Leer en inglés

Compartir a través de


Los ocho esenciales restringen los privilegios administrativos

En este artículo se detallan los métodos para lograr el modelo de ocho madurez esencial del Centro de seguridad cibernética de Australia (ACSC) para restringir los privilegios administrativos mediante el Plataforma de identidad de Microsoft. Las directrices del modelo de madurez de ACSC para restringir privilegios administrativos se encuentran en el modelo de ocho madurez esenciales de ACSC.

¿Por qué seguir las directrices sobre la restricción de privilegios administrativos de los ocho esenciales de ACSC?

El Centro Australiano de Ciberseguridad (ACSC) lidera los esfuerzos del Gobierno australiano para mejorar la ciberseguridad. La ACSC recomienda que todas las organizaciones australianas implementen las ocho estrategias de mitigación esenciales de las estrategias de la ACSC para mitigar los incidentes de ciberseguridad como línea base. La línea base, conocida como Los Ocho Esenciales, son medidas fundamentales de ciberseguridad que hacen que sea mucho más difícil para los adversarios poner en peligro los sistemas. Los ocho niveles de madurez esenciales permiten a las organizaciones evaluar la idoneidad de sus medidas de ciberseguridad frente a amenazas comunes en el panorama actual de las TIC interconectadas.

El objetivo de un actor malintencionado es obtener acceso a credenciales con privilegios, especialmente las credenciales con acceso al plano de control empresarial. El acceso al plano de control proporciona acceso y control generalizados sobre los recursos de alto valor dentro de un entorno de TIC empresarial. Entre los ejemplos de acceso al plano de control se incluyen el administrador global y los privilegios equivalentes dentro de Microsoft Entra ID y el acceso con privilegios a la infraestructura de virtualización empresarial.

La restricción del acceso con privilegios mediante un enfoque multicapa aumenta la dificultad para que un adversario realice actividades malintencionadas. Restringir privilegios administrativos es un control muy eficaz incluido en las estrategias de ACSC para mitigar los incidentes de ciberseguridad.

En esta tabla se describen los controles ism relacionados con restringir privilegios administrativos.

Control ISM sep 2024 Nivel de madurez Control Medida
ISM-0445 1, 2, 3 A los usuarios con privilegios se les asigna una cuenta de usuario con privilegios dedicados que se usará únicamente para las tareas que requieren acceso con privilegios. Los administradores deben usar cuentas independientes para tareas con privilegios y trabajo de productividad. Las cuentas con privilegios de alto nivel en Microsoft Entra ID, Azure y Microsoft 365 deben ser cuentas solo en la nube, no cuentas sincronizadas desde un dominio de Active Directory local.
ISM-1175 1, 2, 3 Las cuentas de usuario con privilegios (excepto las autorizadas explícitamente para acceder a servicios en línea) no pueden acceder a Internet, el correo electrónico y los servicios web. Bloquee el uso de herramientas de productividad como Office 365 correo electrónico mediante la eliminación de licencias de Microsoft 365 de cuentas con privilegios. Las cuentas con privilegios deben acceder a los portales de administración en la nube desde un dispositivo de acceso con privilegios. El control de Internet y el correo electrónico desde dispositivos de acceso con privilegios se puede realizar mediante un firewall basado en host, un proxy en la nube o configurando la configuración del proxy en el dispositivo.
ISM-1507 1, 2, 3 Las solicitudes de acceso con privilegios a sistemas, aplicaciones y repositorios de datos se validan cuando se solicitan por primera vez. Se ha implementado un proceso de administración de derechos para el acceso con privilegios. Microsoft Entra administración de derechos se puede usar para automatizar los procesos de administración de derechos.
ISM-1508 3 El acceso con privilegios a sistemas, aplicaciones y repositorios de datos se limita solo a lo que se requiere para que los usuarios y servicios realicen sus tareas. El control de acceso basado en rol está configurado para limitar el acceso a los usuarios autorizados. Microsoft Entra Privileged Identity Management (PIM) garantiza el acceso Just-In-Time, que está limitado en el tiempo.
ISM-1509 2, 3 Los eventos de acceso con privilegios se registran de forma centralizada. Microsoft Entra registros de auditoría y registros de inicio de sesión se envían a un área de trabajo de Azure Log Analytics (LAW) para su análisis.
ISM-1647 2, 3 El acceso con privilegios a sistemas, aplicaciones y repositorios de datos se deshabilita después de 12 meses a menos que se revalide. Se ha implementado un proceso de administración de derechos para el acceso con privilegios. Microsoft Entra administración de derechos se puede usar para automatizar los procesos de administración de derechos.
ISM-1648 2, 3 El acceso con privilegios a sistemas y aplicaciones se deshabilita después de 45 días de inactividad. Use Microsoft Graph API para evaluar lastSignInDateTime e identificar cuentas con privilegios inactivos.
ISM-1650 2, 3 Los eventos de administración de grupos de seguridad y cuenta de usuario con privilegios se registran de forma centralizada. Microsoft Entra registros de auditoría y registros de inicio de sesión se envían a un área de trabajo de Azure Log Analytics (LAW) para su análisis.
ISM-1380 1, 2, 3 Los usuarios con privilegios usan entornos operativos independientes con privilegios y sin privilegios. El uso de distintas estaciones de trabajo físicas es el enfoque más seguro para separar entornos operativos con privilegios y sin privilegios para los administradores del sistema. Las organizaciones que no pueden usar estaciones de trabajo físicas independientes para separar entornos operativos con privilegios y sin privilegios deben adoptar un enfoque basado en riesgos e implementar controles alternativos según una estrategia de seguridad en profundidad de defensa.
ISM-1688 1, 2, 3 Las cuentas de usuario sin privilegios no pueden iniciar sesión en entornos operativos con privilegios. Las restricciones de inicio de sesión y el control de acceso basado en rol se usan para evitar que las cuentas de usuario sin privilegios inicien sesión en entornos operativos con privilegios.
ISM-1689 1, 2, 3 Las cuentas de usuario con privilegios (excepto las cuentas de administrador local) no pueden iniciar sesión en entornos operativos sin privilegios. Las restricciones de inicio de sesión y el control de acceso basado en rol se usan para evitar que las cuentas de usuario con privilegios inicien sesión en entornos operativos sin privilegios.
ISM-1883 1, 2, 3 Las cuentas de usuario con privilegios explícitamente autorizadas para acceder a servicios en línea se limitan estrictamente a lo que se requiere para que los usuarios y servicios realicen sus tareas. El control de acceso basado en rol está configurado para limitar el acceso a los usuarios autorizados. Microsoft Entra Privileged Identity Management (PIM) garantiza el acceso Just-In-Time, que está limitado en el tiempo.
ISM-1898 2, 3 Las estaciones de trabajo Administración seguras se usan en el rendimiento de las actividades administrativas. Los dispositivos de estación de trabajo de acceso con privilegios se administran mediante Microsoft Intune y se protegen mediante una combinación de controles de Defender para punto de conexión, Windows Hello para empresas y Microsoft Entra ID.

Restricción de privilegios administrativos: Ocho requisitos esenciales

El acceso con privilegios permite a los administradores cambiar la configuración de aplicaciones clave e infraestructura, como servicios de identidad, sistemas empresariales, dispositivos de red, estaciones de trabajo de usuario y cuentas de usuario. El acceso con privilegios o las credenciales a menudo se conocen como "claves para el reino", ya que proporcionan a los portadores control sobre muchos recursos diferentes dentro de una red.

Las siguientes categorías de controles son necesarias para lograr el nivel de madurez 3 de ocho esenciales para restringir los privilegios administrativos.

  • Gobernanza de identidades: la gobernanza de identidades es el proceso de validar los requisitos de acceso de los usuarios y quitar el acceso que ya no es necesario.
  • Privilegios mínimos: privilegios mínimos es un enfoque de control de acceso que limita el acceso a sistemas, aplicaciones y repositorios de datos a solo lo que se requiere para que los usuarios y servicios realicen sus tareas.
  • Restricciones de cuenta: las restricciones de cuenta reducen la exposición de credenciales con privilegios a entornos sin privilegios.
  • Dispositivos administrativos: los dispositivos administrativos son entornos operativos seguros que se usan para realizar actividades administrativas.
  • Registro y supervisión: el registro y la supervisión de actividades con privilegios permite la detección de signos de peligro.

Gobierno de identidad

Identity Governance ayuda a las organizaciones a lograr un equilibrio entre productividad y seguridad. La administración del ciclo de vida de las identidades es la base de la gobernanza de identidades y la gobernanza eficaz a escala requiere una infraestructura moderna de administración del ciclo de vida de identidad.

Administración de derechos (ML1)

El nivel de madurez 1 de los ocho esenciales requiere que las solicitudes de acceso con privilegios a sistemas, aplicaciones y repositorios de datos se validan cuando se solicitan por primera vez. La validación de solicitudes de acceso con privilegios forma parte del proceso de administración de derechos. La administración de derechos es el proceso de administrar el acceso de los usuarios a los privilegios para garantizar que solo los usuarios autorizados tengan acceso a un conjunto de recursos. Entre los pasos clave del proceso de administración de derechos se incluyen las solicitudes de acceso, las revisiones de acceso, el aprovisionamiento de acceso y la expiración del acceso.

Microsoft Entra Entitlement Management automatiza el proceso de administración del acceso a los recursos dentro de Azure. Se puede delegar el acceso a los usuarios mediante paquetes de acceso, que son conjuntos de recursos. Un paquete de Access en Microsoft Entra Administración de derechos puede incluir grupos de seguridad, grupos de Microsoft 365 y Teams, Microsoft Entra aplicaciones empresariales y sitios de SharePoint Online. Los paquetes de acceso incluyen una o varias directivas. Una directiva define las reglas o barreras de protección para la asignación al paquete de acceso. Las directivas se pueden usar para garantizar que solo los usuarios adecuados puedan solicitar acceso, que se asignen aprobadores para las solicitudes de acceso y que el acceso a los recursos tenga un tiempo limitado y expire si no se renueva.

Ilustración que describe el ciclo de vida de administración de derechos Microsoft Entra.

Para obtener información detallada sobre la administración de derechos, consulte administración de derechos de Microsoft Entra.

Administración de usuarios inactivos (ML2)

El nivel de madurez 2 de los ocho esenciales requiere que el acceso con privilegios a sistemas y aplicaciones se deshabilite automáticamente después de 45 días de inactividad. Las cuentas inactivas son cuentas de usuario o sistema que su organización ya no necesita. Normalmente, las cuentas inactivas se pueden identificar a través de registros de inicio de sesión, lo que indica que no se han usado para iniciar sesión durante un período de tiempo prolongado. Es posible usar la última marca de tiempo de inicio de sesión para detectar cuentas inactivas.

El último inicio de sesión proporciona información potencial sobre la necesidad continua de acceso de un usuario a los recursos. Puede ayudar a determinar si todavía se necesita la pertenencia a grupos o el acceso a la aplicación o si se puede quitar. En el caso de la administración de usuarios invitados, puede comprender si una cuenta de invitado sigue activa dentro del inquilino o si se debe limpiar.

Para detectar cuentas inactivas, evalúe la propiedad lastSignInDateTime expuesta por el tipo de recurso signInActivity de microsoft Graph API. La propiedad lastSignInDateTime muestra la última vez que un usuario realizó un inicio de sesión interactivo correcto en Microsoft Entra ID. Con esta propiedad, puede implementar una solución para los siguientes escenarios:

Para obtener información detallada sobre cómo administrar usuarios inactivos, consulte Administración de cuentas de usuario inactivas.

Privilegios mínimos

Los privilegios mínimos requieren que el acceso a sistemas y aplicaciones se limite solo a lo que se requiere para que los usuarios y los sistemas realicen sus tareas. Los privilegios mínimos se pueden implementar mediante controles como el control de acceso basado en rol (RBAC), la administración de acceso con privilegios y el acceso Just-In-Time (JIT).

Cuentas independientes para administradores (ML1)

El nivel de madurez 1 de los ocho esenciales requiere que a los usuarios con privilegios se les asigne una cuenta de usuario con privilegios dedicados que se usará únicamente para tareas que requieran acceso con privilegios. Las cuentas con privilegios de alto nivel en Microsoft Entra ID, Azure y Microsoft 365 deben ser cuentas solo en la nube, no cuentas sincronizadas desde un dominio de Active Directory local. Las cuentas administrativas deben bloquear el uso de herramientas de productividad, como Office 365 correo electrónico (quitar licencia).

Para obtener información detallada sobre cómo administrar el acceso administrativo, consulte Protección del acceso con privilegios para implementaciones híbridas y en la nube.

Aplicación del acceso condicional para administradores (ML1)

El nivel de madurez 1 de los ocho esenciales requiere que los usuarios con privilegios usen entornos operativos independientes con privilegios y sin privilegios. El acceso con privilegios a los entornos de Azure y Microsoft 365 requiere un estándar de seguridad mayor que el estándar aplicado a los usuarios normales. El acceso con privilegios debe concederse en función de una combinación de señales y atributos de seguridad para admitir una estrategia de Confianza cero. El riesgo de una cuenta con acceso con privilegios a Azure o Microsoft 365 puede provocar una interrupción significativa en los procesos empresariales. El acceso condicional puede reducir el riesgo de peligro aplicando un cierto estándar de higiene de seguridad antes de permitir el acceso a las herramientas de administración de Azure.

Se recomienda implementar los siguientes controles para el acceso administrativo a las herramientas de administración de Azure Portal y línea de comandos:

  • Requerir autenticación multifactor (MFA)
  • Bloquear intentos de acceso con un nivel de riesgo de inicio de sesión alto de Microsoft Identity Protection
  • Bloquear intentos de acceso con un nivel de alto riesgo de usuario de Microsoft Identity Protection
  • Requerir acceso desde un dispositivo unido a Microsoft Entra, que cumple los requisitos de cumplimiento de Intune para el estado del dispositivo, el estado de actualización y el estado de seguridad del sistema

Para obtener información detallada sobre la aplicación del acceso condicional para administradores, consulte los artículos siguientes:

Administración de cuentas de administrador local (ML2)

El nivel de madurez 2 de Los ocho esenciales requiere credenciales para cuentas de cristal de interrupción, cuentas de administrador local y cuentas de servicio que sean largas, únicas, impredecibles y administradas. Los atacantes suelen usar cuentas de administrador locales activas en estaciones de trabajo windows para recorrer lateralmente un entorno de Windows. Por este motivo, se recomiendan los siguientes controles para cuentas de administrador locales en sistemas unidos a un dominio:

Sistemas unidos a Active Directory

La solución de contraseñas de administrador local (LAPS) de Microsoft proporciona una solución al problema de usar una cuenta local común con una contraseña idéntica en cada equipo. LAPS resuelve este problema estableciendo una contraseña aleatoria diferente y rotada para la cuenta de administrador local en todos los equipos del dominio. Las contraseñas se almacenan en Active Directory y están protegidas por Access Control Listas restrictivas. La contraseña de administrador local solo puede ser recuperada o restablecida por los usuarios aptos.

Para obtener información detallada sobre cómo administrar cuentas de administrador local en sistemas unidos a Active Directory, consulte los artículos siguientes:

Microsoft Entra sistemas unidos

Al unir un dispositivo Windows a Microsoft Entra ID mediante una combinación de Microsoft Entra, Microsoft Entra ID agrega los siguientes principios de seguridad al grupo de administradores locales del dispositivo:

  • Rol de administrador global Microsoft Entra
  • Rol de administrador local de dispositivos unidos a Azure AD
  • El usuario que realiza la combinación de Microsoft Entra

Puede personalizar la pertenencia del grupo de administradores local para satisfacer los requisitos empresariales. Se recomienda limitar el acceso de administrador local a estaciones de trabajo y requerir la aprobación de PIM para el uso del rol administrador local de dispositivos unidos a Azure AD.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización.

En la Azure Portal, puede administrar el rol Administrador de dispositivos desde Configuración del dispositivo.

  1. Inicie sesión en el Azure Portal como administrador global.
  2. Vaya a Microsoft Entra ID > Dispositivos > Configuración del dispositivo.
  3. Seleccione Administrar administradores locales adicionales en todos los dispositivos unidos Microsoft Entra.
  4. Seleccione Agregar asignaciones , elija los demás administradores que quiera agregar y seleccione Agregar.

Para modificar el rol Administrador de dispositivos, configure Administradores locales adicionales en todos los dispositivos Microsoft Entra unidos.

Para obtener información detallada sobre cómo administrar administradores locales en Microsoft Entra sistemas unidos, consulte los artículos siguientes:

Administración de cuentas de servicio (ML2)

Un desafío común para los desarrolladores es la administración de secretos, credenciales, certificados y claves que se usan para proteger la comunicación entre servicios. El nivel de madurez 2 de Los ocho esenciales requiere credenciales para que las cuentas de servicio sean largas, únicas, impredecibles y administradas.

Sistemas unidos a Active Directory

Las cuentas de servicio administradas de grupo (gMSA) son cuentas de dominio para ayudar a proteger los servicios. Las gMSA pueden ejecutarse en un servidor o en una granja de servidores, como sistemas detrás de un equilibrio de carga de red o un servidor de Internet Information Services (IIS). Después de configurar los servicios para que usen una entidad de seguridad gMSA, el sistema operativo Windows controla la administración de contraseñas de la cuenta.

Las gMSA son una solución de identidad con mayor seguridad que ayuda a reducir la sobrecarga administrativa:

  • Establecer contraseñas seguras: contraseñas generadas aleatoriamente de 240 bytes: la complejidad y la longitud de las contraseñas de gMSA minimizan la probabilidad de peligro por ataques por fuerza bruta o ataques de diccionario.
  • Cíclo las contraseñas con regularidad: la administración de contraseñas va al sistema operativo Windows, que cambia la contraseña cada 30 días. Los administradores de dominio y servicio no necesitan programar cambios de contraseña ni administrar interrupciones del servicio.
  • Compatibilidad con la implementación en granjas de servidores: implemente gMSA en varios servidores para admitir soluciones con equilibrio de carga en las que varios hosts ejecutan el mismo servicio.
  • Compatibilidad con la administración simplificada de nombres de entidad de servicio (SPN): configure un SPN con PowerShell al crear una cuenta.

Microsoft Entra sistemas unidos

Las identidades administradas proporcionan una identidad administrada automáticamente en Microsoft Entra ID para que las aplicaciones se usen al conectarse a recursos que admiten Microsoft Entra autenticación. Las aplicaciones pueden usar identidades administradas para obtener tokens de Microsoft Entra sin tener que administrar ninguna credencial.

Hay dos tipos de identidades administradas:

  • Asignado por el sistema. Se crea automáticamente una entidad de servicio en Microsoft Entra ID para la identidad del recurso. La entidad de servicio está asociada al ciclo de vida de ese recurso de Azure. Cuando se elimina el recurso de Azure, Azure elimina automáticamente la entidad de servicio asociada.
  • Asignado por el usuario. Se crea manualmente una entidad de servicio en Microsoft Entra ID para la identidad del recurso. La entidad de servicio se administra por separado de los recursos que la usan.

Acceso Just-In-Time a sistemas y aplicaciones (ML3)

Evite asignar acceso permanente a las cuentas que sean miembros de roles con privilegios elevados en Azure o Microsoft 365. Los atacantes suelen dirigirse a cuentas con privilegios permanentes para mantener la persistencia en entornos empresariales y causar daños generalizados a los sistemas. Los privilegios temporales obligan a los atacantes a esperar a que un usuario eleve sus privilegios o a iniciar la elevación de privilegios. Iniciar una actividad de elevación de privilegios aumenta la posibilidad de que un atacante se detecte y quite antes de que pueda infligir daño.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización.

Conceda privilegios solo según sea necesario mediante los métodos siguientes:

  • Acceso Just-In-Time: configure Microsoft Entra Privileged Identity Management (PIM) para requerir un flujo de trabajo de aprobación para obtener privilegios para el acceso a roles con privilegios. Como mínimo, debe ser necesaria la elevación para los siguientes roles de Microsoft Entra con privilegios: administrador global, administrador de autenticación con privilegios, administrador de roles con privilegios, administrador de acceso condicional y administrador de Intune. Como mínimo, la elevación debe ser necesaria para los siguientes roles de RBAC de Azure con privilegios: Propietario y Colaborador.
  • Cuentas de cristal de interrupción: las cuentas de acceso de emergencia se limitan a escenarios de emergencia o de "cristal roto" en los que no se pueden usar cuentas administrativas normales. Por ejemplo, todos los administradores que están bloqueados fuera de un inquilino de Microsoft Entra. Asegúrese de establecer una contraseña segura y de usar solo cuentas de acceso de emergencia durante las emergencias. Cree cuentas de solo nube con el dominio *.onmicrosoft.com para las cuentas de acceso de emergencia y configure la supervisión para alertar sobre los inicios de sesión.

Revisiones de acceso (ML3)

El nivel de madurez 3 de los ocho esenciales requiere que el acceso con privilegios a sistemas y aplicaciones se limite solo a lo que se requiere para que los usuarios y servicios realicen sus tareas. La necesidad de acceso con privilegios a los recursos de Azure y Microsoft Entra roles cambia con el tiempo. Para reducir el riesgo asociado a asignaciones de roles obsoletas, debe revisar periódicamente el acceso. Microsoft Entra revisiones de acceso permiten a las organizaciones administrar de forma eficaz las pertenencias a grupos de RBAC, el acceso a aplicaciones empresariales y Microsoft Entra asignaciones de roles. El acceso de usuario se puede revisar periódicamente para asegurarse de que solo las personas adecuadas siguen teniendo acceso.

Microsoft Entra revisiones de acceso permiten casos de uso como:

  • Identificación de derechos de acceso excesivos
  • Identificación de cuándo se usa un grupo para un nuevo propósito
  • A medida que las personas mueven equipos o abandonan la empresa, se elimina el acceso innecesario
  • Habilitar la interacción proactiva con los propietarios de recursos para asegurarse de que revisan periódicamente quién tiene acceso a sus recursos.

En función del tipo de acceso que requiera revisión, las revisiones de acceso deben crearse en diferentes áreas de la Azure Portal. En la tabla siguiente se muestran las herramientas específicas para crear revisiones de acceso:

Derechos de acceso de los usuarios Los revisores pueden ser Revisión creada en Experiencia del revisor
Miembros del grupo de seguridad
Miembros del grupo de Office
Revisores especificados
Propietarios de grupos
Autoexavaluación
Revisiones de acceso
grupos de Microsoft Entra
Panel de acceso
Asignado a una aplicación conectada Revisores especificados
Autoexavaluación
Revisiones de acceso
Microsoft Entra Enterprise Apps (en versión preliminar)
Panel de acceso
rol Microsoft Entra Revisores especificados
Autoexavaluación
Privileged Identity Management (PIM) Portal de Azure
Rol de recurso de Azure Revisores especificados
Autoexavaluación
Privileged Identity Management (PIM) Portal de Azure
Asignaciones de paquetes de acceso Revisores especificados
Miembros del grupo
Autoexavaluación
Administración de derechos Panel de acceso

Para obtener información detallada sobre Microsoft Entra revisiones de acceso, consulte los artículos siguientes:

Restricciones de cuenta

La seguridad de la cuenta es un componente fundamental para proteger el acceso con privilegios. La seguridad de Confianza cero de un extremo a otro requiere establecer que la cuenta que se usa en la sesión está realmente bajo el control del propietario humano y no de un atacante que la suplanta.

Restricciones de inicio de sesión (ML1)

Los usuarios, servicios o cuentas de aplicación con privilegios administrativos en dominios de Windows Active Directory (AD) suponen un alto riesgo para la seguridad empresarial. Estos atacantes suelen dirigirse a estas cuentas porque proporcionan acceso generalizado a servidores, bases de datos y aplicaciones. Cuando los administradores inician sesión en sistemas con un perfil de seguridad inferior, las credenciales con privilegios se almacenan en memoria y se pueden extraer mediante herramientas de robo de credenciales (por ejemplo, Mimikatz).

El nivel de madurez 1 de los ocho esenciales requiere que las cuentas de usuario con privilegios (excepto las cuentas de administrador local) no puedan iniciar sesión en entornos operativos sin privilegios. El modelo de administración en niveles de Microsoft aplica restricciones de inicio de sesión a los dispositivos unidos a un dominio para evitar la exposición de credenciales con privilegios en dispositivos con un perfil de seguridad inferior. Los administradores con acceso de administrador al dominio de Active Directory se separan de los administradores con control sobre estaciones de trabajo y aplicaciones empresariales. Se deben aplicar restricciones de inicio de sesión para garantizar que las cuentas con privilegios elevados no puedan iniciar sesión en recursos menos seguros. Por ejemplo:

  • Los miembros de los grupos Administradores de dominio y empresa de Active Directory no pueden iniciar sesión en servidores de aplicaciones empresariales ni estaciones de trabajo de usuario.
  • Los miembros del rol administradores globales de Microsoft Entra no pueden iniciar sesión en Microsoft Entra estaciones de trabajo unidas.

Las restricciones de inicio de sesión se pueden aplicar con directiva de grupo asignaciones de derechos de usuario o directivas de Microsoft Intune. Se recomienda configurar las siguientes directivas en servidores empresariales y estaciones de trabajo de usuario para evitar que las cuentas con privilegios expongan credenciales a un sistema de menos confianza:

  • Denegar el acceso a este equipo desde la red
  • Denegar el inicio de sesión como un trabajo por lotes
  • Denegar el inicio de sesión como servicio
  • Denegar el inicio de sesión localmente
  • Denegar el inicio de sesión a través de Terminal Services

Restringir el acceso a Internet, correo electrónico y servicios web (ML1)

El nivel de vencimiento 1 de los ocho esenciales requiere que las cuentas con privilegios (excepto las cuentas que están autorizadas explícitamente para acceder a servicios en línea) no puedan acceder a Internet, correo electrónico y servicios web. Las cuentas administrativas deben bloquear el uso de herramientas de productividad, como Office 365 correo electrónico (quitar licencia). Las cuentas administrativas deben acceder a los portales de administración en la nube desde un dispositivo de acceso con privilegios. Los dispositivos de acceso con privilegios deben denegar todos los sitios web y usar una lista de permitidos para habilitar el acceso a los portales de administración en la nube. El control de Internet y el correo electrónico desde dispositivos de acceso con privilegios se puede realizar mediante un firewall basado en host, un proxy en la nube o configurando la configuración del proxy en el dispositivo.

Dispositivos unidos a Microsoft Entra

Cree un perfil de configuración de Microsoft Intune para configurar el proxy de red en los dispositivos usados para la administración con privilegios. Los dispositivos de acceso con privilegios que se usan para administrar servicios en la nube de Azure y Microsoft 365 deben usar las exenciones de proxy de la tabla siguiente.

Sección Nombre Configuración
Conceptos básicos Nombre PAW-Intune-Configuration-Proxy-Device-Restrictions
Conceptos básicos Plataforma Windows 10 y versiones posteriores
Conceptos básicos Tipo de perfil Restricciones de dispositivo
Configuración Uso del servidor proxy manual Permitir
Configuración Dirección 127.0.0.2
Configuración Puerto 8080
Configuración Excepciones de proxy account.live.com;*.msft.net; *.msauth.net;*.msauthimages.net;*.msftauthimages.net;*.msftauth.net;*.azure.com;*.azure.net;*.azureedge.net;*.azurewebsites.net;*.microsoft.com; microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.microsoftonline-p.net;*.microsoftonline-p.com;*.windows.net;*.windows.com;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.azure-api.net;*.azure-devices.net;*.visualstudio.com; portal.office.com; config.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com;*.aka.ms;*.digicert.com;*.phonefactor.net;*.nuget.org;*.cloudapp.net;*.trafficmanager.net; login.live.com; clientconfig.passport.net;*.wns.windows.com;*.s-microsoft.com; www.msftconnecttest.com; graph.windows.net;*.manage.microsoft.com;*.aadcdn.microsoftonline-p.com;*.azureafd.net;*.azuredatalakestore.net;*.windows-int.net;*.msocdn.com;*.msecnd.net;*.onestore.ms;*.aspnetcdn.com;*.office.net;*.officeapps.live.com; aka.ms;*.powershellgallery.com;*.azure-apim.net; spoprod-a.akamaihd.net;*.hip.live.com

Dispositivos administrativos

Los administradores del sistema deben usar dispositivos independientes para administrar entornos operativos con privilegios y sin privilegios. Las actividades administrativas deben seguir el principio de origen limpio para todos los dispositivos implicados en el proceso de administración.

Entornos operativos independientes con privilegios y sin privilegios (ML1)

El nivel de madurez 1 de los ocho esenciales requiere que los usuarios con privilegios usen entornos operativos independientes con privilegios y sin privilegios. El uso de distintas estaciones de trabajo físicas es el enfoque más seguro para separar entornos operativos con privilegios y sin privilegios para los administradores del sistema. Aunque las garantías de seguridad se pueden mejorar en la sesión, siempre estarán limitadas por la fuerza de la garantía en el dispositivo de origen. Un atacante con control de un dispositivo de acceso con privilegios puede suplantar a los usuarios o robar credenciales de usuario para su suplantación futura. Este riesgo socava otras garantías en la cuenta, intermediarios como jump servers y en los propios recursos.

Las organizaciones que no pueden usar estaciones de trabajo físicas independientes para separar entornos operativos con privilegios y sin privilegios deben adoptar un enfoque basado en riesgos e implementar controles alternativos según una estrategia de seguridad en profundidad de defensa. Microsoft recomienda asignar roles de usuario y recursos a un nivel de confidencialidad para evaluar el nivel de garantía necesario para proteger entornos operativos con privilegios.

Para obtener información detallada sobre los niveles de confidencialidad de acceso con privilegios, consulte Niveles de seguridad de acceso con privilegios.

Estaciones de trabajo de Administración seguras (ML3)

El nivel de madurez 3 de los ocho esenciales requiere que las estaciones de trabajo de Administración seguras se usen para realizar actividades administrativas. Las estaciones de trabajo de Administración seguras (SAW) son un control eficaz contra la exposición de credenciales confidenciales en dispositivos menos seguros. Iniciar sesión o ejecutar servicios en un dispositivo menos seguro con una cuenta con privilegios aumenta el riesgo de robo de credenciales y ataques de escalado de privilegios. Las credenciales con privilegios solo deben exponerse a un teclado SAW y se debe denegar el inicio de sesión en dispositivos menos seguros. Las SAW proporcionan una plataforma segura para administrar servicios en la nube locales, Azure, Microsoft 365 y de terceros. Los dispositivos SAW se administran mediante Microsoft Intune y se protegen mediante una combinación de controles de Defender para punto de conexión, Windows Hello para empresas y Microsoft Entra ID.

En el diagrama siguiente se muestra la arquitectura de alto nivel, incluidos los diversos componentes tecnológicos que deben configurarse para implementar la solución general y el marco SAW:

Ilustración que describe la solución Microsoft Secure Administración Workstation.

Para obtener información detallada sobre las estaciones de trabajo de Administración seguras, consulte los artículos siguientes:

Protección de intermediarios y servidores de salto (ML2)

La seguridad de los servicios intermedios es un componente fundamental para proteger el acceso con privilegios. Los intermediarios se usan para facilitar la sesión del administrador o la conexión a un sistema o aplicación remotos. Algunos ejemplos de intermediarios son las redes privadas virtuales (VPN), los servidores de salto, la infraestructura de escritorio virtual (incluidos Windows 365 y Azure Virtual Desktop) y la publicación de aplicaciones a través de servidores proxy de acceso. Los atacantes suelen dirigirse a intermediarios para escalar privilegios mediante credenciales almacenadas en ellos, obtener acceso remoto de red a redes corporativas o aprovechar la confianza en el dispositivo de acceso con privilegios.

Los distintos tipos intermediarios realizan funciones únicas, por lo que cada uno de ellos requiere un enfoque de seguridad diferente. Los atacantes pueden dirigirse fácilmente a sistemas con una superficie de ataque mayor. En la lista siguiente se incluyen las opciones disponibles para los intermediarios de acceso con privilegios:

  • Los servicios en la nube nativos, como Microsoft Entra Privileged Identity Management (PIM), Azure Bastion y Microsoft Entra proxy de aplicación, ofrecen una superficie de ataque limitada a los atacantes. Aunque están expuestos a la red pública de Internet, los clientes (y los atacantes) no tienen acceso a la infraestructura subyacente. El proveedor de nube mantiene y supervisa la infraestructura subyacente para los servicios SaaS y PaaS. Esta superficie de ataque más pequeña limita las opciones disponibles a los atacantes frente a las aplicaciones y dispositivos locales clásicos que el personal de TI debe configurar, aplicar revisiones y supervisar.
  • Las redes privadas virtuales (VPN), los escritorios remotos y los servidores de salto proporcionan una oportunidad de atacante significativa, ya que estos servicios requieren revisiones, protección y mantenimiento continuos para mantener una posición de seguridad resistente. Aunque un servidor de salto solo puede tener algunos puertos de red expuestos, los atacantes solo necesitan acceso a un servicio sin revisión para realizar un ataque.
  • Los servicios de Privileged Identity Management de terceros (PIM) y Privileged Access Management (PAM) se hospedan con frecuencia en el entorno local o como una máquina virtual en Infraestructura como servicio (IaaS) y normalmente solo están disponibles para los hosts de intranet. Aunque no se expone directamente a Internet, una sola credencial en peligro puede permitir que los atacantes accedan al servicio a través de VPN u otro medio de acceso remoto.

Para obtener información detallada sobre los intermediarios de acceso con privilegios, consulte Secure Intermediaries(Intermediarios seguros).

administración de privilegios de punto de conexión de Intune

Con Microsoft Intune Administración de privilegios de punto de conexión (EPM), los usuarios de la organización pueden ejecutarse como un usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. EPM facilita a los usuarios estándar que ejecutan tareas que requieren privilegios administrativos, como instalaciones de aplicaciones, actualización de controladores de dispositivos y componentes de administración para aplicaciones heredadas.

EPM controla la elevación del administrador de los procesos y archivos binarios especificados para usuarios específicos sin proporcionar privilegios de administrador sin restricciones a todo el dispositivo. Endpoint Privilege Management admite el cumplimiento de Essential 8 al ayudar a su organización a lograr una amplia base de usuarios que se ejecute con privilegios mínimos, al tiempo que permite a los usuarios seguir ejecutando tareas permitidas por su organización para que sigan siendo productivas.

Para obtener más información sobre EPM, consulte Información general de EPM.

Para habilitar EPM, consulte Configuración de directivas para administrar Endpoint Privilege Management con Microsoft Intune.

Para el cumplimiento de Essential Eight, se deben establecer dos tipos de directiva combinados de la siguiente manera:

Para obtener más información sobre las directivas, vea: Configuración de directivas de elevación de Windows de EPM y Directiva de reglas de elevaciones de Windows de EPM.

  • En Respuesta de elevación predeterminada, mantenga la opción Denegar todas las solicitudes para permitir solo la elevación de procesos y archivos permitidos explícitamente por el administrador. 

  • Para las opciones de validación, asegúrese de que se elija La justificación empresarial y autenticación de Windows, ya que esto satisface ism-1508 e ISM-1507, respectivamente.

  • En Enviar datos de elevación para informes, elija para Enviar datos de elevación para informes. Esta función se usa para medir el estado de los componentes de cliente de EPM. Los datos de uso se usan para mostrar elevaciones en su organización, en función del ámbito de informes y ayudan al control ISM-1509.

  • En Ámbito de informes, mantenga la configuración predeterminada de Datos de diagnóstico y se seleccionan todas las elevaciones de puntos de conexión . Esta opción envía datos de diagnóstico a Microsoft sobre el estado de los componentes del cliente y los datos sobre todas las elevaciones que se producen en el punto de conexión y ayuda con el control ISM-1509.

  • En Tipo de elevación, la mayoría (si no es así, todos) son usuarios confirmados , ya que esto garantiza que el usuario mantiene la agencia del proceso de toma de decisiones.

Control ISM sep 2024 Nivel de madurez Control Medida
ISM-1507 1, 2, 3 Las solicitudes de acceso con privilegios a sistemas, aplicaciones y repositorios de datos se validan cuando se solicitan por primera vez. Se ha implementado un proceso de administración de derechos para que el acceso con privilegios eleve el acceso a las aplicaciones mediante EPM.
ISM-1508 3 El acceso con privilegios a sistemas, aplicaciones y repositorios de datos se limita solo a lo que se requiere para que los usuarios y servicios realicen sus tareas. La directiva predeterminada es denegar todas las solicitudes que no se han definido en la directiva EPM. Cuando el administrador define la directiva, las opciones de elevación de EPM se enlazan a la directiva y al servicio necesario para cumplir con el deber.
ISM-1509 2, 3 Los eventos de acceso con privilegios se registran de forma centralizada. El acceso y los eventos se registran asegurándose de que la configuración predeterminada se mantiene con datos de diagnóstico y que todas las elevaciones de puntos de conexión están habilitadas para la directiva de EPM.

Nota

Esta funcionalidad está disponible como un complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.

Registro y supervisión

Registro de eventos de acceso con privilegios (ML2)

El registro de inicios de sesión y actividades realizados por cuentas con privilegios es esencial para detectar comportamientos anómalos en entornos empresariales. Microsoft Entra registros de auditoría y registros de inicio de sesión proporcionan información valiosa sobre el acceso con privilegios a aplicaciones y servicios.

Microsoft Entra registros de inicio de sesión proporcionan información sobre los patrones de inicio de sesión, la frecuencia de inicio de sesión y el estado de las actividades de inicio de sesión. El informe de actividad de inicio de sesión está disponible en todas las ediciones de Microsoft Entra ID. Las organizaciones con una licencia Microsoft Entra ID P1 o P2 pueden acceder al informe de actividad de inicio de sesión a través de Microsoft Graph API.

Microsoft Entra registros de actividad incluyen registros de auditoría para cada evento registrado en Microsoft Entra ID. Los cambios en las aplicaciones, grupos, usuarios y licencias se capturan en los registros de auditoría de Microsoft Entra. De forma predeterminada, Microsoft Entra ID conserva los registros de inicio de sesión y auditoría durante un máximo de siete días. Microsoft Entra ID conserva los registros durante un máximo de 30 días si hay una licencia Microsoft Entra ID P1 o P2 en el inquilino. Microsoft Entra registros de auditoría y registros de inicio de sesión deben reenviarse a un área de trabajo de Azure Log Analytics (LAW) para una recopilación y correlación centralizadas.

Para obtener información detallada sobre el registro centralizado, consulte los artículos siguientes:

Supervisión de registros de eventos para detectar signos de peligro (ML3)

El nivel de madurez 3 de los ocho esenciales requiere que los registros de eventos se supervisen para detectar signos de peligro y que se actúen cuando se detecten signos de peligro. La supervisión de la actividad con privilegios es importante para detectar el riesgo del sistema de forma temprana y contener el ámbito de la actividad malintencionada.

Supervisión de eventos de acceso con privilegios

Supervise toda la actividad de inicio de sesión de cuenta con privilegios mediante los registros de inicio de sesión de Microsoft Entra como origen de datos. Supervise los siguientes eventos:

Elementos para supervisar Nivel de riesgo Dónde Notas
Error de inicio de sesión, umbral de contraseña incorrecta Alto Microsoft Entra registro de inicio de sesión Defina un umbral de línea base y, a continuación, supervise y ajuste para adaptarse a los comportamientos de la organización y limite la generación de alertas falsas.
Error debido al requisito de acceso condicional Alto Microsoft Entra registro de inicio de sesión Este evento puede ser una indicación de que un atacante está intentando entrar en la cuenta.
Cuentas con privilegios que no siguen la directiva de nomenclatura Alto Suscripción de Azure Enumera las asignaciones de roles para suscripciones y alertas en las que el nombre de inicio de sesión no coincide con el formato de la organización. Un ejemplo es el uso de ADM_ como prefijo.
Interrumpir Alto, medio inicios de sesión de Microsoft Entra Este evento puede ser una indicación de que un atacante tiene la contraseña de la cuenta, pero no puede pasar el desafío de autenticación multifactor.
Cuentas con privilegios que no siguen la directiva de nomenclatura Alto directorio Microsoft Entra Enumera las asignaciones de roles para Microsoft Entra roles y alertas en las que el UPN no coincide con el formato de la organización. Un ejemplo es el uso de ADM_ como prefijo.
Detectar cuentas con privilegios no registradas para la autenticación multifactor Alto API de Microsoft Graph Audite e investigue para determinar si el evento es intencionado o una descuido.
Bloqueo de cuenta Alto Microsoft Entra registro de inicio de sesión Defina un umbral de línea base y, a continuación, supervise y ajuste para adaptarse a los comportamientos de la organización y limite la generación de alertas falsas.
Cuenta deshabilitada o bloqueada para inicios de sesión Bajo Microsoft Entra registro de inicio de sesión Este evento podría indicar que alguien está intentando obtener acceso a una cuenta después de salir de la organización. Aunque la cuenta está bloqueada, sigue siendo importante registrar y alertar sobre esta actividad.
Alerta o bloque de fraude de MFA Alto registro de inicio de sesión de Microsoft Entra/Azure Log Analytics El usuario con privilegios ha indicado que no ha instigado el símbolo del sistema de autenticación multifactor, lo que podría indicar que un atacante tiene la contraseña de la cuenta.
Alerta o bloque de fraude de MFA Alto registro de auditoría de Microsoft Entra/Azure Log Analytics El usuario con privilegios ha indicado que no ha instigado el símbolo del sistema de autenticación multifactor, lo que podría indicar que un atacante tiene la contraseña de la cuenta.
Inicios de sesión de cuenta con privilegios fuera de los controles esperados Alto Microsoft Entra registro de inicio de sesión Supervise y alerte sobre las entradas que haya definido como no aprobadas.
Fuera de los tiempos normales de inicio de sesión Alto Microsoft Entra registro de inicio de sesión Supervise y alerte si los inicios de sesión se producen fuera de las horas esperadas. Es importante encontrar el patrón de trabajo normal para cada cuenta con privilegios y alertar si hay cambios no planeados fuera de los tiempos de trabajo normales. Los inicios de sesión fuera del horario laboral normal podrían indicar riesgos o posibles amenazas internas.
Riesgo de protección de identidad Alto Registros de Identity Protection Este evento indica que se ha detectado una anomalía con el inicio de sesión de la cuenta y que se debe alertar.
Cambio de contraseña Alto registros de auditoría de Microsoft Entra Alerta sobre los cambios de contraseña de la cuenta de administrador, especialmente para administradores globales, administradores de usuarios, administradores de suscripciones y cuentas de acceso de emergencia. Escriba una consulta destinada a todas las cuentas con privilegios.
Cambio en el protocolo de autenticación heredado Alto Microsoft Entra registro de inicio de sesión Muchos ataques usan la autenticación heredada, por lo que si hay un cambio en el protocolo de autenticación para el usuario, podría ser una indicación de un ataque.
Nuevo dispositivo o ubicación Alto Microsoft Entra registro de inicio de sesión La mayoría de la actividad de administración debe ser desde dispositivos de acceso con privilegios, desde un número limitado de ubicaciones. Por este motivo, alerte sobre nuevos dispositivos o ubicaciones.
Se ha cambiado la configuración de la alerta de auditoría Alto registros de auditoría de Microsoft Entra Los cambios en una alerta principal deben recibir una alerta si son inesperados.
Administradores que se autentican en otros inquilinos de Microsoft Entra Mediano Microsoft Entra registro de inicio de sesión Cuando se limita a usuarios con privilegios, este monitor detecta cuándo un administrador se ha autenticado correctamente en otro inquilino de Microsoft Entra con una identidad en el inquilino de la organización. Alerta si Resource TenantID no es igual al identificador de inquilino principal
Administración estado de usuario cambiado de invitado a miembro Mediano registros de auditoría de Microsoft Entra Supervise y alerte sobre el cambio del tipo de usuario de Invitado a Miembro. ¿Se esperaba este cambio?
Usuarios invitados al inquilino por invitados no aprobados Mediano registros de auditoría de Microsoft Entra Supervise y alerte sobre los actores no aprobados que invitan a los usuarios invitados.

Supervisión de eventos de administración de cuentas con privilegios

Investigue los cambios en las reglas y privilegios de autenticación de las cuentas con privilegios, especialmente si el cambio proporciona más privilegios o la capacidad de realizar tareas en Microsoft Entra ID.

Elementos para supervisar Nivel de riesgo Dónde Notas
Creación de cuentas con privilegios Mediano registros de auditoría de Microsoft Entra Supervise la creación de cuentas con privilegios. Busque una correlación que sea de un intervalo de tiempo corto entre la creación y eliminación de cuentas.
Cambios en los métodos de autenticación Alto registros de auditoría de Microsoft Entra Este cambio podría ser una indicación de que un atacante agrega un método de autenticación a la cuenta para que pueda tener acceso continuo.
Alerta sobre los cambios en los permisos de cuenta con privilegios Alto registros de auditoría de Microsoft Entra Esta alerta es especialmente para las cuentas a las que se les asignan roles que no se conocen o que están fuera de sus responsabilidades normales.
Cuentas con privilegios sin usar Mediano Microsoft Entra revisiones de acceso Realice una revisión mensual de las cuentas de usuario con privilegios inactivos.
Cuentas exentas del acceso condicional Alto Registros o revisiones de acceso de Azure Monitor Lo más probable es que cualquier cuenta exenta del acceso condicional omita los controles de seguridad y sea más vulnerable a los riesgos. Las cuentas de cristal están exentas. Vea información sobre cómo supervisar las cuentas de break-glass más adelante en este artículo.
Adición de un pase de acceso temporal a una cuenta con privilegios Alto registros de auditoría de Microsoft Entra Supervise y alerte sobre un pase de acceso temporal que se está creando para un usuario con privilegios.

Para obtener información detallada sobre la supervisión de la actividad de la cuenta con privilegios, consulte Operaciones de seguridad para cuentas con privilegios en Microsoft Entra ID.

Protección de los registros de eventos frente a modificaciones y eliminaciones no autorizadas (ML3)

El nivel de madurez 3 de Los ocho esenciales requiere que los registros de eventos estén protegidos contra modificaciones y eliminaciones no autorizadas. La protección de los registros de eventos frente a modificaciones y eliminaciones no autorizadas garantiza que los registros se puedan usar como un origen confiable de pruebas si la organización experimenta un incidente de seguridad. En Azure, los registros de eventos del acceso con privilegios a aplicaciones y servicios deben almacenarse de forma centralizada en un área de trabajo de Log Analytics.

Azure Monitor es una plataforma de datos de solo anexión, pero incluye disposiciones para eliminar datos con fines de cumplimiento. Las áreas de trabajo de Log Analytics que recopilan registros de actividades con privilegios deben protegerse con controles de acceso basados en roles y supervisarse para modificar y eliminar actividades.

En segundo lugar, establezca un bloqueo en el área de trabajo de Log Analytics para bloquear todas las actividades que podrían eliminar datos: purga, eliminación de tablas y cambios de retención de datos de nivel de tabla o área de trabajo.

Para probar completamente los registros de eventos, configure exportaciones automatizadas de datos de registro a una solución de almacenamiento inmutable, como El almacenamiento inmutable para Azure Blob Storage.

Para obtener información detallada sobre cómo proteger la integridad del registro de eventos, consulte Seguridad de datos de Azure Monitor.