Configuración de Microsoft Entra para aumentar la seguridad (versión preliminar)
En Microsoft Entra, agrupamos nuestras recomendaciones de seguridad en varias áreas principales. Esta estructura permite a las organizaciones dividir lógicamente los proyectos en fragmentos consumibles relacionados.
Sugerencia
Algunas organizaciones pueden tomar estas recomendaciones exactamente como se escriben, mientras que otras pueden optar por realizar modificaciones en función de sus propias necesidades empresariales. En nuestra versión inicial de esta guía, nos centramos en los inquilinos tradicionales de empleados. Estos inquilinos de personal son para los empleados, las aplicaciones empresariales internas y otros recursos de la organización.
Se recomienda implementar todos los siguientes controles en los que estén disponibles las licencias. Esto ayuda a proporcionar una base para otros recursos basados en esta solución. Se agregarán más controles a este documento a lo largo del tiempo.
Si una cuenta local está en peligro y está sincronizada con Microsoft Entra, el atacante también podría obtener acceso al inquilino. Este riesgo aumenta porque los entornos locales suelen tener más superficies de ataque debido a una infraestructura antigua y controles de seguridad limitados. Los atacantes también pueden tener como destino la infraestructura y las herramientas que se usan para habilitar la conectividad entre entornos locales y Microsoft Entra. Estos destinos pueden incluir herramientas como Microsoft Entra Connect o servicios de federación de Active Directory, donde podrían suplantar o manipular otras cuentas de usuario locales.
Si las cuentas de nube con privilegios se sincronizan con las cuentas locales, un atacante que adquiere credenciales para el entorno local puede usar esas mismas credenciales para acceder a los recursos en la nube y moverse lateralmente al entorno de nube.
acción de corrección
Para cada rol con privilegios elevados (asignados permanentemente o aptos a través de Microsoft Entra Privileged Identity Management), debe realizar las siguientes acciones:
- Revise los usuarios que tienen onPremisesImmutableId y onPremisesSyncEnabled establecido. Consulte tipo de recurso de usuario de Microsoft Graph API.
- Cree cuentas de usuario solo en la nube para esas personas y quite su identidad híbrida de roles con privilegios.
Las cuentas con privilegios tienen métodos resistentes a la suplantación de identidad (phishing) registrados
Sin métodos de autenticación resistentes a la suplantación de identidad ( phishing), los usuarios con privilegios son más vulnerables a los ataques de suplantación de identidad (phishing). Estos tipos de ataques engañan a los usuarios para revelar sus credenciales para conceder acceso no autorizado a los atacantes. Si se usan métodos de autenticación no resistentes a la suplantación de identidad ( phishing), los atacantes podrían interceptar credenciales y tokens, a través de métodos como ataques adversarios en el medio, lo que reduce la seguridad de la cuenta con privilegios.
Una vez que una cuenta o sesión con privilegios está en peligro debido a métodos de autenticación débiles, los atacantes podrían manipular la cuenta para mantener el acceso a largo plazo, crear otras puertas traseras o modificar los permisos de usuario. Los atacantes también pueden usar la cuenta con privilegios en peligro para escalar aún más su acceso, lo que podría tener control sobre sistemas más confidenciales.
acción de corrección
- Introducción a una implementación de autenticación sin contraseña resistente a la suplantación de identidad (phishing)
- Asegurarse de que las cuentas con privilegios registren y usen métodos resistentes a la suplantación de identidad (phishing)
- Implementar la directiva de acceso condicional para tener como destino cuentas con privilegios y requerir credenciales resistentes a la suplantación de identidad mediante puntos fuertes de autenticación
- Supervisión de la actividad del método de autenticación
Los usuarios con privilegios inician sesión con métodos resistentes a la suplantación de identidad (phishing)
Sin métodos de autenticación resistentes a la suplantación de identidad ( phishing), los usuarios con privilegios son más vulnerables a los ataques de suplantación de identidad (phishing). Estos tipos de ataques engañan a los usuarios para revelar sus credenciales para conceder acceso no autorizado a los atacantes. Si se usan métodos de autenticación no resistentes a la suplantación de identidad ( phishing), los atacantes podrían interceptar credenciales y tokens, a través de métodos como ataques adversarios en el medio, lo que reduce la seguridad de la cuenta con privilegios.
Una vez que una cuenta o sesión con privilegios está en peligro debido a métodos de autenticación débiles, los atacantes podrían manipular la cuenta para mantener el acceso a largo plazo, crear otras puertas traseras o modificar los permisos de usuario. Los atacantes también pueden usar la cuenta con privilegios en peligro para escalar aún más su acceso, lo que podría tener control sobre sistemas más confidenciales.
acción de corrección
- Introducción a una implementación de autenticación sin contraseña resistente a la suplantación de identidad (phishing)
- Asegurarse de que las cuentas con privilegios registren y usen métodos resistentes a la suplantación de identidad (phishing)
- Implementar la directiva de acceso condicional para tener como destino cuentas con privilegios y requerir credenciales resistentes a la suplantación de identidad mediante puntos fuertes de autenticación
- Supervisión de la actividad del método de autenticación
Es posible que los atacantes obtengan acceso si la autenticación multifactor (MFA) no se aplica universalmente o si hay excepciones en vigor. Los atacantes pueden obtener acceso aprovechando vulnerabilidades de métodos de MFA más débiles, como SMS y llamadas telefónicas a través de técnicas de ingeniería social. Estas técnicas pueden incluir el intercambio de SIM o la suplantación de identidad (phishing) para interceptar códigos de autenticación.
Los atacantes pueden usar estas cuentas como puntos de entrada en el inquilino. Mediante el uso de sesiones de usuario interceptadas, los atacantes pueden ocultar sus actividades como acciones legítimas de usuario, eludir la detección y continuar su ataque sin provocar sospechas. Desde allí, podrían intentar manipular la configuración de MFA para establecer la persistencia, planear y ejecutar ataques adicionales en función de los privilegios de las cuentas en peligro.
acción de corrección
- Implementación de de autenticación multifactor
- Introducción a una implementación de autenticación sin contraseña resistente a la suplantación de identidad (phishing)
- Implementar directivas de acceso condicional para aplicar la seguridad de autenticación
- Revisar los métodos de autenticación
Los protocolos de autenticación heredados, como la autenticación básica para SMTP e IMAP, no admiten características de seguridad modernas como la autenticación multifactor (MFA), lo que es fundamental para proteger contra el acceso no autorizado. Esta falta de protección hace que las cuentas que usan estos protocolos sean vulnerables a los ataques basados en contraseñas y proporciona a los atacantes un medio para obtener acceso inicial mediante credenciales robadas o adivinadas.
Cuando un atacante obtiene correctamente acceso no autorizado a las credenciales, puede usarlos para acceder a los servicios vinculados mediante el método de autenticación débil como punto de entrada. Los atacantes que obtienen acceso a través de la autenticación heredada pueden realizar cambios en Microsoft Exchange, como configurar reglas de reenvío de correo o cambiar otras opciones, lo que les permite mantener el acceso continuo a las comunicaciones confidenciales.
La autenticación heredada también proporciona a los atacantes un método coherente para volver a escribir un sistema mediante credenciales en peligro sin desencadenar alertas de seguridad ni requerir la reautenticación.
Desde allí, los atacantes pueden usar protocolos heredados para acceder a otros sistemas a los que se puede acceder a través de la cuenta en peligro, lo que facilita el movimiento lateral. Los atacantes que usan protocolos heredados pueden combinarse con actividades legítimas del usuario, lo que dificulta que los equipos de seguridad distingan entre el uso normal y el comportamiento malintencionado.
acción de corrección
Implemente la siguiente directiva de acceso condicional:
Los roles integrados de Microsoft Entra con privilegios están dirigidos a directivas de acceso condicional para aplicar métodos resistentes a la suplantación de identidad (phishing)
Sin métodos de autenticación resistentes a la suplantación de identidad ( phishing), los usuarios con privilegios son más vulnerables a los ataques de suplantación de identidad (phishing). Estos tipos de ataques engañan a los usuarios para revelar sus credenciales para conceder acceso no autorizado a los atacantes. Si se usan métodos de autenticación no resistentes a la suplantación de identidad ( phishing), los atacantes podrían interceptar credenciales y tokens, a través de métodos como ataques adversarios en el medio, lo que reduce la seguridad de la cuenta con privilegios.
Una vez que una cuenta o sesión con privilegios está en peligro debido a métodos de autenticación débiles, los atacantes podrían manipular la cuenta para mantener el acceso a largo plazo, crear otras puertas traseras o modificar los permisos de usuario. Los atacantes también pueden usar la cuenta con privilegios en peligro para escalar aún más su acceso, lo que podría tener control sobre sistemas más confidenciales.
acción de corrección
- Introducción a una implementación de autenticación sin contraseña resistente a la suplantación de identidad (phishing)
- Asegurarse de que las cuentas con privilegios registren y usen métodos resistentes a la suplantación de identidad (phishing)
- Implementar la directiva de acceso condicional para tener como destino cuentas con privilegios y requerir credenciales resistentes a la suplantación de identidad mediante puntos fuertes de autenticación
- Supervisión de la actividad del método de autenticación
Los atacantes podrían aprovechar las aplicaciones válidas pero inactivas que todavía tienen privilegios elevados. Estas aplicaciones se pueden usar para obtener acceso inicial sin generar alarma porque son aplicaciones legítimas. Desde allí, los atacantes pueden usar los privilegios de aplicación para planear u ejecutar otros ataques. Los atacantes también pueden mantener el acceso manipulando la aplicación inactiva, como agregando credenciales. Esta persistencia garantiza que incluso si se detecta su método de acceso principal, pueden recuperar el acceso más adelante.
acción de corrección
- Deshabilitar entidades de servicio con privilegios
- Investigar si la aplicación tiene casos de uso legítimos
- Si la entidad de servicio no tiene casos de uso legítimos, elimínela
Los atacantes podrían aprovechar las aplicaciones válidas pero inactivas que todavía tienen privilegios elevados. Estas aplicaciones se pueden usar para obtener acceso inicial sin generar alarma porque son aplicaciones legítimas. Desde allí, los atacantes pueden usar los privilegios de aplicación para planear u ejecutar otros ataques. Los atacantes también pueden mantener el acceso manipulando la aplicación inactiva, como agregando credenciales. Esta persistencia garantiza que incluso si se detecta su método de acceso principal, pueden recuperar el acceso más adelante.
acción de corrección
- Deshabilitar entidades de servicio con privilegios inactivos
- Investigue si la aplicación tiene casos de uso legítimos. Si es así, analizar si un permiso de OAuth2 es una opción más adecuada
- Si la entidad de servicio no tiene casos de uso legítimos, elimínela
Las aplicaciones que usan secretos de cliente pueden almacenarlos en archivos de configuración, codificarlos de forma rígida en scripts o arriesgar su exposición de otras maneras. Las complejidades de la administración de secretos hacen que los secretos de cliente sean susceptibles de fugas y atractivos para los atacantes. Los secretos de cliente, cuando se exponen, proporcionan a los atacantes la capacidad de combinar sus actividades con operaciones legítimas, lo que facilita la omisión de los controles de seguridad. Si un atacante pone en peligro el secreto de cliente de una aplicación, puede escalar sus privilegios dentro del sistema, lo que conduce a un acceso y control más amplio, en función de los permisos de la aplicación.
Las aplicaciones y las entidades de servicio que tienen permisos para las API de Microsoft Graph u otras API tienen un mayor riesgo porque un atacante puede aprovechar estos permisos adicionales.
acción de corrección
-
Alejación de las aplicaciones de secretos compartidos a identidades administradas y adopción de prácticas más seguras.
- Uso de identidades administradas para recursos de Azure
- Implementación de directivas de acceso condicional para identidades de carga de trabajo
- Implementación del examen de secretos
- Implementación de directivas de autenticación de aplicaciones para aplicar prácticas de autenticación seguras
- Creación de un rol personalizado con privilegios mínimos para rotar las credenciales de la aplicación
- Asegúrese de que tiene un proceso para evaluar y supervisar aplicaciones
Los atacantes pueden extraer y aprovechar los certificados, si no se almacenan de forma segura, lo que conduce a un acceso no autorizado. Es más probable que los certificados de larga duración se expongan con el tiempo. Las credenciales, cuando se exponen, proporcionan a los atacantes la capacidad de combinar sus actividades con operaciones legítimas, lo que facilita la omisión de los controles de seguridad. Si un atacante pone en peligro el certificado de una aplicación, puede escalar sus privilegios dentro del sistema, lo que conduce a un acceso y control más amplio, en función de los privilegios de la aplicación.
acción de corrección
- Definir de configuración de aplicaciones basadas en certificados
- Definir entidades de certificación de confianza para aplicaciones y entidades de servicio en el de teantnt
- Definir directivas de administración de aplicaciones
- Crear un rol personalizado con privilegios mínimos para rotar las credenciales de aplicación
La creación de nuevas aplicaciones y principios de servicio está restringida a usuarios con privilegios
Si los usuarios no privados pueden crear aplicaciones y entidades de servicio, estas cuentas podrían estar mal configuradas o concederse más permisos de los necesarios, creando nuevos vectores para que los atacantes obtengan acceso inicial. Los atacantes pueden aprovechar estas cuentas para establecer credenciales válidas en el entorno y omitir algunos controles de seguridad.
Si estas cuentas sin privilegios se conceden por error permisos elevados de propietario de la aplicación, los atacantes pueden usarlos para pasar de un nivel inferior de acceso a un nivel de acceso más privilegiado. Los atacantes que ponen en peligro las cuentas noprivilegadas pueden agregar sus propias credenciales o cambiar los permisos asociados a las aplicaciones creadas por los usuarios sin privilegios para asegurarse de que pueden seguir accediendo al entorno sin detectar.
Los atacantes pueden usar entidades de servicio para combinar con actividades y procesos legítimos del sistema. Dado que las entidades de servicio suelen realizar tareas automatizadas, es posible que las actividades malintencionadas realizadas en estas cuentas no se marquen como sospechosas.
acción de corrección
Las cuentas de usuario externas a menudo se usan para proporcionar acceso a los asociados comerciales que pertenecen a organizaciones que tienen una relación empresarial con su empresa. Si estas cuentas están en peligro en su organización, los atacantes pueden usar las credenciales válidas para obtener acceso inicial a su entorno, a menudo pasando las defensas tradicionales debido a su legitimidad.
Permitir que los usuarios externos incorporen otros usuarios externos aumenta el riesgo de acceso no autorizado. Si un atacante pone en peligro la cuenta de un usuario externo, puede usarla para crear más cuentas externas, multiplicar sus puntos de acceso y dificultar la detección de la intrusión.
acción de corrección
Las cuentas de usuario externas a menudo se usan para proporcionar acceso a los asociados comerciales que pertenecen a organizaciones que tienen una relación empresarial con su empresa. Si estas cuentas están en peligro en su organización, los atacantes pueden usar las credenciales válidas para obtener acceso inicial a su entorno, a menudo pasando las defensas tradicionales debido a su legitimidad.
Las cuentas externas con permisos para leer los permisos de objetos de directorio proporcionan a los atacantes acceso inicial más amplio si están en peligro. Estas cuentas permiten a los atacantes recopilar información adicional del directorio para el reconocimiento.
acción de corrección
Las cuentas de usuario externas a menudo se usan para proporcionar acceso a los asociados comerciales que pertenecen a organizaciones que tienen una relación empresarial con su organización. Si estas cuentas están en peligro en su organización, los atacantes pueden usar las credenciales válidas para obtener acceso inicial a su entorno, a menudo pasando las defensas tradicionales debido a su legitimidad.
Los atacantes pueden obtener acceso con cuentas de usuario externas, si la autenticación multifactor (MFA) no se aplica universalmente o si hay excepciones en vigor. También pueden obtener acceso aprovechando las vulnerabilidades de métodos de MFA más débiles, como SMS y llamadas telefónicas mediante técnicas de ingeniería social, como el intercambio de SIM o la suplantación de identidad, para interceptar los códigos de autenticación.
Una vez que un atacante obtiene acceso a una cuenta sin MFA o una sesión con métodos MFA débiles, podría intentar manipular la configuración de MFA (por ejemplo, registrar métodos controlados por atacantes) para establecer la persistencia para planear y ejecutar más ataques en función de los privilegios de las cuentas en peligro.
acción de corrección
- Implemente directivas de acceso condicional para aplicar la seguridad de autenticación para los invitados.
- Para las organizaciones que tienen una relación empresarial más estrecha y examinan sus prácticas de MFA, considere la posibilidad de implementar la configuración de acceso entre inquilinos para aceptar la notificación de MFA.
Los registros de actividad y los informes de Microsoft Entra pueden ayudar a detectar intentos de acceso no autorizados o a identificar cuándo cambia la configuración del inquilino. Cuando los registros se archivan o integran con herramientas de administración de eventos e información de seguridad (SIEM), los equipos de seguridad pueden implementar controles de seguridad de supervisión y detección eficaces, búsqueda proactiva de amenazas y procesos de respuesta a incidentes. Los registros y las características de supervisión se pueden usar para evaluar el estado del inquilino y proporcionar evidencia de cumplimiento y auditorías.
Si los registros no se archivan o envían periódicamente a una herramienta SIEM para realizar consultas, es difícil investigar los problemas de inicio de sesión. La ausencia de registros históricos significa que los equipos de seguridad podrían perder patrones de intentos de inicio de sesión erróneos, actividad inusual y otros indicadores de riesgo. Esta falta de visibilidad puede evitar la detección oportuna de infracciones, lo que permite a los atacantes mantener el acceso no detectado durante períodos prolongados.
acción de corrección
- Configurar las opciones de diagnóstico de Microsoft Entra
- Integrar registros de Microsoft Entra con registros de Azure Monitor
- transmitir registros de Microsoft Entra a un centro de eventos
Los protocolos de autenticación heredados, como la autenticación básica para SMTP e IMAP, no admiten características de seguridad modernas como la autenticación multifactor (MFA), lo que es fundamental para proteger contra el acceso no autorizado. Esta falta de protección hace que las cuentas que usan estos protocolos sean vulnerables a los ataques basados en contraseñas y proporciona a los atacantes un medio para obtener acceso inicial mediante credenciales robadas o adivinadas.
Cuando un atacante obtiene correctamente acceso no autorizado a las credenciales, puede usarlos para acceder a los servicios vinculados mediante el método de autenticación débil como punto de entrada. Los atacantes que obtienen acceso a través de la autenticación heredada pueden realizar cambios en Microsoft Exchange, como configurar reglas de reenvío de correo o cambiar otras opciones, lo que les permite mantener el acceso continuo a las comunicaciones confidenciales.
La autenticación heredada también proporciona a los atacantes un método coherente para volver a escribir un sistema mediante credenciales en peligro sin desencadenar alertas de seguridad ni requerir la reautenticación.
Desde allí, los atacantes pueden usar protocolos heredados para acceder a otros sistemas a los que se puede acceder a través de la cuenta en peligro, lo que facilita el movimiento lateral. Los atacantes que usan protocolos heredados pueden combinarse con actividades legítimas del usuario, lo que dificulta que los equipos de seguridad distingan entre el uso normal y el comportamiento malintencionado.
acción de corrección
- los protocolos de Exchange se pueden desactivar en Exchange
- protocolos de autenticación heredados se pueden bloquear con de acceso condicional
- inicios de sesión con el libro de autenticación heredado para ayudar a determinar si es seguro desactivar la autenticación heredada
Es posible que los atacantes obtengan acceso si la autenticación multifactor (MFA) no se aplica universalmente o si hay excepciones en vigor. Los atacantes pueden obtener acceso aprovechando vulnerabilidades de métodos de MFA más débiles, como SMS y llamadas telefónicas a través de técnicas de ingeniería social. Estas técnicas pueden incluir el intercambio de SIM o la suplantación de identidad (phishing) para interceptar códigos de autenticación.
Los atacantes pueden usar estas cuentas como puntos de entrada en el inquilino. Mediante el uso de sesiones de usuario interceptadas, los atacantes pueden ocultar sus actividades como acciones legítimas de usuario, eludir la detección y continuar su ataque sin provocar sospechas. Desde allí, podrían intentar manipular la configuración de MFA para establecer la persistencia, planear y ejecutar ataques adicionales en función de los privilegios de las cuentas en peligro.
acción de corrección