Compartir a través de

Planificación de un entorno bastión

Agregar un entorno bastión con un bosque administrativo dedicado a una instancia de Active Directory permite que las organizaciones administren las cuentas administrativas, estaciones de trabajo y grupos de un entorno que tiene controles de seguridad más eficaces que los del entorno de producción existente.

Nota:

El enfoque de PAM con un entorno bastión, proporcionado por MIM, está diseñado para usarse en una arquitectura personalizada para entornos aislados donde no hay acceso a Internet, donde la normativa exige esta configuración, o en entornos aislados de alto impacto, como laboratorios de investigación sin conexión o entornos de tecnología operativa o de control y adquisición de datos desconectados. Si su Active Directory forma parte de un entorno conectado a Internet, consulte la sección sobre seguridad de acceso con privilegios para obtener más información sobre cómo comenzar.

Esta arquitectura permite implementar controles que no serían posibles o que no podrían configurarse fácilmente en una arquitectura de un solo bosque. Esto incluye el aprovisionamiento de cuentas como usuarios estándar sin privilegios en el bosque administrativo y que cuentan con altos privilegios en el entorno de producción, lo que permite un mayor cumplimiento técnico de la gobernanza. Esta arquitectura también permite usar la característica de autenticación selectiva de una confianza como un medio de restringir los inicios de sesión (y la exposición de credenciales) solo a los hosts autorizados. En situaciones en las que se desea un mayor nivel de control para el bosque de producción sin el costo y la complejidad que implica una recompilación total, un bosque administrativo puede proporcionar un entorno que aumente el nivel de control del entorno de producción.

Se pueden utilizar técnicas adicionales al bosque administrativo dedicado. Estas técnicas incluyen restringir la exposición de las credenciales administrativas, limitar los privilegios de rol de los usuarios en ese bosque y garantizar que las tareas administrativas no se realicen en los hosts que se utilizan para las actividades de usuario estándar (por ejemplo, correo electrónico y exploración web).

Consideraciones acerca de prácticas recomendadas

Un bosque administrativo dedicado es un bosque de Active Directory de dominio único estándar, utilizado para la administración de Active Directory. Un beneficio de usar bosques y dominios administrativos es que pueden incluir más medidas de seguridad que los bosques de producción, debido a sus casos de uso limitados. Además, dado que este bosque se encuentra separado y no confía en los bosques existentes de la organización, una vulneración de seguridad en otro bosque no se extendería a este bosque dedicado.

El diseño de un bosque administrativo tiene las siguientes consideraciones:

Ámbito limitado

El valor de un bosque de administración es el alto nivel de garantía de seguridad y la superficie de ataque reducida. El bosque puede albergar aplicaciones y funciones de administración adicionales, pero cada aumento en el ámbito aumentará la superficie del bosque y sus recursos expuesta a ataques. El objetivo consiste en limitar las funciones del bosque para mantener una superficie de ataque mínima.

Según el modelo de partición del modelo de niveles para los privilegios administrativos, las cuentas de un bosque administrativo dedicado deben estar en un solo nivel, típicamente en el nivel 0 o el nivel 1. Si el bosque pertenece al nivel 1, considere restringir su uso a una aplicación específica (por ejemplo, aplicaciones financieras) o a una comunidad de usuarios determinada (por ejemplo, proveedores de TI subcontratados).

Confianza restringida

El bosque CORP debe confiar en el bosque PRIV administrativo, pero no al revés. Puede tratarse de una confianza de dominio o una confianza de bosque. No es necesario que el dominio del bosque administrativo confíe en los bosques y dominios administrados para poder administrar Active Directory; sin embargo, algunas aplicaciones adicionales podrían requerir una relación de confianza bidireccional, validación de la seguridad y prueba.

La autenticación selectiva debe usarse para asegurarse de que las cuentas del bosque de administración solo usen los hosts de producción adecuados. Para mantener los controladores de dominio y delegar derechos en Active Directory, normalmente se requiere otorgar el derecho "Se permite el inicio de sesión" de los controladores de dominio a las cuentas de administración designadas de nivel 0 en el bosque administrativo. Consulte la sección Configuración de la autenticación selectiva para más información.

Mantenimiento de la separación lógica

Para asegurar que el entorno bastión no se vea afectado por incidentes de seguridad, presentes o futuros, en el Active Directory organizacional, aplique las siguientes directrices al preparar los sistemas para el entorno bastión:

  • Los servidores de Windows Server no deben estar unidos a un dominio ni tampoco deben utilizar la distribución de configuración o software del entorno existente.

  • El entorno bastión debe contener sus propios Active Directory Domain Services, lo que brinda Kerberos y LDAP, DNS, tiempo y servicios de tiempo al entorno bastión.

  • MIM no debe utilizar una granja de bases de datos SQL existente en el entorno actual. SQL Server debe instalarse en servidores dedicados dentro del entorno bastión.

  • El entorno bastión requiere Microsoft Identity Manager 2016; específicamente, se deben implementar los componentes MIM Service y PAM.

  • El software y los medios de copia de seguridad del entorno bastión deben estar separados de los sistemas de los bosques existentes, de manera tal que un administrador del bosque existente no pueda trastocar una copia de seguridad del entorno bastión.

  • Los usuarios que administrar los servidores del entorno bastión deben iniciar sesión desde estaciones de trabajo a la que los administradores del entorno existente no puedan tener acceso, de manera tal que no se filtren las credenciales correspondientes al entorno bastión.

Garantía de la disponibilidad de los servicios de administración

A medida que se transfiera la administración de aplicaciones al entorno bastión, considere cómo proporcionar la disponibilidad necesaria para cumplir con los requisitos de dichas aplicaciones. Las técnicas incluyen:

  • Implementar Active Directory Domain Services en varios equipos del entorno bastión. Se necesitan al menos dos para garantizar que la autenticación continúe, incluso si un servidor se reinicia de forma temporal para realizar un mantenimiento programado. Tal vez se necesiten equipos adicionales para manejar una carga mayor o gestionar recursos y administradores distribuidos geográficamente.

  • Prepare las cuentas de emergencia en el bosque existente y el bosque de administración dedicado, con fines de emergencia.

  • Implementar SQL Server y Servicio MIM en varios equipos del entorno bastión.

  • Mantenga una copia de respaldo de AD y SQL ante cada cambio en los usuarios o las definiciones de roles en el bosque administrativo dedicado.

Configuración de los permisos adecuados en Active Directory

El bosque administrativo debe estar configurado en el menor nivel de privilegio según los requisitos para la administración de Active Directory.

  • Las cuentas existentes en el bosque administrativo que se usan para administrar el entorno de producción no deben contar con privilegios administrativos para el bosque administrativo o los dominios o estaciones de trabajo que existen en él.

  • Un proceso sin conexión controlará rigurosamente los privilegios administrativos sobre el bosque administrativo mismo, con el fin de disminuir la posibilidad de que un atacante o un infiltrado malintencionado borre los registros de auditoría. Esto también ayuda a asegurarse de que el personal con cuentas de administración de producción no flexibilice las restricciones sobre sus cuentas y aumente el riesgo para la organización.

  • El bosque administrativo debe respetar las configuraciones de Microsoft Security Compliance Manager (SCM) para el dominio, incluidas configuraciones seguras para los protocolos de autenticación.

Cuando cree el entorno bastión, antes de instalar Microsoft Identity Manager, identifique y cree las cuentas que se usarán para la administración dentro de este entorno. Esto incluirá:

  • Las cuentas de emergencia solo deben poder iniciar sesión en los controladores de dominio del entorno bastión.

  • Los administradores con “tarjeta roja” aprovisionan otras cuentas y realizan tareas de mantenimiento no programadas. No tienen acceso a bosques o sistemas existentes fuera del entorno bastión. Las credenciales, por ejemplo, una tarjeta inteligente, deben protegerse de manera física y se debe registrar el uso de estas cuentas.

  • Se necesitan cuentas de servicio para Microsoft Identity Manager, SQL Server y otros programas.

Protección de los hosts

Todos los hosts, incluidos los controladores de dominio, los servidores y las estaciones de trabajo unidas al bosque administrativo, deben contar con los sistemas operativos más recientes y tener instalados los últimos paquetes de servicio, manteniéndolos actualizados.

  • Las aplicaciones necesarias para realizar la administración deben estar instaladas previamente en las estaciones de trabajo, para que no sea necesario que las cuentas que las usan estén en el grupo de administradores locales para instalarlas. Normalmente, el mantenimiento de los controladores de dominio se realiza con RDP y con Herramientas de administración remota del servidor.

  • Las actualizaciones de seguridad se deben aplicar automáticamente a los hosts del bosque administrativo. Aunque esto puede generar un riesgo de interrumpir las operaciones de mantenimiento de los controladores de dominio, permite mitigar, en gran medida, el riesgo de seguridad de las vulnerabilidades a las que no se aplicó una revisión.

Identificación de los hosts administrativos

Debe evaluar el riesgo de un sistema o una estación de trabajo según la actividad de mayor riesgo que se realice en él, como la navegación en Internet, el envío y la recepción de correos electrónicos o el uso de otras aplicaciones que procesen contenido desconocido o no confiable.

Los hosts administrativos incluyen los siguientes equipos:

  • Un equipo de escritorio, en el que se escriben o ingresan físicamente las credenciales del administrador.

  • "Servidores de salto" administrativos, donde se ejecutan las herramientas y las sesiones administrativas.

  • Todos los hosts donde se realizan acciones administrativas, incluidos los que usan un escritorio de usuario estándar que ejecuta un cliente RDP para administrar servidores y aplicaciones de forma remota.

  • Servidores que hospedan aplicaciones que se deben administrar, y a los que no se puede tener acceso mediante RDP con modo de administración restringida o la comunicación remota de Windows PowerShell.

Implementación de estaciones de trabajo administrativas dedicadas

Aunque puede resultar poco conveniente, se podría requerir estaciones de trabajo independientes y reforzadas, dedicadas a usuarios con credenciales administrativas de alto impacto. Es fundamental proporcionar un host con un nivel de seguridad igual o superior al nivel de privilegios otorgado a las credenciales. Considere incorporar las siguientes medidas para protección adicional:

  • Verifique que todos los medios en la compilación estén limpios para mitigar la posibilidad de malware instalado en una imagen maestra o inyectado en un archivo de instalación durante la descarga o el almacenamiento.

  • Las líneas base de seguridad se deben usar como configuraciones iniciales. Microsoft Security Compliance Manager (SCM) puede ayudarle a configurar las líneas base en los hosts administrativos.

  • Arranque seguro, para mitigar el riesgo de atacantes o malware que intenten cargar código sin firma en el proceso de arranque.

  • Restricciones de software, para asegurar que solo se ejecute software administrativo autorizado en los hosts administrativos. Los clientes pueden usar AppLocker para esta tarea con una lista aprobada de aplicaciones autorizadas, con la finalidad de evitar que se ejecute software malintencionado y aplicaciones no compatibles.

  • Cifrado del volumen completo, para mitigar la pérdida física de equipos, como equipos portátiles administrativos que se usan de forma remota.

  • Restricciones USB, para proteger contra vectores de infección físicos.

  • Aislamiento de la red, para proteger contra ataques a la red y acciones administrativas involuntarias. Los firewalls de host deben bloquear todas las conexiones entrantes, excepto las que se requieren de forma explícita, y bloquear todo el acceso a Internet saliente innecesario.

  • Antimalware, para proteger contra malware y amenazas conocidas.

  • Mitigaciones de vulnerabilidades para mitigar amenazas y vulnerabilidades de seguridad desconocidas, incluido el Kit de herramientas de experiencia de mitigación mejorada (EMET).

  • Análisis de la superficie expuesta a ataques, para evitar el ingreso de nuevos vectores de ataque a Windows durante la instalación de software nuevo. Herramientas como el analizador de superficie expuesta a ataques (ASA) ayudará a evaluar las opciones de configuración de un host y a identificar los vectores de ataque que ingresaron debido a los cambios en la configuración o un software.

  • Los privilegios administrativos no deben concederse a los usuarios en su equipo local.

  • Modo RestrictedAdmin para las sesiones RDP salientes, excepto cuando lo requiera el rol. Consulte las Novedades en los servicios de escritorio remoto en Windows Server para obtener más información.

Algunas de estas medidas pueden parecer extremas, pero las revelaciones públicas realizadas en los últimos años mostraron las funcionalidades importantes que poseen los adversarios experimentados para poner en peligro sus objetivos.

Preparación de dominios existentes para ser gestionados por el entorno bastión

MIM usa cmdlets de PowerShell para establecer la confianza entre los dominios de AD existentes y el bosque administrativo dedicado en el entorno bastión. Después de implementar el entorno bastión, y antes de convertir cualquier usuario o grupo a JIT, los cmdlets New-PAMTrust y New-PAMDomainConfiguration actualizarán las relaciones de confianza entre dominios y crearán los artefactos necesarios para AD y MIM.

Cuando se produzcan cambios en la topología existente de Active Directory, use los cmdlets Test-PAMTrust, Test-PAMDomainConfiguration, Remove-PAMTrust y Remove-PAMDomainConfiguration para actualizar las relaciones de confianza.

Establecimiento de la confianza para cada bosque

Debe ejecutar el cmdlet New-PAMTrust una vez por cada bosque existente. Se invoca en el equipo del Servicio MIM en el dominio administrativo. Los parámetros para este comando son el nombre de dominio del dominio principal del bosque existente y la credencial de un administrador de ese dominio.

New-PAMTrust -SourceForest "contoso.local" -Credentials (get-credential)

Después de establecer la confianza, configure cada dominio para habilitar la administración desde el entorno bastión, tal como se describe en la siguiente sección.

Habilitación de la administración de cada dominio

Existen siete requisitos para habilitar la administración para un dominio existente.

1. Un grupo de seguridad en el dominio local

Debe existir un grupo en el dominio actual, cuyo nombre sea el nombre de NetBIOS del dominio seguido de tres signos de dólar, por ejemplo: CONTOSO$$$. El ámbito de grupo debe ser local del dominio y el tipo de grupo debe ser Seguridad. Esto es necesario para que se puedan crear grupos en el bosque administrativo dedicado con el mismo identificador de seguridad que los grupos de este dominio. Cree este grupo con el siguiente comando de PowerShell, ejecutado por un administrador del dominio existente y en una estación de trabajo unida al mismo:

New-ADGroup -name 'CONTOSO$$$' -GroupCategory Security -GroupScope DomainLocal -SamAccountName 'CONTOSO$$$'

2. Auditoría de éxito y fracaso

La configuración de directiva de grupo en el controlador de dominio para la auditoría debe incluir tanto la auditoría de éxito como la auditoría de fracaso para la administración de cuentas y el acceso al servicio de directorio. Esto se puede realizar con la Consola de administración de directivas de grupo, que un administrador del dominio existente puede realizar y ejecutar en una estación de trabajo unida al dominio existente:

  1. Vaya a Inicio>Herramientas administrativas>Administración de directivas de grupo.

  2. Vaya a Bosque: contoso.local>Dominios>contoso.local>Controladores de dominio>Política predeterminada de controladores de dominio. Aparecerá un mensaje informativo.

    Directiva predeterminada de los controladores de dominio (captura de pantalla)

  3. Haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y seleccione Editar. Aparecerá una nueva ventana.

  4. En la ventana Editor de administración de directivas de grupo, en el árbol Directiva predeterminada de controladores de dominio, vaya a Configuración del equipo>Directivas>Configuración de Windows>Configuración de seguridad>Directivas locales>Directiva de auditoría.

    Editor de administración de directivas de grupo (captura de pantalla)

  5. En el panel de detalles, haga clic con el botón derecho en Auditar la administración de cuentas y seleccione Propiedades. Seleccione Definir esta configuración de directiva, marque la casilla en Éxito, marque la casilla en Fallo, haga clic en Aplicar y Aceptar.

  6. En el panel de detalles, haga clic con el botón derecho en Auditar acceso al servicio de directorio y seleccione Propiedades. Seleccione Definir esta configuración de directiva, marque la casilla en Éxito, marque la casilla en Fallo, haga clic en Aplicar y Aceptar.

    Configuración de auditoría de éxito y fracaso (captura de pantalla)

  7. Cierre la ventana del Editor de administración de directivas de grupo y la ventana de Administración de directivas de grupo. A continuación, para aplicar la configuración de auditoría, inicie una ventana de PowerShell y escriba:

    gpupdate /force /target:computer

El mensaje “La actualización de la directiva de equipo se completó correctamente.” debe aparecer después de unos minutos.

3. Permita conexiones a la autoridad de seguridad local

Los controladores de dominio deben permitir RPC a través de conexiones TCP/IP para la autoridad de seguridad local (LSA) desde el entorno bastión. En versiones anteriores de Windows Server, la compatibilidad de TCP/IP en LSA debe estar habilitada en el registro:

New-ItemProperty -Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa -Name TcpipClientSupport -PropertyType DWORD -Value 1

4. Cree la configuración de dominio de PAM

Ejecute el cmdlet New-PAMDomainConfiguration en el equipo del servicio de MIM, dentro del dominio administrativo. Los parámetros para este comando son el nombre de dominio del dominio existente y la credencial de un administrador de ese dominio.

 New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials (get-credential)

5. Otorgue permisos de lectura a cuentas

Las cuentas del bosque bastión usadas para establecer roles (administradores que usan los cmdlets de New-PAMUser y New-PAMGroup), así como la cuenta utilizada por el servicio de supervisión de MIM, necesitan permisos de lectura en ese dominio.

Siga estos pasos para habilitar el acceso de lectura al usuario PRIV\Administrator en el dominio de Contoso, dentro del controlador de dominio de CORPDC:

  1. Asegúrese de que inició sesión en CORPDC como administrador del dominio Contoso (por ejemplo, como Contoso\Administrador).

  2. Inicie Usuarios y equipos de Active Directory.

  3. Haga clic con el botón derecho en el dominio contoso.local y seleccione Delegar control.

  4. En la pestaña Usuarios y grupos seleccionados, haga clic en Agregar.

  5. En la ventana emergente Seleccionar usuarios, equipos o grupos, haga clic en Ubicaciones y cambie la ubicación a priv.contoso.local. En el nombre del objeto, escriba Administradores del dominio y haga clic en Comprobar nombres. Cuando aparezca un elemento emergente, introduce el nombre de usuario priv\administrator y la contraseña.

  6. Después de administradores de dominio, escriba ; MIMMonitor. Una vez subrayados los nombres Administradores de dominio y MIMMonitor, haga clic en Aceptary, a continuación, haga clic en Siguiente.

  7. En la lista de tareas comunes, seleccione Leer toda la información de usuario, luego haga clic en Siguiente y en Finalizar.

  8. Cierre Usuarios y equipos de Active Directory.

6. Una cuenta de emergencia

Si el objetivo del proyecto de administración de acceso con privilegios es reducir el número de cuentas con privilegios de Administrador de Dominio asignadas permanentemente al dominio, debe haber una cuenta de emergencia en el dominio, en caso de que haya un problema posterior con la relación de confianza. En cada dominio deben existir cuentas para el acceso de emergencia al bosque de producción y solo deberían tener acceso a los controladores de dominio. Para organizaciones con múltiples sitios, es posible que se requieran cuentas adicionales para lograr redundancia.

7. Actualizar permisos en el entorno bastión

Revise los permisos del objeto AdminSDHolder en el contenedor del sistema de ese dominio. El objeto AdminSDHolder tiene una lista de control de acceso (ACL) que se usa para controlar los permisos de las entidades de seguridad que son miembros de los grupos de Active Directory con privilegios integrados. Observe que si se realizaron cambios en los permisos predeterminados que pudieran afectar a los usuarios con privilegios administrativos en el dominio, debido a que esos permisos no se aplicarán a los usuarios con cuentas en el entorno bastión.

Selección de usuarios y grupos para su inclusión

El próximo paso es definir los roles de PAM, mediante la asociación de los usuarios y grupos a los que deberían tener acceso. Normalmente, estos usuarios y grupos forman parte de un subconjunto correspondiente al nivel que será gestionado en el entorno bastión. Más información se encuentra en Definición de roles para la gestión de acceso privilegiado.

  • Last updated on