Implementación de hosts administrativos seguros
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.
Los hosts administrativos seguros son estaciones de trabajo o servidores que se han configurado específicamente para crear plataformas seguras desde las que las cuentas con privilegios pueden realizar tareas administrativas en Active Directory o en controladores de dominio, sistemas unidos a un dominio y aplicaciones que se ejecutan en sistemas unidos a un dominio. En este caso, "cuentas con privilegios" no solo hace referencia a las cuentas que son miembros de los grupos con más privilegios de Active Directory, sino a las cuentas que se han delegado derechos y permisos que permiten realizar tareas administrativas.
Estas cuentas pueden ser las del departamento de soporte técnico que tienen la capacidad de restablecer contraseñas para la mayoría de los usuarios de un dominio, las que se usan para administrar registros y zonas DNS, o las que se usan para la administración de configuración. Estos hosts administrativos seguros están dedicados a la funcionalidad administrativa y no ejecutan software como aplicaciones de correo electrónico, exploradores web o software de productividad como Microsoft Office.
Aunque las cuentas y grupos "con más privilegios" deben ser, en consecuencia, las más estrictamente protegidas, esto no elimina la necesidad de proteger las cuentas y grupos a los que se han concedido privilegios por encima de las cuentas de usuario estándar.
Un host administrativo seguro puede ser una estación de trabajo dedicada que solo se usa para tareas administrativas, un servidor miembro que ejecuta el rol de servidor de puerta de enlace de Escritorio remoto y al que los usuarios de TI se conectan para realizar la administración de hosts de destino, o un servidor que ejecuta el rol de Hyper-V y proporciona una máquina virtual única para que cada usuario de TI la use para sus tareas administrativas. En muchos entornos, se pueden implementar combinaciones de los tres enfoques.
La implementación de hosts administrativos seguros requiere un planeamiento y una configuración coherente con el tamaño de la organización, las prácticas administrativas, el apetito de riesgo y el presupuesto. Aquí se proporcionan consideraciones y opciones para implementar hosts administrativos seguros puede usar para desarrollar una estrategia administrativa adecuada para su organización.
Principios para crear hosts administrativos seguros
Para proteger eficazmente los sistemas contra ataques, se deben tener en cuenta algunos principios generales:
Nunca debe administrar un sistema de confianza (es decir, un servidor seguro como un controlador de dominio) desde un host con menor confianza (es decir, una estación de trabajo que no está protegida en el mismo grado que los sistemas que administra).
No confíe en un único factor de autenticación al realizar actividades con privilegios; es decir, las combinaciones de nombre de usuario y contraseña no deben considerarse autenticaciones aceptables porque solo se representa un único factor (algo que sabe). Debe tener en cuenta dónde se generan y almacenan las credenciales en caché o se almacenan en escenarios administrativos.
Aunque la mayoría de los ataques en el panorama actual de amenazas aprovechan el malware y la piratería malintencionada, no omiten la seguridad física al diseñar e implementar hosts administrativos seguros.
Configuración de la cuenta
Incluso si su organización no usa actualmente tarjetas inteligentes, debe considerar la posibilidad de implementarlas para cuentas con privilegios y hosts administrativos seguros. Los hosts administrativos deben configurarse para requerir el inicio de sesión de tarjeta inteligente para todas las cuentas modificando el siguiente ajuste en un GPO que esté vinculado a las OU que contienen hosts administrativos:
Configuración del equipo\Directivas\Configuración de Windows\Directivas locales\Opciones de seguridad\Inicio de sesión interactivo: requerir tarjeta inteligente
Esta configuración requerirá que todos los inicios de sesión interactivos usen una tarjeta inteligente, independientemente de la configuración de una cuenta concreta de Active Directory.
También debe configurar hosts administrativos seguros para permitir inicios de sesión solo mediante cuentas autorizadas, que se pueden configurar en:
Configuración del equipo\Directivas\Configuración de Windows\Directivas locales\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Esto concede derechos de inicio de sesión interactivos (y, si procede, Servicios de Escritorio remoto) solo a los usuarios autorizados del host administrativo seguro.
Seguridad física
Para que los hosts administrativos se consideren de confianza, deben configurarse y protegerse en el mismo grado que los sistemas que administran. La mayoría de las recomendaciones proporcionadas en Protección de controladores de dominio contra ataques también son aplicables a los hosts que se usan para administrar controladores de dominio y la base de datos de AD DS. Uno de los desafíos de implementar sistemas administrativos seguros en la mayoría de los entornos es que la seguridad física puede ser más difícil de implementar porque estos equipos suelen residir en áreas que no son tan seguras como servidores hospedados en centros de datos, como los escritorios de los usuarios administrativos.
La seguridad física consiste en controlar el acceso físico a los hosts administrativos. En una organización pequeña, esto puede implicar mantener una estación de trabajo administrativa dedicada que se guarde bajo llave en una oficina o en un cajón del escritorio cuando no se utilice. O bien, puede implicar iniciar sesión directamente en el controlador de dominio cuando necesite realizar la administración de Active Directory o los controladores de dominio.
En organizaciones medianas, puede considerar la posibilidad de implementar servidores de salto administrativos seguros que se encuentran en una ubicación segura en una oficina y se usan cuando se requiere la administración de Active Directory o controladores de dominio. También puede implementar estaciones de trabajo administrativas guardadas en ubicaciones seguras cuando no están en uso, con o sin servidores de salto.
En organizaciones grandes, puede implementar servidores de salto hospedados en centros de datos que proporcionen un acceso estrictamente controlado a Active Directory, a controladores de dominio y a servidores de archivos, impresión o aplicaciones. Es más probable que la implementación de una arquitectura de servidor de salto incluya una combinación de estaciones de trabajo y servidores seguros en entornos grandes.
Independientemente del tamaño de la organización y del diseño de los hosts administrativos, debe proteger los equipos físicos contra el acceso o el robo no autorizados, y debe usar el cifrado de unidad BitLocker para cifrar y proteger las unidades en hosts administrativos. Al implementar BitLocker en hosts administrativos, incluso si se roba un host o se quitan sus discos, puede asegurarse de que los datos de la unidad no son accesibles para los usuarios no autorizados.
Versiones y configuración del sistema operativo
Todos los hosts administrativos, ya sean servidores o estaciones de trabajo, deben ejecutar el sistema operativo más reciente en uso en su organización por los motivos descritos anteriormente en este documento. Mediante la ejecución de sistemas operativos actuales, el personal administrativo se beneficia de las nuevas características de seguridad, el soporte completo del proveedor y la funcionalidad adicional introducida en el sistema operativo. Además, al evaluar un nuevo sistema operativo, si lo implementa primero en hosts administrativos, deberá familiarizarse con las nuevas características, la configuración y los mecanismos de administración que ofrece, que posteriormente se pueden aprovechar para planear una implementación más amplia del sistema operativo. Para entonces, los usuarios más sofisticados de su organización serán también los que estén familiarizados con el nuevo sistema operativo y mejor posicionados para utilizarlo.
Asistente para configuración de seguridad de Microsoft
Si implementa servidores de salto como parte de la estrategia de host administrativo, debe usar el Asistente para configuración de seguridad integrado para configurar la configuración de servicio, registro, auditoría y firewall para reducir la superficie expuesta a ataques del servidor. Cuando se hayan recopilado y configurado los valores de configuración del Asistente para configuración de seguridad, los valores se podrán convertir en un GPO que se usa para aplicar una configuración de línea base coherente en todos los servidores de salto. Puede editar aún más el GPO para implementar la configuración de seguridad específica de los servidores de salto y combinar toda la configuración con la configuración de línea base adicional extraída del Administrador de cumplimiento de seguridad de Microsoft.
Administrador de cumplimiento de seguridad de Microsoft
El Administrador de cumplimiento de seguridad de Microsoft es una herramienta disponible gratuitamente que integra configuraciones de seguridad recomendadas por Microsoft, basadas en la configuración de roles y la versión del sistema operativo, y que las recopila en una sola herramienta e interfaz de usuario que se pueden usar para crear y configurar las opciones de seguridad de línea base para los controladores de dominio. Las plantillas del Administrador de cumplimiento de seguridad de Microsoft se pueden combinar con la configuración del Asistente para configuración de seguridad para generar líneas base de configuración completas para los servidores de salto implementados y aplicados por los GPO implementados en las OU donde los servidores de salto se encuentran en Active Directory.
Nota
En el momento de escribir este artículo, el Administrador de cumplimiento de seguridad de Microsoft no incluye la configuración específica de los servidores de salto u otros hosts administrativos seguros, pero el Administrador de cumplimiento de seguridad (SCM) todavía se puede usar para crear líneas base iniciales para los hosts administrativos. Sin embargo, para proteger correctamente los hosts, debe aplicar una configuración de seguridad adicional adecuada para estaciones de trabajo y servidores altamente seguros.
AppLocker
Los hosts administrativos y las máquinas virtuales deben configurarse con scripts, herramientas y aplicaciones a través de AppLocker o un software de restricción de aplicaciones de terceros. Las aplicaciones o utilidades administrativas que no cumplan la configuración segura deben actualizarse o reemplazarse por herramientas que cumplan las prácticas administrativas y de desarrollo seguras. Cuando se necesitan herramientas nuevas o adicionales en un host administrativo, las aplicaciones y las utilidades deben probarse exhaustivamente y, si las herramientas son adecuadas para la implementación en hosts administrativos, se pueden agregar a los sistemas.
Restricciones de RDP
Aunque la configuración específica variará en función de la arquitectura de los sistemas administrativos, debe incluir restricciones en las cuentas y equipos que se pueden usar para establecer conexiones de Protocolo de escritorio remoto (RDP) a sistemas administrados, como el uso de servidores de salto de puerta de enlace de Escritorio remoto para controlar el acceso a controladores de dominio y otros sistemas administrados de usuarios y sistemas autorizados.
Debe permitir inicios de sesión interactivos por parte de los usuarios autorizados y quitar o incluso bloquear otros tipos de inicio de sesión que no sean necesarios para acceder al servidor.
Administración de revisiones y configuraciones
Las organizaciones más pequeñas pueden depender de ofertas como Windows Update o Windows Server Update Services (WSUS) para administrar la implementación de actualizaciones en sistemas Windows, mientras que las organizaciones más grandes pueden implementar software de administración de revisiones y configuraciones empresariales, como Microsoft Endpoint Configuration Manager. Independientemente de los mecanismos que use para implementar actualizaciones en el rellenado general de servidores y estaciones de trabajo, debe considerar implementaciones independientes para sistemas altamente seguros, como controladores de dominio, entidades de certificación y hosts administrativos. Al separar estos sistemas de la infraestructura de administración general, si el software de administración o las cuentas de servicio se ponen en peligro, el riesgo no se puede extender fácilmente a los sistemas más seguros de la infraestructura.
Aunque no debe implementar procesos de actualización manuales para sistemas seguros, debe configurar una infraestructura independiente para actualizar sistemas seguros. Incluso en organizaciones muy grandes, esta infraestructura normalmente se puede implementar a través de servidores WSUS dedicados y GPO para sistemas protegidos.
Bloqueo del acceso a Internet
No se debe permitir que los hosts administrativos accedan a Internet ni que puedan examinar la intranet de una organización. No se deben permitir exploradores web ni aplicaciones similares en hosts administrativos. Puede bloquear el acceso a Internet para hosts seguros a través de una combinación de opciones de firewall perimetral, una configuración de WFAS y una configuración de proxy de "agujero negro" en hosts seguros. También puede usar la lista de permitidos de la aplicación para impedir que se usen exploradores web en hosts administrativos.
Virtualización
Siempre que sea posible, considere la posibilidad de implementar máquinas virtuales como hosts administrativos. Mediante virtualización, puede crear sistemas administrativos por usuario que se almacenan y administran de forma centralizada, y que se pueden apagar fácilmente cuando no están en uso, lo que garantiza que las credenciales no se quedan activas en los sistemas administrativos. También puede requerir que los hosts administrativos virtuales se restablezcan a una instantánea inicial después de cada uso, lo que garantiza que las máquinas virtuales permanezcan en perfecto estado. En la sección siguiente se proporciona más información sobre las opciones de virtualización de hosts administrativos.
Enfoques de ejemplo para implementar hosts administrativos seguros
Independientemente de cómo diseñe e implemente la infraestructura de host administrativa, debe tener en cuenta las directrices proporcionadas en "Principios para crear hosts administrativos seguros" anteriormente en este tema. Cada uno de los enfoques descritos aquí proporciona información general sobre cómo puede separar los sistemas "administrativos" y "de productividad" utilizados por el personal de TI. Los sistemas de productividad son equipos que los administradores de TI emplean para mirar el correo electrónico, navegar por Internet y usar software de productividad general, como Microsoft Office. Los sistemas administrativos son equipos protegidos y dedicados a su uso para administrar a diario un entorno de TI.
La manera más sencilla de implementar hosts administrativos seguros es proporcionar al personal de TI estaciones de trabajo seguras desde las que pueden realizar tareas administrativas. En una implementación de solo estación de trabajo, cada estación de trabajo administrativa se usa para iniciar herramientas de administración y conexiones RDP para administrar servidores y otras infraestructuras. Las implementaciones de solo estación de trabajo pueden ser eficaces en organizaciones más pequeñas, aunque las infraestructuras más grandes y complejas pueden beneficiarse de un diseño distribuido para hosts administrativos en los que se usan servidores administrativos dedicados y estaciones de trabajo, como se describe en "Implementación de estaciones de trabajo administrativas seguras y servidores de salto" más adelante en este tema.
Implementación de estaciones de trabajo físicas independientes
Una manera de implementar hosts administrativos es dar a cada usuario de TI dos estaciones de trabajo. Una estación de trabajo se usa con una cuenta de usuario "normal" para realizar actividades como mirar el correo electrónico y usar aplicaciones de productividad, mientras que la segunda estación de trabajo está dedicada exclusivamente a las funciones administrativas.
Para la estación de trabajo de productividad, el personal de TI puede proporcionar cuentas de usuario normales en lugar de usar cuentas con privilegios para iniciar sesión en equipos no seguros. La estación de trabajo administrativa debe configurarse con una configuración estrictamente controlada y el personal de TI debe usar una cuenta diferente para iniciar sesión en la estación de trabajo administrativa.
Si ha implementado tarjetas inteligentes, las estaciones de trabajo administrativas deben configurarse para requerir inicios de sesión de tarjeta inteligente y el personal de TI debe tener cuentas independientes para su uso administrativo, también configurado para requerir tarjetas inteligentes para el inicio de sesión interactivo. El host administrativo se debe proteger como se ha descrito anteriormente y solo se debe permitir que los usuarios de TI designados inicien sesión localmente en la estación de trabajo administrativa.
Ventajas
Al implementar sistemas físicos independientes, puede asegurarse de que cada equipo esté configurado correctamente para su rol y que los usuarios de TI no pueden poner en riesgo accidentalmente los sistemas administrativos.
Desventajas
Implementar equipos físicos independientes aumenta los costos de hardware.
Iniciar sesión en un equipo físico con credenciales que se usan para administrar sistemas remotos almacena en caché las credenciales.
Si las estaciones de trabajo administrativas no se almacenan de forma segura, pueden ser vulnerables a riesgos a través de mecanismos como registradores de claves de hardware físico u otros ataques físicos.
Implementación de una estación de trabajo física segura con una estación de trabajo de productividad virtualizada
En este enfoque, a los usuarios de TI se les da una estación de trabajo administrativa protegida desde la que pueden realizar funciones administrativas cotidianas con herramientas de administración remota del servidor (RSAT) o conexiones RDP a servidores dentro de su ámbito de responsabilidad. Cuando los usuarios de TI necesitan realizar tareas de productividad, pueden conectarse a través de RDP a una estación de trabajo de productividad remota que se ejecuta como una máquina virtual. Se deben usar credenciales independientes para cada estación de trabajo y e implementar controles como tarjetas inteligentes.
Ventajas
Las estaciones de trabajo administrativas y las estaciones de trabajo de productividad están separadas.
El personal de TI que usa estaciones de trabajo seguras para conectarse a estaciones de trabajo de productividad puede usar credenciales independientes y tarjetas inteligentes, y las credenciales con privilegios no se guardan en el equipo menos seguro.
Desventajas
La implementación de la solución requiere un trabajo de diseño e implementación y opciones de virtualización sólidas.
Si las estaciones de trabajo físicas no se almacenan de forma segura, pueden ser vulnerables a ataques físicos que pongan en peligro el hardware o el sistema operativo y los hacen susceptibles a la interceptación de comunicaciones.
Implementación de una sola estación de trabajo segura con conexiones a máquinas virtuales de "productividad" y "administrativas" independientes
En este enfoque, puede dar a los usuarios de TI una sola estación de trabajo física bloqueada como se ha descrito anteriormente y en la que los usuarios de TI no tienen acceso con privilegios. Puede proporcionar conexiones de Servicios de Escritorio remoto a máquinas virtuales hospedadas en servidores dedicados, lo que proporciona al personal de TI una máquina virtual que ejecuta correo electrónico y otras aplicaciones de productividad, así como una segunda máquina virtual configurada como host administrativo dedicado del usuario.
Debe requerir una tarjeta inteligente u otro inicio de sesión multifactor para las máquinas virtuales, con cuentas independientes de la cuenta que se usa para iniciar sesión en el equipo físico. Después de que un usuario de TI inicie sesión en un equipo físico, puede usar su tarjeta inteligente de productividad para conectarse a su equipo de productividad remota, y una cuenta independiente junto a una tarjeta inteligente para conectarse a su equipo administrativo remoto.
Ventajas
Los usuarios de TI pueden usar una sola estación de trabajo física.
Al requerir cuentas independientes para los hosts virtuales y el uso de conexiones de Servicios de Escritorio remoto a las máquinas virtuales, las credenciales de los usuarios de TI no se almacenan en caché en el equipo local.
El host físico se puede proteger en el mismo grado que los hosts administrativos, lo que reduce la probabilidad de poner en peligro el equipo local.
En los casos en los que la máquina virtual de productividad de un usuario de TI o su máquina virtual administrativa pueden haberse puesto en peligro, la máquina virtual se puede restablecer fácilmente a un "buen estado conocido".
Si el equipo físico está en peligro, no se almacenarán credenciales con privilegios en la memoria y el uso de tarjetas inteligentes puede impedir el riesgo de credenciales mediante registradores de pulsación de teclas.
Desventajas
La implementación de la solución requiere un trabajo de diseño e implementación y opciones de virtualización sólidas.
Si las estaciones de trabajo físicas no se almacenan de forma segura, pueden ser vulnerables a ataques físicos que pongan en peligro el hardware o el sistema operativo y los hacen susceptibles a la interceptación de comunicaciones.
Implementación de estaciones de trabajo administrativas seguras y servidores de salto
Como alternativa a las estaciones de trabajo administrativas seguras, o en combinación con ellas, puede implementar servidores de salto seguros y los usuarios administrativos pueden conectarse a los servidores de salto mediante RDP y tarjetas inteligentes para realizar tareas administrativas.
Los servidores de salto deben configurarse para ejecutar el rol puerta de enlace de Escritorio remoto, lo que le permite implementar restricciones en las conexiones al servidor de salto y a los servidores de destino que se administrarán desde él. Si es posible, también debe instalar el rol de Hyper-V y crear escritorios virtuales personales u otras máquinas virtuales para cada usuario, de modo que los usuarios administrativos los usen para sus tareas en los servidores de salto.
Al proporcionar a los usuarios administrativos máquinas virtuales por usuario en el servidor de salto, está proporcionando seguridad física a las estaciones de trabajo administrativas, y los usuarios administrativos pueden restablecer o apagar sus máquinas virtuales cuando no están en uso. Si prefiere no instalar el rol de Hyper-V y el rol puerta de enlace de Escritorio remoto en el mismo host administrativo, puede instalarlos en equipos independientes.
Siempre que sea posible, se deben usar herramientas de administración remota para administrar servidores. La característica de Herramientas de administración remota del servidor (RSAT) debe instalarse en las máquinas virtuales de los usuarios (o el servidor de salto si no implementa máquinas virtuales por usuario para la administración) y el personal administrativo debe conectarse a través de RDP a sus máquinas virtuales para realizar tareas administrativas.
En los casos en que un usuario administrativo debe conectarse a través de RDP a un servidor de destino para administrarlo directamente, la puerta de enlace de Escritorio remoto debe configurarse para permitir que la conexión se realice solo si se usa el usuario y el equipo adecuados para establecer la conexión con el servidor de destino. La ejecución de herramientas de RSAT (o similares) debe estar prohibida en sistemas que no sean designados de administración, como estaciones de trabajo de uso general y servidores miembros que no sean servidores de salto.
Ventajas
Crear servidores de salto le permite asignar servidores específicos a "zonas" (colecciones de sistemas con requisitos de configuración, conexión y seguridad similares) en la red y requerir que el personal administrativo se conecte desde hosts administrativos seguros a un servidor "de zona" designado.
Mediante la asignación de servidores de salto a zonas, puede implementar controles granulares a las propiedades de conexión y los requisitos de configuración, y puede identificar fácilmente los intentos de conexión desde sistemas no autorizados.
Al implementar máquinas virtuales por administrador en servidores de salto, se aplica el apagado y el restablecimiento de las máquinas virtuales a un estado limpio conocido cuando se completan las tareas administrativas. Al aplicar el apagado (o reinicio) de las máquinas virtuales cuando se completan las tareas administrativas, los atacantes no pueden dirigirse a las máquinas virtuales, ni son posibles ataques de robo de credenciales porque las credenciales almacenadas en caché en memoria no se conservan tras un reinicio.
Desventajas
Los servidores dedicados son necesarios para los servidores de salto, ya sean físicos o virtuales.
La implementación de servidores de salto designados y estaciones de trabajo administrativas requiere una planeación cuidadosa y una configuración que se relacione con las zonas de seguridad configuradas en el entorno.