportamiento de un servidor LDAP. Una mala configuración de estas políticas puede provocar problemas de rendimiento y posibles riesgos de seguridad.

Cuando un servidor LDAP no puede responder a una consulta, el servidor remite al cliente a otro servidor. En un ataque de derivación, un cliente puede ser derivado a un servidor malicioso.

Los filtros de búsqueda LDAP se utilizan para encontrar y manipular objetos AD. Un uso inadecuado puede provocar el acceso no autorizado o la alteración de objetos del directorio.

La firma LDAP se refiere al proceso en el que el tráfico LDAP se firma digitalmente en su origen. Esta firma digital sirve para garantizar que el contenido del tráfico LDAP permanece inalterado durante el tránsito, preservando su autenticidad e integridad. Además, proporciona un medio para que el receptor confirme la fuente original del tráfico LDAP. La configuración para la firma LDAP se puede lograr a través de políticas de grupo a medida o manipulando las claves del registro. Desactivar la firma LDAP puede hacer que la red sea susceptible a ataques de tipo "man-in-the-middle".

Esta herramienta se utiliza para volcar dominios mediante LDAP. La herramienta proporciona a un atacante fácil acceso a todo tipo de información útil sobre el dominio.

LDAPMiner es una herramienta utilizada para la extracción de datos LDAP, destinada principalmente a pruebas de penetración y otras auditorías de seguridad. Los atacantes pueden utilizar esta herramienta para consultar y recopilar datos del entorno AD, ayudando en el reconocimiento.

A veces llamado privilegio mínimo, el principio de seguridad de la información del privilegio mínimo hace hincapié en que los usuarios y las aplicaciones deben tener acceso privilegiado sólo a los datos y operaciones que necesitan para realizar su trabajo. Adoptando este enfoque, los equipos de TI y seguridad pueden ayudar a prevenir posibles movimientos laterales en las redes de sus organizaciones.

Véase también: dominio, movimiento lateral, acceso privilegiado, escalada de privilegios. 

Principio que consiste en limitar los derechos de los usuarios a los permisos mínimos que necesitan para realizar su trabajo. No seguir LUA puede abrir vías para ataques de escalada de privilegios.

Un identificador único para cada objeto dentro de Active Directory (AD). La manipulación de este identificador podría dar lugar a un acceso no autorizado, lo que constituye un importante problema de ciberseguridad.

LDAP es un protocolo abierto y multiplataforma basado en el estándar de directorio X.500 utilizado para la autenticación de servicios de directorio. El proveedor LDAP permite acceder a la estructura jerárquica de Active Directory o a cualquier base de datos compatible con LDAP. Las inyecciones LDAP pueden suponer una amenaza para la ciberseguridad si los datos de entrada no se desinfectan correctamente, permitiendo a los atacantes ejecutar comandos arbitrarios en el servidor de directorio.

Los objetos persistentes pueden aparecer si un controlador de dominio no se replica durante un intervalo de tiempo superior al tiempo de vida de la lápida (TSL) y, a continuación, se vuelve a conectar a la topología de replicación. Se trata de objetos que permanecen en la base de datos del directorio después de haber sido eliminados en otros controladores de dominio y que provocan incoherencias y posibles problemas de seguridad si no se gestionan adecuadamente.

En Active Directory, una tabla de vínculos es una tabla de base de datos que realiza un seguimiento de los atributos multivaluados vinculados. Estos incluyen atributos que crean una relación entre dos objetos AD, como los atributos member y memberOf que vinculan usuarios a grupos.

Atributo del esquema de AD que identifica de forma exclusiva un atributo de objeto. Si se pone en peligro, este atributo puede provocar incoherencias en los datos y una posible escalada de privilegios.

Mecanismo de Active Directory que permite actualizaciones incrementales de atributos multivaluados. Si se pone en peligro, esta replicación puede provocar incoherencias en los datos y propagar información falsa dentro del directorio.

Atributos en AD que tienen un atributo correspondiente en otro objeto, como member y memberOf. Una configuración incorrecta puede crear enlaces huérfanos que podrían confundir el proceso de replicación, afectando a la coherencia de los datos de AD.

Una característica de Active Directory, introducida con Windows Server 2003, que permite actualizaciones individuales de atributos multivaluados en lugar de replicar todo el conjunto de valores. Por ejemplo, al añadir un nuevo miembro a un grupo grande sólo se replica la adición del nuevo usuario, no toda la lista de miembros del grupo. Cuando se actualiza un atributo multivalor no vinculado, debe replicarse todo el atributo. Requiere Windows Server 2003 Interim mode o Windows Server 2003 Forest Functional Level o superior. Si se manipula, puede provocar errores de replicación o cambios no autorizados.

Herramienta de Microsoft que ayuda a las organizaciones a gestionar las contraseñas de administrador local para equipos unidos a un dominio. Ayuda a mitigar el riesgo de un ataque pass-the-hash generando y almacenando aleatoriamente una contraseña diferente para la cuenta de administrador local de cada equipo en Active Directory. En términos de ciberseguridad, la implementación de LAPS puede mejorar significativamente la postura de seguridad de una organización al limitar las posibilidades de movimiento lateral de los atacantes que han obtenido acceso a las credenciales de administrador local en una máquina.

Grupos que existen en una máquina local. Si un atacante obtiene el control de un grupo local, puede cambiar los permisos y obtener privilegios adicionales.

Conjuntos de reglas definidas en una máquina local que dictan cómo se comporta ese sistema específico. Si no se configuran correctamente, pueden constituir un resquicio para vulnerar la seguridad.

El LSA es responsable de la política de seguridad local y de la autenticación de usuarios. Los ciberataques suelen dirigirse a los secretos de los LSA, ya que contienen datos y credenciales de seguridad sensibles.

Este proceso en los sistemas operativos Microsoft Windows es responsable de hacer cumplir la política de seguridad en el sistema. LSASS es a menudo el objetivo de la infame herramienta Mimikatz para extraer de la memoria contraseñas en texto plano, hashes, PINs y tickets Kerberos.

Cuentas de usuario que existen específicamente en una máquina local y no están basadas en un dominio. Si no se protegen adecuadamente, pueden ser utilizadas por los atacantes para introducirse en una red.

Cuentas de usuario que han sido bloqueadas debido a numerosos intentos de inicio de sesión incorrectos. Un atacante podría bloquear cuentas deliberadamente para provocar una denegación de servicio o disimular sus actividades.

El ataque del ransomware LockerGoga aprovecha "la propia infraestructura de la organización, en este caso Active Directory y la directiva de grupo, para ayudarse a propagarse" (Darren Mar-Elia, vicepresidente de productos de Semperis). El ransomware no suele propagarse de esta forma, por lo que este método es más difícil de detectar. Pero las organizaciones aún pueden minimizar el riesgo de este tipo de amenazas. "Sabemos que los atacantes consiguieron acceso de administrador de dominio en Active Directory para utilizar esa infraestructura para propagarse", dice Mar-Elia. "Endurecer la infraestructura utilizando un enfoque de mínimos privilegios puede ayudar enormemente".

El parámetro LockoutThreshold define el número de intentos de inicio de sesión no válidos permitidos antes de que se bloquee la cuenta. Este parámetro es crucial para frustrar los ataques de fuerza bruta.

Active Directory almacena una caché de la información de inicio de sesión de los usuarios localmente en el sistema. Si esta caché no está protegida correctamente, puede ser explotada para obtener acceso no autorizado a cuentas de usuario.

Define las horas durante las cuales se permite a un usuario iniciar sesión en el dominio. Si no se gestiona correctamente, podría proporcionar una ventana de oportunidad a los atacantes durante las horas de menor actividad.

Archivo que se asigna a una cuenta de usuario y que se ejecuta automáticamente cuando el usuario inicia sesión. Un script de inicio de sesión puede ajustar la configuración del sistema operativo, asignar unidades de red para diferentes grupos de usuarios o incluso mostrar un mensaje de bienvenida específico para cada usuario. Estos scripts residen en una carpeta del recurso compartido de red SYSVOL de un controlador de dominio y, por tanto, están disponibles en todo el dominio. Si se inserta contenido malicioso en estos scripts, se puede producir un compromiso generalizado de los sistemas.

Este parámetro especifica las máquinas desde las que un usuario puede iniciar sesión. Si no se restringe adecuadamente, puede dar lugar a ataques de movimiento lateral.

Esta configuración de directiva de grupo permite que el mismo usuario tenga diferentes directivas al iniciar sesión en diferentes equipos. Una configuración incorrecta de este parámetro puede dar lugar a ataques de escalada de privilegios.

Función de seguridad de Windows que impide el acceso al proceso LSASS. Mitiga el riesgo de ataques dirigidos a extraer información sensible del proceso LSASS, como los realizados con la herramienta Mimikatz.

Objetos de datos que son almacenados por LSA para contener datos sensibles como credenciales. La extracción de estos secretos es una táctica habitual en los ataques de robo de credenciales.

Se utiliza en la compresión de datos de la base de datos AD (NTDS.DIT). La explotación de este mecanismo puede provocar la corrupción o el robo de datos.

Cada ordenador de una red tiene una cuenta de máquina, que proporciona un medio de autenticación y auditoría. Un atacante con control sobre una cuenta de máquina puede llevar a cabo varios ataques como pass-the-ticket o pass-the-hash.

Un identificador único que Windows asigna a la base de datos del administrador de cuentas de seguridad (SAM) de cada máquina. Si un atacante obtiene el SID de una máquina, puede hacerse pasar por ella y obtener acceso no autorizado a los recursos de la red.

Estado en el que se puede colocar un servidor al aplicar actualizaciones o realizar alguna otra tarea de mantenimiento. No proteger correctamente un servidor durante el mantenimiento puede exponer el sistema a posibles ataques.

El malware es software o código malicioso destinado a dañar o destruir sistemas informáticos y otros dispositivos personales por diversos medios, como el robo de datos, la obtención de acceso no autorizado, el intercambio de información privada, etc. Los ciberatacantes pueden utilizar el malware para convertir Active Directory en un arma y trazar posibles rutas de ataque, por lo que es crucial que las organizaciones se centren más en la seguridad y recuperación de AD. En Semperis, nuestras soluciones proporcionan supervisión continua y evaluación de vulnerabilidades para AD, así como la capacidad de revertir cambios no autorizados sin la participación del administrador.

Un ataque man-in-the-middle (MiTM ) es un ciberataque en el que el atacante se sitúa entre dos partes (por ejemplo, dos usuarios, un usuario y una aplicación, una estación de trabajo y un ordenador servidor) en un intento de interceptar, inspeccionar e incluso modificar los datos intercambiados entre las partes. Este ataque puede conducir a violaciones de datos, exponiendo información sensible y proporcionando acceso no autorizado a los recursos de la red.

Un tipo de cuenta de dominio que gestiona automáticamente la administración de contraseñas, eliminando la posibilidad de caducidad de contraseñas que podría causar interrupciones en el servicio. Estas cuentas pueden ser objetivo de ataques de escalada de privilegios.

Atributo en AD que especifica el usuario o grupo que gestiona un objeto. Su uso indebido puede dar lugar a un acceso no autorizado a los recursos.

Atributo definido en el esquema de Active Directory como obligatorio para una clase de objetos. Por ejemplo, para un objeto Usuario, 'sAMAccountName' es un atributo obligatorio.

Unidades de red asignadas a un sistema individual. Si un atacante consigue acceder a un sistema con unidades asignadas, podría acceder a datos confidenciales o propagar ransomware por la red.

La variante de ransomware Maze, descubierta en 2019, se considera la primera en la que los ciberatacantes no solo cifraron datos, sino que también amenazaron con filtrar los datos confidenciales de las víctimas si no se cumplían sus demandas. Maze generalmente obtiene acceso a través de correos electrónicos de phishing, luego utiliza varias técnicas para moverse lateralmente a través de la red. Compromete y aprovecha Active Directory (AD) para propagar la carga útil del ransomware a tantos sistemas como sea posible.

Un equipo que ejecuta un sistema operativo Windows Server que es miembro de un dominio de Active Directory pero no es un controlador de dominio.

Este atributo contiene los Nombres Distinguidos de los grupos a los que pertenece un objeto (usuario o grupo). Una configuración incorrecta puede dar lugar a un acceso no autorizado a los recursos.

Función de AD que permite almacenar en caché la pertenencia a grupos universales de un usuario en un sitio para mejorar el rendimiento del inicio de sesión. Si los datos de la caché no están protegidos correctamente, pueden aprovecharse para obtener acceso no autorizado.

MSMQ es un protocolo de mensajería que permite la comunicación entre aplicaciones que se ejecutan en servidores o procesos independientes. Si no está debidamente protegido, puede ser un punto potencial de explotación, permitiendo mensajes o comandos no autorizados.

Base de datos de AD que almacena los metadatos de los objetos de Active Directory. Si esta base de datos se ve comprometida, un atacante puede cambiar los metadatos asociados a los objetos de AD.

En el contexto de Active Directory, se refiere a los datos sobre los datos del directorio. Esto incluye información sobre cuándo y cómo se crearon, modificaron, accedieron o eliminaron los objetos de datos, incluyendo quién lo hizo. Desde una perspectiva de ciberseguridad, los metadatos pueden proporcionar información crucial durante una investigación o auditoría de seguridad, ya que pueden revelar cambios no autorizados, patrones de acceso o indicadores de compromiso.

Metasploit es un marco de pruebas de penetración que simplifica la piratería informática. Es una herramienta esencial en el arsenal de un atacante, con numerosos exploits, incluidos los dirigidos a entornos AD.

Se ha descubierto que MS-CHAP, un protocolo de autenticación creado por Microsoft, tiene vulnerabilidades y puede ser explotado si se utiliza para la autenticación en red.

Microsoft Defender for Identity (anteriormente Azure Advanced Threat Protection) es una solución basada en la nube que utiliza señales de Active Directory locales para detectar y responder a amenazas de ciberseguridad e identidades comprometidas. Defender for Identity supervisa y analiza las actividades y la información de usuarios y clientes en toda la red, creando una línea de base de comportamiento para cada usuario. A continuación, MDI alerta sobre la actividad inusual de clientes o usuarios según lo establecido por esta línea de base.

Un servicio centralizado para gestionar identidades a través de múltiples directorios. Si se produce una brecha en MIIS, un atacante podría manipular los datos de identidad en todos los sistemas.

MIM es un servicio que proporciona herramientas y tecnologías para gestionar identidades, credenciales y políticas de acceso basadas en identidades en entornos heterogéneos. MIM incluye funciones de sincronización de identidades, gestión de certificados y contraseñas y aprovisionamiento de usuarios.

MMC aloja herramientas administrativas llamadas snap-ins, incluyendo muchas para AD, como el snap-in Usuarios y Equipos de Active Directory. Un acceso inadecuado a MMC puede provocar cambios no autorizados en AD.

Mimikatz es una herramienta líder para extraer de la memoria contraseñas en texto plano, hashes, códigos PIN y tickets Kerberos. Se puede utilizar para montar ataques Golden Ticket, en particular, que explotan las vulnerabilidades de Kerberos, permitiendo a los atacantes generar un ticket-granting ticket (TGT) y obtener privilegios a nivel de dominio. También se utiliza para realizar ataques pass-the-hash que permiten a un atacante autenticarse en un servidor o servicio remoto utilizando el hash NTLM o LanMan subyacente de la contraseña de un usuario. Además, la herramienta se puede utilizar para lanzar ataques Silver Ticket que implican la creación de tickets de servicio fraudulentos y permiten el acceso a un servicio específico en una máquina específica, pero pueden pasar desapercibidos por el controlador de dominio.

El marco ATT&CK de MITRE es una herramienta de uso común para comprender la cobertura de seguridad actual y determinar cómo mejorarla. Esta base de conocimientos proporciona información fundamental que puede utilizarse para desarrollar modelos de amenazas y es una herramienta popular para elaborar planes de seguridad integrales. 

Este término se refiere al nivel funcional de dominio de Active Directory cuando hay controladores de dominio Windows NT 4.0 presentes. En modo mixto, ciertas características avanzadas están deshabilitadas, lo que hace que AD sea más susceptible a los riesgos de seguridad.

Véase también: Modo nativo

Una ubicación en una jerarquía de directorios donde se adjunta un volumen, proporcionando ubicaciones adicionales del sistema de archivos. Si un punto de montaje no está protegido correctamente, un atacante podría obtener acceso no autorizado a datos confidenciales.

Este cmdlet de PowerShell se utiliza para mover un servidor de directorio a un nuevo sitio. Es útil en grandes organizaciones para gestionar la topología de Active Directory.

Este comando PowerShell transfiere una o más funciones de maestro de operaciones (FSMO) a un controlador de dominio especificado.

Véase también: Funciones de Operaciones Maestras Únicas Flexibles (FSMO)

Este cmdlet de PowerShell se utiliza para mover un objeto o un contenedor de objetos a un contenedor o dominio diferente. 

Esta herramienta de línea de comandos se utiliza para mover objetos AD entre dominios. Un uso incorrecto puede provocar la reubicación accidental o malintencionada de objetos, lo que da lugar a incoherencias y posibles infracciones.

Este atributo define qué servicios puede representar una cuenta en una delegación Kerberos. Una configuración incorrecta puede provocar una escalada de privilegios y ataques a la delegación Kerberos.

Este atributo dicta el nivel funcional de Dominio y Bosque del AD. Un nivel funcional inferior puede exponer al AN a vulnerabilidades, ya que algunas mejoras de seguridad sólo están disponibles en niveles superiores.

Este atributo se utiliza como atributo de anclaje de origen en Azure AD Connect. Una configuración incorrecta puede provocar problemas de sincronización entre AD local y Azure AD, lo que podría causar problemas de autenticación.

Este atributo almacena la fecha y hora del último inicio de sesión interactivo satisfactorio del usuario. Los tiempos de inicio de sesión inusuales pueden indicar una posible violación de la seguridad.

Este atributo determina el tiempo que una cuenta permanece bloqueada tras superar el umbral de bloqueo de cuentas. Si es demasiado corto, puede que no impida eficazmente los ataques de fuerza bruta.

Características opcionales que han sido habilitadas o deshabilitadas en un bosque de Active Directory. Una configuración incorrecta de estas características podría exponer el bosque a riesgos de seguridad.

Este atributo contiene las políticas de contraseñas detalladas que se aplican a los objetos de usuario o grupo. Si estos ajustes son poco estrictos o están mal configurados, las cuentas de usuario pueden quedar expuestas a ataques de fuerza bruta o de difusión de contraseñas.

Este atributo almacena la fecha y hora del segundo inicio de sesión con éxito más reciente. Los tiempos de inicio de sesión anómalos pueden indicar un posible fallo de seguridad.

Este atributo representa el ordenador principal de un usuario. Si se manipula, el atributo puede permitir a un atacante hacerse pasar por la máquina de un usuario, lo que podría conducir a un acceso no autorizado.

Este atributo contiene metadatos de replicación para atributos vinculados, como la pertenencia a grupos. Un actor de amenaza con acceso a este atributo puede potencialmente alterar la pertenencia a grupos, lo que lleva a una escalada de privilegios.

Este atributo indica los tipos de cifrado que admite la cuenta de usuario para la preautenticación Kerberos. Los tipos de cifrado débiles pueden hacer que la cuenta sea vulnerable a ataques basados en Kerberos.

Este atributo almacena indicadores que dictan el estado de la cuenta de usuario, como si está deshabilitada, bloqueada o tiene una contraseña caducada. La manipulación no autorizada de estas banderas puede conducir a la escalada de privilegios o acceso no autorizado.

Este atributo proporciona el momento preciso en el que caducará la contraseña de un usuario. Si no se gestiona adecuadamente, puede dar una ventana de oportunidad a los atacantes para intentar ataques basados en credenciales.

Una utilidad de interfaz de línea de comandos para el instalador de Microsoft Windows, que se utiliza para instalar, mantener y eliminar software.

Este paquete de autenticación en Windows se ocupa de los hashes NTLM. El famoso ataque pass-the-hash suele tener como objetivo este paquete, ya que los hashes NTLM se pueden reutilizar para la autenticación sin crackearlos.

Una función que permite que los clústeres abarquen varios sitios de Active Directory para mejorar la disponibilidad. Si no se configura y protege correctamente, este tipo de agrupación puede convertirse en un vector de ataque potencial.

Atributo de un objeto que puede contener más de un valor. Los atributos multivaluados pueden no tener ningún valor, tener un valor o tener más de uno. Por ejemplo, el atributo memberOf de un objeto usuario, que contiene una lista de todos los grupos a los que pertenece el usuario.

Las soluciones de seguridad multicloud ayudan a proteger su infraestructura, aplicaciones y datos en los sistemas en la nube de varios proveedores.

La AMF es un mecanismo de seguridad que requiere que los usuarios demuestren su identidad utilizando dos o más métodos independientes, o factores, antes de que se les conceda el acceso. Estos factores pueden incluir algo que sabes (como una contraseña), algo que tienes (como un token de hardware o un teléfono móvil) y algo que eres (como una huella dactilar u otro factor biométrico). En el contexto de Active Directory, la implementación de MFA puede aumentar enormemente la seguridad al dificultar a los atacantes el acceso incluso si han comprometido la contraseña de un usuario, reduciendo el riesgo de un ataque exitoso de phishing, rociado de contraseña o fuerza bruta.

La capacidad de Active Directory para permitir que se produzcan cambios en cualquier DC, que luego replica los cambios a otros DC. Si un atacante compromete un único DC, podría propagar cambios maliciosos a otros.

Identificador único utilizado por Microsoft para un objeto de un directorio. Los cambios no autorizados podrían provocar la pérdida de acceso o incoherencias en el directorio.

Característica de seguridad por la que tanto el cliente como el servidor validan la identidad del otro antes de establecer una conexión. Sin ella, es más fácil para un atacante realizar ataques de intermediario (man-in-the-middle, MitM).

El proceso de resolver un nombre de host en una dirección IP dentro de una red. Ataques como la suplantación de DNS pueden manipular este proceso para redirigir el tráfico de red.

En el contexto de AD, los Named Pipes son un método de comunicación entre procesos (IPC). Están sujetos a vulnerabilidades relacionadas con IPC como DLL Hijacking o Named Pipe Impersonation.

En Active Directory, un espacio de nombres es un contenedor que contiene objetos como usuarios, equipos y otras unidades organizativas. Un espacio de nombres bien diseñado puede ayudar a evitar muchos problemas de seguridad, como choques de nombres y errores de replicación.

También conocida como Partición de Directorio en Active Directory, una NC es una porción del directorio que puede ser replicada a los controladores de dominio. Existen tres tipos de NC:

• Esquema
• Configuración
• Dominio

Un nivel funcional de dominio (DFL) que sólo se aplica a Windows 2000 Server y que no admite controladores de dominio de Windows NT. Una vez en modo Nativo, el dominio soportará grupos anidados. La alternativa es el modo Mixto.

Véase también: Modo mixto

Una utilidad de línea de comandos para informar de las estadísticas de NetBIOS sobre TCP/IP.

En Active Directory, los grupos pueden contener otros grupos, lo que permite una organización jerárquica. Sin embargo, el anidamiento puede dar lugar a una escalada de permisos no intencionada y al acceso a recursos si no se gestiona con cuidado.

Herramienta de línea de comandos utilizada para conectar, desconectar y configurar conexiones a recursos compartidos, como unidades de red e impresoras. Si se utiliza incorrectamente, esta herramienta puede dar lugar a un acceso no autorizado a los recursos.

Acrónimo de Network Basic Input/Output System, es un protocolo de red utilizado por los sistemas Windows para la comunicación en una red local. El nombre NetBIOS de un ordenador suele estar formado por los 15 primeros caracteres del nombre del host, seguidos del carácter "$". La resolución de nombres NetBIOS a direcciones IP se realiza mediante difusiones locales y el servicio WINS.

Conocida como la "navaja suiza" para TCP/IP, Netcat puede leer y escribir datos a través de conexiones de red. Los atacantes pueden utilizar Netcat para crear puertas traseras, transferir archivos o explorar la red.

Servicio de Windows utilizado para la autenticación de usuarios y ordenadores en sistemas operativos antiguos. Un recurso compartido llamado Netlogon se crea automáticamente en todos los controladores de dominio por compatibilidad con versiones anteriores y puede contener scripts de inicio de sesión. El reciente exploit ZeroLogon permitía a los atacantes hacerse con el control del controlador de dominio mediante este servicio.

Utilidad de scripting de línea de comandos que, entre otras cosas, permite modificar configuraciones de red. Los atacantes podrían utilizar esta herramienta para manipular el tráfico de red o filtrar datos.

Esta herramienta de línea de comandos se utiliza para mostrar las conexiones de red activas y los puertos de escucha. Los atacantes podrían usarla para reconocimiento interno después de obtener acceso inicial.

NAP es una tecnología de Microsoft para controlar el acceso a la red de un ordenador en función de su estado de salud. Si se pone en peligro, NAP puede permitir que sistemas no autorizados accedan a la red.

NAT es un método de mapear un espacio de direcciones IP en otro modificando la información de la dirección de red en la cabecera IP de los paquetes mientras están en tránsito. En el contexto de Active Directory, unas reglas NAT mal configuradas podrían exponer servicios internos al exterior, lo que supondría un riesgo para la seguridad.

Se refiere al proceso de identificar todos los dispositivos de una red. En el contexto de Active Directory, asegúrese de que sólo las personas autorizadas pueden realizar el descubrimiento de la red para evitar reconocimientos no deseados.

NFS es un protocolo de sistema de archivos distribuido que permite a un usuario de un ordenador cliente acceder a archivos a través de una red de forma similar a como se accede al almacenamiento local. Los recursos compartidos NFS mal configurados pueden permitir el acceso no autorizado a archivos confidenciales.

Punto de interconexión entre un ordenador y una red privada o pública. Una interfaz de red comprometida en un controlador de dominio podría permitir a un atacante interceptar o manipular el tráfico.

NLA es una característica de seguridad para conexiones RDP que requiere que el usuario que se conecta se autentique antes de que se establezca una sesión con el servidor. Desactivar NLA puede dejar el servidor vulnerable a ataques basados en RDP.

Un Listener de Red es un servicio o componente de red que escucha las conexiones o paquetes de red entrantes en un puerto o protocolo específico. Espera las solicitudes de comunicación entrantes y responde adecuadamente en función de las reglas o configuraciones predefinidas.

NPS es la implementación de Microsoft de un servidor RADIUS y proxy. Como cualquier sistema de autenticación, se trata de un componente de seguridad crítico, y cualquier compromiso puede conducir a un acceso no autorizado a la red.

Una práctica de seguridad en la que diferentes partes de una red están separadas entre sí. Esto puede limitar la propagación del movimiento lateral en un compromiso de Active Directory.

Los servicios (por ejemplo, DNS, DHCP) que se ponen a disposición desde un servidor a una red privada o pública. Si estos servicios se ven comprometidos, puede tener un impacto directo en la seguridad del entorno de Active Directory.

El sniffing de red se refiere al uso de analizadores de protocolo de red o herramientas similares para capturar y analizar el tráfico de red. En el contexto de AD, esto podría exponer datos confidenciales no cifrados.

Protocolo de red para la sincronización de relojes entre sistemas informáticos a través de redes de datos de latencia variable y conmutación de paquetes. En Active Directory, la precisión de la hora es esencial para la autenticación Kerberos, ya que hay una diferencia máxima de tiempo (5 minutos por defecto) permitida entre la hora en el cliente y la hora en el servidor. Si un atacante puede manipular las respuestas NTP en una red, podría aprovecharse de ello para realizar ataques de repetición o incluso para provocar fallos de autenticación en toda la red. Por lo tanto, es crucial asegurar las comunicaciones NTP.

El Sistema de Archivos de Nueva Tecnología (NTFS) es el sistema de archivos que el sistema operativo Windows NT utiliza para almacenar y recuperar archivos en un disco duro. NTFS es el sistema de archivos principal de las versiones recientes de Windows y Windows Server.

Este cmdlet de PowerShell se utiliza para crear una nueva unidad organizativa (OU) de AD. Si se utiliza incorrectamente, puede dar lugar a la creación de OU innecesarias, alterando la estructura de AD y ocultando potencialmente cambios no autorizados.

Un cmdlet de PowerShell utilizado para crear un nuevo objeto de usuario en Active Directory. Su uso por un atacante podría conducir a la creación de cuentas de puerta trasera para el acceso persistente.

El Instituto Nacional de Normas y Tecnología (NIST) es una agencia del Departamento de Comercio de Estados Unidos. Un ejemplo de cómo el NIST ejecuta su misión, "promover la innovación y la competitividad industrial de EE.UU. mediante el avance de la ciencia de las mediciones, las normas y la tecnología de forma que aumente la seguridad económica y mejore nuestra calidad de vida", es el desarrollo del Marco de Ciberseguridad del NIST. Este popular enfoque para identificar y resolver riesgos de alta prioridad para Active Directory (AD) y otros sistemas cruciales comprende cinco fases:

• Identifique
• Proteja
• Detectar
• Responder
• Recuperar

Nmap es un escáner de seguridad utilizado para descubrir hosts y servicios en una red informática, creando así un "mapa" de la red. Los atacantes pueden utilizar este escáner para descubrir redes y realizar auditorías de seguridad.

Una restauración no autoritativa restaura un controlador de dominio de AD a un punto en el tiempo. Sin embargo, como este tipo de restauración no se marca como autoritativa, si otro controlador de dominio ha actualizado objetos o atributos desde la fecha y hora de restauración del controlador de dominio de destino, esas actualizaciones se replican en el controlador de dominio restaurado, haciendo que sus datos sean actuales.

Véase también: restauración autorizada

Un NDR indica que una determinada pieza de comunicación (como un correo electrónico o un paquete) no ha sido entregada. Los ciberatacantes pueden utilizar los NDR para obtener información sobre la estructura interna del sistema de correo electrónico de una organización y llevar a cabo un ataque dirigido.

En el contexto de Active Directory, el no repudio se refiere a la capacidad de garantizar que una parte en una disputa no pueda negar la validez de las pruebas (como un usuario que niega sus actividades). Una política de auditoría débil puede conducir a un no repudio deficiente.

Proceso de modificación de los datos para adaptarlos al formato deseado. Los atacantes pueden eludir las comprobaciones de validación de entrada mediante incoherencias de normalización.

El malware "limpiador" NotPetya actúa como ransomware pero no tiene forma de revertir su cifrado. NotPetya afecta especialmente a Active Directory (AD), paralizando las operaciones. NotPetya es tristemente célebre por sus devastadores ataques de 2017, que comenzaron en Ucrania y causaron unos daños estimados -y sin precedentes- de 10.000 millones de dólares en todo el mundo.

Una utilidad de línea de comandos para diagnosticar problemas de infraestructura del Servicio de Nombres de Dominio (DNS).

Cuentas de servicio integradas en los sistemas Windows. Si estas cuentas se ven comprometidas, a menudo pueden proporcionar altos niveles de acceso al sistema.

NT Service Hardening restringe los servicios de Windows para que no realicen actividades anómalas en el sistema de archivos, el registro, la red u otros recursos que podrían utilizarse para permitir la persistencia o propagación de malware.

Una utilidad de copia de seguridad integrada en Windows. Si un atacante puede manipular o acceder a estas copias de seguridad, puede obtener acceso a datos confidenciales.

Se trata de un archivo del sistema Windows utilizado en el proceso de arranque. Alterar o comprometer este archivo puede conducir a un acceso persistente a nivel de sistema para un atacante.

Las cuotas NTDS limitan el número de objetos que una entidad de seguridad puede poseer en el directorio. Si no se establecen correctamente, esto podría aprovecharse para un ataque de denegación de servicio (DoS).

La base de datos AD almacenada en los controladores de dominio, que contiene toda la información sobre los objetos de usuario, incluidas las contraseñas con hash. Los atacantes suelen atacar este archivo para extraer datos confidenciales.

Herramienta de línea de comandos que proporciona facilidades de gestión para Active Directory Domain Services (AD DS) y Active Directory Lightweight Directory Services (AD LDS). Si se utiliza de forma malintencionada, puede causar daños importantes a los servicios AD.

Véase también: Servicios de dominio de Active Directory (AD DS), Servicios de directorio ligero de Active Directory (AD LDS)

Una herramienta para extraer datos AD de archivos ntds.dit (la base de datos AD). NTDSXtract se puede utilizar para descubrir nombres de usuario, pertenencias a grupos, políticas de contraseñas y mucho más. Estos datos pueden ayudar a un atacante a planificar y llevar a cabo ataques.

Permisos sobre objetos del sistema de archivos en volúmenes NTFS, gestionados a través de Active Directory. Una configuración incorrecta puede dar lugar a un acceso no autorizado a los datos o a una denegación de servicio.

NTLM es una colección de protocolos de seguridad utilizados para autenticar, proporcionar integridad y confidencialidad a los usuarios. Aunque Kerberos es el protocolo de autenticación preferido y se utiliza en las versiones modernas de Windows, NTLM sigue estando disponible para clientes y sistemas antiguos en un grupo de trabajo. NTLM tiene varios fallos de seguridad, propenso a varios ataques como pass-the-hash y pass-the-ticket, que permiten a los atacantes obtener acceso a las contraseñas de los usuarios, por lo que debe evitarse.

En un ataque de retransmisión NTLM, un atacante intercepta las sesiones de autenticación NT LAN Manager (NTLM) entre ordenadores de una red y, a continuación, reenvía (relays) las credenciales a otro host de la red. Esto permite al atacante ejecutar comandos o acceder a recursos en el segundo host utilizando las credenciales interceptadas.

Una herramienta construida con el objetivo de hacer rápido y fácil el reconocimiento basado en el protocolo NTLM. Se puede utilizar para identificar dominios y servicios que soportan sesiones Nulas.

Un tipo de enlace anónimo en LDAP. Cuando se activa null bind, puede permitir que un usuario anónimo se conecte al directorio y acceda potencialmente a información confidencial.

Las sesiones nulas en Windows son sesiones NetBIOS no autenticadas, que pueden permitir a un atacante recopilar abundante información sobre el sistema.

OAuth es un estándar abierto para la delegación de acceso, comúnmente utilizado para la autenticación y autorización basada en tokens. Proteger los tokens OAuth es fundamental; los atacantes pueden utilizar tokens robados para hacerse pasar por usuarios legítimos.

En Active Directory, un objeto es un conjunto distinto y nombrado de atributos que representan algo en la red, como un usuario, un equipo o un grupo. Asegurar estos objetos es vital, ya que su compromiso puede permitir a los atacantes obtener acceso no autorizado o elevar sus privilegios.

Esta función permite recopilar información cada vez que se accede a un tipo específico de objeto. La falta de una auditoría adecuada podría permitir que las actividades maliciosas pasen desapercibidas.

Este evento de Active Directory se produce cuando se elimina un objeto, como un usuario o un grupo. Supervisar las eliminaciones inesperadas de objetos es importante para detectar posibles actividades maliciosas.

Este valor único global se utiliza para identificar diversas cosas, como atributos y clases de esquemas, mecanismos de seguridad y formas de nombres. Los OID son cruciales para la interoperabilidad y extensibilidad del servicio de directorio. En muchas implementaciones de directorio LDAP, un OID es la representación interna estándar de un atributo. Cada atributo en el esquema de Active Directory tiene un OID X.500 único. Todos los valores OID creados por Microsoft empiezan por 1.2.840.113556.

La herencia de objetos es una propiedad de los objetos de Active Directory en la que los objetos hijos heredan los permisos de sus objetos padres. Una configuración incorrecta puede dar lugar a la concesión accidental de permisos excesivos.

Este atributo se utiliza para agrupar clases similares. Una configuración incorrecta puede dar lugar a clasificaciones erróneas y a posibles vulnerabilidades de seguridad.

Este atributo determina la clase de objetos (por ejemplo, usuario, equipo, grupo) que se almacenan en Active Directory. También especifica el conjunto de atributos must-have (es decir, cada objeto de la clase debe tener al menos un valor de cada uno) y may-have (es decir, cada objeto de la clase puede tener un valor de cada uno). ObjectClass se define en un objeto classSchema. La manipulación de este atributo puede permitir a un atacante enmascarar una actividad maliciosa.

Un identificador único para un objeto en Active Directory, que permanece constante. Los atacantes podrían utilizar ObjectGUIDs para mantener la persistencia en el entorno.

Este identificador único se asigna a cada objeto en un dominio de Active Directory. Si un atacante puede manipular estos identificadores, podría obtener acceso no autorizado.

Este proceso permite a un ordenador unirse a un dominio sin necesidad de conectividad de red. Un posible vector de ataque podría forzar a un dispositivo a unirse a un dominio controlado por un atacante.

Esta herramienta puede utilizarse para cambiar la contraseña de cualquier usuario que tenga una cuenta local válida en un sistema Windows. Si un atacante obtiene acceso físico a un sistema, puede utilizar este tipo de herramientas para obtener acceso a una cuenta local y potencialmente escalar sus privilegios.

Esta popular plataforma de gestión de identidades y accesos (IAM) ofrece software en la nube para ayudar a las empresas a gestionar y proteger la autenticación de usuarios en aplicaciones modernas y para que los desarrolladores incorporen controles de identidad en aplicaciones, servicios web de sitios web y dispositivos. Puede integrarse con Active Directory para gestionar el acceso de los usuarios en entornos locales y en la nube. Si se pone en peligro, puede dar lugar a accesos no autorizados generalizados.

Esta herramienta de línea de comandos, desarrollada por Joe Richard (DS-MVP) para consultar Active Directory en busca de cuentas de ordenador o usuario no utilizadas, también puede limpiar cuentas.

Esta herramienta se utiliza para replicar la información de Active Directory local en los servicios en la nube de Microsoft. Un ataque a DirSync podría exponer a un atacante datos confidenciales de Active Directory local.

Contraseña válida para una sola sesión o transacción. Se suele utilizar en sistemas de autenticación de dos factores para proporcionar una capa adicional de seguridad más allá de un nombre de usuario y una contraseña.

En Active Directory, una confianza unidireccional es una ruta de autenticación unidireccional creada entre dos dominios. Si un atacante compromete esto, podría obtener acceso no autorizado a recursos en un dominio mientras se origina en el otro.

Es un protocolo de Internet utilizado para obtener el estado de revocación de un certificado digital X.509. Un atacante podría realizar un ataque de suplantación de OCSP para imitar a una autoridad de certificación y emitir certificados fraudulentos.

El software subyacente que controla un ordenador o servidor. Endurecer el sistema operativo de los controladores de dominio es fundamental para la seguridad de Active Directory.

Atributos que el directorio proporciona automáticamente, como creationTimeStamp. Estos atributos son calculados por un controlador de dominio a petición. Pueden utilizarse para rastrear acciones y cambios en los objetos. Una petición de búsqueda LDAP solicitando "todos los atributos" no devuelve atributos operativos y sus valores. Los atacantes podrían intentar manipularlos o borrarlos para ocultar sus actividades.

Atributo definido en el esquema como opcional para una clase de objetos. A diferencia de los atributos obligatorios, los opcionales no están obligados a tener un valor.

En términos de Active Directory, la identidad organizativa se refiere a las credenciales e identificadores que pertenecen a una empresa u organización. Proteger estos identificadores es crucial para evitar que los atacantes se hagan pasar por una entidad legítima dentro de la organización.

Una OU es un tipo de contenedor dentro de Active Directory en el que se pueden colocar usuarios, grupos, equipos y otras unidades organizativas. Las OU se pueden utilizar para asignar políticas de grupo y gestionar recursos, y una configuración incorrecta puede dar lugar a un acceso inadecuado.

Un objeto huérfano permanece en la base de datos del directorio pero ha sido eliminado en todos los sentidos prácticos porque su objeto padre fue eliminado. Estos objetos pueden ser explotados por un atacante para ocultar sus actividades o mantener la persistencia en un entorno.

El aprovisionamiento de sistemas operativos (SO) es el acto de instalar un sistema operativo determinado en varios hosts. 

Este tipo de parche se publica en un momento no programado, normalmente para solucionar una vulnerabilidad específica. Aplique estos parches rápidamente para evitar su explotación.

Los ajustes y la configuración por defecto que vienen con un sistema o software cuando se instala por primera vez. A veces, estas configuraciones pueden ser inseguras, por lo que es importante reforzarlas siguiendo las mejores prácticas para evitar que se exploten fácilmente.

La replicación saliente es el proceso por el cual un controlador de dominio replica los cambios a otros controladores de dominio. Si un atacante puede manipular este proceso, puede propagar cambios maliciosos a través del dominio.

Relación de confianza entre dos dominios con fines de autenticación. La confianza saliente es desde la perspectiva del dominio que confía en otro dominio.

Outlook Anywhere permite acceder a su Exchange Server desde su cliente Outlook sin utilizar VPN. Esto puede proporcionar un punto de entrada potencial para los atacantes si no está debidamente protegido.

OWA ofrece la posibilidad de acceder al correo electrónico a través de un navegador web. Si no se protege adecuadamente, puede ser un punto de entrada para los atacantes.

En esta configuración, dos enlaces de sitio tienen sitios en común. Esta configuración puede dar lugar a un tráfico de replicación ineficaz si no se gestiona correctamente, proporcionando oportunidades potenciales para que un atacante intercepte datos confidenciales.

Un ataque overpass-the-hash es similar a un ataque pass-the-hash pero involucra Kerberos en lugar de NTLM. El atacante utiliza el hash de la contraseña de un usuario para generar un hash de preautenticación Kerberos, que luego se utiliza para solicitar un ticket-granting ticket (TGT) del controlador de dominio.

Véase también: Kerberos, Ataque Pass-the-hash

En Active Directory, cada objeto tiene un propietario, que tiene ciertos derechos sobre el objeto. Un atacante que se haga con la propiedad de un objeto podría potencialmente hacer un uso indebido de esos derechos.

Esta entidad de seguridad representa al propietario actual de un objeto. Un atacante que obtenga derechos de propietario puede modificar atributos importantes del objeto, lo que puede dar lugar a violaciones de la seguridad.

En Active Directory, el contenedor padre se refiere al objeto contenedor de nivel superior que contiene otros objetos en su interior.

Un objeto es la raíz de un árbol de objetos o tiene un objeto padre por encima de él en la jerarquía del árbol. Si dos objetos tienen el mismo padre, deben tener diferentes nombres distinguidos relativos (RDN).

Una relación jerárquica entre dos dominios en Active Directory, donde un dominio es el padre y el otro es el hijo. Los dominios hijos heredan las políticas de su dominio padre.

El subconjunto de atributos que se replican a réplicas parciales de contexto de nomenclatura (NC). Especifica qué atributos deben replicarse en los servidores del Catálogo Global.

Una división lógica de la base de datos de Active Directory que almacena objetos y atributos. Las particiones incluyen la partición de esquema, la partición de configuración y las particiones de dominio. La gestión adecuada de las particiones es esencial para mantener la integridad y escalabilidad del directorio.

En un ataque pass-the-hash, un atacante obtiene acceso al hash de la contraseña de la cuenta de un usuario en Active Directory y lo utiliza para autenticar y suplantar al usuario sin conocer la contraseña real. Este ataque se aprovecha de algoritmos hash débiles o de contraseñas hash robadas.

En un ataque pass-the-ticket, un atacante roba un ticket otorgado por Kerberos (TGT) de la máquina de un usuario y utiliza ese TGT para obtener acceso no autorizado a recursos, sin necesidad de autenticarse.

Este tipo de autenticación permite a los usuarios utilizar el mismo nombre de usuario y contraseña en las instalaciones y en la nube, sin necesidad de un sistema de federación de terceros.

Esta función permite sincronizar los cambios de contraseña en Active Directory con otros sistemas. Por ejemplo, cuando un usuario cambia su contraseña en Active Directory, el PCNS garantiza que este cambio se refleje en otros sistemas a los que el usuario tenga acceso.

Un requisito en la política de contraseñas que obliga a utilizar contraseñas seguras que contengan una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Imponer la complejidad de las contraseñas dificulta a los atacantes adivinarlas o descifrarlas. Aunque los requisitos de complejidad de las contraseñas son importantes, también lo es educar a los usuarios sobre la importancia de la higiene de las contraseñas, evitar su reutilización en varias cuentas y adoptar medidas de seguridad adicionales, como la autenticación multifactor, para mejorar la protección.

Una política que requiere que los usuarios cambien sus contraseñas después de un intervalo de tiempo especificado. La caducidad de contraseñas ayuda a imponer actualizaciones periódicas de contraseñas y reduce el riesgo de que se utilicen credenciales comprometidas durante un periodo prolongado.

Componente de Active Directory que intercepta y valida los cambios de contraseña para aplicar políticas de contraseña personalizadas o realizar comprobaciones adicionales. Los filtros de contraseñas se utilizan para mejorar la seguridad de las contraseñas y evitar que se establezcan contraseñas débiles o fáciles de adivinar.

Representación matemática de la contraseña de un usuario almacenada en Active Directory. El objetivo de los atacantes son los hashes de contraseñas, ya que pueden descifrarse sin conexión, permitiendo el acceso no autorizado a cuentas de usuario. Técnicas como los ataques Pass-the-Hash explotan los hashes de contraseñas.

Una función de Azure AD Connect que sincroniza los hash de las contraseñas de las cuentas de usuario de Active Directory locales con Azure AD (Entra ID), lo que permite a los usuarios utilizar sus contraseñas locales para iniciar sesión en los servicios en la nube. Proteger la sincronización del hash de la contraseña es crucial para evitar que las credenciales de los usuarios se vean comprometidas.

Este mecanismo de Active Directory impide que los usuarios reutilicen contraseñas usadas anteriormente manteniendo un historial de sus cambios de contraseña. Las políticas de historial de contraseñas mejoran la seguridad al desalentar la reutilización de contraseñas antiguas.

Esta función de seguridad de Active Directory bloquea temporalmente una cuenta de usuario tras un número determinado de intentos fallidos de inicio de sesión. Las políticas de bloqueo de contraseñas ayudan a prevenir ataques de fuerza bruta e intentos de acceso no autorizados.

Conjunto de reglas y requisitos que dictan la complejidad, longitud, caducidad y otras características de las contraseñas de usuario en Active Directory. Las políticas de contraseñas débiles pueden hacer que las cuentas de usuario sean susceptibles a ataques de fuerza bruta y a la adivinación de credenciales.

El proceso de asegurar que las políticas de contraseñas definidas son aplicadas y cumplidas por todos los usuarios dentro de Active Directory. La aplicación adecuada de la política de contraseñas ayuda a mitigar el riesgo de contraseñas débiles y mejora la seguridad general.

El proceso de cambiar la contraseña olvidada o caducada de un usuario en Active Directory. La correcta implementación de los procedimientos de restablecimiento de contraseñas garantiza la restauración segura y autorizada del acceso, a la vez que minimiza el riesgo de ingeniería social o cambios de contraseña no autorizados.

Objetos en el contenedor Sistema de Active Directory que implementan Políticas de Contraseña de Granularidad Fina (FGPP).

Una técnica utilizada por los atacantes para adivinar contraseñas comunes o débiles contra un gran número de cuentas de usuario en Active Directory, con el objetivo de evitar bloqueos de cuentas y aumentar las posibilidades de autenticación exitosa. En lugar de probar varias contraseñas contra un usuario, lo que puede provocar el bloqueo de la cuenta, un atacante prueba una contraseña de uso común contra varias cuentas, lo que reduce el riesgo de detección y aumenta las posibilidades de autenticación correcta.

Método de autenticación que elimina la necesidad de contraseñas tradicionales, a menudo sustituidas por factores biométricos (por ejemplo, huellas dactilares o reconocimiento facial), tokens de hardware u otros métodos de autenticación seguros. La autenticación sin contraseña reduce el riesgo de ataques relacionados con contraseñas y puede mejorar la comodidad del usuario.

Proceso de aplicación periódica de actualizaciones de software (parches) para corregir vulnerabilidades y errores en los componentes de Active Directory y los sistemas asociados. No aplicar parches a los sistemas puede dejarlos expuestos a exploits y ataques conocidos.

Uno de los cinco roles de Operaciones Maestras Únicas Flexibles (FSMO) en AD, un Emulador PDC actúa como el Controlador de Dominio Primario (PDC) de Windows NT para compatibilidad con versiones anteriores. El emulador de PDC es responsable de gestionar los cambios de contraseña, los bloqueos de usuarios y las directivas de grupo. También sirve como fuente de tiempo principal para el dominio. El emulador PDC es el objetivo de la mayoría de las herramientas de directiva de grupo. Un controlador de dominio en cada dominio debe desempeñar esta función.

Véase también: Funciones de Operaciones Maestras Únicas Flexibles (FSMO)

Proceso mediante el cual los objetos de Active Directory heredan los permisos de sus contenedores o unidades organizativas (OU) principales. Comprender y gestionar adecuadamente la herencia de permisos es importante para garantizar un control de acceso coherente y evitar el acceso involuntario a recursos confidenciales.

Véase también: Herencia

Derechos de acceso concedidos a usuarios, grupos o cuentas de equipo que determinan las acciones que pueden realizar en los objetos de Active Directory. Los permisos mal configurados pueden dar lugar a accesos no autorizados, escalada de privilegios o exposición de información confidencial.

Un atacante utiliza una cuenta válida para generar un token de acceso y modifica el token para elevar los privilegios, lo que le permite ejecutar comandos o acceder a recursos que normalmente estarían más allá de sus permisos.

PetitPotam es un método de ataque en el que los ciberatacantes fuerzan a un cliente víctima a autenticarse en una máquina arbitraria sin ninguna interacción del usuario. Cuando se explota PetitPotam y las credenciales de Windows NT LAN Manager (NTLM) se envían a los servicios de certificados de Active Directory, un ciberatacante puede obtener privilegios de administrador de dominio sin autenticación previa en el dominio.

Una técnica engañosa utilizada por los atacantes para engañar a los usuarios para que revelen sus credenciales o información sensible a través de correos electrónicos fraudulentos, sitios web u otros canales de comunicación. Los ataques de phishing suelen dirigirse a usuarios de Active Directory para obtener acceso no autorizado a la red. Una vez que obtienen las credenciales de los usuarios, comenzarán a recopilar información sobre los recursos del sistema e intentarán moverse lateralmente por la red. Además, estas credenciales pueden utilizarse para crear ataques más precisos, personalizados y dedicados a usuarios específicos de alto valor de la empresa.

PingCastle es una herramienta de evaluación de Active Directory escrita en C#. Basándose en modelos y reglas integrados, esta herramienta evalúa los subprocesos de AD y genera un informe de riesgos que incluye una puntuación para cuentas privilegiadas, relaciones de confianza entre dominios de AD, información sobre objetos obsoletos y anomalías de seguridad. Para entornos híbridos, también puede proporcionar información sobre si la relación de confianza con Azure AD es segura. Los atacantes pueden utilizar esta herramienta para analizar el estado del entorno de AD e identificar posibles vulnerabilidades.

Véase también: Purple Knight

PowerSploit, un marco de postexplotación de PowerShell, es ampliamente utilizado por los atacantes para diversas tareas, como la ejecución de cargas útiles, la exfiltración, la escalada de privilegios y mucho más en un entorno AD.

Este grupo integrado en Active Directory incluye todas las cuentas de usuario y equipo que necesitan compatibilidad con sistemas basados en Windows NT 4.0 más antiguos.

Se utiliza con fines de compatibilidad con sistemas operativos antiguos. Para los objetos usuario y grupo, este nombre es el valor del atributo sAMAccountName. Para los objetos de ordenador, es el nombre NetBIOS de la máquina con el carácter "$" añadido al final.

En los dominios basados en Windows NT, el controlador de dominio primario (CDP) era el primer controlador de dominio del dominio y tenía cero o más controladores de dominio de respaldo (CDC). Un controlador de dominio (CD) designado para realizar un seguimiento de los cambios realizados en las cuentas de todos los equipos de un dominio. Aunque utilizado por muchos, los conceptos de PDC ya no se aplican en Windows 2000 y por encima de Active Directory, ya que todos los controladores de dominio son esencialmente iguales desde una perspectiva de replicación, ya que utiliza el modelo de replicación multi-master. No confundir con PDC Emulator.

Grupo asignado a cada usuario en Active Directory, que representa su afiliación primaria dentro del dominio. Se utiliza principalmente para el cumplimiento de POSIX. Los grupos primarios se utilizan para el control de acceso y se asocian con permisos sobre recursos.

La dirección de correo electrónico asociada a un usuario o buzón que se considera la dirección principal para la comunicación. Active Directory utiliza la dirección SMTP principal como identificador único para las operaciones relacionadas con el correo electrónico.

Derecho de un usuario a realizar operaciones relacionadas con el sistema, como depurar el sistema. Los derechos y privilegios son efectivamente los mismos y se conceden a los principales de seguridad, como usuarios, servicios, ordenadores o grupos. Algunos (como Permitir que las cuentas de equipo y de usuario sean de confianza para la delegación) se aplican a Active Directory, mientras que otros (como Cambiar la hora del sistema) se aplican al sistema operativo Windows. El usuario se considera miembro de su grupo principal. El contexto de autorización de un usuario especifica qué privilegios tiene ese usuario.

Proceso de asignación de privilegios o derechos administrativos específicos a usuarios o grupos no administradores dentro de Active Directory. La delegación de privilegios permite a los usuarios realizar tareas específicas sin concederles acceso administrativo completo, lo que minimiza el riesgo de abuso de privilegios o cambios no autorizados.

El proceso de obtener niveles de acceso y permisos superiores a los asignados originalmente. Los ataques de escalada de privilegios dentro de Active Directory pueden permitir a los atacantes eludir los controles de seguridad y obtener privilegios administrativos. Una vez dentro de su entorno, los ciberatacantes suelen buscar la escalada de privilegios, desde cuentas con menos privilegios a cuentas con más privilegios, en un esfuerzo por obtener privilegios administrativos y acceso a Active Directory.

Véase también: Dominio, Movimiento lateral, Acceso privilegiado

La práctica de dividir los privilegios administrativos entre varias cuentas de usuario en Active Directory, garantizando que ninguna cuenta tenga un acceso excesivo o sin restricciones. La separación de privilegios ayuda a minimizar el impacto de las cuentas comprometidas y reduce el riesgo de acciones no autorizadas.

El acceso privilegiado otorga derechos superiores a los estándar y control sobre los recursos de un entorno. Este tipo de acceso debe concederse con moderación, ya que hacerse con el control de una cuenta de acceso privilegiado puede permitir a los ciberatacantes cerrar o desactivar Active Directory y hacerse con el control de su red.

Véase también: Dominio del dominio, Movimiento lateral, Escalada de privilegios

Una solución en Microsoft Identity Manager (MIM) que ayuda a mitigar los problemas de seguridad asociados con la escalada de privilegios administrativos o el uso indebido.

Una cuenta con permisos elevados y derechos de acceso que puede realizar tareas administrativas dentro de Active Directory. Las cuentas privilegiadas comprometidas son un objetivo principal para los atacantes, ya que pueden otorgar un amplio control sobre el dominio.

PsExec es un sustituto ligero de telnet que permite ejecutar procesos en otros sistemas. Los atacantes lo utilizan como herramienta para el movimiento lateral en un entorno AD.

PsTools es un conjunto de herramientas de línea de comandos ampliamente utilizadas que permiten gestionar sistemas locales y remotos. Estas herramientas pueden ser utilizadas por atacantes para diversas tareas como ejecutar procesos de forma remota, apagar sistemas o ver información del sistema.

Parte del conjunto de herramientas pass-the-hash, PTH-Winexe permite la ejecución de comandos en sistemas Windows pasando hashes NTLM en lugar de credenciales en texto plano, lo que permite el movimiento lateral y la ejecución remota de comandos.

Clave criptográfica utilizada en algoritmos de cifrado asimétrico, formada por un par de claves pública y privada. Las claves públicas se distribuyen ampliamente y se utilizan para cifrar datos o verificar firmas digitales en las comunicaciones de Active Directory.

Documento firmado digitalmente que vincula una clave pública a la identidad de una entidad, validando la autenticidad e integridad de la clave pública. Los certificados de clave pública se utilizan en Active Directory para la comunicación segura, la autenticación y el cifrado.

Un marco de servicios criptográficos, tecnologías y protocolos utilizados para establecer y gestionar certificados digitales, pares de claves públicas y privadas y comunicación segura en Active Directory. PKI es crucial para garantizar la autenticación segura, la integridad de los datos y la confidencialidad.

Cuando se trata de proteger a su empresa de ciberataques, la protección de su infraestructura de identidad es clave. Las infiltraciones en los sistemas de identidad no sólo exponen sus activos y operaciones empresariales más importantes a los ataques, sino que pueden pasar desapercibidas durante largos periodos, causando daños significativos. Por tanto, reforzar la seguridad de la identidad es un paso importante. Para al menos el 90 por ciento de las empresas, eso significa dar prioridad a la seguridad de Active Directory y Azure AD.

Las vulnerabilidades de Active Directory y Azure AD pueden dar a los atacantes un acceso prácticamente ilimitado a la red y los recursos de su organización. Semperis ha creado Purple Knight, una herramienta gratuita de evaluación de la seguridad de Azure AD y AD de la comunidad, para ayudarle a descubrir indicadores de exposición (IoE) e indicadores de compromiso (IoC) en su entorno de AD híbrido.

Purple Knight ayuda a identificar las brechas de seguridad en su entorno AD que pueden dejar la puerta abierta a los ciberatacantes. La herramienta también proporciona informes de evaluación con calificaciones basadas en las siguientes categorías: Delegación de AD, seguridad de la infraestructura de AD, seguridad de cuentas, Kerberos y seguridad de directivas de grupo.

Pwdump es una herramienta que extrae hashes de contraseñas NTLM y LanMan del Administrador de cuentas de seguridad (SAM) de Windows, que luego se pueden descifrar sin conexión. Esto puede dar lugar a accesos no autorizados si no se aplican políticas de contraseñas seguras.

Una consulta en Active Directory hace referencia a una solicitud realizada al servicio de directorio para recuperar información específica, como los detalles de un usuario o un equipo. Las consultas de AD son esenciales para gestionar y controlar el acceso a los recursos. El protocolo ligero de acceso a directorios (LDAP) se utiliza habitualmente para realizar consultas en la base de datos de AD. Por ejemplo, un administrador puede ejecutar una consulta para encontrar a todos los usuarios de un departamento específico.

Las cuotas en Active Directory se refieren a los límites impuestos al número de objetos que una entidad de seguridad (como un usuario o un grupo) puede poseer en una partición de directorio. Esto es especialmente importante en un entorno grande y distribuido para evitar que un usuario o grupo cree tantos objetos que afecte al rendimiento o al almacenamiento de AD.

Tabla textual precalculada que se utiliza para invertir funciones hash criptográficas, principalmente para descifrar hashes de contraseñas. Cada tabla rainbow es específica para una determinada función hash, conjunto de caracteres y longitud de contraseña. Las tablas rainbow contienen millones o incluso miles de millones de hashes precalculados para contraseñas potenciales. Un atacante que obtenga la versión hash de una contraseña (tal vez a través de una filtración de datos o penetrando en un sistema Active Directory mal protegido) puede utilizar una tabla rainbow para buscar ese hash y encontrar potencialmente la contraseña original.

Una herramienta que intenta descifrar hashes de contraseñas con tablas rainbow.

Un tipo de malware que cifra los datos de la víctima hasta que se realiza un pago al ciberatacante. A las víctimas se les dice que, si pagan, recibirán una clave de descifrado para restaurar el acceso a sus archivos, aunque a menudo se trata de una treta. En un ataque de doble extorsión, no sólo se retiene la clave de descifrado, sino que el actor malicioso también amenaza con publicar los datos en sitios de filtración de datos (DLS).

Los grupos de ransomware suelen estar relacionados con organizaciones criminales o terroristas o con Estados nación hostiles. El pago del rescate suele financiar otras actividades delictivas.

Véase también: malware, ranswomware como servicio

Un modelo de negocio en el que los actores de amenazas alquilan o compran variantes de ransomware a los desarrolladores de ransomware del mismo modo que las organizaciones alquilan productos SaaS a desarrolladores de software legítimos. RaaS ha ganado popularidad en los últimos años.

Véase también: malware, ransomware

Los servidores RODC son controladores de dominio que contienen una copia de sólo lectura de la base de datos de Active Directory y no permiten cambios en AD. Un RODC se implementa normalmente en ubicaciones que requieren un acceso rápido a los servicios de AD pero que no son físicamente lo suficientemente seguras como para alojar un controlador de dominio con capacidad de escritura. Aunque un RODC puede autenticar los inicios de sesión de los usuarios, los cambios no se escriben directamente en él, sino en un controlador de dominio con capacidad de escritura, que luego se replica en el RODC.

Los controladores de dominio con capacidad de escritura se pueden utilizar para actualizar objetos en Active Directory. En Active Directory, todos los controladores de dominio son escribibles, a menos que sean controladores de dominio de sólo lectura (RODC).

Un objetivo de punto de recuperación (RPO) establece un límite de antigüedad de los datos antes de realizar una copia de seguridad (por ejemplo, 24 horas). 

Véase también: objetivo de tiempo de recuperación

Un objetivo de tiempo de recuperación (RTO) establece un límite en la cantidad de tiempo que una aplicación, sistema o proceso, puede no estar disponible (por ejemplo, no más de 2 horas).

Véase también: objetivo de punto de recuperación

Una consulta DNS recursiva es un tipo de consulta DNS en la que el servidor DNS intenta resolver la consulta consultando iterativamente a otros servidores DNS hasta obtener la respuesta final. Los clientes suelen utilizar este tipo de consulta para resolver nombres de host en direcciones IP.

Introducida por primera vez como característica opcional en Windows Server 2008 R2, esta característica crea un nuevo contenedor oculto en el árbol del dominio y almacena los objetos eliminados durante un número especificado de días antes de eliminarlos permanentemente, permitiendo la opción de restaurarlos sin pérdida de los valores de los atributos del objeto. Se puede habilitar esta característica y acceder a ella a través de la consola del Centro Administrativo de Active Directory (ADAC).

Cuando un objeto ha sido borrado, permanece en un contenedor oculto en el árbol de dominio hasta que ha transcurrido un periodo de tiempo configurado (es decir, el tiempo de vida de la lápida), tras el cual el objeto se elimina permanentemente del almacenamiento. Estos objetos sólo existen cuando está activada la función opcional Papelera de reciclaje.

Red Forest, también conocido como Enhanced Security Admin Environment (ESAE), era un concepto de seguridad de Microsoft en el que todas sus credenciales administrativas residían en un bosque AD separado, en el que confiaban sus bosques AD de producción. El objetivo de este enfoque era eliminar las credenciales administrativas de los bosques de AD y mejorar así la seguridad. El concepto ha sido retirado.

En las pruebas de ciberseguridad, el equipo rojo es el grupo de individuos responsables de atacar las defensas de ciberseguridad de una organización, explotar las vulnerabilidades del sistema y ayudar a identificar métodos de contraataque para los defensores (es decir, el equipo azul).

Véase también: equipo azul

El Registro de Windows almacena los parámetros y opciones de configuración de los sistemas operativos Microsoft Windows, incluidos los relacionados con AD. Un atacante que obtenga acceso al Registro podría cambiar estos ajustes para interrumpir la funcionalidad de AD o aumentar sus privilegios.

El nombre de un objeto en relación con su padre. Es el par atributo-valor situado más a la izquierda en el nombre distinguido (DN) de un objeto. Por ejemplo, en el DN "cn=Daniel Petri, ou=Company Users, dc=semperis, dc=com", el RDN es "cn=Daniel Petri".

Un RID es un identificador único asignado a cada objeto en un dominio AD. Se combina con un identificador de dominio para formar un identificador de seguridad (SID) para el objeto. El maestro de RID, uno de los roles de FSMO, es responsable de procesar las solicitudes de grupos de RID de todos los controladores de dominio de un dominio en particular.

El acceso remoto se refiere a los métodos que permiten a los usuarios acceder a una red AD desde una ubicación remota. Los atacantes pueden aprovechar los puntos de acceso remoto inseguros para acceder a la red sin autorización.

RDS, antes conocido como Terminal Services, permite a un usuario tomar el control de un ordenador remoto o una máquina virtual a través de una conexión de red.

Véase también: Servicios de terminal

La gestión remota se refiere a la administración de sistemas informáticos desde una ubicación remota. Esto es especialmente relevante para administrar Controladores de Dominio repartidos por varias ubicaciones geográficas. En el contexto de Active Directory, herramientas como Remote Server Administration Tools (RSAT) permiten a los administradores gestionar funciones y características de forma remota.

Se trata de un protocolo de comunicación utilizado por programas cliente para solicitar un servicio a un programa de otro ordenador de la red. Se utiliza mucho para la replicación y administración de AD. Sin embargo, puede ser explotado para el movimiento lateral si no está debidamente protegido.

Una colección de herramientas y aplicaciones que permite a los administradores de TI gestionar de forma remota funciones y características de Windows Server 2008 en adelante desde un equipo de estación de trabajo con Windows 7 en adelante. Similar a la instalación del adminpak.msi en equipos cliente Windows 2000 o Windows XP.

Un comando de PowerShell que elimina una unidad organizativa (OU) de AD. Si se utiliza de forma malintencionada, podría provocar la interrupción de la estructura de AD y la posible pérdida de objetos dentro de la OU.

Un comando de PowerShell que elimina un usuario de AD. Si se utiliza de forma malintencionada, puede provocar la eliminación de cuentas de usuario legítimas, lo que puede causar interrupciones operativas o pérdida de datos.

Una utilidad de línea de comandos para diagnosticar la replicación de Active Directory entre controladores de dominio.

Copia de un espacio de nombres de Active Directory (NC o contexto de nombres) en un controlador de dominio que se replica con otros controladores de dominio dentro del bosque AD.

La replicación en Active Directory se refiere al proceso de copiar datos de un controlador de dominio a otro. Este proceso asegura que cada controlador de dominio tiene la misma información que otros controladores de dominio y permite la distribución de la base de datos AD a través de múltiples servidores. Si la replicación falla o se retrasa, puede dar lugar a incoherencias, conocidas como errores de replicación.

Un Servidor de Cabeza de Puente de Replicación es un controlador de dominio designado para gestionar el tráfico de replicación dentro de un sitio en Active Directory. Actúa como punto central para recibir y enviar datos de replicación entre sitios, reduciendo el tráfico de replicación a través de redes de área extensa (WAN).

El intervalo de replicación en Active Directory define la duración de tiempo entre dos ciclos de replicación consecutivos entre controladores de dominio. Garantiza que los cambios se propaguen eficientemente a través de la red sin causar un tráfico de replicación excesivo.

La latencia de replicación es el tiempo transcurrido entre la actualización final originada en un objeto AD y en todas las réplicas.

Los metadatos de replicación en AD se utilizan para resolver los conflictos que puedan producirse durante la replicación. Los metadatos realizan un seguimiento de los cambios que ya se han aplicado para evitar que los cambios antiguos sobrescriban los más recientes.

La topología de replicación se refiere a la estructura de conexiones entre controladores de dominio para replicar datos en Active Directory. Define cómo se propagan los cambios por la red para garantizar la coherencia de los datos.

Un comando de PowerShell que restablece la contraseña de la cuenta del equipo. Si se utiliza incorrectamente, puede interrumpir el canal seguro entre el equipo y su dominio, lo que puede provocar una denegación de servicio o un acceso no autorizado.

ReFS es un sistema de archivos desarrollado por Microsoft para su uso en sistemas operativos Windows y está diseñado para superar algunas de las limitaciones de NTFS.

Responder, una herramienta de red que puede manipular las comunicaciones de red y responder a las solicitudes de difusión de red, se utiliza a menudo en ataques de intermediario, ayudando a los atacantes a interceptar y manipular el tráfico.

Herramienta de Windows que los administradores utilizan para determinar el efecto combinado de las directivas de grupo aplicadas a un sistema y/o usuario. Esencialmente, proporciona una vista acumulativa de todas las políticas de varias fuentes que se aplican a un usuario o sistema específico. Esta herramienta puede ser particularmente útil en escenarios de solución de problemas, cuando un administrador necesita entender por qué una determinada política tiene o no tiene efecto.

Una operación privada de ransomware como servicio (RaaS) basada en Rusia o de habla rusa. El ransomware REvil (también conocido como Sodinokibi) se propaga a menudo a través de ataques de fuerza bruta y exploits de servidor, pero también puede propagarse a través de enlaces maliciosos y phishing. Los ciberatacantes pueden utilizar REvil para explotar configuraciones erróneas de Active Directory (AD) o contraseñas débiles para propagarse por la red.

Se trata del proceso de invalidación de un certificado, un proceso que puede gestionarse a través de los Servicios de Certificación de AD. La revocación adecuada de certificados es importante para evitar el uso no autorizado de un certificado en un ataque Man-in-the-Middle u otros tipos de ciberataques.

En este tipo de ataque, el identificador relativo (RID) de una cuenta de dominio estándar se modifica para que coincida con el RID de una cuenta de administrador de dominio, promoviendo efectivamente la cuenta estándar al estado de administrador de dominio.

Uno de los cinco roles FSMO (Flexible Single Master Operations) en AD, el RID Master es responsable de procesar las solicitudes de grupos de RID de todos los DCs dentro del dominio. Cuando se crean objetos como usuarios y equipos en Active Directory, se les asigna un ID de seguridad único (SID) y un ID relativo (RID). El rol de maestro de RID garantiza que no se asignen los mismos SID y RID a ningún objeto en AD. Cualquier fallo del rol de maestro de RID podría afectar a la creación de nuevos objetos dentro del dominio. Un controlador de dominio en cada dominio debe tener este rol.

Véase también: Funciones de Operaciones Maestras Únicas Flexibles (FSMO)

Un sistema de criptografía de clave pública.

RBAC es un principio clave utilizado en la gestión del control de acceso Asigna permisos basados en el papel de un usuario dentro de la organización en lugar de en el usuario individual. Este enfoque simplifica la gestión de permisos y puede reducir el riesgo de ataques de escalada de privilegios.

Objeto que expone un conjunto de propiedades características del directorio.

El dominio raíz es el dominio superior de un bosque de Active Directory. El dominio raíz es el primer dominio creado en un nuevo bosque de AD y se convierte en el padre de todos los dominios hijos posteriores. La seguridad y la estabilidad del dominio raíz son cruciales para la estructura general de AD, ya que el compromiso del dominio raíz podría conducir a una violación completa del bosque.

RRAS es una API y un software de servidor de Microsoft que permite crear aplicaciones para administrar las capacidades de enrutamiento y servicio de acceso remoto del sistema operativo, para funcionar como un enrutador de red. Sin embargo, los servidores RRAS, si forman parte del dominio y no están debidamente protegidos, pueden convertirse en un punto de entrada para los atacantes.

Un tipo de ransomware conocido por tener como objetivo grandes sistemas Windows de entidades públicas. Ryuk cifra los archivos, el acceso al sistema y los datos de un ordenador, imposibilitando que los usuarios recuperen información o accedan a programas. Este ataque tiene un aspecto inusual para Active Directory (AD): el ransomware se envía a usuarios desprevenidos a través de objetos de directiva de grupo (GPO) de AD.

Para defenderse de los ataques a las tablas arco iris, es habitual utilizar un método llamado salting (salado) de los hashes, en el que se añade un valor aleatorio a la contraseña antes de hacer el hash. Esto hace que las tablas arco iris sean mucho menos efectivas porque incluso un pequeño cambio en la entrada (como añadir una "sal") da como resultado un hash drásticamente diferente. Vale la pena señalar que la protección de los hash de las contraseñas es un aspecto crucial de la seguridad de un entorno Active Directory.

El nombre de inicio de sesión de los usuarios que se utiliza para dar soporte a los clientes y servidores que ejecutan versiones anteriores de Windows. También se denomina "nombre de inicio de sesión anterior a Windows 2000".

En un ataque SaveTheQueen, los ciberatacantes atacan AD a través de una cepa de ransomware que utiliza el recurso compartido SYSVOL en los controladores de dominio AD para propagarse por todo el entorno. Para acceder al recurso compartido SYSVOL, que se utiliza para proporcionar secuencias de comandos de inicio de sesión y directivas a los miembros del dominio, normalmente se necesitan privilegios elevados, lo que indica que AD está gravemente comprometido.

El esquema de Active Directory define cada clase de objeto que puede crearse y utilizarse en el bosque de Active Directory. Por defecto, el esquema define todos los atributos que pueden existir en un objeto, las relaciones entre los distintos atributos, cuál es obligatorio, qué permisos tiene cada uno y muchos otros parámetros. El esquema es básicamente un plano o plantilla de cómo y qué tipo de datos pueden almacenarse en Active Directory. Desde el punto de vista de la ciberseguridad, los cambios no autorizados en el esquema pueden ser peligrosos porque no se pueden deshacer y pueden tener un efecto destructivo en los datos de Active Directory.

El grupo Schema Admins en Active Directory es un grupo altamente privilegiado que tiene control total sobre el esquema de Active Directory. Los miembros de este grupo pueden modificar el esquema, incluyendo la adición o eliminación de definiciones de atributos y clases de objetos. Por ejemplo: El grupo Schema Admins incluiría normalmente administradores de TI responsables de gestionar el esquema de Active Directory, como implementar extensiones de esquema o realizar actualizaciones de esquema.

Desde una perspectiva de ciberseguridad, comprometer el grupo Schema Admins puede tener graves consecuencias, ya que permite a los atacantes realizar cambios no autorizados en el esquema de Active Directory. Esto podría llevar a la corrupción de datos, denegación de servicio o acceso no autorizado a sistemas críticos e información sensible.

Las extensiones de esquema en Active Directory se refieren al proceso de modificar o añadir nuevas definiciones de atributos y clases de objetos al esquema existente de Active Directory. Esto permite a las organizaciones personalizar el esquema para adaptarlo a requisitos específicos de la aplicación o almacenar atributos adicionales para los objetos. Por ejemplo: Una organización puede ampliar el esquema de Active Directory para incluir atributos personalizados para objetos de usuario con el fin de almacenar información adicional como números de identificación de empleados o nombres de departamentos.

Este es uno de los cinco roles FSMO (Flexible Single Master Operations) en AD, responsable de manejar todos los cambios en el esquema de Active Directory. El acceso no autorizado al Schema Master puede provocar cambios críticos en la estructura de AD, permitiendo ataques graves. Un controlador de dominio en todo el bosque debe tener este rol.

Véase también: Funciones de Operaciones Maestras Únicas Flexibles (FSMO)

Objeto que define un atributo o una clase de objeto.

Versión del protocolo LDAP que establece una conexión segura con el servidor LDAP mediante la aplicación de SSL/TLS. Es crucial para proteger el intercambio de información entre clientes y controladores de dominio frente a escuchas o manipulaciones.

Protocolo estándar utilizado en varios protocolos como HTTPS, LDAPS y otros, que soporta la confidencialidad e integridad de los mensajes en aplicaciones cliente y servidor que se comunican a través de redes abiertas. SSL admite la autenticación del servidor y, opcionalmente, del cliente mediante certificados X.509. SSL ha sido sustituido por Transport Layer Security (TLS). La versión 1.0 de TLS se basa en la versión 3.0 de SSL.

SAM es una base de datos que almacena usuarios y objetos de grupo utilizados por los sistemas operativos Windows cliente para autenticar a los usuarios locales. Las contraseñas de los usuarios se almacenan en formato hash. SAM utiliza medidas criptográficas para evitar que usuarios no autenticados accedan al sistema. Si un atacante consigue acceder a esta base de datos, puede intentar extraer detalles sobre las cuentas de usuario y sus contraseñas.

Norma abierta basada en XML para el intercambio de datos de autenticación y autorización entre las partes, concretamente entre un proveedor de identidades y un proveedor de servicios. SAML es fundamental en situaciones en las que se necesita un inicio de sesión único (SSO) seguro y sin fisuras en distintos dominios. Ayuda a las organizaciones a proporcionar una experiencia de usuario fluida, reduciendo la necesidad de múltiples contraseñas e inicios de sesión, al tiempo que mantiene altos niveles de seguridad y control sobre el acceso de los usuarios.

En Active Directory, un descriptor de seguridad es una estructura de datos que contiene la información de seguridad asociada a un objeto protegible como usuarios, grupos o equipos. Incluye el SID del propietario, el SID del grupo primario, el DACL y el SACL. Un descriptor de seguridad define quién tiene qué tipo de acceso al objeto. Una mala configuración en un descriptor de seguridad puede conducir a un acceso no autorizado o a una escalada de privilegios.

Proceso de Active Directory que mantiene la coherencia de las listas de control de acceso (ACL) en todo el directorio. Funciona a nivel de dominio y garantiza que los cambios de permisos realizados en un objeto principal se propaguen correctamente a todos los objetos secundarios de la jerarquía. Por lo tanto, desempeña un papel vital en la aplicación de políticas de seguridad y control de acceso en toda la infraestructura de AD.

Una colección de registros de Windows que capturan una serie de información relacionada con la seguridad, incluidos los intentos de inicio de sesión y el acceso a recursos, que puede ser muy valiosa para detectar actividades sospechosas. Si no se supervisan con regularidad, las actividades maliciosas pueden pasar desapercibidas y dar lugar a infracciones.

Los grupos de seguridad pueden contener varias cuentas, como objetos de usuario, objetos de equipo o incluso otros objetos de grupo, que pueden utilizarse para asignar fácilmente permisos a un recurso o solicitar permisos. Los grupos de seguridad desempeñan un papel crucial a la hora de proteger los recursos y gestionar los derechos de acceso en un entorno de Active Directory, ya que se utilizan para aplicar los permisos de una carpeta u objeto al grupo en lugar de a cada cuenta individual.

Un SID es un valor único utilizado para identificar cuentas de usuario, grupo y equipo en Windows. Desempeñan un papel esencial en la gestión de los permisos y el control del acceso a los recursos en un entorno Active Directory. si un atacante es capaz de falsificar un SID, podría hacerse pasar por otro usuario u obtener privilegios no autorizados. El valor del SID para todos los objetos de un dominio es idéntico. Para crear un valor único para los principales de seguridad, el valor de SID se combina con un valor único de RID que está controlado por el grupo de RID asignado a los DC por el titular de la función RID Master FSMO en el dominio.

Los indicadores de seguridad son valores basados en métricas que se obtienen comparando atributos lógicamente relacionados sobre el comportamiento de una actividad, proceso o control en un tiempo determinado. Estos indicadores críticos se derivan de criterios predefinidos, y pueden ser predictivos de la postura global de seguridad de una organización. Los indicadores de seguridad incluyen indicadores de ataque (IOA), indicadores de compromiso (IOC) e indicadores de exposición (IOE).

Véase también: Indicadores de ataque, Indicadores de compromiso, Indicadores de exposición

Una tecnología que agrega y analiza los datos de registros y eventos generados por diversas fuentes en la infraestructura de TI de una organización. Las organizaciones utilizan SIEM para recopilar, centralizar y almacenar registros de varias fuentes, en tiempo real.

Puede utilizar SIEM para supervisar actividades sospechosas y analizar eventos pasados mediante la recopilación de registros de redes, sistemas, infraestructuras, aplicaciones o activos específicos. SIEM también puede obtener fuentes de amenazas externas y utilizar análisis avanzados para notificarle eventos maliciosos en su entorno de Active Directory. Sin embargo, algunos ataques están diseñados para eludir la detección SIEM.

Un SOC es una unidad que funciona como centro de ciberseguridad de una organización, encargado de reforzar las medidas de seguridad y hacer frente a las amenazas en tiempo real. Supervisa varios sistemas, como identidades, puntos finales, servidores y bases de datos, al tiempo que aprovecha la información actualizada sobre amenazas para identificar y rectificar vulnerabilidades antes de que puedan ser explotadas por los ciberatacantes.

Un conjunto de soluciones diseñadas para agilizar las operaciones de seguridad mediante la automatización de la detección y respuesta a las amenazas. SOAR integra varias herramientas y sistemas de seguridad, proporcionando una plataforma unificada para recopilar datos y ejecutar respuestas adecuadas a las amenazas. Esto permite a los equipos de seguridad gestionar y responder a un mayor volumen de amenazas de forma más eficiente, mejorando la postura global de seguridad de una organización.

Puede utilizar esta tecnología de seguridad para ayudar a reducir el tiempo de respuesta ante incidentes -lo que afecta directamente a la productividad y la eficiencia- y acceder a alertas anteriores con fines de investigación. Sin embargo, algunos ataques están diseñados para eludir la detección SOAR.

Con la llegada de los servicios en la nube, los dispositivos móviles y el trabajo a distancia, los perímetros de seguridad de las organizaciones han pasado de los servidores locales que componen una red a una nueva frontera: la identidad. 

Entidad única, también denominada entidad de seguridad, que puede ser autenticada por Active Directory. Suele ser un objeto de usuario, un objeto de grupo de seguridad o un objeto de equipo. Todas las entidades de seguridad en Active Directory tienen un identificador de seguridad (SID).

SSPI permite a las aplicaciones utilizar varios modelos de seguridad disponibles en un ordenador o red sin cambiar la interfaz con el sistema de seguridad. Su uso indebido puede dar lugar a ataques de manipulación de tokens.

El STS es un proveedor de identidad basado en software que emite tokens de seguridad como parte de un sistema de identidad basado en reclamaciones. Se utiliza habitualmente en situaciones de federación y desempeña un papel fundamental para garantizar la seguridad. Si se pone en peligro, puede dar lugar a un acceso no autorizado a múltiples servicios.

Server Core es una opción de instalación de servidor mínima para Windows Server que proporciona un entorno de servidor de bajo mantenimiento con funcionalidad limitada. Se utiliza principalmente para roles de infraestructura, incluido un rol de Servicios de dominio de Active Directory. Desde el punto de vista de la ciberseguridad, la menor superficie de ataque de Server Core puede reducir el riesgo potencial de vulnerabilidades de seguridad.

SMB es un protocolo para compartir archivos, impresoras, puertos serie y abstracciones de comunicaciones como tuberías con nombre y ranuras de correo entre ordenadores. Un ejemplo de problema de ciberseguridad es el ataque SMB Relay, en el que un atacante configura un servidor SMB y consigue que la máquina objetivo se autentique en él, lo que permite el robo de credenciales o la ejecución de código arbitrario.

Una cuenta de usuario que se crea explícitamente para proporcionar un contexto de seguridad para los servicios que se ejecutan en los servidores Windows. La mala gestión de las cuentas de servicio puede exponerlas a los atacantes, permitiendo el movimiento lateral o la escalada de privilegios.

El objeto Service Connection Point (SCP) en Active Directory se utiliza para definir la información de configuración que los clientes o servicios necesitan para encontrar y conectarse a servicios o recursos específicos dentro de la infraestructura de la organización. Por ejemplo: Microsoft Exchange crea objetos SCP para especificar el punto de conexión del servicio Autodiscover en Active Directory. Esto permite a los clientes de Outlook descubrir automáticamente la configuración de Exchange y conectarse al servidor Exchange apropiado.

Un SPN es un identificador único vinculado a cada instancia de un servicio de Windows. Los SPN se utilizan junto con el protocolo de autenticación Kerberos para asociar una instancia de servicio con una cuenta de inicio de sesión de servicio. En un ciberataque conocido como Kerberoasting, un atacante puede solicitar tickets Kerberos para SPNs para descifrar sus contraseñas offline.

Véase también: Kerberoasting, Escaneado de nombres principales de servicio (SPN)

Un método utilizado a menudo en ataques para descubrir cuentas de servicio en un entorno Active Directory. Los atacantes enumeran los servicios que se ejecutan bajo cuentas de dominio a través de los Service Principal Names (SPN) expuestos. Estas cuentas suelen tener privilegios elevados y contraseñas más débiles, lo que las convierte en objetivos privilegiados.

Ataque en el que un atacante se apodera de una sesión de usuario. En el contexto de Active Directory, esto podría incluir el control de una sesión de concesión de tickets Kerberos, por ejemplo.

Este cmdlet de PowerShell establece la fecha de caducidad de una cuenta de AD. Si se utiliza incorrectamente, podría provocar una denegación de servicio al establecer una caducidad inmediata en cuentas de usuario válidas.

Este comando de PowerShell establece la protección de bloqueo de cuenta para un usuario de AD.

Este comando de PowerShell restringe el inicio de sesión de un usuario en estaciones de trabajo específicas. Si se utiliza de forma malintencionada, puede provocar un acceso no autorizado o una posible denegación de servicio.

Este cmdlet de PowerShell se utiliza para modificar las propiedades de un objeto informático. Si se utiliza de forma malintencionada, puede provocar cambios no autorizados en las propiedades del equipo, lo que podría provocar interrupciones operativas o infracciones.

Este cmdlet de PowerShell se utiliza para modificar la política de contraseñas predeterminada de un dominio de AD. Si se utiliza incorrectamente, puede debilitar la directiva de contraseñas de la organización, facilitando a un atacante la tarea de adivinar o descifrar contraseñas.

Este cmdlet de PowerShell se utiliza para modificar los atributos de un objeto de usuario en Active Directory. En las manos equivocadas, este comando podría ser utilizado maliciosamente para alterar las propiedades de la cuenta de usuario, como el campo de descripción, para la persistencia sigilosa o escalada de privilegios.

Shadow Copy es una tecnología de los sistemas Windows que permite hacer copias de seguridad manuales o automáticas o instantáneas de los datos, aunque estén en uso. Puede utilizarse para restaurar versiones anteriores de archivos y directorios.

Cuando los usuarios comparten un nombre de usuario y una contraseña en varios sistemas (incluidos los que no son AD), un atacante puede aprovechar las credenciales violadas o débiles de un sistema para obtener acceso no autorizado a otro.

Los grupos sombra en Active Directory se utilizan para reflejar la pertenencia a un determinado grupo de distribución dinámico. Esto puede ser especialmente útil cuando es necesario asignar permisos a un grupo de distribución dinámico. Sin embargo, si no se gestionan correctamente, los grupos sombra pueden suponer un riesgo para la seguridad debido a la concesión inadvertida de permisos.

Mecanismo de seguridad de Active Directory que elimina los SID extranjeros del token de acceso de un usuario cuando accede a recursos a través de Forest Trust. Esta función, que está activada por defecto entre bosques, ayuda a proteger contra usuarios malintencionados con privilegios administrativos en un bosque de confianza para que no obtengan el control sobre un bosque de confianza. Cuando el filtrado de SID está activo, sólo se utilizan los SID del dominio de confianza en el token de un usuario, mientras que se excluyen los SID de otros dominios de confianza.

El historial de SID es un atributo de un objeto de usuario, que ayuda en la migración de recursos de un dominio a otro. Almacena SIDs anteriores de una cuenta de usuario, permitiendo el acceso a recursos que reconocen el antiguo SID. Esto puede ser abusado por atacantes en un método llamado SID History Injection para escalar privilegios.

El atributo de historial del Identificador de Seguridad (SID) puede ser manipulado para elevar los privilegios de un usuario. Un atacante puede añadir el SID de un grupo privilegiado en el atributo de historial SID de su cuenta, otorgándole los privilegios correspondientes.

El ataque Silver Ticket se centra en la falsificación de un ticket de sesión (ST). Este ataque permite al atacante hacerse pasar por un usuario legítimo y obtener acceso no autorizado a recursos dentro del dominio. En este tipo de ataque, un atacante obtiene acceso no autorizado a un servicio falsificando un ticket Kerberos para ese servicio. Obteniendo el hash NTLM de la cuenta de servicio y otra información requerida, el atacante puede crear un ticket malicioso, que le concede acceso al servicio sin necesidad de autenticarse o conocer la contraseña del usuario real.

Marco que proporciona un mecanismo de autenticación y servicios de seguridad opcionales en los protocolos de Internet. En el contexto de Active Directory (AD), SASL se utiliza para garantizar la integridad y seguridad de los datos durante la transmisión. Cuando un cliente AD quiere autenticarse con un servidor, puede utilizar SASL para especificar el método de autenticación que prefiere. SASL admite varios métodos de autenticación, como Kerberos, NTLM y Digest-MD5, y se utiliza a menudo en protocolos como LDAP. Algunos mecanismos SASL también proporcionan servicios de seguridad más allá de la autenticación, como comprobaciones de integridad de datos y cifrado, para proteger los datos durante la transmisión.

SSO es un proceso de autenticación que permite a un usuario acceder a múltiples recursos con un conjunto de credenciales de inicio de sesión. El SSO puede utilizarse para proporcionar a los usuarios un acceso sin fisuras a los recursos de la red, mejorando la experiencia del usuario al reducir el número de contraseñas que deben recordar. El SSO puede aumentar la eficiencia empresarial, pero también presenta un problema potencial de seguridad si se pone en peligro el punto único de autenticación.

Conjunto de una o varias subredes TCP/IP bien conectadas (fiables y rápidas) representadas como objetos en la base de datos de AD. Los sitios ayudan a los administradores a optimizar tanto el tráfico de inicio de sesión en Active Directory como la replicación de Active Directory con respecto a la red física y las velocidades de conexión WAN. Cuando los usuarios inician sesión, los equipos miembros del dominio encuentran los controladores de dominio (DC) que se encuentran en el mismo sitio que el usuario, o cerca del mismo sitio si no hay ningún DC en el sitio. Cuando los DCs replican, realizarán una replicación casi inmediata entre todos los DCs de un sitio y pospondrán el tráfico de replicación a otros sitios basándose en la ventana de replicación y el intervalo. Una configuración incorrecta de los sitios y servicios puede provocar ineficiencias en la replicación y afectar a la disponibilidad de los servicios de AD.

Los enlaces de sitio en Active Directory representan rutas IP fiables entre sitios. Son utilizados por Knowledge Consistency Checker (KCC) para construir la topología de replicación.

Objeto de la clase site, que representa un site.

En un ataque de llave maestra, un adversario despliega un software malicioso en un controlador de dominio. Este malware permite al atacante iniciar sesión en cualquier cuenta del dominio utilizando una contraseña que sólo él conoce, sin interrumpir las operaciones normales ni cambiar las contraseñas reales.

Se trata de una forma sólida de autenticación de dos factores utilizada para iniciar sesión en un dominio AD. Una tarjeta inteligente contiene un certificado, asociado a una cuenta de usuario, que proporciona una sólida defensa contra el robo de credenciales.

Un ataque rápido estilo psexec con el beneficio añadido de la capacidad pass-the-hash. Ejecuta comandos en equipos remotos aprovechando el protocolo SMB.

Una herramienta que permite a los usuarios enumerar las unidades compartidas de samba en todo un dominio. Los atacantes pueden utilizarla para averiguar los permisos de archivos, directorios y recursos compartidos.

Se trata de una "foto" o estado almacenado de la base de datos de Active Directory en un momento dado, que puede utilizarse para realizar copias de seguridad. El acceso no autorizado a las instantáneas puede revelar datos confidenciales, y las instantáneas obsoletas pueden contener vulnerabilidades que han sido parcheadas en el entorno activo.

Los SRP identifican los programas de software que se ejecutan en los ordenadores de un dominio y controlan la capacidad de ejecución de dichos programas. Se trata de un método eficaz para evitar la ejecución de malware o software no fiable. SRP puede emplearse para establecer una configuración altamente segura para los sistemas, permitiendo la ejecución únicamente de aplicaciones preaprobadas. Al estar integrados con Microsoft Active Directory y Group Policy, los SRP pueden crearse tanto en entornos de red como en ordenadores independientes.

A principios de 2020, unos ciberatacantes irrumpieron secretamente en los sistemas de SolarWind, con sede en Texas, y añadieron código malicioso en el sistema de software de la empresa. El sistema, llamado "Orion", es ampliamente utilizado por las empresas para gestionar los recursos de TI. SolarWinds tenía 33.000 clientes que utilizaban Orion, según documentos de la SEC. Sin embargo, alrededor de marzo de 2020, hasta 18.000 clientes de SolarWinds instalaron actualizaciones que los dejaron vulnerables a los ciberatacantes. Entre ellos se encontraban varios clientes de alto perfil de SolarWinds, incluidas empresas de Fortune 500 y múltiples agencias del gobierno de los Estados Unidos, incluidas partes del Pentágono, el Departamento de Seguridad Nacional y el Tesoro.

Las identidades especiales (también llamadas identidades implícitas) son grupos predefinidos que desempeñan funciones únicas, a menudo dinámicas, dentro de la infraestructura. A diferencia de los grupos típicos, estas identidades no tienen una lista estática de miembros. En su lugar, representan a diferentes usuarios en diferentes circunstancias. Algunos ejemplos de estas identidades especiales son el inicio de sesión anónimo, el lote y el usuario autenticado.

En un ataque de SPN-jacking, los ciberatacantes manipulan el SPN de las cuentas de equipos/servicios para redirigir la Delegación Restringida preconfigurada a objetivos no deseados, incluso sin obtener privilegios de SeEnableDelegation.

En el contexto de Active Directory, la suplantación de identidad se refiere generalmente a una situación en la que una entidad maliciosa se hace pasar por otro dispositivo o usuario de la red. Por ejemplo, la suplantación de DNS podría utilizarse para desviar tráfico a un servidor malicioso.

En DNS, un tipo de registro de información almacenado en la base de datos de zona en DNS, que asigna el nombre de un servicio particular al nombre DNS de un servidor que ofrece ese servicio. Active Directory utiliza mucho los registros SRV para permitir a los clientes y a otros DC localizar servicios como Global Catalog, LDAP y Kerberos, y los DC anuncian automáticamente sus capacidades publicando registros SRV en DNS.

Proceso de negociación y establecimiento de una conexión protegida por Secure Sockets Layer (SSL) o Transport Layer Security (TLS).

También conocidos como ataques de terceros o ataques a la cadena de valor, se producen cuando un atacante se infiltra en su sistema a través de un socio o proveedor externo con acceso a sus sistemas y datos. Esencialmente, en lugar de atacar directamente al objetivo principal, el actor de la amenaza se dirige a elementos menos seguros de la cadena de suministro de la red. Ejemplos notorios incluyen el ataque a SolarWinds, donde se insertó código malicioso en las actualizaciones de software, afectando a miles de clientes en todo el mundo.

En el contexto de Active Directory, la sincronización es el proceso de garantizar que varias copias de un objeto de datos, como una cuenta de usuario o un grupo, sean iguales en todos los controladores de dominio. Si la sincronización falla, puede dar lugar a incoherencias que podrían ser aprovechadas por un atacante.

Una lista de control de acceso (ACL) que controla la generación de mensajes de auditoría para los intentos de acceso a un objeto protegible en AD. Los mensajes de auditoría resultantes pueden verse en el registro de seguridad del Visor de sucesos de Windows. Ignorar las SACL puede dejar un sistema vulnerable al no registrar y alertar sobre actividades sospechosas.

El recurso compartido SYSVOL es una carpeta muy importante que se comparte en cada controlador de dominio del dominio AD. La ubicación predeterminada es %SYSTEMROOT%SYSVOLSYSVOL y suele contener objetos de directiva de grupo, carpetas, scripts, puntos de unión y mucho más. Cada controlador de dominio obtiene una réplica del recurso compartido SYSVOL. Si no se protege adecuadamente, los atacantes pueden obtener acceso a este recurso compartido y todo lo que se coloca allí se replica de forma predeterminada en todo el bosque de AD. Las modificaciones no autorizadas en SYSVOL también pueden provocar problemas de seguridad relacionados con GPO.

Una utilidad gráfica de monitorización de red de Sysinternals que muestra una representación de todos los puntos finales TCP y UDP activos actualmente en un sistema.

TACACS es un protocolo de autenticación remota utilizado habitualmente en redes UNIX. TACACS permite que un servidor de acceso remoto envíe la contraseña de inicio de sesión de un usuario a un servidor de autenticación para determinar si se puede permitir el acceso a un sistema determinado. Aunque no forma parte directamente de Active Directory, a menudo se utiliza junto con AD en entornos mixtos.

Terminal Services, ahora conocido como Remote Desktop Services, permite a los usuarios acceder de forma remota a programas basados en Windows o al escritorio completo de Windows. Aunque proporciona comodidad y flexibilidad, también puede suponer un riesgo para la seguridad si no se protege adecuadamente, ya que podría ser explotado por atacantes para obtener acceso remoto no autorizado.

Véase también: Servicios de Escritorio Remoto (RDS)

Este comando PowerShell comprueba el canal seguro entre el equipo local y su dominio. Si muestra una conexión insegura, podría indicar posibles ataques MiTM u otros compromisos de la red.

La caza de amenazas es un proceso proactivo de ciberseguridad que consiste en buscar en las redes para detectar y aislar las amenazas avanzadas que eluden las soluciones de seguridad existentes. Es crucial en entornos de Active Directory para identificar posibles intrusiones o actividades maliciosas que hayan eludido las medidas de seguridad tradicionales. Un ejemplo bien conocido de un caso de caza de amenazas en AD sería la búsqueda de indicios de ataques "Golden Ticket", en los que los atacantes falsifican un TGT.

Término general para describir los tipos de vulnerabilidades, ataques y actores de amenazas que existen en un momento dado, dentro de un contexto determinado. Las tecnologías informáticas y de la información avanzan a la velocidad del rayo. Sin embargo, los ciberatacantes siguen el ritmo evolucionando constantemente sus métodos para explotar las vulnerabilidades de los sistemas. La volatilidad del panorama actual de las ciberamenazas hace que sea fundamental utilizar un enfoque de seguridad por capas y soluciones creadas específicamente para proteger y recuperar rápidamente Active Directory.

TGS es un componente crítico del protocolo de autenticación Kerberos utilizado en Active Directory. Tras la autenticación inicial, el Centro de Distribución de Claves (KDC) emite un Ticket Granting Ticket (TGT). El TGS utiliza este TGT para emitir tickets de servicio para acceder a otros recursos dentro del dominio. Si un atacante obtiene acceso a un TGT válido, puede solicitar tickets para cualquier servicio de red, lo que puede dar lugar a un acceso no autorizado.

Véase también: Billete otorgado (TGT)

En el protocolo de autenticación Kerberos, las opciones de ticket son un campo del ticket que especifica banderas tales como si el ticket es renovable, o si es válido para uso proxy. Una mala configuración de estas opciones, o su explotación por parte de un atacante, puede dar lugar a problemas de seguridad, como la renovación no autorizada del ticket.

Como parte del protocolo de autenticación Kerberos, el Centro de Distribución de Claves (KDC) emite un vale TGT tras la autenticación inicial del usuario. Este vale se utiliza después para solicitar vales de servicio al Servicio de Concesión de Vales (TGS) para recursos de red específicos. El TGT contiene la clave de sesión, la fecha de caducidad y la dirección IP del usuario. El TGT es un objetivo de gran valor para los atacantes, ya que la posesión de un TGT válido les permite hacerse pasar por usuarios y obtener acceso no autorizado a los recursos.

Véase también: Servicio de Concesión de Billetes (TGS)

Los activos de nivel 0 son aquellos que resultan críticos para el funcionamiento de su entorno de TI. Estos activos incluyen Active Directory y los controladores de dominio AD, que a su vez controlan el acceso y los privilegios de todos los usuarios, sistemas y recursos de la organización.

Este modelo de seguridad para el acceso administrativo segrega los privilegios en niveles separados para evitar el robo de credenciales y el acceso no autorizado. Por ejemplo, los administradores con acceso al controlador de dominio (Nivel 0) no deben utilizar las mismas cuentas o máquinas para gestionar activos menos fiables como las estaciones de trabajo de los usuarios (Nivel 2). Este modelo es esencial para minimizar el riesgo de escalada de privilegios o ataques de movimiento lateral.

Active Directory utiliza el protocolo Kerberos para la autenticación, que se basa en tickets temporales. Es crucial mantener la hora exacta y sincronizada en todos los sistemas de un entorno AD para evitar problemas de autenticación. Una configuración incorrecta de la hora puede incluso provocar ataques basados en Kerberos, como ataques de repetición.

TTL no es exclusivo de Active Directory, pero desempeña un papel fundamental en DNS, que es un componente importante de AD. En el contexto de AD DNS integrado, TTL es un valor en un registro DNS que significa la duración que el registro es válido antes de que necesite ser actualizado. Un TTL excesivamente largo puede provocar que se utilice información DNS obsoleta, lo que podría interrumpir los servicios AD.

Un token en Active Directory es una representación de los derechos y permisos de un usuario. Cada vez que un usuario inicia sesión, se genera un token que identifica al usuario y a los grupos a los que pertenece. Los tokens pueden ser objetivo de los ciberdelincuentes para realizar ataques de suplantación de token, robando el token para obtener acceso no autorizado.

La sobrecarga de tokens es una situación en la que un usuario acumula tantos identificadores de seguridad (SID) en su token de acceso debido a su pertenencia a muchos grupos que experimenta problemas de inicio de sesión o de acceso a recursos. Desde el punto de vista de la ciberseguridad, la sobrecarga de tokens puede afectar a la productividad del usuario y servir como señal de permisos excesivos que podrían ser explotados por un atacante si la cuenta del usuario se viera comprometida.

Cuando se elimina un objeto de Active Directory, se mueve al contenedor Objetos eliminados. El objeto conserva la mayoría de sus atributos. Los objetos permanecen en este contenedor durante el periodo de tombstone (por defecto 180 días), tras el cual se eliminan permanentemente. Si aún no ha transcurrido el periodo de tombstone, los objetos eliminados pueden reanimarse. La restauración incorrecta de objetos borrados puede dar lugar a incoherencias y posiblemente a objetos huérfanos.

El número de días antes de que un objeto borrado se elimine de los servicios de directorio. El valor por defecto solía ser 60 días cuando no se introducía ningún valor. En los sistemas operativos modernos el valor es 180 días.

Una relación bidireccional que se crea automáticamente entre dominios padre e hijo en un bosque de Microsoft Active Directory, y que puede permitir a los usuarios de un dominio del bosque iniciar sesión en recursos de cualquier otro dominio de ese bosque. Esto significa que si el dominio A confía en el dominio B, y el dominio B confía en el dominio C, entonces el dominio A confía automáticamente en el dominio C. Los atacantes pueden explotar esta transitividad para obtener acceso no autorizado a los recursos.

TCP/IP es el conjunto de protocolos de comunicación utilizados para interconectar dispositivos de red en Internet o en una red privada. En el contexto de Active Directory, es fundamental, ya que constituye la columna vertebral de las comunicaciones de red. Para proteger el tráfico de red contra ataques de sniffing o spoofing es importante garantizar que se implementan las medidas de seguridad adecuadas, como IPsec.

TLS es un protocolo que garantiza la privacidad entre aplicaciones y usuarios que se comunican en Internet. Cuando un servidor y un cliente se comunican, TLS garantiza que ningún tercero pueda espiar o manipular ningún mensaje. Si no se implementa correctamente, los atacantes podrían explotar las vulnerabilidades del protocolo o utilizar ataques degradados para debilitar la seguridad de la conexión.

Un árbol es una colección de dominios de Active Directory en orden jerárquico y con un espacio de nombres contiguo.

Una confianza de raíz de árbol es una relación de confianza transitiva automática que se establece entre los dominios raíz de dos árboles del mismo bosque de Active Directory. Esta confianza permite que todos los dominios de un árbol confíen en todos los dominios del otro árbol. Sin embargo, al igual que las confianzas transitivas, las confianzas de raíz de árbol pueden ser explotadas por atacantes para realizar movimientos laterales dentro del bosque.

TrickBot es un malware de tipo troyano que se identificó por primera vez en 2016. Su objetivo original era atacar bancos y robar datos financieros, pero TrickBot ha evolucionado hasta convertirse en un malware modular de varias fases. El vector de infección inicial más común es el malspam que contiene documentos de oficina maliciosos y cargados de macros, como facturas, tarjetas de felicitación navideñas, infracciones de tráfico, etc.

Una confianza es una relación entre dominios que permite el acceso de los objetos de un dominio a los recursos de otro. Se establece entre dos árboles de dominios o bosques para permitir a los usuarios de un dominio acceder a los recursos del otro. Por ejemplo, un usuario de un dominio puede iniciar sesión y acceder a los recursos de otro dominio.

Definen el tipo de acceso que se da a un dominio de confianza. Los atributos de confianza incluyen configuraciones como la autenticación selectiva, que restringe el acceso sólo a determinados recursos de un dominio. Una configuración errónea de los atributos de confianza puede dar lugar a un acceso no autorizado a los recursos.

En Active Directory, un límite de confianza es un límite lógico que separa diferentes dominios o ámbitos de seguridad. Representa hasta qué punto se pueden establecer relaciones de confianza entre entidades dentro y fuera del límite. El establecimiento de una relación de confianza a través de este límite permite a los principales de seguridad (como usuarios o equipos) de un dominio acceder a recursos de otro dominio.

El 2FA añade una capa adicional de seguridad al proceso de autenticación al exigir a los usuarios que verifiquen su identidad utilizando dos factores diferentes: algo que conocen (como una contraseña) y algo que poseen (como un token o un dispositivo móvil). Esto dificulta el acceso a los atacantes, incluso si consiguen vulnerar uno de los factores.

Los grupos universales en Active Directory son grupos que pueden incluir usuarios, grupos y equipos de cualquier dominio dentro de su bosque AD. Este atributo los hace ideales para la gestión de acceso a gran escala a través de múltiples dominios, pero una mala configuración o un uso excesivo pueden aumentar el tráfico de replicación dentro del bosque, afectando potencialmente al rendimiento.

Este comando de PowerShell desbloquea una cuenta de AD que ha sido bloqueada. Un uso incorrecto podría llevar a un atacante a desbloquear cuentas bloqueadas debido a actividades sospechosas.

Un USN es un número de 64 bits en Active Directory que se incrementa a medida que se producen cambios en los objetos o atributos. Se utiliza para controlar la replicación de estos cambios en todo el bosque de AD.

Aunque no es estrictamente un término de AD, UAC es una característica de seguridad de Windows que puede interactuar con AD. Controla los privilegios de una cuenta de usuario, solicitando confirmación siempre que un cambio requiera derechos administrativos. Si la configuración de UAC no es la adecuada, puede permitir cambios no autorizados o la propagación de malware.

En Active Directory Services Interface (ADSI), cada objeto tiene un identificador único conocido como UID. Se utiliza a menudo cuando se interactúa con AD a través de scripts o lenguajes de programación, sirviendo como un puntero distinto a un objeto en el directorio.

En Active Directory, un objeto de usuario es un conjunto distinto de atributos que representan a un usuario de red. Incluye información como el nombre de usuario, la contraseña y otros detalles sobre el usuario. La seguridad de los objetos de usuario es primordial para garantizar la privacidad de los datos y evitar accesos no autorizados.

Un nombre de inicio de sesión al estilo de Internet para un objeto de usuario, basado en el estándar de Internet RFC 822. El UPN es más corto que el nombre distinguido y más fácil de recordar, y simplifica el proceso de inicio de sesión, especialmente en entornos con relaciones de confianza. Por convención, debería corresponderse con la dirección de correo electrónico del usuario, lo que hace que sea más fácil de recordar.

Un directorio virtual es un nombre de directorio, también conocido como ruta, que se utiliza para hacer referencia al directorio físico (o directorios) donde se almacenan realmente los archivos. Este concepto es importante en AD porque permite localizar y gestionar eficazmente los recursos sin tener que manejar directamente las complejidades subyacentes de sus ubicaciones físicas.

Una VLAN es una división lógica en una red, que agrupa un conjunto de dispositivos que pueden comunicarse como si estuvieran en la misma red física, aunque no lo estén. Desde la perspectiva de AD, las VLAN pueden influir en el diseño y el rendimiento de la replicación de AD, así como en la aplicación de políticas.

Una VPN es una conexión de red segura que utiliza cifrado y otros mecanismos de seguridad para garantizar que sólo los usuarios autorizados puedan acceder a la red y que los datos no puedan ser interceptados. Esto tiene implicaciones para Active Directory porque permite el acceso remoto y seguro a la red de una organización donde residen los recursos de AD.

El proceso de crear una versión virtual de algo, incluyendo pero no limitado a una plataforma de hardware, sistema operativo, un dispositivo de almacenamiento o recursos de red. En contextos de AD, los controladores de dominio pueden virtualizarse para ahorrar en costes de hardware o con fines de recuperación ante desastres. Sin embargo, la virtualización de los componentes de AD debe gestionarse con cuidado, ya que las configuraciones incorrectas (como hacer que un controlador de dominio virtual mantenga su propio tiempo) pueden dar lugar a problemas importantes.

Un virus es un programa malicioso que se replica a sí mismo para propagarse a otros equipos. Puede afectar potencialmente a Active Directory si infecta sistemas que interactúan con AD o si se dirige específicamente a componentes de AD. La protección contra virus y la intervención oportuna son cruciales para mantener la integridad y disponibilidad del entorno de AD.

VBScript es un lenguaje de scripting ligero, desarrollado por Microsoft, que se utiliza a menudo para scripting del lado del servidor en entornos de Active Directory. A pesar de su antigüedad, muchos administradores de AD han heredado VBScripts en su entorno, o pueden utilizar VBScript para tareas rápidas y sencillas.

Se trata de un servicio de Windows que permite realizar copias de seguridad manuales o automáticas de los archivos y volúmenes del ordenador. En esencia, es la herramienta de copia de seguridad nativa de Windows, capaz de crear copias "sombra" a intervalos especificados o cuando se activa por un evento del sistema. VSS puede utilizarse para realizar copias de seguridad de una base de datos de Active Directory mientras sigue ejecutándose y desempeña un papel esencial en las operaciones de restauración del sistema y recuperación de datos.

Esta técnica de seguridad se utiliza para identificar debilidades de seguridad en un sistema informático. En el contexto de Active Directory, la exploración de vulnerabilidades puede descubrir problemas como software sin parchear, errores de configuración de seguridad o el uso de contraseñas débiles. El escaneo regular de vulnerabilidades es una parte crítica del mantenimiento de la seguridad de un entorno Active Directory.

El gusano ransomware Wannacry se aprovechó de la vulnerabilidad EternalBlue y atacó ordenadores basados en Windows en 2017. Microsoft publicó un parche de seguridad para EternalBlue poco antes de que comenzaran los ataques, pero muchos usuarios de Windows no actualizaron inmediatamente sus sistemas o utilizaban versiones no actualizadas de Windows. Como resultado, Wannacry infectó más de 200.000 ordenadores en 150 países y causó daños por valor de 8.000 millones de dólares.

Una utilidad de símbolo del sistema que permite a los administradores u operadores de copias de seguridad realizar copias de seguridad y restaurar un sistema operativo (SO), volumen, archivo, carpeta o aplicación. Wbadmin sustituyó a NT backup, la herramienta utilizada para crear copias de seguridad en sistemas anteriores a Windows Server 2008.

En el ámbito de SSL/TLS, un certificado comodín es un certificado que puede proteger cualquier subdominio de un dominio. Por ejemplo, un único certificado comodín para *.semperis.com puede proteger www.semperis.com, mail.semperis.com, etc. En AD, un certificado comodín puede utilizarse para proteger varios servicios sin necesidad de varios certificados.

También conocido como Azure Active Directory (AAD). Se trata de los servicios de dominio de Active Directory en la nube de Windows Azure.

Windows Defender es el sistema de seguridad en tiempo real integrado en Windows que ofrece protección contra una amplia gama de amenazas como malware, spyware y virus. Desempeña un papel fundamental en la protección de los dispositivos que forman parte del Directorio Activo.

Una aplicación de Windows que permite a los administradores ver registros detallados del sistema operativo, la seguridad y las notificaciones de las aplicaciones. Los administradores la utilizan para diagnosticar problemas del sistema y predecir problemas futuros.

Servicio basado en Windows que resuelve los nombres NetBIOS de los ordenadores en direcciones IP. WINS se diseñó para resolver los problemas derivados de la resolución de nombres NetBIOS en entornos enrutados.

Infraestructura integrada en los sistemas operativos Microsoft Windows que permite recuperar y configurar datos de gestión y parámetros operativos desde cualquier dispositivo que se conecte al sistema. Proporciona un método unificado para que el software solicite información del sistema y gestione sus componentes de forma local o remota. WMI puede utilizarse para tareas como la consulta de la configuración del sistema, la configuración de las propiedades del sistema o la activación de acciones específicas en los sistemas.

Windows PowerShell es un shell de línea de comandos basado en tareas y un lenguaje de scripting diseñado especialmente para la administración de sistemas. Basado en .NET Framework, PowerShell ayuda a los profesionales de TI a controlar y automatizar la administración del sistema operativo Windows y las aplicaciones que se ejecutan en Windows. Por ejemplo, los administradores pueden utilizar PowerShell para automatizar el proceso de creación de usuarios en Active Directory.

Un host de scripting independiente del lenguaje para motores de scripting compatibles con Windows Script. Proporciona un conjunto de objetos y servicios que permiten la creación de scripts a nivel de sistema, permitiendo a los scripts escritos en JScript o VBScript, por ejemplo, automatizar tareas administrativas o interactuar directamente con el sistema operativo Windows. Los scripts WSH pueden ejecutarse directamente desde el escritorio o el símbolo del sistema, o pueden incrustarse en una página web, lo que proporciona una plataforma versátil para automatizar tareas rutinarias.

Windows Server es un grupo de sistemas operativos diseñados por Microsoft que soportan la gestión a nivel empresarial, el almacenamiento de datos, las aplicaciones y las comunicaciones. Active Directory es uno de los servicios críticos que se ejecutan en Windows Server y proporciona una variedad de servicios de directorio.

WSUS es una función del servidor Windows que puede planificar, gestionar e implementar actualizaciones, parches y revisiones para sistemas operativos Windows y otro software de Microsoft.

El servicio Hora de Windows se asegura de que todos los ordenadores de un dominio de Active Directory comparten una misma hora. Esto es fundamental, ya que una diferencia horaria superior al umbral permitido (5 minutos por defecto) puede provocar fallos de autenticación debido a la sensibilidad horaria del protocolo Kerberos.

El proveedor del espacio de nombres de Windows NT, compatible con la base de datos de cuentas SAM de Windows NT.

Wireshark es una herramienta legítima de captura de red que puede ser utilizada por atacantes para capturar y analizar el tráfico de red, descubriendo potencialmente datos confidenciales transmitidos en texto plano.

Lenguaje de tipo SQL utilizado para filtrar y consultar información del marco de trabajo de Windows Management Instrumentation (WMI). Se utiliza para escribir consultas que devuelven información específica a partir de la gran cantidad de datos que puede proporcionar WMI, como la consulta de eventos u objetos de datos, la llamada a métodos o el acceso o modificación de propiedades del sistema. WQL ofrece un sólido conjunto de herramientas para que los administradores automaticen tareas, solucionen problemas o recopilen información del sistema en un entorno Windows.

En el contexto de Active Directory, una estación de trabajo se refiere típicamente a un ordenador que está conectado a la red y bajo el control de AD. Se pueden aplicar políticas a las estaciones de trabajo, los usuarios pueden iniciar sesión en ellas utilizando sus credenciales de AD y pueden acceder a los recursos en función de sus derechos y permisos de usuario de AD.

Un controlador de dominio con capacidad de escritura es un servidor que aloja una copia con capacidad de escritura de la base de datos de AD. Esto contrasta con un controlador de dominio de sólo lectura (RODC). Los WDC permiten realizar cambios en la base de datos, que luego se replican a otros DC. Cualquier compromiso de un WDC puede tener un impacto significativo debido a su capacidad para alterar los datos del directorio.

Serie de normas de redes informáticas que definen un servicio de directorio para sistemas informáticos distribuidos. Sirve de libreta de direcciones global, facilitando el intercambio de información sobre usuarios, sistemas, redes, servicios y aplicaciones en toda la red. El protocolo LDAP se basa en un subconjunto de estos estándares, lo que convierte a X.500 en una parte importante de la base de los servicios de directorio modernos, como Active Directory de Microsoft.

La confianza cero es un concepto de seguridad que asume que no hay confianza implícita concedida a activos o cuentas de usuario basada únicamente en su ubicación física o de red. La confianza cero exige que todos los usuarios estén autenticados y autorizados antes de que se les conceda acceso a aplicaciones y datos. La seguridad de las identidades es la base del éxito de las iniciativas de confianza cero. 

Una vulnerabilidad en la criptografía del proceso Netlogon de Microsoft puede permitir un ataque contra Active Directory (AD). Zerologon permite a los ciberatacantes hacerse pasar por cualquier ordenador y tomar el control de un controlador de dominio, incluido el controlador de dominio raíz. Para conseguirlo, los ciberatacantes cambian o eliminan la contraseña de una cuenta de servicio en el controlador y, a continuación, provocan una denegación de servicio (DoS) o se hacen con el control y la propiedad de toda la red.

Las transferencias de zona se producen en los protocolos del Sistema de Nombres de Dominio (DNS) cuando un servidor DNS pasa una copia de parte de su base de datos (una zona) a otro servidor DNS. En el contexto de Active Directory, es un componente esencial del proceso de replicación de zonas DNS integrado en AD. Desde el punto de vista de la seguridad, las transferencias de zona no seguras pueden exponer información sensible sobre recursos de red, por lo que es importante asegurarse de que están configuradas para permitir únicamente transferencias a servidores autorizados.