Un usuario local administrativo es la solución para casos de máquinas que no tengan inconveniente con la conexión del dominio; también, para instalar programas a usuarios sin permisos administrativo. Es aquí donde nos podemos beneficiar del uso de administrador local. Es un arma de doble filo si no existe un control de las credenciales y una constancia de un cambio continuo de contraseña. Es por esto que puede surgir un grave problema cuando no se obtiene este control ni las mejores prácticas de seguridad de la información.
Es importante entender que los ciberdelincuentes una vez que obtengan acceso a una red privada su primera meta será obtener algún tipo de credenciales que les permita autenticarse ante algún servidor o una computadora de usuarios.
Una vez que el ciberdelincuente obtiene acceso a una cuenta de administrador local procederá a un escalamiento lateral -conocido como Pass the Hash– con el fin de poder obtener el administrador de dominio –Domain Admin-, lo que le permitirá tener acceso total a la red completa. Este usuario administrativo local puede ser obtenido a través de explotaciones de vulnerabilidad que permitan ejecutar comando remoto, escalamiento de privilegio o manejo incorrecto de permisos de usuarios.
Ahora podemos entender el problema si no existe un control de manejo de usuarios administrativo local; se hace posible que una red pueda ser comprometida por completo.
Un buen uso para estos es tener un manejador de credenciales de los usuarios administrativo locales. El uso de PowerShell nos permite de manera automatizada cambiar las credenciales de estos usuarios de manera recurrente; esto permite que las contraseñas sean quemadas en caso de verse comprometidas. También, el uso de política –Group Policy- dentro de un dominio puede denegar la creación de otra cuenta administrativa local protegiendo la legitimidad de usuario administrador local.