Fase 2: Configuración y protección de estaciones de trabajo con privilegios

Este artículo forma parte de la guía implementar una solución de arquitectura de acceso con privilegios .

El acceso con privilegios presenta un riesgo de seguridad crítico en la mayoría de las organizaciones, ya que permite el control directo sobre los sistemas de identidad, los planos de control en la nube y los recursos críticos para la empresa.

Obtenga información sobre cómo una arquitectura de acceso con privilegios seguro desempeña un papel fundamental en su escenario empresarial: proteja los recursos empresariales críticos mediante la reducción de este riesgo y el fortalecimiento del control sobre los sistemas confidenciales.

En este artículo se describe la fase 2 de la solución. Implementa y protege estaciones de trabajo de acceso con privilegios (PAW), por lo que la actividad con privilegios solo se origina en dispositivos de confianza. Se basa en la fase 1 y genera las señales de confianza del dispositivo (cumplimiento de Intune y riesgo de Microsoft Defender para punto de conexión) que se usan para la aplicación en la fase 3.

Objetivos de protección

La Fase 2 garantiza que el acceso privilegiado:

  • Solo se origina en dispositivos de confianza y reforzados.
  • Está aislado de las actividades de productividad de alto riesgo.
  • Genera una señal de dispositivo limpia y confiable para su aplicación posterior.
  • Reduce el riesgo de robo de credenciales, reproducción de tokens y secuestro de sesión.
  • Limita el radio de explosión si un dispositivo está en peligro.

Ámbito de protección

El acceso con privilegios solo es tan confiable como el dispositivo desde el que se origina. Las protecciones de identidad, como la autenticación multifactor (MFA), las aprobaciones y la activación de roles, no pueden suplir una estación de trabajo comprometida. Si un atacante controla el dispositivo usado para el acceso con privilegios, puede hacer lo siguiente:

  • Robar tokens de autenticación una vez completada la autenticación multifactor (MFA).
  • Inyectar procesos maliciosos en sesiones administrativas.
  • Reutilizar credenciales o tokens desde la memoria.
  • Omita los flujos de trabajo de aprobación trabajando como usuario legítimo.

Para los roles privilegiados, una sola estación de trabajo comprometida puede permitir una rápida escalada hasta obtener el control de todo el tenant o de toda la empresa. Como resultado, la seguridad del dispositivo define el límite superior de confianza para el acceso con privilegios. Por lo tanto, las directivas de acceso con privilegios suponen que las sesiones administrativas se originan en dispositivos que cumplen la barra de seguridad más alta. Estos dispositivos forman el límite de confianza para las operaciones con privilegios.

Estaciones de trabajo de acceso con privilegios (PAW)

Una PAW es una estación de trabajo de Windows administrada protegida diseñada exclusivamente para tareas con privilegios. Las PAW definen el límite de confianza del dispositivo para el acceso con privilegios y están aislados de vectores de ataque comunes.

  • Están aislados del correo electrónico, la exploración web general y las cargas de trabajo de productividad.
  • Están inscritos y administrados a través de Microsoft Intune.
  • Use Microsoft Entra ID para la integración de identidades.
  • Se supervisan mediante Microsoft Defender para punto de conexión.
  • Proporcione una raíz de confianza basada en hardware sólida.

Aquí se muestra cómo encajan los PAW desde una perspectiva de nivel de seguridad o perfil.

Nivel de seguridad Perfil de dispositivo
Usuarios empresariales Dispositivo administrado estándar
Operadores especializados Dispositivo gestionado reforzado
Con privilegios (administradores del plano de control) PAW

Riesgos mitigados

Riesgo Por qué importa Mitigación de la fase 1
El atacante roba tokens de autenticación después de MFA MFA protege la autenticación, no el entorno de ejecución. Si una estación de trabajo está en peligro, los atacantes pueden robar tokens posteriores a la autenticación y reutilizarlos para suplantar a los usuarios con privilegios. Las PAW aíslan las tareas privilegiadas en dispositivos reforzados con una superficie de ataque reducida, protección de credenciales (Credential Guard) y monitorización continua, lo que evita el robo de tokens desde dispositivos de productividad comprometidos.
Inserción de procesos malintencionados en sesiones administrativas Los atacantes pueden insertar código en herramientas de administración o sesiones de explorador en dispositivos en peligro, obteniendo el control de las operaciones con privilegios incluso cuando las identidades están protegidas. El control de aplicaciones, la eliminación de derechos de administrador local y la ejecución restringida de la aplicación en PAW impide la ejecución de código no autorizado durante las sesiones administrativas.
Reproducción de credenciales desde la memoria Los atacantes pueden extraer credenciales o tokens de la memoria en estaciones de trabajo en peligro y reproducirlas para escalar privilegios o moverse lateralmente. Las PAW aplican el aislamiento de credenciales mediante la seguridad basada en virtualización y las configuraciones de sistema operativo protegidas, lo que reduce la exposición de credenciales en memoria y limita las oportunidades de reproducción.
Flujos de trabajo de aprobación eludidos desde dispositivos comprometidos Incluso con la activación de roles basada en aprobación, los atacantes que controlan una estación de trabajo pueden secuestrar sesiones aprobadas y escalar rápidamente privilegios. La confianza del dispositivo se convierte en un requisito previo para el trabajo con privilegios. Las PAW garantizan que las aprobaciones y las acciones administrativas solo se realicen desde dispositivos diseñados para resistir vulneraciones.
Escalada rápida desde una estación de trabajo comprometida Una sola estación de trabajo de administración en peligro puede permitir a los atacantes dinamizar rápidamente los sistemas de identidad, los planos de control y la administración de toda la empresa. La seguridad del dispositivo establece un límite superior en la confianza. Las PAW proporcionan la barra de seguridad más alta, lo que reduce la probabilidad de que se pueda usar un punto de conexión en peligro para escalar a roles con privilegios.

Resultados de la fase

Después de completar la fase 2:

  • Se configuran uno o varios dispositivos PAW dedicados.
  • El trabajo administrativo con privilegios solo se origina en PAW.
  • Las PAW están aisladas de las tareas de productividad.
  • Los dispositivos se administran, supervisan y recuperan centralmente.
  • Las suposiciones de confianza del dispositivo son explícitas y aplicables.
  • Las fases posteriores pueden aplicar de forma segura el acceso condicional y la supervisión.

Prerequisites

Antes de configurar los procedimientos de este artículo:

  • Asegúrese de que se completen las instrucciones de la fase 1 .
  • Obtenga información sobre la seguridad del dispositivo en el caso de acceso con privilegios.
  • Los siguientes servicios deben estar disponibles:
    • Microsoft Entra ID como proveedor de identidades.
    • Microsoft Intune para la administración de dispositivos.
    • Microsoft Defender para punto de conexión para la protección contra amenazas.
  • Necesita al menos un dispositivo Windows compatible por administrador, con hardware de Windows moderno que admita:
    • TPM 2.0
    • Arranque seguro de UEFI
    • BitLocker
    • Seguridad basada en virtualización (VBS/HVCI)
    • Firmware y controladores actualizados a través de Windows Update.

Los dispositivos que no cumplen esta barra no deben usarse para el acceso con privilegios.

Paso 1: Definir el aprovisionamiento y el ciclo de vida de PAW

Defina qué dispositivos son PAW, cómo se crean, inscriben, administran y impiden su uso antes de que estén listos.

Creación de un grupo de dispositivos PAW

Este grupo contendrá dispositivos PAW y se usa para:

  • Destino de la inscripción
  • Perfiles de fortalecimiento
  • Evaluación de cumplimiento
  • Aplicación del acceso condicional en una fase posterior.

Cree lo siguiente:

  1. En Microsoft Entra Admin Center, vaya a Microsoft Entra ID>Groups>Nuevo grupo.

  2. Configure los valores de grupo y, a continuación, seleccione Crear.

    • Tipo de grupo: Seguridad
    • Nombre del grupo: Dispositivos de estación de trabajo seguras
    • Tipo de pertenencia: Dispositivos dinámicos

  3. Seleccione Agregar consulta dinámica y agregue una regla con esta sintaxis: device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"

  4. Seleccione Guardar>Crear.

Los dispositivos registrados con la etiqueta de grupo PAW Autopilot se identifican mediante la regla dinámica de dispositivos PAW y se tratan como estaciones de trabajo de acceso privilegiado.

Controlar quién puede crear PAW

Asegúrese de que los PAW se registren de forma intencionada y segura.

  • Restrinja quién puede unir dispositivos a Microsoft Entra ID.
  • Requerir autenticación multifactor para incorporar dispositivos.
  • Quite los derechos automáticos de administrador local al unirse.
  1. En el Centro de administración de Entra, vaya a Configuración>.
  2. En Usuarios pueden unir dispositivos a Microsoft Entra ID>Selected, seleccione Usuarios de estación de trabajo seguros.
  3. En Requerir autenticación multifactor para unir dispositivos, seleccione .
  4. En Administrador local adicional en dispositivos unidos a Microsoft Entra, seleccione Ninguno.
  5. Guarda la configuración

Una vez implementado esto, solo los usuarios de PAW pueden registrar los PAW, se requiere MFA y ningún usuario de PAW se convierte en administrador local de forma predeterminada.

Administrar PAW desde el primer inicio

Las PAW deben administrarse desde el primer inicio. Los dispositivos no administrados no pueden ser de confianza para el acceso con privilegios.

  • Configure Microsoft Entra ID para inscribir automáticamente dispositivos en Intune.
  • Asegúrese de que todas las PAW están administradas por MDM inmediatamente después de la unión.
  • Restringir la inscripción de dispositivos a plataformas aprobadas.
  1. Abra Microsoft Entra ID>Movilidad (MDM y MAM)>Microsoft Intune.
  2. Establezca el ámbito de usuario de MDM en Todos y guarde.
  3. Configurar restricciones de inscripción:
    • Permitir la inscripción de dispositivos con Windows.
    • Bloquear o restringir dispositivos de propiedad personal.

Las PAW siempre están administradas; nunca no administradas.

Aprovisionar PAW de forma coherente

Use Windows Autopilot para garantizar un aprovisionamiento coherente y repetible de los PAW que asegure que los PAW se inicien en un estado correcto y conocido.

Cree un perfil de implementación de Autopilot dedicado y asígnelo al grupo de dispositivos PAW.

  1. En el Centro de administración de Microsoft Intune, vaya a Devices>Windows>Windows enrollment>Perfiles de implementación.
  2. Seleccione Crear perfil y cree un perfil con la siguiente configuración:
    • Nombre: perfil de implementación de estación de trabajo segura
    • Convertir todos los dispositivos de destino en Autopilot: Sí
    • Modo de implementación: implementación automática
    • Tipo de cuenta de usuario: Estándar
  3. Selecciona Crear.

Impedir el uso de los PAWs antes de su refuerzo de seguridad

Evite que los PAW se utilicen antes de que estén completamente reforzados. Esto evita la exposición temprana durante la instalación.

  • Configurar una página de estado de inscripción (ESP)
  • Bloquear el uso del dispositivo hasta que se instalen todos los perfiles y aplicaciones necesarios
  • Asignación de ESP a dispositivos PAW

  1. En el Centro de administración de Microsoft Intune, vaya a Dispositivos>Windows>Inscripción de Windows>Estado de inscripción.

  2. Seleccione Crear perfil y cree un perfil con la siguiente configuración:

    • Mostrar progreso de la instalación de aplicaciones y perfiles: Sí
    • Bloquear el uso del dispositivo hasta que se instalen todas las aplicaciones y perfiles: Sí

  3. Asigne a Dispositivos de estación de trabajo seguras y seleccione Crear.

Operaciones de ciclo de vida en curso

  1. Para recuperar y reconstruir los PAW:

    • Restablecer o reaprovisionar los PAWs mediante Autopilot cuando se vean comprometidos.
    • Trate los PAW como reemplazables, no reparados manualmente.

  2. Para identificar y realizar un seguimiento de los PAW, use:

    • Pertenencia a grupos de dispositivos
    • Registro de Autopilot

Con estos procesos implementados, los PAW son dispositivos claramente identificables y administrados de forma centralizada que se pueden inventariar, revisar y borrar de forma segura y reaprovisionar mediante Autopilot si se ven comprometidos.

Paso 2: Reforzar la seguridad de los PAWs

Refuerce las estaciones de trabajo de acceso privilegiado (PAW) para ofrecer una señal de dispositivo limpia, de bajo riesgo. Entre los controles de refuerzo se incluyen la reducción de la superficie de ataque, la aplicación de parches y la generación de señales de riesgo y cumplimiento de Defender.

Los controles de acceso condicional y supervisión dependen de esta posición para aplicar decisiones de acceso con privilegios.

Estos controles asumen que los PAW cumplen los requisitos previos de seguridad de hardware necesarios definidos anteriormente.

Configurar anillos de Windows Update

Los PAW deben parchearse de forma rápida y predecible. Los retrasos o los aplazamientos controlados por el usuario afectan a la confianza de los dispositivos.

  1. En el Centro de administración de Microsoft Intune, vaya a Dispositivos>Windows>Actualizaciones de software>Anillos de actualización de Windows.

  2. Seleccione Crear perfil.

  3. Configure los valores siguientes:

    • Nombre: PAW : anillo de Windows Update
    • Aplazamiento de actualizaciones de calidad (días): 3
    • Aplazamiento de actualizaciones de características (días): 3
    • Comportamiento de actualización automática: instalación automática y reinicio sin control de usuario final
    • Impedir que el usuario pausa las actualizaciones: Bloquear
    • Establecer la fecha límite para reinicios pendientes: 3 días

  4. En Asignaciones, asigne a dispositivos de estación de trabajo seguros.

  5. Cree el perfil.

Después de completar este procedimiento, los PAW siguen con los parches aplicados, con una ventana de exposición mínima y sin posibilidad de elusión por parte del usuario.

Incorporación a Defender para punto de conexión

El acceso condicional y el cumplimiento dependen de las señales de riesgo de Defender. Sin Defender for Endpoint, la confianza en el dispositivo no es completa.

  1. En el Centro de administración de Microsoft Intune, vaya a Endpoint security>Microsoft Defender para punto de conexión.
  2. Establezca Conectar Microsoft Defender para punto de conexión a Intune en Activado.
  3. Haga clic en Guardar.
  4. Actualice en Intune para confirmar la conexión.

Creación de un perfil de incorporación

  1. En el Centro de administración de Microsoft Intune, vaya a Endpoint security>Endpoint detection and response.

  2. Seleccione Crear perfil y configure las opciones siguientes:

    • Plataforma: Windows 10 y versiones posteriores
    • Tipo de perfil: detección y respuesta de puntos de conexión
    • Nombre: PAW - Defender for Endpoint

  3. En Opciones de configuración , habilite Uso compartido de muestras para todos los archivos.

  4. Asignar al grupo Dispositivos de estación de trabajo segura.

  5. Cree el perfil.

Después de configurar el procedimiento, las PAW emiten riesgos de dispositivo, malware y telemetría de EDR usadas por el acceso condicional y SecOps.

Aplicación de restricciones de red y firewall

La mayoría de las rutas de compromiso de PAW son de salida. Limitar el tráfico saliente es fundamental.

  1. En el Centro de administración de Microsoft Intune, vaya a Endpoint security>Firewall.
  2. Cree un perfil de protección de punto de conexión.
  3. Configure reglas de firewall de salida para permitir solo los servicios necesarios, como DNS, DHCP, NTP y puntos de conexión administrativos y de administración aprobados. Bloquear el tráfico saliente innecesario de forma predeterminada.
  4. Asignar adispositivos de estación de trabajo segura.

Después de configurar el procedimiento, los PAW solo pueden llegar a los puntos de conexión administrativos necesarios para las tareas de administración.

Pasos siguientes

Con los PAW configurados y protegidos, el siguiente paso es aplicar el acceso con privilegios mediante el acceso condicional y la directiva.

  • Last updated on