Guía de acceso con privilegios heredados

Importante

Esta guía se ha reemplazado por las instrucciones actualizadas de estación de trabajo segura que forma parte de una solución completa para proteger el acceso con privilegios.

Esta documentación se conserva en línea solo con fines de archivo y referencia. Microsoft recomienda encarecidamente seguir las nuevas instrucciones para una solución que sea más segura y fácil de implementar y admitir.

Guía heredada

Las estaciones de trabajo de acceso con privilegios (PAW) proporcionan un sistema operativo dedicado para tareas confidenciales que están protegidas contra ataques de Internet y vectores de amenazas. La separación de estas tareas y cuentas confidenciales de las estaciones de trabajo y los dispositivos de uso diario proporciona una protección segura frente a ataques de suplantación de identidad, vulnerabilidades de aplicación y sistema operativo, varios ataques de suplantación de identidad y ataques de robo de credenciales, como el registro de pulsaciones de teclas, pass-the-hashy pass-the-ticket.

¿Qué es una estación de trabajo de acceso con privilegios?

En términos más sencillos, una PAW es una estación de trabajo protegida y bloqueada diseñada para proporcionar garantías de seguridad elevadas para las cuentas y tareas confidenciales. Se recomiendan PAW para la administración de sistemas de identidad, servicios en la nube, tejido de nube privado y funciones empresariales confidenciales.

Nota

La arquitectura PAW no requiere una asignación 1:1 de cuentas a las estaciones de trabajo, aunque es una configuración común. PAW crea un entorno de estación de trabajo de confianza que puede usar una o varias cuentas.

Para proporcionar la mayor seguridad, los PAW siempre deben ejecutar el sistema operativo más actualizado y seguro disponible: Microsoft recomienda encarecidamente Windows 11 Enterprise, que incluye otras características de seguridad no disponibles en otras ediciones (en particular, Credencial de restricción y Dispositivo de restricción).

Nota

Las organizaciones sin acceso a Windows 11 Enterprise pueden usar Windows 11 Pro, que incluye muchas de las tecnologías fundamentales críticas para las PAW, como arranque de confianza, BitLocker y Escritorio remoto. Los clientes de Educación pueden usar Windows 11 Education.

Windows 11 Home no debe usarse para una PAW (Workstation de Acceso Privilegiado).

Los controles de seguridad de PAW se centran en mitigar los riesgos de alto impacto y alta probabilidad de riesgo. Estos incluyen la mitigación de ataques al medio ambiente y los riesgos que pueden reducir la eficacia de los controles PAW con el tiempo.

• ataques a Internet: la mayoría de los ataques se originan directa o indirectamente en orígenes de Internet y usan Internet para la filtración y el comando y el control (C2). Aislar la PAW de la red abierta de Internet es un elemento clave para asegurarse de que la PAW no esté comprometida.
• riesgo de facilidad de uso: si una PAW es demasiado difícil de usar para tareas diarias, los administradores están motivados a crear soluciones alternativas para facilitar sus trabajos. Con frecuencia, estas soluciones alternativas abren la estación de trabajo administrativa y las cuentas a riesgos de seguridad significativos, por lo que es fundamental implicar y capacitar a los usuarios de PAW para mitigar estos problemas de facilidad de uso de forma segura. Esto se puede lograr escuchando sus comentarios, instalando herramientas y scripts necesarios para realizar sus trabajos y asegurándose de que todo el personal administrativo tenga en cuenta por qué necesitan usar una PAW, qué es una PAW y cómo usarla correctamente y correctamente.
• Riesgos del entorno: dado que muchos otros equipos y cuentas del entorno se exponen directamente o indirectamente al riesgo de Internet, una PAW debe protegerse frente a ataques contra activos en peligro en el entorno de producción. Esto requiere minimizar el uso de herramientas de administración y cuentas que tienen acceso a los PAW para proteger y supervisar estas estaciones de trabajo especializadas.
• de manipulación de la cadena de suministro: aunque es imposible eliminar todos los posibles riesgos de manipulación en la cadena de suministro para hardware y software, realizar algunas acciones clave puede mitigar los vectores de ataque críticos que están disponibles fácilmente para los atacantes. Esto incluye la validación de la integridad de todos los medios de instalación y el uso de un proveedor de confianza para hardware y software.
• ataques físicos: dado que las PAW pueden ser físicamente móviles y usarse fuera de las instalaciones físicamente seguras, deben protegerse contra ataques que aplican acceso físico no autorizado al equipo.

Importante

Una PAW no protegerá un entorno de un adversario que ya haya obtenido acceso administrativo a través de un bosque de Active Directory. Dado que muchas implementaciones existentes de Active Directory Domain Services han estado funcionando durante años en riesgo de robo de credenciales, las organizaciones deben asumir infracciones y considerar la posibilidad de que puedan tener un riesgo no detectado de credenciales de dominio o administrador de empresa. Una organización que sospecha de una posible violación de dominio debería considerar el uso de servicios profesionales de respuesta a incidentes.

Para más información sobre la guía de respuesta y recuperación, consulte las secciones "Respond to suspicious activity" (Respuesta a actividad sospechosa) y "Recover from a breach" (Recuperación de una infracción) de Mitigating Pass-the-Hash and Other Credential Theft, version 2 (Mitigación de ataques pass-the-hash y otros robos de credenciales, versión 2).

Perfiles de hardware de PAW heredados

El personal administrativo también es un usuario estándar: necesitan una PAW y una estación de trabajo de usuario estándar para comprobar el correo electrónico, examinar la web y acceder a las aplicaciones de línea de negocio corporativas. Asegurarse de que los administradores pueden seguir siendo productivos y seguros es esencial para el éxito de cualquier implementación de PAW. Una solución segura que limite drásticamente la productividad será abandonada por los usuarios en favor de una que mejore la productividad (incluso si se hace de forma insegura).

Para equilibrar la necesidad de seguridad con la necesidad de productividad, Microsoft recomienda usar uno de estos perfiles de hardware PAW:

• hardware dedicado: separe dispositivos dedicados para tareas de usuario frente a tareas administrativas.
• Uso simultáneo: dispositivo único que puede ejecutar tareas de usuario y tareas administrativas simultáneamente aprovechando la virtualización del sistema operativo o la virtualización de presentación.

Las organizaciones pueden usar solo un perfil o ambos. No hay problemas de interoperabilidad entre los perfiles de hardware y las organizaciones tienen la flexibilidad de hacer coincidir el perfil de hardware con la necesidad y la situación específicas de un administrador determinado.

Importante

Es fundamental que, en todos estos escenarios, al personal administrativo se le proporcione una cuenta de usuario estándar, separada de las cuentas administrativas designadas. Las cuentas administrativas solo deben usarse en el sistema operativo administrativo de PAW.

En esta tabla se resumen las ventajas y desventajas relativas de cada perfil de hardware desde la perspectiva de la facilidad de uso operativa y la productividad y la seguridad. Ambos enfoques de hardware proporcionan una seguridad sólida para las cuentas administrativas contra el robo y la reutilización de credenciales.

Escenario	Ventajas	Desventajas
Hardware dedicado	- Señal fuerte para confidencialidad de tareas - Separación de seguridad más fuerte	- Espacio adicional de escritorio - Peso adicional (para trabajo remoto) - Costo de hardware
Uso simultáneo	- Menor costo de hardware - Experiencia de dispositivo único	- El uso compartido de un solo teclado o mouse crea riesgo de errores o riesgos accidentales

Esta guía contiene las instrucciones detalladas para la configuración de PAW para el enfoque de hardware dedicado. Si tiene requisitos para los perfiles de hardware de uso simultáneo, puede adaptar las instrucciones basadas en esta guía usted mismo o contratar una organización de servicios profesionales como Microsoft para ayudarle.

Hardware dedicado

En este escenario, se usa una PAW para la administración que es independiente del equipo que se usa para actividades diarias como correo electrónico, edición de documentos y trabajo de desarrollo. Todas las herramientas y aplicaciones administrativas se instalan en la PAW y todas las aplicaciones de productividad se instalan en la estación de trabajo de usuario estándar. Las instrucciones paso a paso de esta guía se basan en este perfil de hardware.

Uso simultáneo: adición de RemoteApp, RDP o VDI

En este escenario de uso simultáneo, se usa un único equipo para tareas de administración y actividades diarias, como correo electrónico, edición de documentos y trabajo de desarrollo. En esta configuración, los sistemas operativos de usuario se implementan y administran de forma centralizada (en la nube o en el centro de datos), pero no están disponibles mientras se desconectan.

El hardware físico ejecuta un único sistema operativo PAW localmente para tareas administrativas y se pone en contacto con un servicio de Escritorio remoto de Microsoft o de terceros para aplicaciones de usuario, como correo electrónico, edición de documentos y aplicaciones de línea de negocio.

En esta configuración, el trabajo diario que no requiere privilegios administrativos se realiza en el sistema operativo remoto y las aplicaciones, que no están sujetos a restricciones aplicadas al host de PAW. Todo el trabajo administrativo se realiza en el sistema operativo administrador.

Para configurar esto, siga las instrucciones de esta guía para el host de PAW, permita la conectividad de red a los servicios de Escritorio remoto y agregue accesos directos al escritorio del usuario de PAW para acceder a las aplicaciones. Los servicios de Escritorio remoto se pueden hospedar de muchas maneras, entre las que se incluyen:

• Un servicio de Escritorio remoto o VDI existente, como Azure Virtual Desktop, Microsoft Dev Boxo Windows 365.
• Un nuevo servicio que instale localmente o en la nube
• Azure RemoteApp mediante plantillas preconfiguradas o sus propias imágenes de instalación

Introducción a la arquitectura

En el diagrama siguiente se muestra un "canal" independiente para la administración (una tarea altamente confidencial) que se crea manteniendo cuentas administrativas y estaciones de trabajo dedicadas independientes.

Este enfoque arquitectónico se basa en las protecciones que se encuentran en las características de Credential Guard y Device Guard de Windows 11 y va más allá de esas protecciones para las cuentas y tareas confidenciales.

Esta metodología es adecuada para las cuentas con acceso a recursos de alto valor:

• Privilegios administrativos - Las PAW proporcionan mayor seguridad en roles y tareas administrativos de TI de gran impacto. Esta arquitectura se puede aplicar a la administración de muchos tipos de sistemas, incluidos los dominios y bosques de Active Directory, los inquilinos de Microsoft Entra ID, los inquilinos de Microsoft 365, las redes de control de procesos (PCN), el control de supervisión y la adquisición de datos (SCADA), los equipos de cajero automático (ATMS) y los dispositivos de punto de venta (PoS).
• Personal de trabajo de información altamente confidencial - El enfoque usado en una PAW también puede proporcionar protección para tareas y personal de trabajo de información altamente confidencial, como aquellos que implican actividades de fusión y adquisición previa al anuncio, informes financieros de versión preliminar, presencia de medios sociales de la organización, comunicaciones ejecutivas, secretos comerciales no protegidos, investigación confidencial u otros datos propietarios o confidenciales. Esta guía no describe la configuración de estos escenarios de trabajo de información en profundidad ni incluye este escenario en las instrucciones técnicas.

En este documento se describe por qué se recomienda esta práctica para proteger las cuentas con privilegios de alto impacto, el aspecto de estas soluciones paw para proteger los privilegios administrativos y cómo implementar rápidamente una solución PAW para la administración de servicios en la nube y de dominio.

En este documento se proporcionan instrucciones detalladas para implementar varias configuraciones de PAW e incluye instrucciones detalladas de implementación para empezar a proteger las cuentas comunes de alto impacto:

• Fase 1 - Implementación inmediata para administradores de Active Directory esto proporciona rápidamente una PAW que puede proteger los roles locales de administración de dominios y bosques.
• fase 2: extensión de PAW a todos los administradores esto permite la protección de los administradores de servicios en la nube, como Microsoft 365 y Azure, servidores empresariales, aplicaciones empresariales y estaciones de trabajo.
• Fase 3: seguridad avanzada de PAW. Se discuten más protecciones y consideraciones para la seguridad de PAW.

¿Por qué las estaciones de trabajo dedicadas?

El entorno de amenazas actual para las organizaciones está lleno de sofisticados ataques de suplantación de identidad (phishing) y otros ataques de Internet que crean un riesgo continuo de riesgo de seguridad para las cuentas y estaciones de trabajo expuestas a Internet.

Este entorno de amenazas requiere que las organizaciones adopten una postura de seguridad de "asumir vulneración" al diseñar protecciones para recursos de alto valor, como cuentas administrativas y recursos empresariales confidenciales. Estos recursos de alto valor deben protegerse contra amenazas directas de Internet y ataques montados desde otras estaciones de trabajo, servidores y dispositivos en el entorno.

En esta ilustración se muestra el riesgo de los recursos administrados si un atacante obtiene el control de una estación de trabajo de usuario en la que se usan credenciales confidenciales.

Un atacante en control de un sistema operativo tiene numerosas maneras en las que obtener acceso ilícito a toda la actividad en la estación de trabajo y suplantar la cuenta legítima. Se pueden usar varias técnicas de ataque conocidas y desconocidas para obtener este nivel de acceso. El creciente volumen y sofisticación de los ciberataques han hecho necesario ampliar ese concepto de separación para separar los sistemas operativos cliente para las cuentas confidenciales. Para obtener más información sobre estos tipos de ataques, visite el sitio web Pass The Hash para obtener notas del producto informativas, vídeos y mucho más.

El enfoque PAW es una extensión de la práctica recomendada y bien establecida de usar cuentas de usuario y administrador separadas para el personal administrativo. En esta práctica se usa una cuenta administrativa asignada individualmente que es independiente de la cuenta de usuario estándar del usuario. PAW se basa en esa práctica de separación de cuentas al proporcionar una estación de trabajo de confianza para esas cuentas confidenciales.

Esta guía de PAW está pensada para ayudarle a implementar esta funcionalidad para proteger cuentas de alto valor, como administradores de TI con privilegios elevados y cuentas empresariales de alta confidencialidad. La guía le ayuda a:

• Restringir la exposición de credenciales solo a hosts de confianza
• Proporcione una estación de trabajo de alta seguridad a los administradores para que puedan realizar fácilmente tareas administrativas.

Restringir las cuentas confidenciales a usar solo PAW protegidos es una protección sencilla para estas cuentas que es altamente utilizable para los administradores y difícil de derrotar a un adversario.

Enfoques alternativos

Esta sección contiene información sobre cómo la seguridad de los enfoques alternativos se compara con PAW y cómo integrar correctamente estos enfoques dentro de una arquitectura de PAW. todos estos enfoques conllevan riesgos significativos cuando se implementan de forma aislada, pero pueden agregar valor a una implementación de PAW en algunos escenarios.

Credential Guard y Windows Hello para empresas

Parte de Windows 11, Credential Guard usa la seguridad basada en hardware y virtualización para mitigar los ataques comunes de robo de credenciales, como Pass-the-Hash, protegiendo las credenciales derivadas. La clave privada para las credenciales usadas por Windows Hello para empresas se puede proteger mediante hardware del módulo de plataforma segura (TPM).

Estas son mitigaciones eficaces, pero las estaciones de trabajo pueden seguir siendo vulnerables a determinados ataques incluso si las credenciales están protegidas por Credential Guard o Windows Hello para empresas. Los ataques pueden incluir el uso de privilegios y el uso de credenciales directamente desde un dispositivo en peligro, reutilizar credenciales previamente robadas antes de habilitar Credential Guard y el abuso de herramientas de administración y configuraciones de aplicaciones débiles en la estación de trabajo.

La guía de PAW de esta sección incluye el uso de muchas de estas tecnologías para las cuentas y tareas de alta confidencialidad.

Máquina virtual administrativa

Una máquina virtual administrativa (VM de administración) es un sistema operativo dedicado para las tareas administrativas hospedadas en un escritorio de usuario estándar. Aunque este enfoque es similar a PAW al proporcionar un sistema operativo dedicado para las tareas administrativas, tiene un error grave en que la máquina virtual administrativa depende del escritorio de usuario estándar para su seguridad.

En el diagrama siguiente se muestra la capacidad de los atacantes de seguir la cadena de control al objeto de destino de interés con una máquina virtual de administración en una estación de trabajo de usuario y que es difícil crear una ruta de acceso en la configuración inversa.

La arquitectura paw no permite hospedar una máquina virtual de administración en una estación de trabajo de usuario, pero una máquina virtual de usuario con una imagen corporativa estándar se puede hospedar en una PAW de administrador para proporcionar al personal un único equipo para todas las responsabilidades.

Servidor de salto

Las arquitecturas administrativas "Jump Server" configuran un número reducido de servidores de consola administrativa y restringen que el personal las use para las tareas administrativas. Normalmente se basa en servicios de Escritorio remoto, una solución de virtualización de presentación de terceros o una tecnología de infraestructura de escritorio virtual (VDI).

Este enfoque se propone con frecuencia para mitigar el riesgo de administración y proporciona algunas garantías de seguridad, pero el enfoque de jump server por sí mismo es vulnerable a determinados ataques porque infringe el principio de origen limpio. El principio de origen limpio requiere que todas las dependencias de seguridad sean tan confiables como el objeto que se protege.

En esta ilustración se muestra una relación de control simple. Cualquier sujeto en control de un objeto es una dependencia de seguridad de ese objeto. Si un adversario puede controlar una dependencia de seguridad de un objeto de destino (sujeto), puede controlar ese objeto.

La sesión administrativa en el servidor de salto depende de la integridad del equipo local que accede a él. Si este equipo es una estación de trabajo de usuario sujeta a ataques de suplantación de identidad (phishing) y otros vectores de ataque basados en Internet, la sesión administrativa también está sujeta a esos riesgos.

En la ilustración anterior se muestra cómo los atacantes pueden seguir una cadena de control establecida al objeto de destino de interés.

Aunque algunos controles de seguridad avanzados, como la autenticación multifactor, pueden aumentar la dificultad de que un atacante tome el control de esta sesión administrativa de la estación de trabajo de usuario, ninguna característica de seguridad puede protegerse completamente contra ataques técnicos cuando un atacante tiene acceso administrativo al equipo de origen (por ejemplo, insertar comandos ilícitos en una sesión legítima, secuestrar procesos legítimos, etc.).

La configuración predeterminada en esta guía de PAW instala herramientas administrativas en la PAW; sin embargo, se puede agregar también una arquitectura de servidor puente si es necesario.

En esta ilustración se muestra cómo revertir la relación de control y el acceso a las aplicaciones de usuario desde una estación de trabajo de administración no proporciona al atacante ninguna ruta de acceso al objeto de destino. El servidor de salto de usuario todavía está expuesto a riesgos, por lo que los controles de protección, los controles de detección y los procesos de respuesta adecuados deben aplicarse a ese equipo accesible desde Internet.

Esta configuración requiere que los administradores sigan las prácticas operativas estrechamente para asegurarse de que no escriben accidentalmente las credenciales de administrador en la sesión de usuario en su escritorio.

En esta ilustración se muestra cómo el acceso a un servidor de salto administrativo desde una PAW no agrega ninguna ruta de acceso para el atacante a los recursos administrativos. Un servidor de salto con una PAW te permite, en este caso, consolidar el número de ubicaciones para supervisar la actividad administrativa y distribuir aplicaciones y herramientas administrativas. Esto agrega cierta complejidad de diseño, pero puede simplificar la supervisión de seguridad y las actualizaciones de software si se usa un gran número de cuentas y estaciones de trabajo en la implementación de PAW. El servidor de salto tendría que crearse y configurarse con estándares de seguridad similares a los del PAW.

Soluciones de administración de privilegios

Las soluciones privileged Management son aplicaciones que proporcionan acceso temporal a privilegios discretos o cuentas con privilegios a petición. Las soluciones de administración de privilegios son un componente valioso de una estrategia completa para proteger el acceso con privilegios y proporcionar visibilidad y responsabilidad críticas importantes de la actividad administrativa.

Estas soluciones suelen usar un flujo de trabajo flexible para conceder acceso y muchas otras características y funcionalidades de seguridad, como la administración de contraseñas de la cuenta de servicio y la integración con servidores de salto administrativo. Hay muchas soluciones en el mercado que proporcionan funcionalidades de administración de privilegios, una de las cuales es la administración de acceso con privilegios (PAM) de Microsoft Identity Manager (MIM).

Microsoft recomienda usar una PAW para acceder a las soluciones de administración de privilegios. Solo se debe conceder acceso a estas soluciones a los PAWs. Microsoft no recomienda usar estas soluciones como sustituto de una PAW porque el acceso a privilegios que usan estas soluciones desde un escritorio de usuario potencialmente comprometido infringe el principio de origen limpio como se muestra en el diagrama siguiente:

Proporcionar una PAW para acceder a estas soluciones le permite obtener las ventajas de seguridad de PAW y la solución de administración de privilegios, como se muestra en este diagrama:

Importante

Estos sistemas deben clasificarse en el nivel más alto del privilegio que administran y se protegen en o por encima de ese nivel de seguridad. Normalmente se configuran para administrar soluciones de nivel 0 y recursos de nivel 0 y deben clasificarse en el nivel 0.

Para obtener más información sobre la implementación de la administración de acceso con privilegios (PAM) de Microsoft Identity Manager (MIM), consulte https://aka.ms/mimpamdeploy

Escenarios de PAW

Esta sección contiene instrucciones sobre los escenarios a los que se debe aplicar esta guía de PAW. En todos ellos, se debe entrenar a los administradores para usar solo PAW para realizar el soporte técnico de sistemas remotos. Para fomentar un uso correcto y seguro, se debe animar a todos los usuarios de PAW a proporcionar comentarios para mejorar la experiencia de PAW y estos comentarios deben revisarse cuidadosamente para la integración con su programa PAW.

En todos los escenarios, la protección adicional en fases posteriores y distintos perfiles de hardware de esta guía se pueden usar para cumplir los requisitos de facilidad de uso o seguridad de los roles.

Nota

Esta guía diferencia explícitamente entre requerir acceso a servicios específicos en Internet (como Azure y portales administrativos de Microsoft 365) y "Abrir Internet" de todos los hosts y servicios.

Escenarios	¿Usar PAW?	Consideraciones de ámbito y seguridad
Administradores de Active Directory: nivel 0	Sí	Una PAW creada con la guía de la Fase 1 es suficiente para este rol. - Se puede agregar un bosque administrativo para proporcionar la protección más segura para este escenario. Para obtener más información sobre el bosque administrativo de ESAE, consulte Escenarios de ESAE para Uso Continuado - Una PAW se puede usar para administrar varios dominios o varios bosques. - Si los controladores de dominio se hospedan en una solución de virtualización de infraestructura como servicio (IaaS) o local, debe priorizar la implementación de PAW para los administradores de esas soluciones.
Administrador de los servicios IaaS y PaaS de Azure: nivel 0 o nivel 1 (consulte Consideraciones de ámbito y diseño)	Sí	Una PAW creada con las instrucciones proporcionadas en la fase 2 es suficiente para este rol. - Los PAW deben usarse para al menos aquellos que administran Microsoft Entra ID y la facturación de la suscripción. Asimismo, se deben usar PAW para administradores delegados de servidores críticos o de carácter confidencial. - Se deben usar PAW para administrar el sistema operativo y las aplicaciones que proporcionan sincronización de directorios e federación de identidades para servicios en la nube, como Microsoft Entra Connect y servicios de federación de Active Directory (ADFS). - Las restricciones de red salientes deben permitir la conectividad solo a los servicios en la nube autorizados mediante las instrucciones de la fase 2. No se debe permitir acceso a Internet abierto desde PAW. - Protección contra vulnerabilidades de seguridad de Windows Defender debe configurarse en la estación de trabajo Nota: Se considera que una suscripción es de nivel 0 para un bosque si los controladores de dominio u otros hosts de nivel 0 están en la suscripción. Una suscripción es de nivel 1 si no hay ningún servidor de nivel 0 hospedado en Azure.
Inquilino de Administrador de Microsoft 365 - Nivel 1	Sí	Una PAW creada con las instrucciones proporcionadas en la fase 2 es suficiente para este rol. - Los PAW deben usarse para al menos aquellos que administran la facturación de la suscripción y los que administran Microsoft Entra ID y Microsoft 365. Debe considerar también seriamente el uso de PAW para administradores delegados de datos enormemente críticos o confidenciales. - Protección contra vulnerabilidades de seguridad de Windows Defender debe configurarse en la estación de trabajo. - Las restricciones de red salientes deben permitir la conectividad solo a los servicios de Microsoft según la guía de la Fase 2. No se debe permitir acceso a Internet abierto desde PAW.
Otro administrador de servicios en la nube iaaS o PaaS - Nivel 0 o Nivel 1 (consulte Consideraciones de ámbito y diseño)	Sí	Una PAW creada con las instrucciones proporcionadas en la fase 2 es suficiente para este rol. - Los PAW deben usarse para cualquier rol que tenga derechos administrativos sobre máquinas virtuales hospedadas en la nube, incluida la capacidad de instalar agentes, exportar archivos de disco duro o acceder al almacenamiento donde se almacenan unidades de disco duro con sistemas operativos, datos confidenciales o datos críticos para la empresa. -Las restricciones de red saliente deben permitir conectividad sólo a los servicios de Microsoft con la orientación en la Fase 2. No se debe permitir acceso a Internet abierto desde PAW. - Protección contra vulnerabilidades de seguridad de Windows Defender debe configurarse en la estación de trabajo. Nota: Una suscripción es de nivel 0 para un bosque si los controladores de dominio u otros hosts de nivel 0 están en la suscripción. Una suscripción es de nivel 1 si no hay ningún servidor de nivel 0 hospedado en Azure.
Administradores de virtualización - Nivel 0 o Nivel 1 (consulte Consideraciones de ámbito y diseño)	Sí	Una PAW creada con las instrucciones proporcionadas en la fase 2 es suficiente para este rol. - Las PAW deben usarse para cualquier rol que tenga derechos administrativos sobre las máquinas virtuales, incluida la capacidad de instalar agentes, exportar archivos de disco duro virtual o acceder al almacenamiento donde se almacenan unidades de disco duro con información del sistema operativo invitado, datos confidenciales o datos críticos para la empresa. Nota: Un sistema de virtualización y sus administradores se consideran Tier 0 para un Forest si los controladores de dominio u otros hosts de Tier 0 están en la suscripción. Una suscripción es de nivel 1 si no hay ningún servidor de nivel 0 hospedado en el sistema de virtualización.
Administradores de mantenimiento del servidor - Nivel 1	Sí	Una PAW creada con las instrucciones proporcionadas en la fase 2 es suficiente para este rol. - Se debe usar una PAW para los administradores que actualizan, revisan y solucionan problemas de servidores y aplicaciones empresariales que ejecutan Windows Server, Linux y otros sistemas operativos. - Es posible que sea necesario agregar herramientas de gestión dedicadas para que los PAWs manejen la escala más grande de estos administradores.
Administradores de estaciones de trabajo de usuario - Nivel 2	Sí	Una PAW creada con instrucciones proporcionadas en la fase 2 es suficiente para los roles que tienen derechos administrativos en dispositivos de usuario final (como los roles de soporte técnico y soporte técnico de escritorio). - Es posible que otras aplicaciones deba instalarse en PAW para habilitar la administración de vales y otras funciones de soporte técnico. - Protección contra vulnerabilidades de seguridad de Windows Defender debe configurarse en la estación de trabajo. Es posible que sea necesario agregar herramientas de administración dedicadas para que los PAW controlen la mayor escala de estos administradores.
Administrador de SQL, SharePoint o de línea de negocio (LOB) - Nivel 1	Sí	Una PAW creada con la guía de la Fase 2 es suficiente para este rol. - Es posible que sea necesario instalar otras herramientas de administración en PAW para permitir que los administradores administren aplicaciones sin necesidad de conectarse a servidores mediante Escritorio remoto.
Usuarios que administran la presencia en redes sociales	Parcialmente	Una PAW creada con las instrucciones proporcionadas en la fase 2 se puede usar como punto de partida para proporcionar seguridad para estos roles. - Proteger y administrar cuentas de redes sociales con el identificador de Entra de Microsoft para compartir, proteger y realizar un seguimiento del acceso a las cuentas de redes sociales. Para obtener más información sobre esta funcionalidad, lea esta entrada de blog. - Las restricciones de red salientes deben permitir la conectividad a estos servicios. Esto se puede hacer al permitir conexiones a Internet abiertas (un riesgo de seguridad mucho mayor que niega muchas garantías de PAW) o permitiendo solo las direcciones DNS necesarias para el servicio (puede resultar difícil de obtener).
Usuarios estándar	No	Aunque se pueden usar muchos pasos de protección para los usuarios estándar, PAW está diseñado para aislar las cuentas del acceso a Internet abierto que la mayoría de los usuarios requieren para tareas de trabajo.
VDI/quiosco de invitado	No	Aunque se pueden usar muchos pasos de protección para un sistema de quiosco para invitados, la arquitectura PAW está diseñada para proporcionar una mayor seguridad para cuentas de alta sensibilidad, no una mayor seguridad para cuentas de menor sensibilidad.
Usuario VIP (Ejecutivo, Investigador, etc.)	Parcialmente	Una PAW creada con instrucciones proporcionadas en la fase 2 se puede usar como punto de partida para proporcionar seguridad para estos roles. : este escenario es similar a un escritorio de usuario estándar, pero normalmente tiene un perfil de aplicación más pequeño, sencillo y conocido. Normalmente, este escenario requiere detectar y proteger datos confidenciales, servicios y aplicaciones. - Estos roles suelen requerir un alto grado de seguridad y un alto grado de facilidad de uso, que requieren cambios de diseño para satisfacer las preferencias del usuario.
Sistemas de control industrial (por ejemplo, SCADA, PCN y DCS)	Parcialmente	Una PAW creada con instrucciones proporcionadas en la fase 2 se puede usar como punto de partida para proporcionar seguridad para estos roles, ya que la mayoría de las consolas ICS (incluidos los estándares comunes como SCADA y PCN) no requieren navegar por Internet abierto y comprobar el correo electrónico. - Las aplicaciones utilizadas para controlar la maquinaria física tendrían que integrarse y probarse para la compatibilidad y protegerse adecuadamente.
Sistema operativo incrustado	No	Aunque se pueden usar muchos pasos de endurecimiento de PAW para sistemas operativos embebidos, es necesario desarrollar una solución personalizada para el endurecimiento en este escenario.

Nota

escenarios de combinación algunas personas pueden tener responsabilidades administrativas que abarcan varios escenarios. En estos casos, las reglas clave que se deben tener en cuenta son que siempre se deben seguir las reglas de modelo de nivel.

Escalado del programa de PAW A medida que el programa de PAW se escala para abarcar más administradores y roles, debe seguir asegurándose de mantener la adhesión a los estándares de seguridad y la facilidad de uso. Esto puede requerir que actualice las estructuras de soporte técnico de TI o cree otras nuevas para resolver desafíos específicos de PAW, como el proceso de incorporación de PAW, la administración de incidentes, la administración de configuración y la recopilación de comentarios para abordar los desafíos de facilidad de uso. Un ejemplo podría ser que su organización decida habilitar escenarios de trabajo desde casa para los administradores, lo que requeriría un cambio de las PAW de escritorio a las PAW de portátiles, un cambio que podría requerir consideraciones de seguridad adicionales. Otro ejemplo común es crear o actualizar la formación para nuevos administradores, que ahora debe incluir contenido sobre el uso adecuado de un PAW (incluyendo por qué es importante, y lo que una PAW es y lo que no es). Para obtener más consideraciones que deben abordarse a medida que escale el programa PAW, consulte la fase 2 de las instrucciones.

Esta guía contiene las instrucciones detalladas para la configuración de PAW para los escenarios como se indicó anteriormente. Si tiene requisitos para los otros escenarios, puede adaptar las instrucciones en función de esta guía usted mismo o contratar una organización de servicios profesionales como Microsoft para ayudarle.

Implementación por fases de PAW

Dado que la PAW debe proporcionar un origen seguro y de confianza para la administración, es esencial que el proceso de compilación sea seguro y de confianza. En esta sección se proporcionan instrucciones detalladas, que le permiten crear su propia PAW mediante principios generales y conceptos similares a los usados por Microsoft.

Las instrucciones se dividen en tres fases, que se centran en poner en marcha las mitigaciones más críticas rápidamente y, a continuación, aumentar y expandir progresivamente el uso de PAW para la empresa.

• fase 1: implementación inmediata para administradores de Active Directory
• Fase 2 - Extender PAW a todos los administradores
• Fase 3 - Seguridad avanzada de PAW

Es importante tener en cuenta que las fases siempre deben realizarse en orden incluso si están planeadas e implementadas como parte del mismo proyecto general.

Fase 1: Implementación inmediata para administradores de Active Directory

Propósito: proporciona una PAW rápidamente que puede proteger los roles de administración de bosques y de dominio local.

Ámbito: administradores de nivel 0, incluidos administradores de empresa, administradores de dominio (para todos los dominios) y administradores de otros sistemas de identidad autoritativos.

La fase 1 se centra en los administradores que gestionan el dominio de Active Directory en sus instalaciones, que son roles críticamente importantes frecuentemente apuntados por atacantes. Estos sistemas de identidad funcionan eficazmente para proteger estos administradores tanto si los controladores de dominio (DCs) de Active Directory se hospedan en centros de datos locales, en infraestructura como servicio (IaaS) de Azure u otro proveedor de IaaS.

Durante esta fase, creará la estructura segura de la unidad organizativa (OU) de Active Directory administrativa para hospedar la estación de trabajo de acceso con privilegios (PAW) e implementar los PAW. Esta estructura también incluye las directivas de grupo y los grupos necesarios para admitir la PAW.

La infraestructura se basa en las siguientes unidades organizativas, grupos de seguridad y directivas de grupo:

• Unidades organizativas (UO)
  • Seis unidades organizativas de nivel superior nuevas:
    • Administrador
    • Grupos
    • Servidores de nivel 1
    • Estaciones de trabajo
    • Cuentas de usuario
    • Cuarentena del ordenador.
• Grupos
  • Seis nuevos grupos globales habilitados para la seguridad:
    • Mantenimiento de replicación de nivel 0
    • Mantenimiento del servidor de nivel 1
    • Operadores de Mesa de Servicio
    • Mantenimiento de estación de trabajo
    • Usuarios de PAW
    • Mantenimiento de PAW.
• Objetos de directiva de grupo:
  • Configuración de PAW: ordenador
  • Configuración de PAW: usuario
  • Se requiere RestrictedAdmin: equipo
  • Restricciones de salida de PAW
  • Restringir el inicio de sesión de estación de trabajo
  • Restringir el inicio de sesión en el servidor.

La fase 1 incluye los pasos siguientes:

Completar los requisitos previos

1. Asegurarse de que todos los administradores usan cuentas individuales independientes para las actividades de administración y de usuario final (incluido el correo electrónico, la exploración por Internet, las aplicaciones de línea de negocio y otras actividades no administrativas). Asignar una cuenta administrativa a cada persona autorizada independiente de su cuenta de usuario estándar es fundamental para el modelo paw, ya que solo se permite que determinadas cuentas inicien sesión en la propia PAW.

   Importante

   Cada administrador debe usar su propia cuenta para la administración. No comparta una cuenta administrativa.

2. Minimizar el número de administradores con privilegios de nivel 0. Dado que cada administrador debe usar una PAW, reducir el número de administradores reduce el número de PAW necesarios para respaldarlos y los costos asociados. El menor recuento de administradores también da como resultado una menor exposición de estos privilegios y riesgos asociados. Aunque es posible que los administradores de una ubicación compartan una PAW, los administradores de ubicaciones físicas independientes requieren PAW independientes.

3. Adquirir hardware de un proveedor de confianza que cumpla todos los requisitos técnicos. Microsoft recomienda adquirir hardware que cumpla los requisitos técnicos del artículo Proteger las credenciales de dominio con Credential Guard.

   Nota

   Paw instalada en hardware sin estas funcionalidades puede proporcionar protecciones significativas, pero las características de seguridad avanzadas, como Credential Guard y Device Guard, no estarán disponibles. Credential Guard y Device Guard no son necesarios para la implementación de la fase 1, pero se recomienda encarecidamente como parte de la fase 3 (protección avanzada).

   Asegúrese de que el hardware utilizado para la PAW provenga de un fabricante y proveedor cuyas prácticas de seguridad sean confiables para la organización. Se trata de una aplicación del principio de origen limpio para la seguridad de la cadena de suministro.

   Para más información sobre la importancia de la seguridad de la cadena de suministro, visite este sitio.

4. Adquirir y validar Windows 11 Enterprise Edition y el software de aplicación necesarios.

   • Windows 11 Enterprise Edition
   • herramientas de administración remota del servidor para Windows 11
   • Líneas base de seguridad de Windows 11

   Nota

   Microsoft publica hash md5 para todos los sistemas operativos y aplicaciones en MSDN, pero no todos los proveedores de software proporcionan documentación similar. En esos casos, se requerirán otras estrategias.

5. Asegúrese de que tiene el servidor WSUS disponible en la intranet. Necesita un servidor WSUS en la intranet para descargar e instalar actualizaciones para PAW. Este servidor WSUS debe configurarse para aprobar automáticamente todas las actualizaciones de seguridad para Windows 11 o un personal administrativo debe tener responsabilidad y responsabilidad para aprobar rápidamente las actualizaciones de software. Para obtener más información, vea la sección "Aprobar actualizaciones automáticamente para la instalación" en la guía de aprobación de actualizaciones de .

Mueve las cuentas de Nivel 0 la unidad organizativa Administrador/Nivel 0/Cuentas.

Mueva cada cuenta que sea miembro de los grupos equivalentes de Administradores de dominio, Administradores de empresa o Nivel 0 (incluida la pertenencia anidada) a esta unidad organizativa. Si su organización tiene sus propios grupos que se agregan a estos grupos, debe moverlos a la unidad organizativa de administración/Nivel 0/grupos.

Agregar los miembros adecuados a los grupos pertinentes

1. Usuarios de PAW - Agregue los administradores de Nivel 0 con los grupos Administradores de dominio o Administradores de empresa identificados en el paso 1 de la Fase 1.

2. Mantenimiento de PAW - Agregue al menos una cuenta usada para tareas de mantenimiento y solución de problemas de PAW. Las cuentas de mantenimiento de PAW solo se usan rara vez.

   Importante

   No agregue la misma cuenta de usuario o grupo tanto al Grupo de Usuarios PAW como al Grupo de Mantenimiento PAW. El modelo de seguridad de PAW se basa en parte en la suposición de que la cuenta de usuario de PAW tiene derechos con privilegios en sistemas administrados o en la propia PAW, pero no en ambos.

   • Esto es importante para crear buenas prácticas administrativas y hábitos en la fase 1.
   • También es de importancia crítica para la Fase 2 y más adelante para impedir el escalado de privilegios mediante PAW ya que las PAW abarcan niveles.

   Idealmente, no se asigna ningún personal a tareas en varios niveles para aplicar el principio de segregación de tareas, pero Microsoft reconoce que muchas organizaciones tienen personal limitado (u otros requisitos organizativos) que no permiten esta segregación completa. En estos casos, el mismo personal puede asignarse a ambos roles, pero no debe usar la misma cuenta para estas funciones.

Crear el objeto de directiva de grupo (GPO) "Configuración de PAW: equipo"

En esta sección, creará un GPO "Configuración de PAW - Equipo", que proporciona protecciones específicas para estas PAW y la vincula a la unidad organizativa de dispositivos de nivel 0 ("Dispositivos" en nivel 0\Admin).

Advertencia

No agregar esta configuración a la directiva de dominio predeterminada. Si lo hace, afectará potencialmente a las operaciones en todo el entorno de Active Directory. Configure solo estos valores en los GPO recién creados que se describen aquí y aplíquelos solamente a la unidad organizativa de PAW.

1. Acceso de mantenimiento de PAW - Esta configuración establece la pertenencia de grupos con privilegios específicos en las PAW a un conjunto específico de usuarios. Vaya a Configuración del equipo\Preferencias\Configuración del Panel de control\Usuarios locales y grupos y complete los pasos siguientes:

   1. Haga clic en Nuevo y haga clic en Grupo local.

   2. Seleccione la acción Actualizar y seleccione "Administradores (integrados)" (no use el botón Examinar para seleccionar los administradores del grupo de dominios).

   3. Seleccione las casillas Eliminar todos los usuarios miembros y Eliminar todos los grupos de miembros

   4. Agregue mantenimiento de PAW (pawmaint) y administrador (de nuevo, no use el botón Examinar para seleccionar Administrador).

      Importante

      No agregue el grupo Usuarios de PAW a la lista de pertenencia para el grupo de administradores locales. Para asegurarse de que los usuarios de PAW no pueden modificar accidental o deliberadamente la configuración de seguridad de la propia PAW, no deben ser miembros de los grupos de administradores locales.

      Para obtener más información sobre el uso de preferencias de directiva de grupo para modificar la pertenencia a grupos, consulte el artículo de TechNet Configurar un elemento de grupo local.

2. Restringir la pertenencia a grupos locales: esta configuración garantiza que la pertenencia de grupos de administradores locales en la estación de trabajo esté siempre vacía.

   1. Vaya a Configuración del equipo\Preferencias\Configuración del Panel de control\Usuarios y grupos locales y complete los pasos siguientes:

      1. Haga clic en Nuevo y haga clic en Grupo local.
      2. Seleccione la acción de actualización y seleccione "Operadores de copia de seguridad (integrados)" (no utilice el botón Examinar para seleccionar el grupo de dominio Operadores de copia de seguridad).
      3. Seleccione las casillas Eliminar todos los usuarios miembros y Eliminar todos los grupos de miembros.
      4. No agregue ningún miembro al grupo. La asignación de una lista vacía hace que la directiva de grupo quite automáticamente todos los miembros y asegúrese de que se actualiza una lista de pertenencia en blanco cada vez que se actualiza la directiva de grupo.

   2. Complete los pasos anteriores para los siguientes grupos:

      • Operadores criptográficos
      • Administradores de Hyper-V
      • Operadores de configuración de red
      • Usuarios avanzados
      • Usuarios de Escritorio remoto
      • Replicadores

   3. restricciones de inicio de sesión de PAW: esta configuración limita las cuentas que pueden iniciar sesión en la PAW. Complete los pasos siguientes para configurar esta configuración:

      1. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Permitir inicio de sesión localmente.
      2. Seleccione Definir esta configuración de directiva y agregue "Usuarios de PAW" y Administradores (de nuevo, no use el botón Examinar para seleccionar Administradores).

   4. bloquear el tráfico de red entrante: esta configuración garantiza que no se permita ningún tráfico de red entrante no solicitado a la PAW. Complete los pasos siguientes para configurar esta configuración:

      1. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con Seguridad avanzada\Firewall de Windows con seguridad avanzada y complete los pasos siguientes:
         1. Haga clic con el botón derecho en Firewall de Windows con seguridad avanzada y seleccione Directiva de importación.
         2. Haga clic en Sí para aceptar que esto sobrescribe las directivas de firewall existentes.
         3. Vaya a PAWFirewall.wfw y seleccione Abrir.
         4. Haga clic en Aceptar.

      Nota

      Puede agregar direcciones o subredes que deben llegar a la PAW con tráfico no solicitado en este momento (por ejemplo, análisis de seguridad o software de administración. La configuración del archivo WFW habilitará el firewall en el modo "Bloquear - Predeterminado" para todos los perfiles de firewall, desactivará la combinación de reglas y habilitará el registro de paquetes descartados y aceptados. Esta configuración bloqueará el tráfico no solicitado, a la vez que permitirá la comunicación bidireccional en las conexiones iniciadas desde la PAW, impedirá que los usuarios con acceso administrativo local creen reglas de firewall locales que invaliden la configuración del GPO y asegúrese de que se registra el tráfico dentro y fuera de la PAW. La apertura de este firewall expandirá la superficie expuesta a ataques para la PAW y aumentará el riesgo de seguridad. Antes de agregar direcciones, consulte la sección Managing and Operating PAW (Administración y uso de PAW) en esta guía..

   5. Configurar Windows Update para WSUS: complete los pasos siguientes para cambiar la configuración para configurar Windows Update para los PAW:

      1. Vaya a Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Actualizaciones de Windows y complete los pasos siguientes:
         1. Habilite la directiva Configurar actualizaciones automáticas.
         2. Seleccione la opción 4: descarga automática y programe la instalación.
         3. Cambie la opción Día de instalación programado a 0 - Todos los días y la opción Tiempo de instalación programado a su preferencia de la organización.
         4. Habilite la opción Especificar la ubicación del servicio Microsoft Update de intranet directiva.

   6. Vincula el GPO "Configuración de PAW: equipo" de la manera siguiente:

      Política	Ubicación del vínculo
      Configuración de PAW - Ordenador	Admin\Tier 0\Dispositivos

Crear el objeto de directiva de grupo (GPO) "Configuración de PAW: usuario"

En esta sección, creará un nuevo GPO "Configuración de PAW : usuario" que proporciona protecciones específicas para estas PAW y se vincula a la unidad organizativa de cuentas de nivel 0 ("Cuentas" en nivel 0\Admin).

Advertencia

No agregue esta configuración a la directiva de dominio predeterminada.

1. Bloquear la navegación por Internet: para evitar la navegación involuntaria por Internet, se establece una dirección de proxy de una dirección de bucle invertido (127.0.0.1).

   1. Vaya a Configuración del usuario\Preferencias\Configuración de Windows\Registro. Haga clic con el botón derecho en Registro, seleccione Nuevo>elemento del Registro y configure las opciones siguientes:

      1. Acción: Reemplazar

      2. Hive: HKEY_CURRENT_USER

      3. Ruta de acceso de la clave: Software\Microsoft\Windows\CurrentVersion\Configuración de Internet

      4. Nombre del valor: ProxyEnable

         Cautela

         No seleccione el cuadro Predeterminado a la izquierda del nombre del valor.

      5. Tipo de valor: REG_DWORD

      6. Información del valor: 1

         1. Haga clic en la pestaña Común y seleccione Quitar este elemento cuando ya no se aplique.
         2. En la pestaña Común, seleccione destino de nivel de elemento y haga clic en Destino.
         3. Haga clic en Nuevo elemento y seleccione grupo de seguridad.
         4. Seleccione el botón "..." y busque en el grupo Usuarios de PAW.
         5. Haga clic en Nuevo elemento y seleccione grupo de seguridad.
         6. Seleccione el botón "..." y busque el Administradores de servicios en la nube.
         7. Haga clic en el elemento Administradores de servicios en la nube y haga clic en Opciones de elemento.
         8. Seleccione no.
         9. Haga clic en Aceptar en la ventana de destino.

      7. Haga clic en Aceptar para completar la configuración de directiva de grupo ProxyServer.

   2. Vaya a Configuración del usuario\Preferencias\Configuración de Windows\Registro. Haga clic con el botón derecho en Registro, seleccione Nuevo>elemento del Registro y configure las opciones siguientes:

      • Acción: Reemplazar
      • Hive: HKEY_CURRENT_USER
      • Ruta de acceso de la clave: Software\Microsoft\Windows\CurrentVersion\Configuración de Internet

        • Nombre del valor: ProxyServer

          Cautela

          No seleccione el cuadro Predeterminado a la izquierda del nombre del valor.

        • Tipo de valor: REG_SZ

        • Valor del dato: 127.0.0.1:80

          1. Haga clic en la pestaña Común y seleccione Quitar este elemento cuando ya no se aplique.
          2. En la pestaña Común, seleccione destino de nivel de elemento y haga clic en Destino.
          3. Haga clic en Nuevo elemento y seleccione grupo de seguridad.
          4. Seleccione "..." botón y agregar el grupo Usuarios de PAW.
          5. Haga clic en Nuevo elemento y seleccione grupo de seguridad.
          6. Seleccione el botón "..." y busque el grupo de administradores de servicios en la nube .
          7. Haga clic en el elemento Administradores de servicios en la nube y haga clic en Opciones de elemento.
          8. Seleccione no.
          9. Haga clic en Aceptar en la ventana de destino.

   3. Haga clic en OK para completar la configuración de la directiva de grupo del servidor proxy.

2. Vaya a Configuración de usuario\Directivas\Plantillas administrativas\Componentes de Windows\Internet Explorer y habilite las siguientes opciones. Esta configuración impide que los administradores invalide manualmente la configuración del proxy.
   1. Habilite la opción Deshabilitar el cambio de valores de Configuración automática.
   2. Habilite el Impedir el cambio de la configuración del proxy.

Restricción de que los administradores inicien sesión en hosts de nivel inferior

En esta sección, configuramos directivas de grupo para evitar que las cuentas administrativas con privilegios inicien sesión en hosts de nivel inferior.

1. Cree el nuevo GPO restringir el inicio de sesión de estación de trabajo: esta configuración restringe las cuentas de administrador de nivel 0 y 1 de inicio de sesión en estaciones de trabajo estándar. Este GPO debe estar vinculado a la unidad organizativa de nivel superior "Estaciones de trabajo" y tener la siguiente configuración:

   • En Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Denegar inicio de sesión como trabajo por lotes, seleccione Definir esta configuración de directiva y agregue los grupos de nivel 0 y nivel 1, incluidos:

     • Grupos integrados de nivel 0
       • Administradores de empresa
       • Administradores de dominio
       • Administradores de esquema
       • BUILTIN\Administradores
       • Operadores de cuenta
       • Operadores de copia de seguridad
       • Operadores de impresión
       • Operadores de servidor
       • Controladores de dominio
       • Read-Only controladores de dominio
       • Creadores propietarios de directiva de grupo
       • Operadores criptográficos
     • Otros grupos delegados, incluidos los grupos personalizados creados con acceso efectivo de Nivel 0.
     • Administradores de nivel 1

   • En Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Denegar inicio de sesión como servicio, seleccione Definir esta configuración de directiva y agregue los grupos de nivel 0 y nivel 1:

     • Grupos integrados de nivel 0
       • Administradores de empresa
       • Administradores de dominio
       • Administradores de esquema
       • BUILTIN\Administradores
       • Operadores de cuenta
       • Operadores de copia de seguridad
       • Operadores de impresión
       • Operadores de servidor
       • Controladores de dominio
       • Read-Only Controladores de Dominio
       • Creadores propietarios de directiva de grupo
       • Operadores criptográficos
     • Otros grupos delegados, incluidos los grupos creados personalizados con acceso efectivo de nivel 0.
     • Administradores de nivel 1

2. Cree la nueva Restringir el inicio de sesión del servidor GPO: esta configuración restringe las cuentas de administrador de nivel 0 al iniciar sesión en servidores de nivel 1. Este GPO debe estar vinculado a la unidad organizativa de nivel superior "Servidores de nivel 1" y tener la siguiente configuración:

   • En Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Denegar inicio de sesión como trabajo por lotes, seleccione Definir esta configuración de directiva y agregue los grupos de nivel 0:

     • Grupos integrados de nivel 0
       • Administradores de empresa
       • Administradores de dominio
       • Administradores de esquema
       • BUILTIN\Administradores
       • Operadores de cuenta
       • Operadores de copia de seguridad
       • Operadores de impresión
       • Operadores de servidor
       • Controladores de dominio
       • Read-Only Controladores de dominio
       • Creadores propietarios de directiva de grupo
       • Operadores criptográficos
     • Otros grupos delegados, incluidos los grupos personalizados creados con acceso efectivo de Nivel 0.

   • En Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Denegar inicio de sesión como servicio, seleccione Definir esta configuración de directiva y agregue los grupos de nivel 0:

     • Grupos integrados de nivel 0
       • Administradores de empresa
       • Administradores de dominio
       • Administradores de esquema
       • BUILTIN\Administradores
       • Operadores de cuenta
       • Operadores de copia de seguridad
       • Operadores de impresión
       • Operadores de servidor
       • Controladores de dominio
       • Read-Only Controladores de dominio
       • Creadores propietarios de directiva de grupo
       • Operadores criptográficos
     • Otros grupos delegados, incluidos los grupos personalizados creados con acceso efectivo al nivel 0.

   • En Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Denegar inicio de sesión localmente, seleccione Definir esta configuración de directiva y agregue los grupos de nivel 0:

     • Grupos integrados de nivel 0
       • Administradores de empresa
       • Administradores de dominio
       • Administradores de esquema
       • BUILTIN\Administradores
       • Operadores de cuenta
       • Operadores de copia de seguridad
       • Operadores de impresión
       • Operadores de servidor
       • Controladores de dominio
       • Read-Only Controladores de dominio
       • Creadores propietarios de directiva de grupo
       • Operadores criptográficos
     • Otros grupos delegados, incluidos los grupos creados personalizados con acceso efectivo de nivel 0.

Implemente sus PAW.

Importante

Asegúrese de que la PAW está desconectada de la red durante el proceso de compilación del sistema operativo.

1. Instale Windows 11 con los medios de instalación de origen limpios que obtuvo anteriormente.

   Nota

   Puede usar Microsoft Deployment Toolkit (MDT) u otro sistema de implementación de imágenes automatizadas para automatizar la implementación de PAW, pero debe asegurarse de que el proceso de construcción sea tan confiable como el PAW. Los adversarios buscan específicamente imágenes corporativas y sistemas de implementación (incluidos ISO, paquetes de implementación, etc.) como mecanismo de persistencia, por lo que no se deben usar sistemas de implementación o imágenes preexistentes.

   Si automatiza la implementación de la PAW, debe seguir estos pasos:

   • Compile el sistema mediante medios de instalación validados y auténticos.
   • Asegúrese de que el sistema de implementación automatizado está desconectado de la red durante el proceso de compilación del sistema operativo.

2. Establezca una contraseña compleja única para la cuenta de administrador local. No use una contraseña que se haya usado para ninguna otra cuenta del entorno.

   Nota

   Microsoft recomienda usar solución de contraseñas de administrador local (LAPS) para administrar la contraseña de administrador local para todas las estaciones de trabajo, incluidas las PAW. Si usa LAPS, asegúrese de que solo conceda al grupo de mantenimiento de PAW el derecho a leer las contraseñas administradas por LAPS para las PAW.

3. Instale herramientas de administración remota del servidor para Windows 11 mediante el medio de instalación de origen limpio.

4. Configurar Protección contra vulnerabilidades de seguridad de Windows Defender

5. Conecte la PAW a la red. Asegúrese de que la PAW puede conectarse al menos a un controlador de dominio (DC).

6. Con una cuenta que sea miembro del grupo mantenimiento de PAW, ejecute el siguiente comando de PowerShell desde la PAW recién creada para unirla al dominio en la unidad organizativa adecuada:

   Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

   Reemplaza las referencias a Fabrikam por el nombre de dominio, según sea necesario. Si el nombre de dominio se extiende a varios niveles (por ejemplo, child.fabrikam.com), agregue los otros nombres con el identificador "DC=" en el orden en que aparecen en el nombre de dominio completo del dominio.

7. Aplique todas las actualizaciones críticas e importantes de Windows antes de instalar cualquier otro software (incluidas las herramientas administrativas, los agentes, etc.).

8. Fuerce la aplicación de directiva de grupo.

   1. Abre un símbolo del sistema con privilegios elevados y escribe el siguiente comando: Gpupdate /force /sync
   2. Reiniciar el equipo

9. (Opcional) Instale otras herramientas necesarias para administradores de Active Directory. Instale cualquier otra herramienta o scripts necesarios para realizar tareas de trabajo. Asegúrese de evaluar el riesgo de exposición de credenciales en los equipos de destino con cualquier herramienta antes de agregarla a una PAW.

   Nota

   El uso de un servidor de salto para una ubicación central para estas herramientas puede reducir la complejidad, incluso si no sirve como límite de seguridad.

10. (Opcional) Descargue e instale el software de acceso remoto necesario. Si los administradores usan la PAW de forma remota para la administración, instale el software de acceso remoto mediante instrucciones de seguridad del proveedor de la solución de acceso remoto.

    Nota

    Considere cuidadosamente todos los riesgos implicados en permitir el acceso remoto a través de una PAW. Aunque una PAW móvil permite muchos escenarios importantes, incluido el trabajo desde casa, el software de acceso remoto puede ser potencialmente vulnerable a ataques y se usa para poner en peligro una PAW.

11. Valide la integridad del sistema PAW revisando y confirmando que todas las configuraciones adecuadas están en vigor mediante los pasos siguientes:

    1. Confirme que solo se aplican las directivas de grupo específicas de PAW a la PAW
       1. Abre un símbolo del sistema con privilegios elevados y escribe el siguiente comando: Gpresult /scope computer /r
       2. Revise la lista resultante y asegúrese de que las únicas directivas de grupo que aparecen son las que creó anteriormente.
    2. Confirme que ninguna otra cuenta de usuario sea miembro de grupos con privilegios en la PAW mediante los pasos siguientes:

       1. Abra Editar usuarios y grupos locales (lusrmgr.msc), seleccione Grupos y confirme que los únicos miembros del grupo local Administradores sean la cuenta Administrador local y el grupo de seguridad global Mantenimiento de PAW.

          Importante

          El grupo Usuarios de PAW no debe ser miembro del grupo administradores local. Los únicos miembros deben ser la cuenta de administrador local y el grupo de seguridad global mantenimiento de PAW (y los usuarios de PAW tampoco deben ser miembros de ese grupo global).

       2. Utilice también Editar usuarios y grupos locales, asegúrese de que los grupos siguientes no contengan miembros:

          • Operadores de copia de seguridad
          • Operadores criptográficos
          • Administradores de Hyper-V
          • Operadores de configuración de red
          • Usuarios avanzados
          • Usuarios de Escritorio remoto
          • Replicadores

12. (Opcional) Si su organización usa una solución de administración de eventos e información de seguridad (SIEM), asegúrese de que la PAW está configurada para reenviar eventos al sistema mediante el reenvío de eventos de Windows (WEF) o se registra en la solución para que SIEM reciba activamente eventos e información de la PAW. Los detalles de esta operación varían en función de la solución SIEM.

    Nota

    Si su SIEM requiere un agente que se ejecuta como sistema o una cuenta administrativa local en los PAW, asegúrese de que los SIEM se administran con el mismo nivel de confianza que los controladores de dominio y los sistemas de identidad.

13. (Opcional) Si decide implementar LAPS para administrar la contraseña de la cuenta de administrador local en la PAW, compruebe que la contraseña se ha registrado correctamente.

    • Mediante una cuenta con permisos para leer contraseñas administradas por LAPS, abra Equipos y usuarios de Active Directory (dsa.msc). Asegúrese de que las características avanzadas están habilitadas y, a continuación, haga clic con el botón derecho en el objeto de equipo adecuado. Seleccione la pestaña Editor de atributos y confirme que el valor de msSVSadmPwd se rellena con una contraseña válida.

Fase 2: Extender PAW a todos los administradores

Ámbito: todos los usuarios con derechos administrativos sobre las aplicaciones y dependencias críticas. Esto debe incluir al menos administradores de servidores de aplicaciones, soluciones de supervisión de estado operativo y seguridad, soluciones de virtualización, sistemas de almacenamiento y dispositivos de red.

Nota

Las instrucciones de esta fase suponen que la fase 1 se ha completado en su totalidad. No comience la fase 2 hasta que haya completado todos los pasos de la fase 1.

Una vez que confirme que se han realizado todos los pasos, realice los pasos siguientes para completar la fase 2:

(Recomendado) Habilita el modo RestrictedAdmin

Habilite esta característica en los servidores y estaciones de trabajo existentes y, a continuación, aplique el uso de esta característica. Esta característica requiere que los servidores de destino ejecuten Windows Server 2008 R2 o versiones posteriores y estaciones de trabajo de destino para ejecutar Windows 7 o posterior.

1. Habilite el modo RestrictedAdmin en los servidores y las estaciones de trabajo siguiendo las instrucciones disponibles en esta página.

   Nota

   Antes de habilitar esta característica para servidores accesibles desde Internet, debe considerar el riesgo de que los adversarios puedan autenticarse en estos servidores con un hash de contraseña robado previamente.

2. Cree el objeto de directiva de grupo (GPO) "Se requiere RestrictedAdmin: equipo". En esta sección se crea un GPO que exige el uso del modificador /RestrictedAdmin para las conexiones salientes de Escritorio remoto, protegiendo las cuentas contra el robo de credenciales en los sistemas de destino

   • Vaya a Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Delegación de credenciales\Restringir la delegación de credenciales a servidores remotos y establezca en Habilitado.

3. Vincule la RestrictedAdmin Required - Equipo a los dispositivos de nivel 1 o nivel 2 adecuados mediante las siguientes opciones de directiva:

   • Configuración de PAW - Ordenador
     • -> Ubicación del vínculo: Admin\Tier 0\Dispositivos (Existente)
   • Configuración de PAW: usuario
     • -> Ubicación del vínculo: Admin\Tier 0\Accounts
   • RestrictedAdmin Required : equipo
     • ->Admin\Tier1\Devices o -> Admin\Tier2\Devices (Ambos son opcionales)

   Nota

   Esto no es necesario para los sistemas de nivel 0, ya que estos sistemas ya están en control total de todos los recursos del entorno.

Mover objetos de nivel 1 a las unidades organizativas adecuadas

1. Mueva los grupos de Nivel 1 a la unidad organizativa Administrador\Nivel 1\Grupos. Busque todos los grupos que conceden los siguientes derechos administrativos y muévalos a esta unidad organizativa.

   • Administrador local en más de un servidor
     • Acceso administrativo a servicios en la nube
     • Acceso administrativo a aplicaciones empresariales

2. Mueva las cuentas de Nivel 1 la unidad organizativa Administrador/Nivel 1/Cuentas. Mueva cada cuenta que sea miembro de esos grupos de Nivel 1 (incluida la pertenencia anidada) a esta unidad organizativa.

3. Agregar los miembros adecuados a los grupos pertinentes

   • administradores de nivel 1: este grupo contiene los administradores de nivel 1 que han restringido el inicio de sesión en hosts de nivel 2. Agregue todos los grupos administrativos de nivel 1 que tienen privilegios administrativos a través de servidores o servicios de Internet.

     Importante

     Si el personal administrativo tiene tareas para administrar recursos en varios niveles, deberá crear una cuenta de administrador independiente por nivel.

4. Habilite Credential Guard para reducir el riesgo de robo y reutilización de credenciales. Credential Guard es una nueva característica de Windows 11 que restringe el acceso de la aplicación a las credenciales, lo que impide los ataques de robo de credenciales (incluido Pass-the-Hash). Credential Guard es transparente para el usuario final y requiere un tiempo y esfuerzo mínimos de configuración. Para obtener más información sobre Credential Guard, incluidos los pasos de implementación y los requisitos de hardware, consulte el artículo Proteger las credenciales de dominio con Credential Guard.

   Nota

   Device Guard debe estar habilitado para configurar y usar Credential Guard. Sin embargo, no es necesario configurar ninguna otra protección de Device Guard para poder usar Credential Guard.

5. (Opcional) Habilite la conectividad con Cloud Services. Este paso permite la administración de servicios en la nube como Azure y Microsoft 365 con garantías de seguridad adecuadas. Este paso también es necesario para que Microsoft Intune administre las PAW.

   Nota

   Omita este paso si no se requiere conectividad en la nube para la administración de servicios en la nube o la administración por Parte de Intune.

   • Estos pasos restringen la comunicación a través de Internet solo a servicios en la nube autorizados (pero no a internet abierto) y agregan protecciones a los exploradores y otras aplicaciones que procesan el contenido desde Internet. Estos PAW para la administración nunca deben usarse para tareas de usuario estándar, como las comunicaciones de Internet y la productividad.
   • Para habilitar la conectividad con los servicios PAW, siga estos pasos:

   1. Configure PAW para permitir solo destinos de Internet autorizados. A medida que amplía la implementación de PAW para habilitar la administración en la nube, debe permitir el acceso a los servicios autorizados mientras filtra el acceso desde Internet abierto, donde los ataques se pueden dirigir más fácilmente contra sus administradores.

      1. Crea el grupo Administradores de Cloud Services y agrégale todas las cuentas que requieran acceso a los servicios en la nube en Internet.

      2. Descargue el archivo PAW proxy.pac desde TechNet Gallery y publíquelo en un sitio web interno.

         Nota

         Después de descargar el archivo proxy.pac debe actualizarlo para asegurarse de que está actualizado y completo. Microsoft publica todas las direcciones URL actuales de Microsoft 365 y Azure en el Centro de soporte técnico de Office . En estas instrucciones se supone que va a usar Internet Explorer (o Microsoft Edge) para la administración de Microsoft 365, Azure y otros servicios en la nube. Microsoft recomienda configurar restricciones similares para los exploradores de terceros que necesite para la administración. Los exploradores web en PAW solo deben usarse para la administración de servicios en la nube y nunca para la exploración web general.

         Es posible que tenga que agregar otros destinos de Internet válidos para agregar a esta lista para otro proveedor de IaaS, pero no agregue productividad, entretenimiento, noticias o sitios de búsqueda a esta lista.

         Es posible que también tenga que ajustar el archivo PAC para dar cabida a una dirección de proxy válida que se usará para estas direcciones.

         También puede restringir el acceso desde la PAW mediante un proxy web para mejorar la defensa en profundidad. No se recomienda usar esto por sí mismo sin el archivo PAC, ya que solo restringirá el acceso a los PAW mientras está conectado a la red corporativa.

      3. Una vez configurado el archivo proxy.pac, actualice la configuración de PAW : GPO de usuario.

         1. Vaya a Configuración del usuario\Preferencias\Configuración de Windows\Registro. Haga clic con el botón derecho en Registro, seleccione Nuevo>elemento del Registro y configure las opciones siguientes:

            1. Acción: Reemplazar

            2. Hive: HKEY_CURRENT_USER

            3. Ruta de acceso de la clave: Software\Microsoft\Windows\CurrentVersion\Configuración de Internet

            4. Nombre del valor: AutoConfigUrl

               Cautela

               No seleccione el cuadro Valor predeterminado situado al lado izquierdo del nombre del valor.

            5. Tipo de valor: REG_SZ

            6. Datos de valor: escriba la dirección URL completa al archivo proxy.pac, incluyendo http:// y el nombre de archivo, por ejemplo, http://proxy.fabrikam.com/proxy.pac. La dirección URL también puede ser una dirección URL de etiqueta única; por ejemplo, http://proxy/proxy.pac

               Nota

               El archivo PAC también se puede hospedar en un recurso compartido de archivos, con la sintaxis de file://server.fabrikan.com/share/proxy.pac, pero esto requiere permitir el protocolo file://. Consulte la sección "NOTA: File:// Scripts de proxy basados en desuso" de este blog reconocimiento de la configuración del proxy web para obtener más detalles sobre cómo configurar el valor del Registro necesario.

            7. Haga clic en la pestaña Común y seleccione Quitar este elemento cuando ya no se aplique.

            8. En la pestaña Común, seleccione destino de nivel de elemento y haga clic en Destino.

            9. Haga clic en Nuevo elemento y seleccione grupo de seguridad.

            10. Seleccione el botón "..." y busque el grupo "Administradores de Servicios en la Nube".

            11. Haga clic en Nuevo elemento y seleccione grupo de seguridad.

            12. Seleccione el botón "..." y busque el grupo Usuarios de PAW.

            13. Haga clic en el elemento Usuarios de PAW y haga clic en Opciones de elemento.

            14. Seleccione no.

            15. Haga clic en Aceptar en la ventana de destino.

            16. Haga clic en Aceptar para completar la configuración de directiva de grupo AutoConfigUrl.

   2. Aplique las líneas base de seguridad de Windows 11 y El acceso al servicio en la nube Vincule las líneas base de seguridad para Windows y para el acceso al servicio en la nube (si es necesario) a las unidades organizativas correctas mediante los pasos siguientes:

      1. Extraiga el contenido del archivo ZIP líneas base de seguridad de Windows 11.

      2. Cree estos GPO, importe la configuración de directiva y cree vínculos según esta tabla. Vincule cada política a cada ubicación y asegúrese de que el orden siga el de la tabla (las entradas más bajas de la tabla deben aplicarse después y tienen mayor prioridad):

         Directivas:

         Nombre de directiva	Vínculo
         CM Windows 11: seguridad de dominio	N/D: No vincular ahora
         SCM Windows 11 TH2: equipo	Admin\Tier 0\Dispositivos
         	Admin\Tier 1\Dispositivos
         	Administración\Nivel 2\Dispositivos
         SCM Windows 11 TH2- BitLocker	Admin\Tier 0\Dispositivos
         	Administrador\Nivel 1\Dispositivos
         	Admin\Nivel 2\Dispositivos
         SCM Windows 11: Credential Guard	Admin\Tier 0\Dispositivos
         	Administrador\Nivel 1\Dispositivos
         	Administrador\Nivel 2\Dispositivos
         SCM Internet Explorer: Equipo	Admin\Tier 0\Dispositivos
         	Administrador\Nivel 1\Dispositivos
         	Admin\Nivel 2\Dispositivos
         Configuración de PAW - Ordenador	Admin\Tier 0\Dispositivos (Existente)
         	Admin\Tier 1\Devices (Nuevo vínculo)
         	Admin\Tier 2\Devices (Nuevo vínculo)
         Se requiere RestrictedAdmin: equipo	Admin\Tier 0\Dispositivos
         	Admin\Nivel 1\Dispositivos
         	Administrador\Nivel 2\Dispositivos
         SCM Windows 11 - Usuario	Admin\Nivel 0\Dispositivos
         	Admin\Tier 1\Dispositivos
         	Administración\Nivel 2\Dispositivos
         SCM Internet Explorer: usuario	Admin\Nivel 0\Dispositivos
         	Administrador\Nivel 1\Dispositivos
         	Administrador\Tier 2\Dispositivos
         Configuración de PAW: usuario	Admin\Tier 0\Dispositivos (Existente)
         	Admin\Tier 1\Devices (Nuevo vínculo)
         	Admin\Tier 2\Devices (Nuevo vínculo)

         Nota

         El GPO "SCM Windows 11 - Domain Security" puede estar vinculado al dominio independientemente de PAW, pero afectará a todo el dominio.

6. (Opcional) Instale otras herramientas necesarias para administradores de nivel 1. Instale cualquier otra herramienta o scripts necesarios para realizar tareas de trabajo. Asegúrese de evaluar el riesgo de exposición de credenciales en los equipos de destino con cualquier herramienta antes de agregarla a una PAW.

7. Identifique y obtenga de forma segura software y aplicaciones necesarias para la administración. Esto es similar al trabajo realizado en la fase 1, pero con un ámbito más amplio debido al aumento del número de aplicaciones, servicios y sistemas que se protegen.

   Importante

   Asegúrate de proteger estas nuevas aplicaciones (incluidos los exploradores web) optándolas por las protecciones proporcionadas por Protección contra vulnerabilidades de seguridad de Windows Defender.

   • Entre otros ejemplos de software y aplicaciones se incluyen:

     • Software de administración de aplicaciones o servicio basado en Microsoft Management Console

     • Software de administración de aplicaciones o servicios propietarios (no basados en MMC)

       Nota

       Muchas aplicaciones ahora se administran exclusivamente a través de exploradores web, incluidos muchos servicios en la nube. Aunque esto reduce el número de aplicaciones que deben instalarse en una PAW, también presenta el riesgo de problemas de interoperabilidad del explorador. Es posible que tenga que implementar un explorador web que no sea de Microsoft en instancias específicas de PAW para habilitar la administración de servicios específicos. Si implementa un explorador web adicional, asegúrese de seguir todos los principios de origen limpios y proteger el explorador según las instrucciones de seguridad del proveedor.

8. (Opcional) Descargue e instale los agentes de administración necesarios.

   Importante

   Si decide instalar agentes de administración adicionales (supervisión, seguridad, administración de configuración, etc.), es fundamental asegurarse de que los sistemas de administración son de confianza en el mismo nivel que los controladores de dominio y los sistemas de identidad.

9. Evalúe la infraestructura para identificar los sistemas que requieren más protecciones de seguridad proporcionadas por una PAW. Asegúrese de que sabe exactamente qué sistemas deben protegerse. Haga preguntas críticas sobre los propios recursos, como:

   • ¿Dónde están los sistemas de destino que se deben administrar? ¿Se recopilan en una sola ubicación física o están conectadas a una sola subred bien definida?

   • ¿Cuántos sistemas hay?

   • ¿Estos sistemas dependen de otros sistemas (virtualización, almacenamiento, etc.) y, si es así, ¿cómo se administran esos sistemas? ¿Cómo se exponen los sistemas críticos a estas dependencias y cuáles son los demás riesgos asociados a esas dependencias?

   • ¿Cuál es la importancia de los servicios que se administran y cuál es la pérdida esperada si esos servicios están en peligro?

     Importante

     Incluya los servicios en la nube en esta evaluación: los atacantes tienen como destino cada vez más implementaciones en la nube no seguras y es fundamental que administre esos servicios de forma tan segura como lo haría con las aplicaciones críticas locales.

     Use esta evaluación para identificar los sistemas específicos que requieren protección adicional y, a continuación, ampliar el programa PAW a los administradores de esos sistemas. Entre los ejemplos comunes de sistemas que se benefician en gran medida de la administración basada en PAW se incluyen SQL Server (tanto local como SQL Azure), aplicaciones de recursos humanos y software financiero.

     Nota

     Si un recurso se administra desde un sistema Windows, se puede administrar con una PAW, incluso si la propia aplicación se ejecuta en un sistema operativo distinto de Windows o en una plataforma en la nube que no es de Microsoft. Por ejemplo, el propietario de una suscripción de proveedor de servicios en la nube solo debe usar una PAW para administrar esa cuenta.

10. Desarrolle un método de solicitud y distribución para implementar PAW a escala en su organización. Según el número de PAW que elija implementar en la fase 2, es posible que tenga que automatizar el proceso.

    • Considere la posibilidad de desarrollar un proceso formal de solicitud y aprobación para que los administradores usen para obtener una PAW. Este proceso ayudaría a estandarizar el proceso de implementación, garantizar la responsabilidad de los dispositivos PAW y ayudar a identificar brechas en la implementación de PAW.

    • Como se indicó anteriormente, esta solución de implementación debe ser independiente de los métodos de automatización existentes (que podrían haberse puesto en peligro) y debe seguir los principios descritos en la fase 1.

      Importante

      Cualquier sistema que administre los recursos debe administrarse en el mismo nivel de confianza o superior.

11. Revise y, si es necesario, implemente más perfiles de hardware PAW. Es posible que el perfil de hardware elegido para la implementación de la fase 1 no sea adecuado para todos los administradores. Revise los perfiles de hardware y, si procede, seleccione otros perfiles de hardware de PAW para que coincidan con las necesidades de los administradores. Por ejemplo, el perfil de hardware dedicado (PAW independiente y estaciones de trabajo de uso diario) podría no ser adecuado para un administrador que viaja a menudo.

12. Tenga en cuenta las necesidades culturales, operativas, de comunicaciones y formación que acompañan a una implementación extendida de PAW. Este cambio significativo en un modelo administrativo requerirá naturalmente la administración de cambios hasta cierto punto y es esencial compilarlo en el propio proyecto de implementación. Tenga en cuenta como mínimo las siguientes preguntas:

    • ¿Cómo se comunicarán los cambios a la dirección superior para garantizar su apoyo? Cualquier proyecto sin el respaldo de liderazgo de alto nivel probablemente falle o tenga dificultades para obtener financiación y aceptación general.

    • ¿Cómo documentará el nuevo proceso para los administradores? Estos cambios deben documentarse y comunicarse no solo a los administradores existentes (que deben cambiar sus hábitos y administrar recursos de otra manera), sino también para los nuevos administradores (los promocionados desde dentro o contratados desde fuera de la organización). Es esencial que la documentación sea clara y totalmente articulada:

      • La importancia de las amenazas
      • El rol de PAW en la protección de los administradores.
      • Cómo usar correctamente una PAW.

      Importante

      Esto es especialmente importante para los roles con un alto volumen de negocios, entre los que se incluyen, entre otros, el personal del departamento de soporte técnico.

    • ¿Cómo garantizar el cumplimiento del nuevo proceso? Aunque el modelo PAW incluye varios controles técnicos para evitar la exposición de credenciales privilegiadas, es imposible evitar completamente la exposición completa exclusivamente mediante controles técnicos. Por ejemplo, aunque es posible evitar que un administrador inicie sesión correctamente en un escritorio de usuario con credenciales con privilegios, el simple acto de intentar el inicio de sesión puede exponer las credenciales al malware instalado en ese escritorio de usuario. Por lo tanto, es esencial que articules no solo las ventajas del modelo PAW, sino también los riesgos de incumplimiento. Esto debe complementarse mediante la auditoría y las alertas para que la exposición de credenciales se pueda detectar y solucionar rápidamente.

Fase 3: Ampliar y mejorar la protección

Ámbito: estas protecciones mejoran los sistemas integrados en la fase 1, lo que refuerza la protección básica con características avanzadas, como la autenticación multifactor y las reglas de acceso a red.

Nota

Esta fase se puede realizar en cualquier momento después de que se haya completado la fase 1. No depende de la finalización de la fase 2 y, por tanto, se puede realizar antes, simultáneamente o después de la fase 2.

Complete los pasos siguientes para configurar esta fase:

1. Habilitar la autenticación multifactor para cuentas con privilegios. La autenticación multifactor refuerza la seguridad de las cuentas al exigir al usuario que proporcione un token físico además de las credenciales. La autenticación multifactor complementa bien las directivas de autenticación, pero no depende de las directivas de autenticación para la implementación (y, de forma similar, las directivas de autenticación no requieren autenticación multifactor). Microsoft recomienda usar una de estas formas de autenticación multifactor:

   • tarjeta inteligente: una tarjeta inteligente es un dispositivo físico portátil y resistente a alteraciones que proporciona una segunda comprobación durante el proceso de inicio de sesión de Windows. Al requerir que un individuo posea una tarjeta para el inicio de sesión, puede reducir el riesgo de que las credenciales robadas se reutilicen de forma remota. Para obtener más información sobre el inicio de sesión de tarjeta inteligente en Windows, consulte el artículo información general sobre la tarjeta inteligente .
   • tarjeta inteligente virtual: una tarjeta inteligente virtual proporciona las mismas ventajas de seguridad que las tarjetas inteligentes físicas, con la ventaja adicional de vincularse a hardware específico. Para obtener más información sobre los requisitos de implementación y hardware, consulte los artículos Introducción a las tarjetas inteligentes virtuales y Introducción a las tarjetas inteligentes virtuales: Guía de tutorial.
   • Windows Hello para empresas: Windows Hello para empresas permite a los usuarios autenticarse en una cuenta Microsoft, una cuenta de Active Directory, una cuenta de Microsoft Entra o un servicio que no sea de Microsoft que admita la autenticación fast ID Online (FIDO). Después de una comprobación inicial en dos pasos durante la inscripción de Windows Hello para empresas, se configura windows Hello para empresas en el dispositivo del usuario y el usuario establece un gesto, que puede ser Windows Hello o un PIN. Las credenciales de Windows Hello para empresas son un par de claves asimétricas, que se pueden generar dentro de entornos aislados de módulos de plataforma segura (TPM).
     • Para obtener más información sobre Windows Hello para Empresas, lea el artículo Windows Hello para Empresas.
   • autenticación multifactor de Azure: La autenticación multifactor (MFA) de Azure proporciona la seguridad de un segundo factor de comprobación y protección mejorada mediante la supervisión y el análisis basado en aprendizaje automático. La autenticación multifactor de Microsoft Entra puede proteger no solo a los administradores de Azure, sino también a muchas otras soluciones, incluidas las aplicaciones web, el identificador de Microsoft Entra y las soluciones locales, como el acceso remoto y el Escritorio remoto. Para obtener más información, consulte el artículo autenticación multifactor.

2. Lista de aplicaciones de confianza permitidas con el Control de aplicaciones de Windows Defender o AppLocker. Al limitar la posibilidad de que se ejecute en una PAW código que no es de confianza o sin firmar, reduce la probabilidad aún más de actividad malintencionada y la exposición a peligros. Windows incluye dos opciones principales para el control de aplicaciones:

   • AppLocker: AppLocker ayuda a los administradores a controlar qué aplicaciones se pueden ejecutar en un sistema determinado. AppLocker se puede controlar de forma centralizada a través de la directiva de grupo y aplicar a usuarios o grupos específicos (para aplicaciones dirigidas a usuarios de PAW). Para obtener más información sobre AppLocker, consulte el artículo de TechNet Introducción a AppLocker.
   • Control de aplicaciones de Windows Defender: la nueva característica de control de aplicaciones de Windows Defender proporciona un control mejorado de aplicaciones basado en hardware que, a diferencia de AppLocker, no se puede invalidar en el dispositivo afectado. Al igual que AppLocker, el control de aplicaciones de Windows Defender se puede controlar a través de la directiva de grupo y dirigida a usuarios específicos. Para obtener más información sobre cómo restringir el uso de aplicaciones con el Control de aplicaciones de Windows Defender, consulta Guía de implementación del control de aplicaciones de Windows Defender.

3. Usar usuarios protegidos, directivas de autenticación y silos de autenticación para proteger aún más las cuentas con privilegios. Los miembros de usuarios protegidos están sujetos a directivas de seguridad adicionales que protegen las credenciales almacenadas en el agente de seguridad local (LSA) y minimizan considerablemente el riesgo de robo y reutilización de credenciales. Las directivas de autenticación y los silos controlan cómo los usuarios con privilegios pueden acceder a los recursos del dominio. En conjunto, estas protecciones refuerzan drásticamente la seguridad de la cuenta de estos usuarios con privilegios. Para obtener más información sobre estas características, consulte el artículo Configuración de cuentas protegidas.

   Nota

   Estas protecciones están pensadas para complementar, no reemplazar, medidas de seguridad existentes en la fase 1. Los administradores deben seguir usando cuentas independientes para la administración y el uso general.

Administración y actualización

Las PAW deben tener funcionalidades antimalware y actualizaciones de software deben aplicarse rápidamente para mantener la integridad de estas estaciones de trabajo.

La administración adicional de la configuración, la supervisión operativa y la administración de seguridad también se pueden usar con PAW. La integración de estas funcionalidades debe considerarse cuidadosamente porque cada una de ellas presenta el riesgo de riesgo de PAW a través de esa herramienta. Si tiene sentido introducir funcionalidades de administración avanzadas depende de varios factores, entre los que se incluyen:

• El estado de seguridad y las prácticas de la funcionalidad de administración (incluidos los procedimientos de actualización de software para la herramienta, los roles administrativos y las cuentas en esos roles, los sistemas operativos en los que se hospeda o desde los cuales se administra la herramienta, y otras dependencias de hardware o software vinculadas a esa herramienta).
• Frecuencia y cantidad de implementaciones de software y actualizaciones en las PAW
• Requisitos para obtener información detallada de inventario y configuración
• Requisitos de supervisión de seguridad
• Estándares de la organización y otros factores específicos de la organización

Según el principio de origen limpio, todas las herramientas que se usan para administrar o supervisar los PAWs deben ser de confianza al nivel de los PAWs o superiores. Normalmente, este proceso requiere que esas herramientas se administren desde una PAW para garantizar que no haya ninguna dependencia de seguridad de las estaciones de trabajo con privilegios inferiores.

En esta tabla se describen distintos enfoques que se pueden usar para administrar y supervisar los PAW:

Enfoque	Consideraciones
Predeterminado en PAW - Windows Server Update Services - Windows Defender	- Sin costo adicional - Realiza funciones básicas de seguridad necesarias - Instrucciones incluidas en esta guía
Administración con Intune	Proporciona visibilidad y control basados en la nube Implementación de software o Administrar actualizaciones de software Administración de directivas de Firewall de Windows Protección contra malware Asistencia remota Administración de licencias de software. No se requiere ninguna infraestructura de servidor Requiere los siguientes pasos de "Habilitación de la conectividad a Cloud Services" en la fase 2 Si el equipo PAW no está unido a un dominio, esta configuración requiere aplicar las configuraciones estándar de SCM a las imágenes locales mediante las herramientas proporcionadas en la descarga de la configuración estándar de seguridad.
Nuevas instancias de System Center para administrar PAW	- Proporciona visibilidad y control de la configuración, la implementación de software y las actualizaciones de seguridad. - Requiere infraestructura de servidor independiente y protegerla al nivel de las PAW, así como aptitudes del personal con altos privilegios
Administración de PAW con herramientas de administración existentes	- Crea un riesgo significativo para poner en peligro los PAW, a menos que la infraestructura de administración existente se ponga al día en el nivel de seguridad de los PAW Nota: Microsoft normalmente desaconseja este enfoque a menos que su organización tenga una razón específica para usarla. En nuestra experiencia, normalmente hay un gran coste asociado con llevar todas estas herramientas (y sus dependencias de seguridad) al nivel de seguridad de los PAW. - La mayoría de estas herramientas proporcionan visibilidad y control de la configuración, la implementación de software y las actualizaciones de seguridad
Herramientas de análisis o supervisión de seguridad que requieren acceso de administrador	Incluye cualquier herramienta que instale un agente o requiera una cuenta con acceso administrativo local. - Requiere llevar la herramienta de control de seguridad al nivel de las PAW. - Podría requerir la reducción del nivel de seguridad de los PAW para admitir la funcionalidad de la herramienta (puertos abiertos, instalar Java u otro middleware, etc.), lo que implica un dilema de seguridad.
Administración de eventos e información de seguridad (SIEM)	Si SIEM no tiene agente Puede acceder a eventos en PAWs sin acceso administrativo utilizando una cuenta en el grupo "Lectores del Registro de Eventos ". Requiere la apertura de puertos de red para permitir el tráfico entrante desde los servidores SIEM. Si SIEM requiere un agente, consulte la otra fila Herramientas de escaneo o supervisión de seguridad que requieren acceso de administrador.
Reenvío de eventos de Windows	- Proporciona un método sin agente para reenviar eventos de seguridad de los PAW a un recopilador externo o SIEM. - Puede acceder a eventos en PAW sin acceso administrativo - No requiere abrir puertos de red para permitir el tráfico entrante desde los servidores SIEM.

Funcionamiento de PAW

La solución PAW debe funcionar con los estándares basados en principios de origen limpio.

Artículos relacionados

Microsoft Advanced Threat Analytics

Proteger las credenciales de dominio derivadas con credential Guard

Información general sobre Device Guard

Protección de recursos de alto valor con estaciones de trabajo de administración seguras

Novedades en la autenticación Kerberos para Windows Server 2012

Guía paso a paso de comprobación del mecanismo de autenticación de AD DS en Windows Server 2008 R2

Información general sobre la tecnología del Módulo de plataforma segura

Pasos siguientes

protección del acceso con privilegios