En Windows, un usuario local es aquel cuyo nombre de usuario y contraseña cifrada se almacenan en el propio ordenador. Cuando te conectas como usuario local, el ordenador comprueba su propia lista de usuarios y su propio archivo de contraseñas para ver si tienes permiso para conectarte al ordenador. A continuación, el propio ordenador aplica todos los permisos (por ejemplo, “puede utilizar el CD-ROM”, “puede instalar programas”) y restricciones (por ejemplo, “no puede instalar programas”) que se le han asignado para ese ordenador.
Un usuario de dominio es aquel cuyo nombre de usuario y contraseña se almacenan en un controlador de dominio y no en el ordenador en el que el usuario se conecta. Cuando se inicia una sesión como usuario de dominio, el ordenador pregunta al controlador de dominio qué privilegios tiene asignados. Cuando el ordenador recibe una respuesta adecuada del controlador de dominio, inicia la sesión con los permisos y restricciones adecuados.
Los usuarios de dominio evolucionaron en respuesta a los desafíos que enfrentan los administradores al gestionar un gran número de ordenadores, periféricos (por ejemplo, impresoras, almacenamiento en red), servicios y usuarios. Cuando una red tiene una gran población de usuarios en varios ordenadores, es difícil mantener la información de cada usuario en cada ordenador individual. La tarea de gestionar tantos usuarios se simplifica permitiendo que cada ordenador valide el acceso a través de una fuente central para ver si cada usuario puede iniciar sesión y utilizar los recursos informáticos. Con una fuente centralizada de información sobre los usuarios, los administradores de la red sólo tienen un pequeño conjunto de ordenadores en los que mantener la información de los usuarios.
Ahora bien, normalmente una cuenta de usuario con un nombre de cuenta SAM de USERNAME tiene un UPN de USERNAME@DOMAIN, por lo que cualquiera de los dos formatos debería localizar la misma cuenta, al menos siempre que el AD sea totalmente funcional. Si hay problemas de replicación o no se puede llegar a un catálogo global, el formato de barra invertida podría funcionar en los casos en los que el formato UPN falle. También puede haber condiciones (anormales) en las que se aplique el formato inverso – quizás si no se puede alcanzar ningún controlador de dominio para el dominio de destino, por ejemplo.
Sin embargo: también se puede configurar explícitamente una cuenta de usuario para que tenga un UPN cuyo componente de nombre de usuario sea diferente del nombre de cuenta SAM y cuyo componente de dominio sea diferente del nombre del dominio.
La pestaña Cuenta en Usuarios y Equipos de Active Directory muestra el UPN bajo el título “Nombre de inicio de sesión del usuario” y el Nombre de la cuenta SAM bajo el título “Nombre de inicio de sesión del usuario (pre-Windows 2000)”. Así que si tienes problemas con determinados usuarios yo comprobaría que no hay ninguna discrepancia entre estos dos valores.
¿Pero qué pasa con las cuentas de administrador de dominio, las cuentas de usuario de dominio o los grupos locales? Hay muchos otros tipos de perfiles que ofrecen distintos niveles de acceso a los ordenadores, servidores y configuraciones de red. Entender las capacidades precisas de cada una es importante para mantener la seguridad de la red y garantizar que todos puedan acceder a las áreas que necesitan para hacer su trabajo.
Ninguna cuenta de usuario normal debe tener acceso de administrador a su red. Los usuarios que tienen acceso de Administrador como parte de su cuenta de usuario normal podrían causar inadvertidamente mucho daño si (por ejemplo) son infectados por un virus que borre datos.
Para que los usuarios puedan llevar a cabo tareas administrativas, deben crearse cuentas de administrador especiales con un nivel adecuado de acceso a la red, y las credenciales deben entregarse a los usuarios que requieran acceso de administrador ocasional. Un nombre de usuario típico para una cuenta de Administrador es… ¡Administrador! Imagínate.
En una red Windows, hay varios grupos de seguridad que tienen altos niveles de acceso a varias partes de la red. Estos grupos deben ser auditados regularmente para asegurar que no hay usuarios normales como miembros, sino sólo Administradores. Los grupos por defecto son:
Los adversarios pueden obtener y abusar de las credenciales de una cuenta de dominio como medio para obtener Acceso Inicial, Persistencia, Escalada de Privilegios o Evasión de la Defensa.[1] Las cuentas de dominio son aquellas gestionadas por los Servicios de Dominio de Active Directory donde se configura el acceso y los permisos en los sistemas y servicios que forman parte de ese dominio. Las cuentas de dominio pueden abarcar usuarios, administradores y servicios.[2]Los adversarios pueden comprometer las cuentas de dominio, algunas con un alto nivel de privilegios, a través de diversos medios como el Dumping de credenciales del sistema operativo o la reutilización de contraseñas, permitiendo el acceso a recursos privilegiados del dominio.
La integración de la autenticación multifactor (MFA) como parte de la política de la organización puede reducir en gran medida el riesgo de que un adversario obtenga el control de credenciales válidas que pueden ser utilizadas para tácticas adicionales como el acceso inicial, el movimiento lateral y la recopilación de información. La MFA también puede utilizarse para restringir el acceso a los recursos de la nube y las API.
Audite los niveles de permiso de las cuentas de dominio de forma rutinaria para buscar situaciones que puedan permitir a un adversario obtener un amplio acceso mediante la obtención de credenciales de una cuenta privilegiada. No coloque cuentas de usuario o de administrador de dominio en los grupos de administradores locales de todos los sistemas, a menos que estén estrictamente controlados y el uso de las cuentas esté segmentado, ya que esto suele ser equivalente a tener una cuenta de administrador local con la misma contraseña en todos los sistemas. Siga las mejores prácticas de diseño y administración de una red empresarial para limitar el uso de cuentas privilegiadas en todos los niveles administrativos. Limite la superposición de credenciales en los sistemas para evitar el acceso si se obtienen las credenciales de la cuenta.