Resource-Based Constrained Delegation (RBCD)
Si controlas un computer object con msDS-AllowedToActOnBehalfOfOtherIdentity modificable, escribes el SID del atacante en ese atributo y suplantas a cualquier usuario contra el computer.
Categoría: Active Directory · Vectores avanzados 🎯 Trinchera — Si controlas un computer object conmsDS-AllowedToActOnBehalfOfOtherIdentity modificable, escribes el
SID del atacante en ese atributo y suplantas a cualquier usuario
contra el computer.
🔗 Kill chain — Requisito: GenericWrite sobre el computer object
(común en operadores con quotas). Movimiento siguiente: añadir
machine account propia → modificar atributo → S4U → admin.
📡 Huella defensiva — Cambio del atributo
msDS-AllowedToActOnBehalfOfOtherIdentity (Event ID 5136). Creación
de machine account por usuario raso (Event ID 4741).
⚠️ Falso amigo — Necesitas SPN en la machine account atacante; sin
SPN el flujo S4U falla silenciosamente.
🛡️ Remediación — MachineAccountQuota = 0 en la GPO del dominio;
auditar Write* sobre computers críticos; Protected Users group.
← Volver al glosario completo Última actualización: 2026-06-11