Administración

La administración es la práctica de supervisión, mantenimiento y operación de sistemas de tecnologías de la información (TI) para satisfacer los niveles de servicio que requiere la empresa. La administración introduce algunos de los riesgos de seguridad de mayor impacto porque para realizar estas tareas se necesita un acceso con privilegios a un amplio conjunto de estos sistemas y aplicaciones. Los atacantes saben que obtener acceso a una cuenta con privilegios administrativos les puede proporcionar acceso a la mayoría o a todos los datos que tengan como objetivo, lo que hace que la seguridad de la administración sea una de las áreas de seguridad más críticas.

Por ejemplo, Microsoft realiza importantes inversiones en protección y aprendizaje para los administradores de nuestros sistemas en la nube y sistemas de TI:

La principal estrategia recomendada por Microsoft para los privilegios administrativos consiste en usar los controles disponibles para reducir el riesgo.

Reducir la exposición al riesgo (ámbito y tiempo): el principio de privilegios mínimos se logra mejor con los controles modernos que proporcionan privilegios a petición. Esto ayuda a limitar el riesgo limitando la exposición a privilegios administrativos mediante:

• Ámbito: Just Enough Access (JEA) solo proporciona los privilegios necesarios para la operación administrativa necesaria (frente a tener privilegios directos e inmediatos para muchos o todos los sistemas a la vez, lo que casi nunca es necesario).

• Tiempo: los enfoques Just-in-Time (JIT) proporcionan los privilegios necesarios en función de las necesidades.

• Reducción de otros riesgos: use una combinación de controles preventivos y de detección para reducir riesgos, como aislar las cuentas de administrador frente a los riesgos más comunes, la suplantación de identidad y la exploración web general, la simplificación y optimización del flujo de trabajo, el aumento de la seguridad en relación con las decisiones de autenticación y la identificación de anomalías en cuanto al comportamiento habitual de base de referencia que se puede bloquear o investigar.

Microsoft ha capturado y documentado los procedimientos recomendados para proteger las cuentas administrativas y los planes de desarrollo prioritarios y publicados para proteger el acceso con privilegios que se pueden usar como referencias para priorizar las mitigaciones de las cuentas con acceso con privilegios.

• Hoja de ruta de protección del acceso con privilegios (SPA) para administradores de una instancia local de Active Directory

• Guía para proteger a los administradores de Microsoft Entra ID

Minimizar el número de administradores de impacto crítico

Conceda el menor número de cuentas a los privilegios que puedan tener un impacto empresarial crítico

Cada cuenta de administrador representa una posible superficie expuesta a ataques que un atacante puede tener como objetivo, por lo que minimizar el número de cuentas con dicho privilegio ayuda a limitar el riesgo general de la organización. La experiencia nos ha enseñado que la pertenencia de estos grupos con privilegios crece de forma natural con el tiempo a medida que los usuarios cambian sus roles si la pertenencia no se limita y administra.

Se recomienda un enfoque que reduzca el riesgo de la superficie expuesta a ataques a la vez que garantice la continuidad empresarial en caso de que se produzca algún problema en un administrador:

• Asignar al menos dos cuentas al grupo con privilegios para la continuidad empresarial

• Cuando se requieren dos o más cuentas, proporcione una justificación para cada miembro, incluidos los dos originales.

• Revisar periódicamente la pertenencia y justificación de cada miembro del grupo

Cuentas administradas para administradores

Asegúrese de que todos los administradores de impacto crítico se administren en un directorio de empresa para seguir la aplicación de la directiva de la organización.

Las cuentas de consumidor, como @Hotmail.com, @live.com, @outlook.com, no ofrecen suficiente control y visibilidad en términos de seguridad para garantizar el cumplimiento de las directivas y requisitos normativos de la organización. Dado que las implementaciones de Azure suelen empezar por algo pequeño y de manera informal antes de crecer en inquilinos administrados por la empresa, algunas cuentas de consumidor permanecen como cuentas administrativas mucho tiempo después, por ejemplo, los jefes de proyecto de Azure originales, que crean puntos ciegos y posibles riesgos.

Cuentas independientes para administradores

Asegúrese de que todos los administradores de impacto crítico tengan una cuenta independiente para las tareas administrativas (frente a la cuenta que usan para el correo electrónico, la exploración web y otras tareas de productividad).

Los ataques de explorador web y suplantación de identidad (phishing) representan los vectores de ataque más comunes para poner en peligro las cuentas, incluidas las cuentas administrativas.

Cree una cuenta administrativa independiente para todos los usuarios que tengan un rol que requiera privilegios críticos. Para estas cuentas administrativas, bloquee las herramientas de productividad como el correo electrónico de Office 365 (quite la licencia). Si es posible, bloquee la exploración web arbitraria (con proxy o controles de aplicación) a la vez que permite excepciones para explorar Azure Portal y otros sitios necesarios para las tareas administrativas.

Privilegios Just-in-Time/sin acceso permanente

Evite proporcionar acceso "permanente" para cuentas que tengan un impacto crítico.

Los privilegios permanentes aumentan el riesgo empresarial al aumentar el tiempo que un atacante puede usar la cuenta para hacer daño. Los privilegios temporales obligan a los atacantes que desean atacar una cuenta a trabajar en el tiempo limitado durante el cual el administrador está usando la cuenta o a iniciar la elevación de privilegios (lo cual aumenta la posibilidad de ser detectado y eliminado del entorno).

Conceda privilegios necesarios solo cuando sea necesario mediante uno de estos métodos:

• Just in Time: habilite Microsoft Entra Privileged Identity Management (PIM) o una solución de terceros para exigir el seguimiento de un flujo de trabajo de aprobación con el fin de obtener privilegios para las cuentas que tengan un impacto crítico.

• Emergencia: en el caso de las cuentas que se usan con poca frecuencia, siga un proceso de acceso de emergencia para obtener acceso a las cuentas. Esto es preferible para los privilegios que tienen poca necesidad de uso operativo normal como los miembros de las cuentas de administrador global.

Cuentas de emergencia

Asegúrese de que dispone de un mecanismo para obtener acceso administrativo en caso de emergencia.

Aunque es poco frecuente, a veces surgen circunstancias extremas en las que ninguno de los medios normales de acceso administrativo está disponible.

Se recomienda que siga las instrucciones que se indican en Administración de cuentas administrativas de acceso de emergencia en Microsoft Entra ID y se asegure de que las operaciones de seguridad supervisan estas cuentas con cuidado.

Seguridad de estación de trabajo de administración

Garantizar que los administradores de impacto crítico usen una estación de trabajo con una supervisión y protecciones de seguridad elevadas

Los vectores de ataque que usan la exploración y el correo electrónico como la suplantación de identidad son económicos y comunes. Aislar a los administradores de impacto crítico de estos riesgos reducirá notablemente el riesgo de un incidente importante en el que una de estas cuentas queda en peligro y se usa para perjudicar a la empresa o misión.

Elija el nivel de seguridad de la estación de trabajo de administración en función de las opciones disponibles en https://aka.ms/securedworkstation

• Dispositivo de productividad muy seguro (estación de trabajo de seguridad mejorada o estación de trabajo especializada)
  Puede iniciar este recorrido de seguridad para los administradores de impacto crítico proporcionándoles una estación de trabajo muy segura que todavía permita tareas generales de exploración y productividad. Usar esto como un paso intermedio facilita la transición a estaciones de trabajo completamente aisladas tanto para los administradores de impacto crítico como para el personal de TI que proporciona soporte técnico a estos usuarios y sus estaciones de trabajo.

• Estación de trabajo de acceso con privilegios (estación de trabajo especializada o estación de trabajo protegida)
  Estas configuraciones representan el estado de seguridad ideal para los administradores de impacto crítico, ya que restringen considerablemente el acceso a los vectores de ataque de suplantación de identidad, explorador y aplicación de productividad. Estas estaciones de trabajo no permiten explorar Internet de manera general. Tan solo permiten el acceso del explorador a Azure Portal y a otros sitios administrativos.

Dependencias de administrador de impacto crítico: cuenta/estación de trabajo

Elija cuidadosamente las dependencias de seguridad locales para las cuentas de impacto crítico y sus estaciones de trabajo.

Para contener el riesgo de que se produzca un incidente importante que podría poner en peligro los recursos en la nube, debe eliminar o minimizar los medios de control que los recursos locales tienen en las cuentas de impacto crítico en la nube. Por ejemplo, los atacantes que ponen en peligro Active Directory local pueden tener acceso a recursos basados en la nube que se basan en esas cuentas como recursos de Azure, Amazon Web Services (AWS), ServiceNow, etc. Los atacantes también pueden usar estaciones de trabajo unidas a los dominios locales para obtener acceso a las cuentas y los servicios administrados.

Elegir el nivel de aislamiento de los medios locales de control también, también conocidos como dependencias de seguridad para las cuentas de impacto crítico

• Cuentas de usuario: elija dónde hospedar las cuentas de impacto crítico

  • Cuentas nativas de Microsoft Entra -*Crear cuentas nativas de Microsoft Entra que no estén sincronizadas con el directorio activo local.

  • Sincronizar desde el directorio activo local (No recomendado): Aproveche las cuentas existentes alojadas en el directorio activo local.

• Estaciones de trabajo: elija cómo administrar y proteger las estaciones de trabajo utilizadas por cuentas de administrador críticas:

  • Administración y seguridad nativas de la nube (recomendado): una estaciones de trabajo a Microsoft Entra ID & Manage/Patch them con Intune u otros servicios en la nube. Proteja y supervise con ATP de Microsoft Defender u otro servicio en la nube no administrado por cuentas basadas en el entorno local.

  • Administración con sistemas existentes: una un dominio de AD y utilice la funcionalidad existente de administración o seguridad.

Autenticación sin contraseña o multifactor para administradores

Exija que todos los administradores de impacto crítico usen la autenticación sin contraseña o la autenticación multifactor (MFA).

Los métodos de ataque han evolucionado hasta el punto en el que las contraseñas por sí solas no pueden proteger una cuenta de forma confiable. Esto está bien documentado en una sesión de Microsoft Ignite.

Las cuentas administrativas y todas las cuentas críticas deben usar uno de los siguientes métodos de autenticación. Estas funcionalidades se muestran en orden de preferencia según el costo más alto o la mayor dificultad para atacar (opciones más seguras/preferidas) al costo más bajo o la menor dificultad para atacar:

• Sin contraseña (por ejemplo, Windows Hello)
  https://aka.ms/HelloForBusiness

• Sin contraseña (aplicación de autenticación)
  </azure/active-directory/authentication/howto-authentication-phone-sign-in>

• Autenticación multifactor
  </azure/active-directory/authentication/howto-mfa-userstates>

Tenga en cuenta que la autenticación multifactor basada en mensajes de texto SMS se ha convertido en un factor muy económico para que los atacantes sorteen, por lo que le recomendamos que evite depender de esta. Esta opción sigue siendo más segura que las contraseñas por sí solas, pero es mucho más débil que otras opciones de MFA.

Exigir el acceso condicional para administradores: confianza cero

La autenticación para todos los administradores y otras cuentas de impacto crítico debe incluir la medición y la aplicación de atributos de seguridad clave para admitir una estrategia de confianza cero.

Los atacantes que ponen en peligro las cuentas de administrador de Azure pueden provocar daños importantes. El acceso condicional puede reducir significativamente el riesgo mediante la aplicación de una higiene de seguridad antes de permitir el acceso a la administración de Azure.

Configure una directiva de acceso condicional para la administración de Azure que satisfaga la inclinación al riesgo y las necesidades operativas de su organización.

• Requerir la autenticación multifactor o la conexión desde una red de trabajo designada

• Requerir integridad del dispositivo con ATP de Microsoft Defender (Strong Assurance)

Evitar permisos pormenorizados y personalizados

Evitar permisos que hagan referencia específicamente a usuarios o recursos individuales

Los permisos específicos crean complejidad y confusión innecesarias, ya que no trasladan la intención a nuevos recursos similares. Esto se agrega a una configuración heredada compleja que es difícil de mantener o cambiar sin temor a "estropear algo", lo cual afecta negativamente a la agilidad de la seguridad y la solución.

En lugar de asignar permisos específicos de recursos, use:

• Grupos de administración para permisos de toda la empresa

• Grupos de recursos para permisos en suscripciones

En lugar de conceder permisos a usuarios específicos, asigne acceso a los grupos en Microsoft Entra ID. Si no hay un grupo adecuado, trabaje con el equipo de identidad para crear uno. Esto permite agregar y quitar miembros del grupo de forma externa a Azure y garantizar que los permisos están actualizados, al mismo tiempo que se permite el uso del grupo para otros fines, como listas de distribución de correo.

Usar roles integrados

Use los roles integrados para asignar permisos siempre que sea posible.

La personalización conduce a la complejidad que aumenta la confusión y hace que la automatización sea más compleja, desafiante y frágil. Todos estos factores afectan negativamente a la seguridad

Se recomienda evaluar los roles integrados diseñados para cubrir la mayoría de los escenarios normales. Los roles personalizados son una funcionen eficaz y útil, pero se deben reservar para casos en los que los roles integrados no funcionen.

Establecer la administración del ciclo de vida de las cuentas de impacto crítico

Asegúrese de que tiene un proceso para deshabilitar o eliminar cuentas administrativas cuando el personal administrativo deja la organización (o deja las posiciones administrativas).

Consulte Administración del acceso de usuarios y usuarios invitados con revisiones de acceso para más información.

Simulación de ataque para cuentas de impacto crítico

Simule periódicamente ataques contra usuarios administrativos con técnicas de ataque actuales para educarlos y capacitarlos.

Los usuarios son una parte fundamental de la defensa, especialmente el personal con acceso a las cuentas de impacto crítico. Garantizar que estos usuarios (e idealmente todos los usuarios) tengan los conocimientos y las aptitudes necesarios para evitar y soportar ataques reducirá el riesgo general de la organización.

Puede usar las funcionalidades de simulación de ataques de Office 365 o las ofertas de terceros que desee.

Pasos siguientes

Para obtener instrucciones de seguridad adicionales de Microsoft, consulte la documentación de seguridad de Microsoft.