Encuentre rutas de ataque en Active Directory antes que un adversario
EtcSec ejecuta 340 detecciones con nombre en 14 categorías de Active Directory. La cobertura se construye alrededor de los fallos de control que aparecen una y otra vez en cadenas reales de compromiso: abuso de Kerberos, deriva de Tier 0, rutas de toma de control vía ACL, configuraciones GPO inseguras, exposición de trusts y escalada mediante certificados ADCS.
La recopilación permanece en solo lectura. ETC Collector consulta LDAP o LDAPS, lee SYSVOL por SMB para el análisis de GPO y puede añadir sondas de red opcionales para superficies sensibles como el spooler o pilas TLS débiles. No se instala ningún agente en los controladores de dominio y no se modifica ningún objeto de AD.
La auditoría nombra los hallazgos concretos detrás del riesgo: PASSWORD_NOT_REQUIRED, REVERSIBLE_ENCRYPTION, PASSWORD_NEVER_EXPIRES, ADMIN_ASREP_ROASTABLE, KERBEROASTING_RISK, GOLDEN_TICKET_RISK, WEAK_ENCRYPTION_DES, así como hallazgos de delegación sobre usuarios y equipos.
En lugar de un único bloque de cuentas privilegiadas, la plataforma distingue administradores obsoletos, indicadores adminCount huérfanos, cuentas de servicio en grupos sensibles, foreign security principals y brechas en Protected Users.
ACL_GENERICALL, ACL_WRITEDACL, ACL_WRITEOWNER, ACL_SELF_MEMBERSHIP, WRITESPN_ABUSE y los patrones de ACE relacionados se muestran como hallazgos individuales para indicar qué objeto, qué trustee y por qué el permiso importa.
La capa Pro añade controles ESC1 a ESC11, tres detectores basados en grafos de ataque y mapeos CIS, NIST SP 800-53, ANSSI y DISA STIG. Eso importa cuando la auditoría debe explicar rutas de escalada y no solo problemas de higiene.
Las 14 categorías se alinean con cómo se comprometen realmente los entornos AD
El catálogo es amplio, pero no arbitrario. Cada categoría cierra un punto ciego concreto de la cadena de ataque, desde contraseñas débiles y Kerberos hasta infraestructura de certificados ADCS y carencias de monitorización.
Cuentas privilegiadas y Tier 0
33 detecciones sobre administradores obsoletos, cuentas de servicio en grupos privilegiados, abuso de SID history, shadow credentials, brechas en Protected Users y foreign security principals.
Kerberos y delegación
14 detecciones sobre AS-REP roasting, Kerberoasting, delegación restringida y no restringida, antigüedad de krbtgt, condiciones de downgrade RC4 y DES y destinos de delegación desconocidos.
Contraseñas y autenticación
10 detecciones sobre almacenamiento en claro, cifrado reversible, antigüedad de contraseñas y cuentas donde los usuarios no pueden rotar sus propias contraseñas.
GPO y endurecimiento de Windows
33 detecciones que cubren contraseñas en SYSVOL, WDigest, Zerologon, PrintNightmare, UNC hardening, protección LSA, firewall y abuso de privilegios.
Escalada por certificados ADCS
11 detecciones que cubren la taxonomía ESC1-ESC11: plantillas vulnerables, ACL de CA, SAN permisivo, mapeos débiles y superficies HTTP o RPC relayables.
Permisos, trusts, monitorización, red y cumplimiento
Análisis ACL, límites de confianza, calidad de la política de auditoría, firma LDAP o SMB, seguridad DNS y mapeos de cumplimiento en el mismo flujo.
Por qué los equipos de seguridad usan EtcSec para revisiones AD recurrentes
Muchas herramientas AD siguen optimizadas para un informe HTML puntual. EtcSec está pensado para ejecución repetida, listas de remediación concretas y un modelo de recopilación defendible desde el punto de vista operativo.
Recopilación en solo lectura
ETC Collector se autentica con una cuenta de directorio de solo lectura y acceso SMB de lectura a SYSVOL. No modifica usuarios, grupos, GPO ni objetos PKI.
Lo bastante rápido para el ritmo operativo
El dominio publicado de 546 usuarios, 100 equipos y 154 grupos termina en 6,58 segundos con las sondas de red activadas. Los entornos pequeños y medianos pueden volver a auditarse tras cambios de roles o ventanas de mantenimiento.
Hallazgos con nombre en lugar de una cifra opaca
Los operadores reciben hallazgos concretos con severidad y contexto de objeto. Eso importa cuando el siguiente paso es repartir trabajo entre IAM, Windows, PKI o equipos de aplicaciones.
Un solo flujo para modo standalone y SaaS
El mismo collector puede ejecutarse localmente en modo standalone server o enrolarse como daemon para alimentar EtcSec con seguimiento histórico y orquestación multisede.
Qué debe explicar una auditoría completa de Active Directory a los operadores
Una landing page sobre seguridad AD solo resulta útil cuando explica cómo se recopilan los datos, qué categorías importan y cómo los hallazgos se conectan con la remediación y la gobernanza. Las secciones siguientes siguen como fuente el catálogo publicado y la documentación del collector.
Modelo de recopilación, fuentes de evidencia y expectativas de tiempo de ejecución
La auditoría de Active Directory comienza con una recopilación LDAP en paralelo de usuarios, grupos, equipos, OU, configuración de dominio, relaciones de confianza y security descriptors. El análisis de GPO lee SYSVOL por SMB para interpretar registry.pol, GptTmpl.inf y scripts referenciados. Si hay datos de Azure o Entra configurados, permanecen en un flujo separado y no alteran la ruta de recopilación AD.
El punto operativo clave es que no hace falta instalar nada en un controlador de dominio. El flujo es recopilación, parsing, análisis, construcción de grafo y respuesta. Eso hace que la cadena de evidencia sea explicable en revisiones internas: se puede detallar qué protocolo se usó, qué clase de objeto se consultó y por qué se emitió un hallazgo.
Las 14 categorías y lo que demuestra cada una
| Categoría | Controles | Qué demuestra al operador |
|---|---|---|
| Password | 10 | Que la configuración de cuentas ya expone contraseñas en claro, reversibles, antiguas o mal gestionadas. |
| Kerberos | 14 | Que tickets, pre-auth, delegación o cifrado abren caminos de roasting, downgrade o impersonation. |
| Accounts | 33 | Que cuentas privilegiadas y de servicio han derivado hacia estados que elevan persistencia o toma de control. |
| Groups | 15 | Que membresías en grupos sensibles concentran o esconden privilegio. |
| Computers | 31 | Que equipos y servidores dejan abiertas superficies de movimiento lateral o delegación explotable. |
| Advanced | 50 | Que firma LDAP o SMB, derechos DCSync, quotas o AdminSDHolder habilitan ataques más profundos. |
| Permissions | 21 | Que las ACL dan control suficiente para restablecer contraseñas, modificar SPN o reescribir DACL. |
| ADCS | 11 | Que la infraestructura de certificados permite abuso de estilo ESC y escalada basada en certificados. |
| GPO | 33 | Que la distribución de políticas de dominio filtra contraseñas o desactiva controles críticos de Windows. |
| Trusts | 7 | Que los límites de confianza carecen de SID filtering, selective auth o protecciones Kerberos modernas. |
| Attack Paths | 3 | Que el análisis de grafos puede mostrar rutas explícitas de escalada hacia Domain Admin. |
| Monitoring | 9 | Que la política de auditoría es suficiente para detección y respuesta a incidentes. |
| Compliance | 23 | Que los mismos hallazgos pueden reutilizarse como evidencia para CIS, NIST, ANSSI o DISA. |
| Network | 15 | Que LDAP, SMB, DNS y ajustes de red no exponen relay ni transportes débiles. |
Las familias de detección que realmente impulsan la remediación
Exposición de credenciales y gestión débil de contraseñas
La categoría Password nombra los problemas que el helpdesk y el equipo IAM deben corregir: PASSWORD_NOT_REQUIRED, REVERSIBLE_ENCRYPTION, PASSWORD_CLEARTEXT_STORAGE, UNIX_USER_PASSWORD, PASSWORD_IN_DESCRIPTION y PASSWORD_VERY_OLD.
- Separa la configuración de cuentas de la debilidad de la política.
- Detecta descripciones arriesgadas y atributos Unix, no solo flags UAC.
- Entrega listas de objetos accionables, no solo una puntuación.
Abuso de Kerberos
ADMIN_ASREP_ROASTABLE, ASREP_ROASTING_RISK, GOLDEN_TICKET_RISK, UNCONSTRAINED_DELEGATION, KERBEROASTING_RISK, KERBEROS_AES_DISABLED y DELEGATION_UNKNOWN_TARGET explican por qué el entorno es explotable, no solo que Kerberos está “débil”.
- Aísla los casos AS-REP privilegiados del resto del parque.
- Cubre tanto downgrade de cifrado como errores de delegación.
- Hace visible la higiene de krbtgt como riesgo de persistencia.
Deriva de Tier 0 y cuentas de servicio
La exposición de privilegio se reparte entre SERVICE_ACCOUNT_PRIVILEGED, SERVICE_ACCOUNT_INTERACTIVE, ADMIN_COUNT_ORPHANED, PRIVILEGED_ACCOUNT_STALE, NOT_IN_PROTECTED_USERS y FOREIGN_SECURITY_PRINCIPALS.
- Útil cuando la propiedad está repartida entre IAM, mensajería y equipos de aplicaciones.
- Ayuda a limpiar privilegios residuales, no solo a detectarlos.
- Hace visibles grupos de operadores y built-ins que suelen olvidarse.
Toma de control por ACL y condiciones DCSync
Los hallazgos de Permissions muestran GenericAll, WriteDACL, WriteOwner, self-membership, ForceChangePassword y derechos de replicación fuera de las cuentas DC normales, con el objeto y el trustee responsables.
- La salida sirve para remediación, no solo para el grafo de ataque.
- Las identidades con capacidad DCSync son visibles de forma directa.
- WriteSPN y reset de contraseñas aparecen separados porque su abuso no es el mismo.
GPO y endurecimiento de Windows
GPO_PASSWORD_IN_SYSVOL, HARDENED_UNC_PATHS_WEAK, WDIGEST_ENABLED, LSA_PROTECTION_DISABLED, ZEROLOGON_PATCH_ENFORCEMENT, PRINTNIGHTMARE_VULNERABLE y los abusos de privilegio conectan seguridad de identidad y hardening de Windows.
- Importa cuando el riesgo AD vive en la policy y no solo en objetos de identidad.
- Cubre tanto exfiltración de credenciales como superficies de ejecución masiva.
- Se asigna naturalmente a propietarios de puestos o servidores.
Escalada por certificados y análisis de grafos
Los hallazgos ADCS como ESC1_VULNERABLE_TEMPLATE, ESC4_VULNERABLE_TEMPLATE_ACL, ESC8_HTTP_ENROLLMENT y ESC10_WEAK_CERTIFICATE_MAPPING complementan los tres hallazgos de attack path que modelan la escalada mediante grafo.
- Útil en entornos donde la PKI ya es crítica.
- Muestra dónde la infraestructura de certificados crea privilegio.
- Asocia hallazgos brutos con explicación de la ruta.
La distribución por severidad importa porque la remediación es multi-equipo
El catálogo pondera los hallazgos críticos a 10, los altos a 3, los medios a 1 y los bajos a 0,2. Ese modelo sirve para el scoring, pero el resultado operativo real es la distribución: unos pocos temas críticos suelen exigir contención inmediata, mientras que la capa High y Medium define el backlog de hardening.
En la práctica, la remediación casi nunca recae en un solo equipo. IAM gestiona grupos privilegiados y política de contraseñas, ingeniería Windows posee el hardening GPO y los endpoints, PKI gestiona el backlog ADCS y gobernanza revisa los mapeos de cumplimiento. La auditoría debe separar los hallazgos de forma asignable.
- Use los Critical para definir contención inmediata o hardening de urgencia.
- Agrupe los High por propietario: IAM, Windows, PKI o infraestructura.
- Use los Medium para el backlog recurrente y la revisión trimestral.
- Mantenga visibles los Low sin dejar que oculten las rutas reales de privilegio.
Dónde termina el collector open-source y dónde EtcSec aporta más
El collector es el motor de evidencia. Se ocupa de recopilación, parsing, detección, análisis de grafos opcional y salida JSON. En modo standalone server todo puede quedarse en su infraestructura con GUI local y API REST en el puerto 8443. En modo daemon, el mismo binario se enrola en la plataforma SaaS y consulta comandos cada 30 segundos, manteniendo la recopilación AD en local.
EtcSec construye sobre esa capa de recopilación con dashboards, trending histórico, orquestación multisede y flujo de remediación. Eso importa tanto para SEO como para compras: la página no promete una caja negra abstracta, sino un motor de recopilación preciso complementado por una capa operativa opcional.
Preguntas frecuentes
¿Qué cubre exactamente la auditoría de Active Directory?
El catálogo publicado enumera 340 detecciones en 14 categorías: Password (11), Kerberos (14), Accounts (34), Groups (17), Computers (33), Advanced (50), Permissions (21), ADCS (11), GPO (34), Trusts (7), Attack Paths (3), Monitoring (9), Compliance (81) y Network (15).
Esta composición importa porque cubre tanto objetos de identidad como controles Windows alrededor de la identidad.
¿La auditoría requiere privilegios elevados o un agente en los DC?
No. El modelo documentado se basa en LDAP o LDAPS en solo lectura y lectura SMB de SYSVOL. No se instala ningún agente en los controladores de dominio y el collector no modifica el directorio.
¿Cuánto se tarda en obtener un informe utilizable?
El benchmark publicado sobre un dominio con 546 usuarios, 100 equipos y 154 grupos termina en 6,58 segundos con las sondas de red activadas. Eso permite revisiones recurrentes tras cambios importantes y no solo auditorías anuales.
¿Cómo se compara EtcSec con PingCastle para revisiones AD?
La documentación comparativa muestra ETC Collector con 59 reglas PingCastle de 61 y 876 puntos de riesgo de 896, añadiendo análisis ADCS ESC, grafos de ataque, cobertura Entra ID y mapeos de cumplimiento que PingCastle no ofrece.
Páginas relacionadas con la seguridad de identidad
Vea cómo el mismo collector audita Conditional Access, MFA, PIM, permisos de aplicaciones y gobernanza guest en Entra ID.
Inspeccione las detecciones con nombre y las categorías que alimentan las páginas AD y Entra.
Comprenda el modo standalone, el daemon, la GUI local, la API REST y la huella open-source.
Compare el collector open-source con la capa SaaS para dashboards, scheduling y seguimiento.
Inicie su auditoría de Active Directory
Despliegue el collector, ejecute la auditoría con credenciales de solo lectura y obtenga un conjunto de hallazgos que los equipos de IAM, Windows, PKI y gobernanza puedan accionar de verdad.