Compartir a través de

Evaluación de seguridad: cuentas con un identificador de grupo principal no predeterminado

  • Artículo

En esta recomendación se enumeran todas las cuentas de equipos y usuarios cuyo atributo primaryGroupId (PGID) no es el predeterminado para los usuarios de dominio y los equipos de Active Directory. 

Riesgo de la organización

El atributo primaryGroupId de una cuenta de usuario o equipo concede una pertenencia implícita a un grupo. La pertenencia a través de este atributo no aparece en la lista de miembros del grupo en algunas interfaces. Este atributo se puede usar como un intento de ocultar la pertenencia a grupos. Puede ser una manera sigilosa de que un atacante escale los privilegios sin desencadenar la auditoría normal de los cambios de pertenencia a grupos. 

Pasos de corrección

  1. Revise la lista de entidades expuestas para detectar cuál de las cuentas tiene un primaryGroupId sospechoso.  

  2. Realice las acciones adecuadas en esas cuentas restableciendo su atributo a sus valores predeterminados o agregando el miembro al grupo correspondiente:

  • Cuentas de usuario: 513 (usuarios del dominio) o 514 (invitados de dominio);

  • Cuentas de equipo: 515 (equipos de dominio);

  • Cuentas de controlador de dominio: 516 (controladores de dominio);

  • Cuentas de controlador de dominio de solo lectura (RODC): 521 (controladores de dominio de solo lectura).

Pasos siguientes