lunes, 27 de abril de 2026

WINDOWS. AD. Special group Protected Users

 

Propósito:

El objetivo de este post es añadir un nuevo nivel de seguridad a cuentas privilegiadas, para ello haremos uso del grupo del AD:  Protected Users

Pasos

Los beneficios son una reducción drástica de exposición de credenciales al añadir una cuenta a Protected Users tales como:

* NTLM deshabilitado → elimina: Pass-the-Hash clásico, credenciales reutilizable y ataques en redes legacy

* Kerberos endurecido: Solo cifrado fuerte (AES), Tickets con vida corta y nada de RC4

*No hay cacheo de credenciales:  No quedan hash reutilizables en workstations, ,enos valor post-compromiso

* Delegación Kerberos prohibida, evita ataques “relay” y abuso de servicios. Protege movimientos laterales silenciosos

Desde una perspectiva más técnica.

Al añadir un Domain Admin a Protected Users, el impacto vendria a ser

  • Autenticación: NTLM deja de funcionar
  • Legacy systems: Pueden dejar de aceptar login
  • Aplicaciones antiguas: Fallos silenciosos
  • Scripts antiguos: Dejan de autenticar
  • Delegación: Bloqueada completamente
  • Se rompen cosas, si existen dependencias legacy.

Problemas habituales 

Problema 1: entornos híbridos/legacy.Muy común que en  Appliances, NAS antiguos, Impresoras, Software industrial,  aplicaciones que solo hablan NTLM, esos sistemas no saben Kerberos moderno, el admin no puede autenticarse.

Problema 2: cuentas de servicio mal diseñadas, Protected Users está pensado para humanos, no para automatización.

Microsoft NO lo activa por defecto por retrocompatibilidad con Active Directory que vive en mundos donde hay Windows 2008 aún, hay NTLM o hay software que no pueden romper

Microsoft asume correctamente que Protected Users es para organizaciones que saben exactamente lo que están haciendo.



Cuando lo probé el uso de este grupo en mi entorno del AD, lo hice con unos cuantos usuarios de test tier0 y tier1. Al rato me di cuenta que los tier0 (administradores de dominio) no podían sincronizar el AD, supongo porque no lo tengo todo lo actualizado que se necesita, con lo que los tuve que sacar y dejar solo los Tier1.


C:\> repadmin /syncall /AdeP

Sincronizando todos los NC guardados en dc01.

Sincronizando partición: DC=ForestDnsZones,DC=MiDominio,DC=com

MENSAJE DE DEVOLUCIÓN DE LLAMADA: Error al establecer contacto con el servidor CN=NTDS Settings,CN=DC1,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=MiDominio,DC=com (error de red): 5 (0x5):

    Acceso denegado.

MENSAJE DE DEVOLUCIÓN DE LLAMADA: Error al establecer contacto con el servidor CN=NTDS Settings,CN=SE-DC3,CN=Servers,CN=Azure-DC,CN=Sites,CN=Configuration,DC=MiDominio,DC=com (error de red): 5 (0x5):

    Acceso denegado.

MENSAJE DE DEVOLUCIÓN DE LLAMADA: Error al establecer contacto con el servidor CN=NTDS Settings,CN=dC3,CN=Servers,CN=CLOUDC,CN=Sites,CN=Configuration,DC=MiDominio,DC=com (error de red): 5 (0x5):

    Acceso denegado.

MENSAJE DE DEVOLUCIÓN DE LLAMADA: Error al establecer contacto con el servidor CN=NTDS Settings,CN=dC4,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=MiDominio,DC=com (error de red): 5 (0x5):

    Acceso denegado.

SyncAll se finalizó con error grave de Win32: 8440 (0x20f8):

    El contexto del nombre especificado en la operación de replicación no es válido.

by GoN | Published: April 2026 | Last Updated:

Publicado por en No hay comentarios:
Etiquetas: , , ,

viernes, 17 de abril de 2026

WINDOWS. Admincount. Analisis

 

Propósito:

El objetivo es garantizar que no existan cuentas de administrador no autorizadas en Active Directory.

Se realiza una comprobación en las cuentas que no son de administrador para identificar si tienen el atributo `admincount` activado. Si lo tienen, significa que esta cuenta, que no debería ser de administrador, ha recibido derechos de administrador en el pasado. Esto suele ocurrir cuando un administrador otorga derechos temporales a una cuenta normal fuera de proceso.

Se deben revisar estas cuentas, especialmente en lo que respecta a su actividad anterior, y eliminar el atributo `admincount`. Para identificar las cuentas detectadas por esta regla, recomendamos ejecutar el siguiente comando de PowerShell: `get-adobject -ldapfilter "(admincount=1)"`.

Pasos

 PASO 0: Listar quien cumple esta condición

COMMANDO:  get-adobject -ldapfilter "(admincount=1)"


 PASO 1 — Confirmar que el usuario YA NO es admin

COMMANDO:  Get-ADUser usuarioX -Properties MemberOf | Select -ExpandProperty MemberOf


 Verifica que NO esté en:
  • Domain Admins
  • Enterprise Admins
  • Schema Admins
  • Account Operators
  • Backup Operators
  • Administrators (builtin)
  • Print Operators
  • Server Operators
PASO 2 — Quitar el atributo adminCount

COMMANDO: Set-ADUser usuarioX -Clear adminCount



by GoN | Published: April 2026 | Last Updated:
Publicado por en No hay comentarios:
Etiquetas: , ,

jueves, 16 de abril de 2026

WINDOWS. GPO. Grupo administradores locales

 Propósito


Hacer un GPO que se aplique en las estaciones de trabajo y que elimine/vacíe todos los usuarios y grupos  que hay en el grupo de administradores locales, y en este caso solo deje al usuario administrador local del PC. 
 
Yo tengo combinada esta GPO con el LAPS para reforzar su seguridad, junto con la GPO que los administradores de dominio no pueden hacer logon en los PCs.

Pasos


Las GPO se aplican cada 90 minutos, si alguien consiguiese añadirse al grupo de administradores locales del PC, a los 90 minutos se borraría.


by GoN | Published: April 2026 | Last Updated:

Publicado por en No hay comentarios:
Etiquetas: , ,
Suscribirse a: Comentarios (Atom)