Eventos
Realizar el desafío de Microsoft Learn
19 nov, 23 - 10 ene, 23
Ignite Edition: cree aptitudes en los productos de seguridad de Microsoft y obtenga un distintivo digital el 10 de enero.
Regístrese ahoraEste explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
En este artículo se detallan los métodos para lograr el modelo de ocho madurez esencial del Centro de seguridad cibernética de Australia (ACSC) para restringir los privilegios administrativos mediante el Plataforma de identidad de Microsoft. Las directrices del modelo de madurez de ACSC para restringir privilegios administrativos se encuentran en el modelo de ocho madurez esenciales de ACSC.
El Centro Australiano de Ciberseguridad (ACSC) lidera los esfuerzos del Gobierno australiano para mejorar la ciberseguridad. La ACSC recomienda que todas las organizaciones australianas implementen las ocho estrategias de mitigación esenciales de las estrategias de la ACSC para mitigar los incidentes de ciberseguridad como línea base. La línea base, conocida como Los Ocho Esenciales, son medidas fundamentales de ciberseguridad que hacen que sea mucho más difícil para los adversarios poner en peligro los sistemas. Los ocho niveles de madurez esenciales permiten a las organizaciones evaluar la idoneidad de sus medidas de ciberseguridad frente a amenazas comunes en el panorama actual de las TIC interconectadas.
El objetivo de un actor malintencionado es obtener acceso a credenciales con privilegios, especialmente las credenciales con acceso al plano de control empresarial. El acceso al plano de control proporciona acceso y control generalizados sobre los recursos de alto valor dentro de un entorno de TIC empresarial. Entre los ejemplos de acceso al plano de control se incluyen el administrador global y los privilegios equivalentes dentro de Microsoft Entra ID y el acceso con privilegios a la infraestructura de virtualización empresarial.
La restricción del acceso con privilegios mediante un enfoque multicapa aumenta la dificultad para que un adversario realice actividades malintencionadas. Restringir privilegios administrativos es un control muy eficaz incluido en las estrategias de ACSC para mitigar los incidentes de ciberseguridad.
En esta tabla se describen los controles ism relacionados con restringir privilegios administrativos.
Control ISM sep 2024 | Nivel de madurez | Control | Medida |
---|---|---|---|
ISM-0445 | 1, 2, 3 | A los usuarios con privilegios se les asigna una cuenta de usuario con privilegios dedicados que se usará únicamente para las tareas que requieren acceso con privilegios. | Los administradores deben usar cuentas independientes para tareas con privilegios y trabajo de productividad. Las cuentas con privilegios de alto nivel en Microsoft Entra ID, Azure y Microsoft 365 deben ser cuentas solo en la nube, no cuentas sincronizadas desde un dominio de Active Directory local. |
ISM-1175 | 1, 2, 3 | Las cuentas de usuario con privilegios (excepto las autorizadas explícitamente para acceder a servicios en línea) no pueden acceder a Internet, el correo electrónico y los servicios web. | Bloquee el uso de herramientas de productividad como Office 365 correo electrónico mediante la eliminación de licencias de Microsoft 365 de cuentas con privilegios. Las cuentas con privilegios deben acceder a los portales de administración en la nube desde un dispositivo de acceso con privilegios. El control de Internet y el correo electrónico desde dispositivos de acceso con privilegios se puede realizar mediante un firewall basado en host, un proxy en la nube o configurando la configuración del proxy en el dispositivo. |
ISM-1507 | 1, 2, 3 | Las solicitudes de acceso con privilegios a sistemas, aplicaciones y repositorios de datos se validan cuando se solicitan por primera vez. | Se ha implementado un proceso de administración de derechos para el acceso con privilegios. Microsoft Entra administración de derechos se puede usar para automatizar los procesos de administración de derechos. |
ISM-1508 | 3 | El acceso con privilegios a sistemas, aplicaciones y repositorios de datos se limita solo a lo que se requiere para que los usuarios y servicios realicen sus tareas. | El control de acceso basado en rol está configurado para limitar el acceso a los usuarios autorizados. Microsoft Entra Privileged Identity Management (PIM) garantiza el acceso Just-In-Time, que está limitado en el tiempo. |
ISM-1509 | 2, 3 | Los eventos de acceso con privilegios se registran de forma centralizada. | Microsoft Entra registros de auditoría y registros de inicio de sesión se envían a un área de trabajo de Azure Log Analytics (LAW) para su análisis. |
ISM-1647 | 2, 3 | El acceso con privilegios a sistemas, aplicaciones y repositorios de datos se deshabilita después de 12 meses a menos que se revalide. | Se ha implementado un proceso de administración de derechos para el acceso con privilegios. Microsoft Entra administración de derechos se puede usar para automatizar los procesos de administración de derechos. |
ISM-1648 | 2, 3 | El acceso con privilegios a sistemas y aplicaciones se deshabilita después de 45 días de inactividad. | Use Microsoft Graph API para evaluar lastSignInDateTime e identificar cuentas con privilegios inactivos. |
ISM-1650 | 2, 3 | Los eventos de administración de grupos de seguridad y cuenta de usuario con privilegios se registran de forma centralizada. | Microsoft Entra registros de auditoría y registros de inicio de sesión se envían a un área de trabajo de Azure Log Analytics (LAW) para su análisis. |
ISM-1380 | 1, 2, 3 | Los usuarios con privilegios usan entornos operativos independientes con privilegios y sin privilegios. | El uso de distintas estaciones de trabajo físicas es el enfoque más seguro para separar entornos operativos con privilegios y sin privilegios para los administradores del sistema. Las organizaciones que no pueden usar estaciones de trabajo físicas independientes para separar entornos operativos con privilegios y sin privilegios deben adoptar un enfoque basado en riesgos e implementar controles alternativos según una estrategia de seguridad en profundidad de defensa. |
ISM-1688 | 1, 2, 3 | Las cuentas de usuario sin privilegios no pueden iniciar sesión en entornos operativos con privilegios. | Las restricciones de inicio de sesión y el control de acceso basado en rol se usan para evitar que las cuentas de usuario sin privilegios inicien sesión en entornos operativos con privilegios. |
ISM-1689 | 1, 2, 3 | Las cuentas de usuario con privilegios (excepto las cuentas de administrador local) no pueden iniciar sesión en entornos operativos sin privilegios. | Las restricciones de inicio de sesión y el control de acceso basado en rol se usan para evitar que las cuentas de usuario con privilegios inicien sesión en entornos operativos sin privilegios. |
ISM-1883 | 1, 2, 3 | Las cuentas de usuario con privilegios explícitamente autorizadas para acceder a servicios en línea se limitan estrictamente a lo que se requiere para que los usuarios y servicios realicen sus tareas. | El control de acceso basado en rol está configurado para limitar el acceso a los usuarios autorizados. Microsoft Entra Privileged Identity Management (PIM) garantiza el acceso Just-In-Time, que está limitado en el tiempo. |
ISM-1898 | 2, 3 | Las estaciones de trabajo Administración seguras se usan en el rendimiento de las actividades administrativas. | Los dispositivos de estación de trabajo de acceso con privilegios se administran mediante Microsoft Intune y se protegen mediante una combinación de controles de Defender para punto de conexión, Windows Hello para empresas y Microsoft Entra ID. |
El acceso con privilegios permite a los administradores cambiar la configuración de aplicaciones clave e infraestructura, como servicios de identidad, sistemas empresariales, dispositivos de red, estaciones de trabajo de usuario y cuentas de usuario. El acceso con privilegios o las credenciales a menudo se conocen como "claves para el reino", ya que proporcionan a los portadores control sobre muchos recursos diferentes dentro de una red.
Las siguientes categorías de controles son necesarias para lograr el nivel de madurez 3 de ocho esenciales para restringir los privilegios administrativos.
Identity Governance ayuda a las organizaciones a lograr un equilibrio entre productividad y seguridad. La administración del ciclo de vida de las identidades es la base de la gobernanza de identidades y la gobernanza eficaz a escala requiere una infraestructura moderna de administración del ciclo de vida de identidad.
El nivel de madurez 1 de los ocho esenciales requiere que las solicitudes de acceso con privilegios a sistemas, aplicaciones y repositorios de datos se validan cuando se solicitan por primera vez. La validación de solicitudes de acceso con privilegios forma parte del proceso de administración de derechos. La administración de derechos es el proceso de administrar el acceso de los usuarios a los privilegios para garantizar que solo los usuarios autorizados tengan acceso a un conjunto de recursos. Entre los pasos clave del proceso de administración de derechos se incluyen las solicitudes de acceso, las revisiones de acceso, el aprovisionamiento de acceso y la expiración del acceso.
Microsoft Entra Entitlement Management automatiza el proceso de administración del acceso a los recursos dentro de Azure. Se puede delegar el acceso a los usuarios mediante paquetes de acceso, que son conjuntos de recursos. Un paquete de Access en Microsoft Entra Administración de derechos puede incluir grupos de seguridad, grupos de Microsoft 365 y Teams, Microsoft Entra aplicaciones empresariales y sitios de SharePoint Online. Los paquetes de acceso incluyen una o varias directivas. Una directiva define las reglas o barreras de protección para la asignación al paquete de acceso. Las directivas se pueden usar para garantizar que solo los usuarios adecuados puedan solicitar acceso, que se asignen aprobadores para las solicitudes de acceso y que el acceso a los recursos tenga un tiempo limitado y expire si no se renueva.
Para obtener información detallada sobre la administración de derechos, consulte administración de derechos de Microsoft Entra.
El nivel de madurez 2 de los ocho esenciales requiere que el acceso con privilegios a sistemas y aplicaciones se deshabilite automáticamente después de 45 días de inactividad. Las cuentas inactivas son cuentas de usuario o sistema que su organización ya no necesita. Normalmente, las cuentas inactivas se pueden identificar a través de registros de inicio de sesión, lo que indica que no se han usado para iniciar sesión durante un período de tiempo prolongado. Es posible usar la última marca de tiempo de inicio de sesión para detectar cuentas inactivas.
El último inicio de sesión proporciona información potencial sobre la necesidad continua de acceso de un usuario a los recursos. Puede ayudar a determinar si todavía se necesita la pertenencia a grupos o el acceso a la aplicación o si se puede quitar. En el caso de la administración de usuarios invitados, puede comprender si una cuenta de invitado sigue activa dentro del inquilino o si se debe limpiar.
Para detectar cuentas inactivas, evalúe la propiedad lastSignInDateTime expuesta por el tipo de recurso signInActivity de microsoft Graph API. La propiedad lastSignInDateTime muestra la última vez que un usuario realizó un inicio de sesión interactivo correcto en Microsoft Entra ID. Con esta propiedad, puede implementar una solución para los siguientes escenarios:
Última fecha y hora de inicio de sesión para todos los usuarios: en este escenario, debe generar un informe de la última fecha de inicio de sesión de todos los usuarios. Puede solicitar una lista de todos los usuarios y el último valor de lastSignInDateTime para cada usuario respectivo en https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity.
Usuarios por nombre: en este escenario, se busca un usuario específico por nombre, lo que le permite evaluar lastSignInDateTime:
Usuarios por fecha: en este escenario, se solicita una lista de usuarios con un lastSignInDateTime antes de una fecha especificada:
Para obtener información detallada sobre cómo administrar usuarios inactivos, consulte Administración de cuentas de usuario inactivas.
Los privilegios mínimos requieren que el acceso a sistemas y aplicaciones se limite solo a lo que se requiere para que los usuarios y los sistemas realicen sus tareas. Los privilegios mínimos se pueden implementar mediante controles como el control de acceso basado en rol (RBAC), la administración de acceso con privilegios y el acceso Just-In-Time (JIT).
El nivel de madurez 1 de los ocho esenciales requiere que a los usuarios con privilegios se les asigne una cuenta de usuario con privilegios dedicados que se usará únicamente para tareas que requieran acceso con privilegios. Las cuentas con privilegios de alto nivel en Microsoft Entra ID, Azure y Microsoft 365 deben ser cuentas solo en la nube, no cuentas sincronizadas desde un dominio de Active Directory local. Las cuentas administrativas deben bloquear el uso de herramientas de productividad, como Office 365 correo electrónico (quitar licencia).
Para obtener información detallada sobre cómo administrar el acceso administrativo, consulte Protección del acceso con privilegios para implementaciones híbridas y en la nube.
El nivel de madurez 1 de los ocho esenciales requiere que los usuarios con privilegios usen entornos operativos independientes con privilegios y sin privilegios. El acceso con privilegios a los entornos de Azure y Microsoft 365 requiere un estándar de seguridad mayor que el estándar aplicado a los usuarios normales. El acceso con privilegios debe concederse en función de una combinación de señales y atributos de seguridad para admitir una estrategia de Confianza cero. El riesgo de una cuenta con acceso con privilegios a Azure o Microsoft 365 puede provocar una interrupción significativa en los procesos empresariales. El acceso condicional puede reducir el riesgo de peligro aplicando un cierto estándar de higiene de seguridad antes de permitir el acceso a las herramientas de administración de Azure.
Se recomienda implementar los siguientes controles para el acceso administrativo a las herramientas de administración de Azure Portal y línea de comandos:
Para obtener información detallada sobre la aplicación del acceso condicional para administradores, consulte los artículos siguientes:
El nivel de madurez 2 de Los ocho esenciales requiere credenciales para cuentas de cristal de interrupción, cuentas de administrador local y cuentas de servicio que sean largas, únicas, impredecibles y administradas. Los atacantes suelen usar cuentas de administrador locales activas en estaciones de trabajo windows para recorrer lateralmente un entorno de Windows. Por este motivo, se recomiendan los siguientes controles para cuentas de administrador locales en sistemas unidos a un dominio:
La solución de contraseñas de administrador local (LAPS) de Microsoft proporciona una solución al problema de usar una cuenta local común con una contraseña idéntica en cada equipo. LAPS resuelve este problema estableciendo una contraseña aleatoria diferente y rotada para la cuenta de administrador local en todos los equipos del dominio. Las contraseñas se almacenan en Active Directory y están protegidas por Access Control Listas restrictivas. La contraseña de administrador local solo puede ser recuperada o restablecida por los usuarios aptos.
Para obtener información detallada sobre cómo administrar cuentas de administrador local en sistemas unidos a Active Directory, consulte los artículos siguientes:
Al unir un dispositivo Windows a Microsoft Entra ID mediante una combinación de Microsoft Entra, Microsoft Entra ID agrega los siguientes principios de seguridad al grupo de administradores locales del dispositivo:
Puede personalizar la pertenencia del grupo de administradores local para satisfacer los requisitos empresariales. Se recomienda limitar el acceso de administrador local a estaciones de trabajo y requerir la aprobación de PIM para el uso del rol administrador local de dispositivos unidos a Azure AD.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización.
En la Azure Portal, puede administrar el rol Administrador de dispositivos desde Configuración del dispositivo.
Para modificar el rol Administrador de dispositivos, configure Administradores locales adicionales en todos los dispositivos Microsoft Entra unidos.
Para obtener información detallada sobre cómo administrar administradores locales en Microsoft Entra sistemas unidos, consulte los artículos siguientes:
Un desafío común para los desarrolladores es la administración de secretos, credenciales, certificados y claves que se usan para proteger la comunicación entre servicios. El nivel de madurez 2 de Los ocho esenciales requiere credenciales para que las cuentas de servicio sean largas, únicas, impredecibles y administradas.
Las cuentas de servicio administradas de grupo (gMSA) son cuentas de dominio para ayudar a proteger los servicios. Las gMSA pueden ejecutarse en un servidor o en una granja de servidores, como sistemas detrás de un equilibrio de carga de red o un servidor de Internet Information Services (IIS). Después de configurar los servicios para que usen una entidad de seguridad gMSA, el sistema operativo Windows controla la administración de contraseñas de la cuenta.
Las gMSA son una solución de identidad con mayor seguridad que ayuda a reducir la sobrecarga administrativa:
Las identidades administradas proporcionan una identidad administrada automáticamente en Microsoft Entra ID para que las aplicaciones se usen al conectarse a recursos que admiten Microsoft Entra autenticación. Las aplicaciones pueden usar identidades administradas para obtener tokens de Microsoft Entra sin tener que administrar ninguna credencial.
Hay dos tipos de identidades administradas:
Evite asignar acceso permanente a las cuentas que sean miembros de roles con privilegios elevados en Azure o Microsoft 365. Los atacantes suelen dirigirse a cuentas con privilegios permanentes para mantener la persistencia en entornos empresariales y causar daños generalizados a los sistemas. Los privilegios temporales obligan a los atacantes a esperar a que un usuario eleve sus privilegios o a iniciar la elevación de privilegios. Iniciar una actividad de elevación de privilegios aumenta la posibilidad de que un atacante se detecte y quite antes de que pueda infligir daño.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización.
Conceda privilegios solo según sea necesario mediante los métodos siguientes:
El nivel de madurez 3 de los ocho esenciales requiere que el acceso con privilegios a sistemas y aplicaciones se limite solo a lo que se requiere para que los usuarios y servicios realicen sus tareas. La necesidad de acceso con privilegios a los recursos de Azure y Microsoft Entra roles cambia con el tiempo. Para reducir el riesgo asociado a asignaciones de roles obsoletas, debe revisar periódicamente el acceso. Microsoft Entra revisiones de acceso permiten a las organizaciones administrar de forma eficaz las pertenencias a grupos de RBAC, el acceso a aplicaciones empresariales y Microsoft Entra asignaciones de roles. El acceso de usuario se puede revisar periódicamente para asegurarse de que solo las personas adecuadas siguen teniendo acceso.
Microsoft Entra revisiones de acceso permiten casos de uso como:
En función del tipo de acceso que requiera revisión, las revisiones de acceso deben crearse en diferentes áreas de la Azure Portal. En la tabla siguiente se muestran las herramientas específicas para crear revisiones de acceso:
Derechos de acceso de los usuarios | Los revisores pueden ser | Revisión creada en | Experiencia del revisor |
---|---|---|---|
Miembros del grupo de seguridad Miembros del grupo de Office |
Revisores especificados Propietarios de grupos Autoexavaluación |
Revisiones de acceso grupos de Microsoft Entra |
Panel de acceso |
Asignado a una aplicación conectada | Revisores especificados Autoexavaluación |
Revisiones de acceso Microsoft Entra Enterprise Apps (en versión preliminar) |
Panel de acceso |
rol Microsoft Entra | Revisores especificados Autoexavaluación |
Privileged Identity Management (PIM) | Portal de Azure |
Rol de recurso de Azure | Revisores especificados Autoexavaluación |
Privileged Identity Management (PIM) | Portal de Azure |
Asignaciones de paquetes de acceso | Revisores especificados Miembros del grupo Autoexavaluación |
Administración de derechos | Panel de acceso |
Para obtener información detallada sobre Microsoft Entra revisiones de acceso, consulte los artículos siguientes:
La seguridad de la cuenta es un componente fundamental para proteger el acceso con privilegios. La seguridad de Confianza cero de un extremo a otro requiere establecer que la cuenta que se usa en la sesión está realmente bajo el control del propietario humano y no de un atacante que la suplanta.
Los usuarios, servicios o cuentas de aplicación con privilegios administrativos en dominios de Windows Active Directory (AD) suponen un alto riesgo para la seguridad empresarial. Estos atacantes suelen dirigirse a estas cuentas porque proporcionan acceso generalizado a servidores, bases de datos y aplicaciones. Cuando los administradores inician sesión en sistemas con un perfil de seguridad inferior, las credenciales con privilegios se almacenan en memoria y se pueden extraer mediante herramientas de robo de credenciales (por ejemplo, Mimikatz).
El nivel de madurez 1 de los ocho esenciales requiere que las cuentas de usuario con privilegios (excepto las cuentas de administrador local) no puedan iniciar sesión en entornos operativos sin privilegios. El modelo de administración en niveles de Microsoft aplica restricciones de inicio de sesión a los dispositivos unidos a un dominio para evitar la exposición de credenciales con privilegios en dispositivos con un perfil de seguridad inferior. Los administradores con acceso de administrador al dominio de Active Directory se separan de los administradores con control sobre estaciones de trabajo y aplicaciones empresariales. Se deben aplicar restricciones de inicio de sesión para garantizar que las cuentas con privilegios elevados no puedan iniciar sesión en recursos menos seguros. Por ejemplo:
Las restricciones de inicio de sesión se pueden aplicar con directiva de grupo asignaciones de derechos de usuario o directivas de Microsoft Intune. Se recomienda configurar las siguientes directivas en servidores empresariales y estaciones de trabajo de usuario para evitar que las cuentas con privilegios expongan credenciales a un sistema de menos confianza:
El nivel de vencimiento 1 de los ocho esenciales requiere que las cuentas con privilegios (excepto las cuentas que están autorizadas explícitamente para acceder a servicios en línea) no puedan acceder a Internet, correo electrónico y servicios web. Las cuentas administrativas deben bloquear el uso de herramientas de productividad, como Office 365 correo electrónico (quitar licencia). Las cuentas administrativas deben acceder a los portales de administración en la nube desde un dispositivo de acceso con privilegios. Los dispositivos de acceso con privilegios deben denegar todos los sitios web y usar una lista de permitidos para habilitar el acceso a los portales de administración en la nube. El control de Internet y el correo electrónico desde dispositivos de acceso con privilegios se puede realizar mediante un firewall basado en host, un proxy en la nube o configurando la configuración del proxy en el dispositivo.
Cree un perfil de configuración de Microsoft Intune para configurar el proxy de red en los dispositivos usados para la administración con privilegios. Los dispositivos de acceso con privilegios que se usan para administrar servicios en la nube de Azure y Microsoft 365 deben usar las exenciones de proxy de la tabla siguiente.
Sección | Nombre | Configuración |
---|---|---|
Conceptos básicos | Nombre | PAW-Intune-Configuration-Proxy-Device-Restrictions |
Conceptos básicos | Plataforma | Windows 10 y versiones posteriores |
Conceptos básicos | Tipo de perfil | Restricciones de dispositivo |
Configuración | Uso del servidor proxy manual | Permitir |
Configuración | Dirección | 127.0.0.2 |
Configuración | Puerto | 8080 |
Configuración | Excepciones de proxy | account.live.com;*.msft.net; *.msauth.net;*.msauthimages.net;*.msftauthimages.net;*.msftauth.net;*.azure.com;*.azure.net;*.azureedge.net;*.azurewebsites.net;*.microsoft.com; microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.microsoftonline-p.net;*.microsoftonline-p.com;*.windows.net;*.windows.com;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.azure-api.net;*.azure-devices.net;*.visualstudio.com; portal.office.com; config.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com;*.aka.ms;*.digicert.com;*.phonefactor.net;*.nuget.org;*.cloudapp.net;*.trafficmanager.net; login.live.com; clientconfig.passport.net;*.wns.windows.com;*.s-microsoft.com; www.msftconnecttest.com; graph.windows.net;*.manage.microsoft.com;*.aadcdn.microsoftonline-p.com;*.azureafd.net;*.azuredatalakestore.net;*.windows-int.net;*.msocdn.com;*.msecnd.net;*.onestore.ms;*.aspnetcdn.com;*.office.net;*.officeapps.live.com; aka.ms;*.powershellgallery.com;*.azure-apim.net; spoprod-a.akamaihd.net;*.hip.live.com |
Los administradores del sistema deben usar dispositivos independientes para administrar entornos operativos con privilegios y sin privilegios. Las actividades administrativas deben seguir el principio de origen limpio para todos los dispositivos implicados en el proceso de administración.
El nivel de madurez 1 de los ocho esenciales requiere que los usuarios con privilegios usen entornos operativos independientes con privilegios y sin privilegios. El uso de distintas estaciones de trabajo físicas es el enfoque más seguro para separar entornos operativos con privilegios y sin privilegios para los administradores del sistema. Aunque las garantías de seguridad se pueden mejorar en la sesión, siempre estarán limitadas por la fuerza de la garantía en el dispositivo de origen. Un atacante con control de un dispositivo de acceso con privilegios puede suplantar a los usuarios o robar credenciales de usuario para su suplantación futura. Este riesgo socava otras garantías en la cuenta, intermediarios como jump servers y en los propios recursos.
Las organizaciones que no pueden usar estaciones de trabajo físicas independientes para separar entornos operativos con privilegios y sin privilegios deben adoptar un enfoque basado en riesgos e implementar controles alternativos según una estrategia de seguridad en profundidad de defensa. Microsoft recomienda asignar roles de usuario y recursos a un nivel de confidencialidad para evaluar el nivel de garantía necesario para proteger entornos operativos con privilegios.
Para obtener información detallada sobre los niveles de confidencialidad de acceso con privilegios, consulte Niveles de seguridad de acceso con privilegios.
El nivel de madurez 3 de los ocho esenciales requiere que las estaciones de trabajo de Administración seguras se usen para realizar actividades administrativas. Las estaciones de trabajo de Administración seguras (SAW) son un control eficaz contra la exposición de credenciales confidenciales en dispositivos menos seguros. Iniciar sesión o ejecutar servicios en un dispositivo menos seguro con una cuenta con privilegios aumenta el riesgo de robo de credenciales y ataques de escalado de privilegios. Las credenciales con privilegios solo deben exponerse a un teclado SAW y se debe denegar el inicio de sesión en dispositivos menos seguros. Las SAW proporcionan una plataforma segura para administrar servicios en la nube locales, Azure, Microsoft 365 y de terceros. Los dispositivos SAW se administran mediante Microsoft Intune y se protegen mediante una combinación de controles de Defender para punto de conexión, Windows Hello para empresas y Microsoft Entra ID.
En el diagrama siguiente se muestra la arquitectura de alto nivel, incluidos los diversos componentes tecnológicos que deben configurarse para implementar la solución general y el marco SAW:
Para obtener información detallada sobre las estaciones de trabajo de Administración seguras, consulte los artículos siguientes:
La seguridad de los servicios intermedios es un componente fundamental para proteger el acceso con privilegios. Los intermediarios se usan para facilitar la sesión del administrador o la conexión a un sistema o aplicación remotos. Algunos ejemplos de intermediarios son las redes privadas virtuales (VPN), los servidores de salto, la infraestructura de escritorio virtual (incluidos Windows 365 y Azure Virtual Desktop) y la publicación de aplicaciones a través de servidores proxy de acceso. Los atacantes suelen dirigirse a intermediarios para escalar privilegios mediante credenciales almacenadas en ellos, obtener acceso remoto de red a redes corporativas o aprovechar la confianza en el dispositivo de acceso con privilegios.
Los distintos tipos intermediarios realizan funciones únicas, por lo que cada uno de ellos requiere un enfoque de seguridad diferente. Los atacantes pueden dirigirse fácilmente a sistemas con una superficie de ataque mayor. En la lista siguiente se incluyen las opciones disponibles para los intermediarios de acceso con privilegios:
Para obtener información detallada sobre los intermediarios de acceso con privilegios, consulte Secure Intermediaries(Intermediarios seguros).
Con Microsoft Intune Administración de privilegios de punto de conexión (EPM), los usuarios de la organización pueden ejecutarse como un usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. EPM facilita a los usuarios estándar que ejecutan tareas que requieren privilegios administrativos, como instalaciones de aplicaciones, actualización de controladores de dispositivos y componentes de administración para aplicaciones heredadas.
EPM controla la elevación del administrador de los procesos y archivos binarios especificados para usuarios específicos sin proporcionar privilegios de administrador sin restricciones a todo el dispositivo. Endpoint Privilege Management admite el cumplimiento de Essential 8 al ayudar a su organización a lograr una amplia base de usuarios que se ejecute con privilegios mínimos, al tiempo que permite a los usuarios seguir ejecutando tareas permitidas por su organización para que sigan siendo productivas.
Para obtener más información sobre EPM, consulte Información general de EPM.
Para habilitar EPM, consulte Configuración de directivas para administrar Endpoint Privilege Management con Microsoft Intune.
Para el cumplimiento de Essential Eight, se deben establecer dos tipos de directiva combinados de la siguiente manera:
Para obtener más información sobre las directivas, vea: Configuración de directivas de elevación de Windows de EPM y Directiva de reglas de elevaciones de Windows de EPM.
En Respuesta de elevación predeterminada, mantenga la opción Denegar todas las solicitudes para permitir solo la elevación de procesos y archivos permitidos explícitamente por el administrador.
Para las opciones de validación, asegúrese de que se elija La justificación empresarial y autenticación de Windows, ya que esto satisface ism-1508 e ISM-1507, respectivamente.
En Enviar datos de elevación para informes, elija Sí para Enviar datos de elevación para informes. Esta función se usa para medir el estado de los componentes de cliente de EPM. Los datos de uso se usan para mostrar elevaciones en su organización, en función del ámbito de informes y ayudan al control ISM-1509.
En Ámbito de informes, mantenga la configuración predeterminada de Datos de diagnóstico y se seleccionan todas las elevaciones de puntos de conexión . Esta opción envía datos de diagnóstico a Microsoft sobre el estado de los componentes del cliente y los datos sobre todas las elevaciones que se producen en el punto de conexión y ayuda con el control ISM-1509.
En Tipo de elevación, la mayoría (si no es así, todos) son usuarios confirmados , ya que esto garantiza que el usuario mantiene la agencia del proceso de toma de decisiones.
Control ISM sep 2024 | Nivel de madurez | Control | Medida |
---|---|---|---|
ISM-1507 | 1, 2, 3 | Las solicitudes de acceso con privilegios a sistemas, aplicaciones y repositorios de datos se validan cuando se solicitan por primera vez. | Se ha implementado un proceso de administración de derechos para que el acceso con privilegios eleve el acceso a las aplicaciones mediante EPM. |
ISM-1508 | 3 | El acceso con privilegios a sistemas, aplicaciones y repositorios de datos se limita solo a lo que se requiere para que los usuarios y servicios realicen sus tareas. | La directiva predeterminada es denegar todas las solicitudes que no se han definido en la directiva EPM. Cuando el administrador define la directiva, las opciones de elevación de EPM se enlazan a la directiva y al servicio necesario para cumplir con el deber. |
ISM-1509 | 2, 3 | Los eventos de acceso con privilegios se registran de forma centralizada. | El acceso y los eventos se registran asegurándose de que la configuración predeterminada se mantiene con datos de diagnóstico y que todas las elevaciones de puntos de conexión están habilitadas para la directiva de EPM. |
Nota
Esta funcionalidad está disponible como un complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.
El registro de inicios de sesión y actividades realizados por cuentas con privilegios es esencial para detectar comportamientos anómalos en entornos empresariales. Microsoft Entra registros de auditoría y registros de inicio de sesión proporcionan información valiosa sobre el acceso con privilegios a aplicaciones y servicios.
Microsoft Entra registros de inicio de sesión proporcionan información sobre los patrones de inicio de sesión, la frecuencia de inicio de sesión y el estado de las actividades de inicio de sesión. El informe de actividad de inicio de sesión está disponible en todas las ediciones de Microsoft Entra ID. Las organizaciones con una licencia Microsoft Entra ID P1 o P2 pueden acceder al informe de actividad de inicio de sesión a través de Microsoft Graph API.
Microsoft Entra registros de actividad incluyen registros de auditoría para cada evento registrado en Microsoft Entra ID. Los cambios en las aplicaciones, grupos, usuarios y licencias se capturan en los registros de auditoría de Microsoft Entra. De forma predeterminada, Microsoft Entra ID conserva los registros de inicio de sesión y auditoría durante un máximo de siete días. Microsoft Entra ID conserva los registros durante un máximo de 30 días si hay una licencia Microsoft Entra ID P1 o P2 en el inquilino. Microsoft Entra registros de auditoría y registros de inicio de sesión deben reenviarse a un área de trabajo de Azure Log Analytics (LAW) para una recopilación y correlación centralizadas.
Para obtener información detallada sobre el registro centralizado, consulte los artículos siguientes:
El nivel de madurez 3 de los ocho esenciales requiere que los registros de eventos se supervisen para detectar signos de peligro y que se actúen cuando se detecten signos de peligro. La supervisión de la actividad con privilegios es importante para detectar el riesgo del sistema de forma temprana y contener el ámbito de la actividad malintencionada.
Supervise toda la actividad de inicio de sesión de cuenta con privilegios mediante los registros de inicio de sesión de Microsoft Entra como origen de datos. Supervise los siguientes eventos:
Elementos para supervisar | Nivel de riesgo | Dónde | Notas |
---|---|---|---|
Error de inicio de sesión, umbral de contraseña incorrecta | Alto | Microsoft Entra registro de inicio de sesión | Defina un umbral de línea base y, a continuación, supervise y ajuste para adaptarse a los comportamientos de la organización y limite la generación de alertas falsas. |
Error debido al requisito de acceso condicional | Alto | Microsoft Entra registro de inicio de sesión | Este evento puede ser una indicación de que un atacante está intentando entrar en la cuenta. |
Cuentas con privilegios que no siguen la directiva de nomenclatura | Alto | Suscripción de Azure | Enumera las asignaciones de roles para suscripciones y alertas en las que el nombre de inicio de sesión no coincide con el formato de la organización. Un ejemplo es el uso de ADM_ como prefijo. |
Interrumpir | Alto, medio | inicios de sesión de Microsoft Entra | Este evento puede ser una indicación de que un atacante tiene la contraseña de la cuenta, pero no puede pasar el desafío de autenticación multifactor. |
Cuentas con privilegios que no siguen la directiva de nomenclatura | Alto | directorio Microsoft Entra | Enumera las asignaciones de roles para Microsoft Entra roles y alertas en las que el UPN no coincide con el formato de la organización. Un ejemplo es el uso de ADM_ como prefijo. |
Detectar cuentas con privilegios no registradas para la autenticación multifactor | Alto | API de Microsoft Graph | Audite e investigue para determinar si el evento es intencionado o una descuido. |
Bloqueo de cuenta | Alto | Microsoft Entra registro de inicio de sesión | Defina un umbral de línea base y, a continuación, supervise y ajuste para adaptarse a los comportamientos de la organización y limite la generación de alertas falsas. |
Cuenta deshabilitada o bloqueada para inicios de sesión | Bajo | Microsoft Entra registro de inicio de sesión | Este evento podría indicar que alguien está intentando obtener acceso a una cuenta después de salir de la organización. Aunque la cuenta está bloqueada, sigue siendo importante registrar y alertar sobre esta actividad. |
Alerta o bloque de fraude de MFA | Alto | registro de inicio de sesión de Microsoft Entra/Azure Log Analytics | El usuario con privilegios ha indicado que no ha instigado el símbolo del sistema de autenticación multifactor, lo que podría indicar que un atacante tiene la contraseña de la cuenta. |
Alerta o bloque de fraude de MFA | Alto | registro de auditoría de Microsoft Entra/Azure Log Analytics | El usuario con privilegios ha indicado que no ha instigado el símbolo del sistema de autenticación multifactor, lo que podría indicar que un atacante tiene la contraseña de la cuenta. |
Inicios de sesión de cuenta con privilegios fuera de los controles esperados | Alto | Microsoft Entra registro de inicio de sesión | Supervise y alerte sobre las entradas que haya definido como no aprobadas. |
Fuera de los tiempos normales de inicio de sesión | Alto | Microsoft Entra registro de inicio de sesión | Supervise y alerte si los inicios de sesión se producen fuera de las horas esperadas. Es importante encontrar el patrón de trabajo normal para cada cuenta con privilegios y alertar si hay cambios no planeados fuera de los tiempos de trabajo normales. Los inicios de sesión fuera del horario laboral normal podrían indicar riesgos o posibles amenazas internas. |
Riesgo de protección de identidad | Alto | Registros de Identity Protection | Este evento indica que se ha detectado una anomalía con el inicio de sesión de la cuenta y que se debe alertar. |
Cambio de contraseña | Alto | registros de auditoría de Microsoft Entra | Alerta sobre los cambios de contraseña de la cuenta de administrador, especialmente para administradores globales, administradores de usuarios, administradores de suscripciones y cuentas de acceso de emergencia. Escriba una consulta destinada a todas las cuentas con privilegios. |
Cambio en el protocolo de autenticación heredado | Alto | Microsoft Entra registro de inicio de sesión | Muchos ataques usan la autenticación heredada, por lo que si hay un cambio en el protocolo de autenticación para el usuario, podría ser una indicación de un ataque. |
Nuevo dispositivo o ubicación | Alto | Microsoft Entra registro de inicio de sesión | La mayoría de la actividad de administración debe ser desde dispositivos de acceso con privilegios, desde un número limitado de ubicaciones. Por este motivo, alerte sobre nuevos dispositivos o ubicaciones. |
Se ha cambiado la configuración de la alerta de auditoría | Alto | registros de auditoría de Microsoft Entra | Los cambios en una alerta principal deben recibir una alerta si son inesperados. |
Administradores que se autentican en otros inquilinos de Microsoft Entra | Mediano | Microsoft Entra registro de inicio de sesión | Cuando se limita a usuarios con privilegios, este monitor detecta cuándo un administrador se ha autenticado correctamente en otro inquilino de Microsoft Entra con una identidad en el inquilino de la organización. Alerta si Resource TenantID no es igual al identificador de inquilino principal |
Administración estado de usuario cambiado de invitado a miembro | Mediano | registros de auditoría de Microsoft Entra | Supervise y alerte sobre el cambio del tipo de usuario de Invitado a Miembro. ¿Se esperaba este cambio? |
Usuarios invitados al inquilino por invitados no aprobados | Mediano | registros de auditoría de Microsoft Entra | Supervise y alerte sobre los actores no aprobados que invitan a los usuarios invitados. |
Investigue los cambios en las reglas y privilegios de autenticación de las cuentas con privilegios, especialmente si el cambio proporciona más privilegios o la capacidad de realizar tareas en Microsoft Entra ID.
Elementos para supervisar | Nivel de riesgo | Dónde | Notas |
---|---|---|---|
Creación de cuentas con privilegios | Mediano | registros de auditoría de Microsoft Entra | Supervise la creación de cuentas con privilegios. Busque una correlación que sea de un intervalo de tiempo corto entre la creación y eliminación de cuentas. |
Cambios en los métodos de autenticación | Alto | registros de auditoría de Microsoft Entra | Este cambio podría ser una indicación de que un atacante agrega un método de autenticación a la cuenta para que pueda tener acceso continuo. |
Alerta sobre los cambios en los permisos de cuenta con privilegios | Alto | registros de auditoría de Microsoft Entra | Esta alerta es especialmente para las cuentas a las que se les asignan roles que no se conocen o que están fuera de sus responsabilidades normales. |
Cuentas con privilegios sin usar | Mediano | Microsoft Entra revisiones de acceso | Realice una revisión mensual de las cuentas de usuario con privilegios inactivos. |
Cuentas exentas del acceso condicional | Alto | Registros o revisiones de acceso de Azure Monitor | Lo más probable es que cualquier cuenta exenta del acceso condicional omita los controles de seguridad y sea más vulnerable a los riesgos. Las cuentas de cristal están exentas. Vea información sobre cómo supervisar las cuentas de break-glass más adelante en este artículo. |
Adición de un pase de acceso temporal a una cuenta con privilegios | Alto | registros de auditoría de Microsoft Entra | Supervise y alerte sobre un pase de acceso temporal que se está creando para un usuario con privilegios. |
Para obtener información detallada sobre la supervisión de la actividad de la cuenta con privilegios, consulte Operaciones de seguridad para cuentas con privilegios en Microsoft Entra ID.
El nivel de madurez 3 de Los ocho esenciales requiere que los registros de eventos estén protegidos contra modificaciones y eliminaciones no autorizadas. La protección de los registros de eventos frente a modificaciones y eliminaciones no autorizadas garantiza que los registros se puedan usar como un origen confiable de pruebas si la organización experimenta un incidente de seguridad. En Azure, los registros de eventos del acceso con privilegios a aplicaciones y servicios deben almacenarse de forma centralizada en un área de trabajo de Log Analytics.
Azure Monitor es una plataforma de datos de solo anexión, pero incluye disposiciones para eliminar datos con fines de cumplimiento. Las áreas de trabajo de Log Analytics que recopilan registros de actividades con privilegios deben protegerse con controles de acceso basados en roles y supervisarse para modificar y eliminar actividades.
En segundo lugar, establezca un bloqueo en el área de trabajo de Log Analytics para bloquear todas las actividades que podrían eliminar datos: purga, eliminación de tablas y cambios de retención de datos de nivel de tabla o área de trabajo.
Para probar completamente los registros de eventos, configure exportaciones automatizadas de datos de registro a una solución de almacenamiento inmutable, como El almacenamiento inmutable para Azure Blob Storage.
Para obtener información detallada sobre cómo proteger la integridad del registro de eventos, consulte Seguridad de datos de Azure Monitor.
Eventos
Realizar el desafío de Microsoft Learn
19 nov, 23 - 10 ene, 23
Ignite Edition: cree aptitudes en los productos de seguridad de Microsoft y obtenga un distintivo digital el 10 de enero.
Regístrese ahora