Relacionados:
El administrador local tiene derechos de administrador de dominio
La "autenticación de paso" en los sistemas Windows permite la posibilidad de que las cuentas de usuarios con el mismo nombre y contraseña se identifiquen entre sí, aunque no estén destinadas a tener los mismos privilegios.
Ejemplo:
Supongamos que tenemos una PC independiente, no unida a ningún dominio. La PC se llama
MyPC
y tiene una cuenta llamadaMyAdmin
. La contraseña paraMyAdmin
es, poco original,password
.Entonces tenemos un dominio llamado
MyDomain
. El administrador de la red decidió llamar a una cuenta de administrador de dominioMyAdmin
y, en una demostración de pura incompetencia, le dio una contraseña depassword
.Por alguna razón, existe una conexión de red sin filtro entre
MyPC
y todas las computadoras enMyDomain
.Cualquier persona que pueda iniciar sesión en
MyPC
comoMyPC\MyAdmin
puede ejercer privilegios de administrador de dominio completos en cualquier sistema enMyDomain
, como si realmente hubiera iniciado sesión comoMyDomain\MyAdmin
, sin que se le solicite ingresar ninguna información adicional. credenciales.
Intuitivamente, esto parece incorrecto porque (aunque pueden tener el mismo nombre de usuario y contraseña básicos) MyPC\MyAdmin
y MyDomain\MyAdmin
son dos cuentas de usuario diferentes, creadas en diferentes ámbitos, con diferentes permisos. Sin embargo, ¿qué riesgos reales de seguridad plantea esto? ¿Cómo se pueden mitigar esos riesgos o cómo se mitigan ya por el diseño? ¿Cambia el riesgo si el "pícaro" MyAdmin
es una cuenta local en una computadora que está unida al dominio en lugar de solo un sistema independiente aleatorio?