Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta guía forma parte de una estrategia de acceso con privilegios completa y se implementa como parte de la implementación de acceso con privilegios.
La seguridad de confianza cero de un extremo a otro para el acceso con privilegios requiere una base sólida de la seguridad de los dispositivos en la que crear otras garantías de seguridad para la sesión. Aunque las garantías de seguridad se pueden mejorar en la sesión, están limitadas por la seguridad que existen en el dispositivo de origen. Un atacante con control de este dispositivo puede suplantar a los usuarios en él o robar sus credenciales para la suplantación futura. Este riesgo mina otras garantías en la cuenta, intermediarios como servidores de saltos y en los propios recursos. Para más información, consulte principio de origen limpio.
En el artículo se proporciona información general sobre los controles de seguridad para proporcionar una estación de trabajo segura para los usuarios confidenciales a lo largo de su ciclo de vida.
Esta solución se basa en las funcionalidades de seguridad principales del sistema operativo Windows 10, Microsoft Defender para punto de conexión, id. de Microsoft Entra y Microsoft Intune.
¿Quién se beneficia de una estación de trabajo segura?
Todos los usuarios y operadores se benefician del uso de una estación de trabajo segura. Un atacante que pone en peligro un equipo o dispositivo puede suplantar o robar credenciales o tokens para todas las cuentas que lo usan, lo que reduce muchas o todas las demás garantías de seguridad. En el caso de los administradores o cuentas confidenciales, esto permite a los atacantes escalar privilegios y aumentar el acceso que tienen en su organización, a menudo considerablemente a privilegios de dominio, globales o de administrador de empresa.
Para más información sobre los niveles de seguridad y qué usuarios deben asignarse a qué nivel, consulte Niveles de seguridad de acceso con privilegios.
Controles de seguridad de dispositivos
La implementación correcta de una estación de trabajo segura requiere que forme parte de un enfoque de un extremo a otro, incluidos dispositivos, cuentas, intermediarios y directivas de seguridad aplicadas a las interfaces de aplicación. Todos los elementos de la pila deben abordarse para una estrategia completa de seguridad de acceso con privilegios.
En esta tabla se resumen los controles de seguridad para distintos niveles de dispositivo:
| Profile | Enterprise | Especializado | Privilegiado |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) administrado | Sí | Sí | Sí |
| Denegar la inscripción de dispositivos BYOD | No | Sí | Sí |
| Línea base de seguridad mem aplicada | Sí | Sí | Sí |
| Microsoft Defender para punto de conexión | Sí* | Sí | Sí |
| Unión a un dispositivo personal a través de Autopilot | Sí* | Sí* | No |
| Direcciones URL restringidas a la lista aprobada | Permitir la mayoría | Permitir la mayoría | Denegar valor predeterminado |
| Eliminación de derechos de administrador | Sí | Sí | |
| Control de ejecución de aplicaciones (AppLocker) | Auditoría:> aplicada | Sí | |
| Aplicaciones instaladas solo por MEM | Sí | Sí |
Nota:
La solución se puede implementar con nuevos escenarios de hardware, hardware existente y traiga su propio dispositivo (BYOD).
En todos los niveles, las directivas de Intune aplicarán una buena higiene de mantenimiento de seguridad para las actualizaciones de seguridad. Las diferencias de seguridad a medida que aumenta el nivel de seguridad del dispositivo se centran en reducir la superficie expuesta a ataques que un atacante puede intentar aprovechar (a la vez que se conserva la mayor productividad del usuario posible). Los dispositivos de nivel empresarial y especializado permiten aplicaciones de productividad y exploración web general, pero las estaciones de trabajo de acceso con privilegios no. Los usuarios empresariales pueden instalar sus propias aplicaciones, pero es posible que los usuarios especializados no (y no sean administradores locales de sus estaciones de trabajo).
Nota:
La exploración web aquí hace referencia al acceso general a sitios web arbitrarios que pueden ser una actividad de alto riesgo. Esta exploración es distinta de usar un explorador web para acceder a un pequeño número de sitios web administrativos conocidos para servicios como Azure, Microsoft 365, otros proveedores de nube y aplicaciones SaaS.
Raíz de confianza de hardware
Esencial para una estación de trabajo protegida es una solución de cadena de suministro en la que se usa una estación de trabajo de confianza denominada "raíz de confianza". La tecnología que debe tenerse en cuenta en la selección del hardware raíz de confianza debe incluir las siguientes tecnologías incluidas en portátiles modernos:
- Módulo de plataforma segura (TPM) 2.0
- Cifrado de unidad BitLocker
- Arranque seguro uefi
- Controladores y firmware distribuidos a través de Windows Update
- Virtualización y HVCI habilitado
- Controladores y aplicaciones HVCI-Ready
- Windows Hello
- Protección contra E/S de DMA
- Protección del sistema
- Espera moderna
Para esta solución, la raíz de confianza se implementará mediante la tecnología Windows Autopilot con hardware que cumpla los requisitos técnicos modernos. Para proteger una estación de trabajo, Autopilot le permite aprovechar los dispositivos Windows 10 optimizados para OEM de Microsoft. Estos dispositivos vienen en un buen estado conocido del fabricante. En lugar de volver a crear un dispositivo potencialmente inseguro, Autopilot puede transformar un dispositivo Windows 10 en un estado "listo para la empresa". Aplica la configuración y las directivas, instala aplicaciones y cambia la edición de Windows 10.
Roles y perfiles de dispositivo
En esta guía se muestra cómo proteger Windows 10 y reducir los riesgos asociados con el riesgo del dispositivo o del usuario. Para aprovechar la tecnología de hardware moderna y la raíz del dispositivo de confianza, la solución usa la atestación de estado del dispositivo. Esta funcionalidad está presente para asegurarse de que los atacantes no pueden ser persistentes durante el arranque anticipado de un dispositivo. Para ello, usa la directiva y la tecnología para ayudar a administrar las características y los riesgos de seguridad.
- Dispositivo empresarial : el primer rol administrado es adecuado para los usuarios domésticos, los usuarios empresariales pequeños, los desarrolladores generales y las empresas donde las organizaciones quieren aumentar la barra de seguridad mínima. Este perfil permite a los usuarios ejecutar cualquier aplicación y examinar cualquier sitio web, pero se requiere una solución antimalware y detección y respuesta de puntos de conexión (EDR), como Microsoft Defender para punto de conexión . Se toma un enfoque basado en directivas para aumentar la posición de seguridad. Proporciona un medio seguro para trabajar con los datos de los clientes, al mismo tiempo que usa herramientas de productividad como el correo electrónico y la exploración web. Las directivas de auditoría e Intune permiten supervisar una estación de trabajo empresarial para el comportamiento del usuario y el uso de perfiles.
El perfil de seguridad empresarial de la guía de implementación de acceso con privilegios usa archivos JSON para configurarlo con Windows 10 y los archivos JSON proporcionados.
-
Dispositivo especializado : representa un paso importante del uso empresarial mediante la eliminación de la capacidad de autoadministrar la estación de trabajo y limitar qué aplicaciones pueden ejecutarse solo en las aplicaciones instaladas por un administrador autorizado (en los archivos de programa y las aplicaciones aprobadas previamente en la ubicación del perfil de usuario. Quitar la capacidad de instalar aplicaciones puede afectar a la productividad si se implementa incorrectamente, por lo que debe asegurarse de que ha proporcionado acceso a aplicaciones de Microsoft Store o aplicaciones administradas corporativas que se pueden instalar rápidamente para satisfacer las necesidades de los usuarios. Para obtener instrucciones sobre qué usuarios deben configurarse con dispositivos de nivel especializado, consulte Niveles de seguridad de acceso con privilegios.
- El usuario de seguridad especializado exige un entorno más controlado mientras sigue siendo capaz de realizar actividades como el correo electrónico y la exploración web en una experiencia sencilla de uso. Estos usuarios esperan características como cookies, favoritos y otros accesos directos para funcionar, pero no requieren la capacidad de modificar o depurar su sistema operativo del dispositivo, instalar controladores o similares.
El perfil de seguridad especializado en la guía de implementación de acceso con privilegios usa archivos JSON para configurarlo con Windows 10 y los archivos JSON proporcionados.
-
Estación de trabajo de acceso con privilegios (PAW): esta es la configuración de seguridad más alta diseñada para roles extremadamente confidenciales que tendrían un impacto significativo o material en la organización si su cuenta estaba en peligro. La configuración de PAW incluye controles de seguridad y directivas que restringen el acceso administrativo local y las herramientas de productividad para minimizar la superficie expuesta a ataques solo a lo que es absolutamente necesario para realizar tareas de trabajo confidenciales.
Esto hace que el dispositivo PAW sea difícil para los atacantes poner en peligro porque bloquea el vector más común para los ataques de suplantación de identidad: correo electrónico y exploración web.
Para proporcionar productividad a estos usuarios, se deben proporcionar cuentas independientes y estaciones de trabajo para aplicaciones de productividad y exploración web. Aunque no es conveniente, se trata de un control necesario para proteger a los usuarios cuya cuenta podría causar daños a la mayoría o a todos los recursos de la organización.
- Una estación de trabajo con privilegios proporciona una estación de trabajo protegida que tiene un control de aplicaciones claro y protección de aplicaciones. La estación de trabajo usa credential guard, device guard, app guard y protección contra vulnerabilidades de seguridad para proteger el host frente a comportamientos malintencionados. Todos los discos locales se cifran con BitLocker y el tráfico web está restringido a un conjunto de destinos permitidos (Denegar todo).
El perfil de seguridad con privilegios de la guía de implementación de acceso con privilegios usa archivos JSON para configurarlo con Windows 10 y los archivos JSON proporcionados.
Pasos siguientes
Implemente una estación de trabajo administrada de Azure segura.