Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La administración es la práctica de supervisar, mantener y operar sistemas de tecnología de la información (TI) para satisfacer los niveles de servicio que requiere la empresa. La administración presenta algunos de los riesgos de seguridad de mayor impacto, ya que realizar estas tareas requiere acceso con privilegios a un amplio conjunto de estos sistemas y aplicaciones. Los atacantes saben que obtener acceso a una cuenta con privilegios administrativos pueden obtener acceso a la mayoría o a todos los datos a los que se dirigirían, lo que hace que la seguridad de la administración sea una de las áreas de seguridad más críticas.
Por ejemplo, Microsoft realiza inversiones significativas en la protección y formación de administradores para nuestros sistemas en la nube y sistemas de TI:
La estrategia básica recomendada de Microsoft para privilegios administrativos es usar los controles disponibles para reducir el riesgo
Reducción de la exposición a riesgos (ámbito y tiempo): El principio de privilegios mínimos se logra mejor con controles modernos que proporcionan privilegios a petición. Esto ayuda a limitar el riesgo limitando la exposición de privilegios administrativos por:
Ámbito : Acceso suficiente (JEA) solo proporciona los privilegios necesarios para la operación administrativa necesaria (frente a tener privilegios directos e inmediatos para muchos o todos los sistemas a la vez, que casi nunca es necesario).
Tiempo : los enfoques Just-In-Time (JIT) proporcionan los privilegios necesarios según sean necesarios.
Mitigar los riesgos restantes : use una combinación de controles preventivos y detectives para reducir los riesgos, como aislar las cuentas de administrador de los riesgos más comunes de suplantación de identidad y exploración web general, simplificar y optimizar su flujo de trabajo, aumentar la seguridad de las decisiones de autenticación e identificar anomalías del comportamiento de línea de base normal que se puede bloquear o investigar.
Microsoft ha capturado y documentado los procedimientos recomendados para proteger las cuentas administrativas y ha publicado hojas de ruta prioritarias para proteger el acceso con privilegios que se pueden usar como referencias para priorizar mitigaciones para cuentas con acceso con privilegios.
Minimizar el número de administradores de impacto crítico
Concesión del menor número de cuentas a privilegios que pueden tener un impacto empresarial crítico
Cada cuenta de administrador representa la posible superficie expuesta a ataques que un atacante puede tener como destino, por lo que minimizar el número de cuentas con ese privilegio ayuda a limitar el riesgo general de la organización. La experiencia nos ha enseñado que la pertenencia a estos grupos con privilegios crece de forma natural a lo largo del tiempo a medida que las personas cambian los roles si la pertenencia no está limitada y administrada activamente.
Se recomienda un enfoque que reduzca este riesgo de la superficie expuesta a ataques al tiempo que garantiza la continuidad empresarial en caso de que se produzca algo a un administrador:
Asignar al menos dos cuentas al grupo con privilegios para la continuidad empresarial
Cuando se requieren dos o más cuentas, proporcione una justificación para cada miembro, incluidos los dos originales.
Revisar periódicamente la pertenencia y la justificación de cada miembro del grupo
Cuentas administradas para administradores
Asegúrese de que todos los administradores de impacto crítico de están administrados por el directorio empresarial para seguir la aplicación de directivas de la organización.
Las cuentas de consumidor, como las cuentas de Microsoft como @Hotmail.com, @live.com, @outlook.com, no ofrecen suficiente visibilidad y control de seguridad para asegurarse de que se siguen las directivas de la organización y los requisitos normativos. Dado que las implementaciones de Azure suelen iniciarse de forma pequeña e informal antes de crecer en inquilinos administrados por la empresa, algunas cuentas de consumidor permanecen como cuentas administrativas mucho después, por ejemplo, administradores originales de proyectos de Azure, creación de puntos ciegos y posibles riesgos.
Cuentas independientes para administradores
Asegúrese de que todos los administradores de impacto crítico tienen una cuenta independiente para las tareas administrativas (frente a la cuenta que usan para el correo electrónico, la exploración web y otras tareas de productividad).
Los ataques de suplantación de identidad y explorador web representan los vectores de ataque más comunes para poner en peligro las cuentas, incluidas las cuentas administrativas.
Cree una cuenta administrativa independiente para todos los usuarios que tengan un rol que requiera privilegios críticos. Para estas cuentas administrativas, bloquee herramientas de productividad como correo electrónico de Office 365 (quitar licencia). Si es posible, bloquee la exploración web arbitraria (con controles proxy o de aplicación) al tiempo que permite excepciones para navegar a Azure Portal y otros sitios necesarios para las tareas administrativas.
Sin acceso permanente o privilegios Just-In-Time
Evite proporcionar acceso permanente "permanente" para las cuentas de impacto crítico.
Los privilegios permanentes aumentan el riesgo empresarial aumentando el tiempo que un atacante puede usar la cuenta para hacer daño. Los privilegios temporales obligan a los atacantes a que tengan como destino una cuenta para que funcionen dentro de los tiempos limitados que el administrador ya usa o para iniciar la elevación de privilegios (lo que aumenta su probabilidad de detectarse y quitarse del entorno).
Conceda privilegios solo según sea necesario mediante uno de estos métodos:
Justo a tiempo- Habilite Microsoft Entra Privileged Identity Management (PIM) o una solución de terceros para requerir que siga un flujo de trabajo de aprobación para obtener privilegios para las cuentas de impacto crítico.
Vidrio de rotura : Para las cuentas que se usan con poca frecuencia, siga un proceso de acceso de emergencia para obtener acceso a las cuentas. Esto es preferible para los privilegios que tienen poca necesidad de uso operativo normal, como los miembros de las cuentas de administrador global.
Cuentas de acceso de emergencia o "Break Glass"
Asegúrese de que tiene un mecanismo para obtener acceso administrativo en caso de emergencia
Aunque es poco frecuente, a veces surgen circunstancias extremas en las que todos los medios normales de acceso administrativo no están disponibles.
Se recomienda seguir las instrucciones de Administración de cuentas administrativas de acceso de emergencia en El identificador de Microsoft Entra y asegurarse de que las operaciones de seguridad supervisan cuidadosamente estas cuentas.
Seguridad de estación de trabajo de administración
Asegúrese de que los administradores de impacto crítico usan una estación de trabajo con protecciones de seguridad elevadas y supervisión
Los vectores de ataque que usan la exploración y el correo electrónico como la suplantación de identidad son baratos y comunes. Aislar a los administradores de impacto crítico de estos riesgos reducirá significativamente el riesgo de un incidente importante en el que una de estas cuentas está en peligro y se usa para dañar materialmente su negocio o misión.
Elija el nivel de seguridad de la estación de trabajo de administración en función de las opciones disponibles en https://aka.ms/securedworkstation
Dispositivo de productividad altamente seguro (estación de trabajo de seguridad mejorada o estación de trabajo especializada)
Puede iniciar este recorrido de seguridad para los administradores de impacto crítico al proporcionarles una estación de trabajo de seguridad más alta que todavía permite tareas generales de exploración y productividad. El uso de esto como paso provisional ayuda a facilitar la transición a estaciones de trabajo totalmente aisladas tanto para los administradores de impacto crítico como para el personal de TI que respalda a estos usuarios y sus estaciones de trabajo.Estación de trabajo de acceso con privilegios (estación de trabajo especializada o estación de trabajo protegida)
Estas configuraciones representan el estado de seguridad ideal para los administradores de impacto crítico, ya que restringen en gran medida el acceso a los vectores de ataque de aplicaciones de suplantación de identidad, explorador y productividad. Estas estaciones de trabajo no permiten la exploración general de Internet, solo permiten el acceso del explorador a Azure Portal y a otros sitios administrativos.
Dependencias de administración de impacto crítico: cuenta o estación de trabajo
Elija cuidadosamente las dependencias de seguridad locales para las cuentas de impacto crítico y sus estaciones de trabajo.
Para contener el riesgo de un incidente importante en el entorno local para convertirse en un riesgo importante de los recursos en la nube, debe eliminar o minimizar los medios de control que los recursos locales tienen para las cuentas de impacto crítico en la nube. Por ejemplo, los atacantes que ponen en peligro Active Directory local pueden acceder y poner en peligro los recursos basados en la nube que dependen de esas cuentas, como los recursos de Azure, Amazon Web Services (AWS), ServiceNow, etc. Los atacantes también pueden usar estaciones de trabajo unidas a esos dominios locales para obtener acceso a cuentas y servicios administrados desde ellos.
Elija el nivel de aislamiento de los medios locales de control también conocido como dependencias de seguridad para las cuentas de impacto crítico.
Cuentas de usuario : elija dónde hospedar las cuentas de impacto crítico.
Cuentas nativas de Microsoft Entra -*Crear cuentas nativas de Microsoft Entra que no están sincronizadas con active Directory local
Sincronizar desde Active Directory local (no recomendado): aproveche las cuentas existentes hospedadas en active Directory local.
Estaciones de trabajo : elija cómo administrará y protegerá las estaciones de trabajo que usan las cuentas de administrador críticas:
Administración y seguridad nativas de la nube (recomendado): una estaciones de trabajo a Microsoft Entra ID & Manage/Patch them con Intune u otros servicios en la nube. Proteger y supervisar con ATP de Windows Defender u otro servicio en la nube no administrado por cuentas basadas en el entorno local.
Administrar con sistemas existentes: únase a un dominio de AD existente y aproveche la administración y seguridad existentes.
Autenticación sin contraseña o multifactor para administradores
Requerir que todos los administradores de impacto crítico usen la autenticación sin contraseña o la autenticación multifactor (MFA).
Los métodos de ataque han evolucionado hasta el punto en que las contraseñas por sí solas no pueden proteger una cuenta de forma confiable. Esto está bien documentado en una sesión de Microsoft Ignite.
Las cuentas administrativas y todas las cuentas críticas deben usar uno de los siguientes métodos de autenticación. Estas funcionalidades se enumeran en orden de preferencia por mayor costo/dificultad para atacar (opciones más fuertes o preferidas) para el costo más bajo/difícil de atacar:
Sin contraseña (por ejemplo, Windows Hello)
https://aka.ms/HelloForBusinessSin contraseña (aplicación Authenticator)
</azure/active-directory/authentication/howto-authentication-phone-sign-in>Autenticación multifactor
</azure/active-directory/authentication/howto-mfa-userstates>
Tenga en cuenta que la MFA basada en mensajes de texto SMS se ha convertido en económica para que los atacantes omitan, por lo que se recomienda evitar confiar en él. Esta opción sigue siendo más segura que las contraseñas solas, pero es mucho más débil que otras opciones de MFA.
Aplicación del acceso condicional para administradores: Confianza cero
La autenticación de todos los administradores y otras cuentas de impacto crítico debe incluir la medición y el cumplimiento de los atributos de seguridad clave para admitir una estrategia de confianza cero.
Los atacantes que pone en peligro las cuentas de administrador de Azure pueden causar daños importantes. El acceso condicional puede reducir significativamente ese riesgo aplicando la higiene de seguridad antes de permitir el acceso a la administración de Azure.
Configure la directiva de acceso condicional para la administración de Azure que satisfaga el apetito de riesgo de su organización y las necesidades operativas.
Requerir autenticación multifactor o conexión desde la red de trabajo designada
Requerir integridad del dispositivo con ATP de Microsoft Defender (Strong Assurance)
Evitar permisos pormenorizados y personalizados
Evitar permisos que hacen referencia específicamente a recursos o usuarios individuales
Los permisos específicos crean complejidad y confusión innecesarias, ya que no tienen la intención de nuevos recursos similares. A continuación, esto se acumula en una configuración heredada compleja que es difícil de mantener o cambiar sin miedo a "romper algo", lo que afecta negativamente tanto a la seguridad como a la agilidad de la solución.
En lugar de asignar permisos específicos específicos de recursos, use cualquiera de ellos.
Grupos de administración para permisos de toda la empresa
Grupos de recursos para permisos dentro de suscripciones
En lugar de conceder permisos a usuarios específicos, asigne acceso a grupos en el identificador de Microsoft Entra. Si no hay un grupo adecuado, trabaje con el equipo de identidad para crear uno. Esto le permite agregar y quitar miembros del grupo externamente a Azure y asegurarse de que los permisos están actualizados, al tiempo que permite usar el grupo para otros fines, como listas de distribución de correo.
Uso de roles integrados
Use roles integrados para asignar permisos siempre que sea posible.
La personalización conduce a la complejidad que aumenta la confusión y hace que la automatización sea más compleja, desafiante y frágil. Estos factores afectan negativamente a la seguridad
Se recomienda evaluar los roles integrados diseñados para cubrir la mayoría de los escenarios normales. Los roles personalizados son una funcionalidad eficaz y a veces útil, pero deben reservarse para los casos en los que los roles integrados no funcionarán.
Establecimiento de la administración del ciclo de vida para las cuentas de impacto crítico
Asegúrese de que tiene un proceso para deshabilitar o eliminar cuentas administrativas cuando el personal administrador abandone la organización (o deje puestos administrativos).
Consulte Administración del acceso de usuarios y usuarios invitados con revisiones de acceso para obtener más detalles.
Simulación de ataques para cuentas de impacto crítico
Simula periódicamente ataques contra usuarios administrativos con técnicas de ataque actuales para educarlos y capacitarlos.
Las personas son una parte fundamental de su defensa, especialmente su personal con acceso a cuentas de impacto crítico. Asegurarse de que estos usuarios (e idealmente todos los usuarios) tengan los conocimientos y aptitudes para evitar y resistir los ataques reducirá el riesgo general de la organización.
Puede usar las funcionalidades de simulación de ataques de Office 365 o cualquier número de ofertas de terceros.
Pasos siguientes
Para obtener instrucciones de seguridad adicionales de Microsoft, consulte la documentación de seguridad de Microsoft.