Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El acceso con privilegios se encuentra en el modelo de acceso empresarial y proporciona la única ruta de acceso administrativa al plano de control. Define quién puede configurar sistemas, administrar identidades, aplicar seguridad y, en última instancia, dar forma al entorno tecnológico de la organización.
En las empresas modernas, un número relativamente pequeño de identidades: los administradores, las cuentas de servicio y los roles del plano de control tienen poder y acceso a la mayoría de los recursos empresariales. Estas identidades pueden:
- Modificación de controles de acceso
- Cambiar las configuraciones del sistema
- Acceso a datos confidenciales
- Deshabilitación o omisión de las protecciones de seguridad
Los atacantes lo reconocen. En lugar de atacar cada sistema individualmente, se centran en:
- Robar credenciales.
- Escalado de privilegios.
- Avanzar lateralmente hacia puestos de alto valor.
Una vez obtenido el acceso con privilegios, el atacante puede operar con velocidad y escala.
Por este motivo, los modelos de seguridad modernos tratan el acceso con privilegios de forma diferente:
- Debe controlarse explícitamente. Por ejemplo, defina roles con privilegios e incorporación a través de la gobernanza de identidades y la administración de identidades con privilegios (PIM), lo que requiere la aprobación y la elevación enlazada a tiempo en lugar de asignaciones de roles permanentes.
- Debe estar aislado de la actividad normal. Por ejemplo, use cuentas administrativas independientes y dispositivos de acceso con privilegios dedicados (PAW), por lo que las acciones con privilegios nunca se producen desde sesiones de usuario estándar o dispositivos no administrados.
- Debe supervisarse continuamente. Por ejemplo, envíe inicios de sesión con privilegios, activaciones de roles y cambios de directiva a herramientas de supervisión como Microsoft Sentinel para detectar patrones de uso inusuales y desencadenar alertas o respuesta automatizada.
- Hay que reconocer que el acceso privilegiado es uno de los principales objetivos de ataque. Por ejemplo, proteja todas las cuentas con privilegios con autenticación multifactor segura (MFA), sin acceso permanente y controles de cuentas de emergencia, suponiendo que los atacantes intenten el robo de credenciales y la elevación de privilegios.
La protección del acceso con privilegios requiere un aspecto más allá de solo roles y cuentas para comprender todos los componentes que tienen acceso con privilegios. Esto incluye lo siguiente:
- Plano de control de identidad.
- Dispositivos con privilegios, aplicaciones e interfaces.
- Sistemas intermedios como VPN, PIM y sistemas de administración de acceso con privilegios (PAM).
Juntos, definen cómo se ejerce el control y cómo se debe proteger.
En el gráfico siguiente se muestra la posible superficie expuesta a ataques para poner en peligro el acceso con privilegios.
Plano de control de identidad
El plano de control de identidad es la capa que define y rige quién puede contener roles con privilegios y cómo se asignan, elevan y revocan esos privilegios en toda la organización. En un contexto de acceso privilegiado, incluye identidades con privilegios, asignaciones de roles y vías aprobadas de elevación de privilegios, que constituyen la base sobre la que se apoyan todos los demás controles.
Proteger el plano de control de identidad garantiza que el privilegio sea explícito, limitado en tiempo, autenticado fuertemente y auditable, lo que impide el acceso no autorizado o no controlado a los sistemas que, en última instancia, controlan todo el entorno.
En el diagrama siguiente se muestra que el plano de control se administra centralmente en servicios en la nube (Microsoft Entra ID, Intune, Defender para punto de conexión) y solo se puede acceder a él a través de una estación de trabajo de acceso con privilegios (PAW), aplicando aislamiento, control y administración segura de todas las operaciones con privilegios.
Roles del plano de control
Microsoft Entra ID tiene funciones y permisos que se identifican como privilegiados.
Estos roles y permisos se pueden usar para delegar la administración de recursos de directorio en otros usuarios, modificar credenciales y directivas de autenticación o autorización, o acceder a datos restringidos. Las asignaciones de roles con privilegios pueden dar lugar a la elevación de privilegios si no se usan de forma segura y prevista.
- Revisar roles con privilegios de Microsoft Entra.
- Obtenga más información sobre cómo ver y usar roles con privilegios.
Estaciones de trabajo de acceso con privilegios
Una estación de trabajo de acceso con privilegios (PAW) es un dispositivo dedicado y protegido que solo se usa para realizar tareas administrativas. Es independiente de los dispositivos de usuario normales y está estrechamente protegido para reducir el riesgo de robo de credenciales, malware o movimiento lateral. Las PAW imponen protecciones clave como:
- Autenticación segura (por ejemplo, Windows Hello para empresas)
- Refuerzo de dispositivos (Credential Guard, Device Guard, Exploit Guard, AppLocker)
- Uso restringido (sin actividad general de exploración o productividad)
El objetivo es asegurarse de que las credenciales y acciones con privilegios nunca se exponen a entornos que no son de confianza.
En el diagrama siguiente se muestra cómo la PAW es el único punto de acceso de confianza al plano de control.
Como se muestra en el diagrama, todas las acciones administrativas fluyen a través de la PAW y se controlan como se resume en la tabla.
| Control | Implementación |
|---|---|
| Controlado explícitamente | El acceso administrativo solo se concede a través de controles de identidad basados en políticas, lo que requiere autenticación robusta y elevación aprobada y limitada en el tiempo. El estado del dispositivo también debe cumplir los requisitos de cumplimiento antes de que se permita el acceso. |
| Aislado de la actividad normal | Las operaciones con privilegios están restringidas a un dispositivo PAW dedicado con un uso y conectividad estrechamente controlados. La PAW no se usa para la productividad general, con acceso restringido a Internet y conectividad remota segura a sistemas confidenciales. |
| Supervisado continuamente | Toda la actividad de identidad, el estado del dispositivo y el comportamiento del punto de conexión se recopilan y analizan continuamente, lo que permite la detección de actividad con privilegios anómalos y respuesta rápida. |
| Se asume que es el objetivo | El entorno se protege y valida continuamente, suponiendo que los atacantes tengan como destino el acceso con privilegios. Los dispositivos se mantienen actualizados, se aplica el arranque seguro. |
Pasos siguientes
Implemente una arquitectura de acceso con privilegios.