none
Riesgos de Seguridad RRS feed

  • Pregunta

  • Buenas tardes

    Señores, me gustaria que me ayudaran indicandome que riesgos de seguridad podrian existir al ejecutar esto en mi dominio:

    • A un usuario delegarle un servicio especifico
    • Realizar la delegacion de Replicating Directory Changes y Replicating Directory Changes All a un usuario del dominio
    • Asignacion de permisos en Read msDS-AllowedToDelegateTo y Write msDS-AllowedToDelegateTo por medio del ADSIEDIT
    • En la politica de Defoullt Domain Controller Policy asignar el privilegio Enable computer and user accounts to be trusted for
      delegation a un usuario del dominio

    La cuestio es que me estan solicitando implementar para la utilizacion de un Appliance y la verdad no veo esto como seguro pero me gustaria conocer diferentes puntos de vista

    Gracias


    Juan David Puerta

    martes, 15 de enero de 2013 21:46

Respuestas

  • Entre líneas

    Buenas tardes

    Señores, me gustaria que me ayudaran indicandome que riesgos de seguridad podrian existir al ejecutar esto en mi dominio:

    • A un usuario delegarle un servicio especifico
    • Realizar la delegacion de Replicating Directory Changes y Replicating Directory Changes All a un usuario del dominio
      [Guillermo] no es bueno que alguien pueda forzar cuando se le antoje la replicación de AD. Podría congestionar la red o inclusive forzar sin sentido a los Controladores de Dominio
    • Asignacion de permisos en Read msDS-AllowedToDelegateTo y Write msDS-AllowedToDelegateTo por medio del ADSIEDIT
      [Guillermo] si alguien puede Write so AllowedToDelegateTo, implica que alguien al que le haz delegado un privilegio lo pueda hacer hacia otra cuenta
    • En la politica de Defoullt Domain Controller Policy asignar el privilegio Enable computer and user accounts to be trusted for
      delegation a un usuario del dominio
      [Guillermo] Esto puede ser muy peligroso desde el punto de vista seguridad. Implica que una máquina o usuario pueda impersonar a otra cuenta. Es decir, que pueda adquirir un ticket Kerberos correspondiente a otra cuenta. Los únicos que tienen ese privilegio son los Controladores de Dominio

    La cuestio es que me estan solicitando implementar para la utilizacion de un Appliance y la verdad no veo esto como seguro pero me gustaria conocer diferentes puntos de vista

    [Guillermo] Yo tampoco lo veo como nada seguro, y desconfiaría bastante si necesitan esa configuración. Quizás ellos no la usen "para mal", pero te deja abierto para que la usen otros para lo que se les antoje

    Gracias


    Juan David Puerta



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 15 de enero de 2013 23:12
    Moderador