Fase 3: Aplicación de directivas de acceso con privilegios

Este artículo forma parte de la guía implementar una solución de arquitectura de acceso con privilegios .

El acceso con privilegios presenta un riesgo de seguridad crítico en la mayoría de las organizaciones, ya que permite el control directo sobre los sistemas de identidad, los planos de control en la nube y los recursos críticos para la empresa.

Obtenga información sobre cómo una arquitectura de acceso con privilegios seguro desempeña un papel fundamental en su escenario empresarial: proteja los recursos empresariales críticos mediante la reducción de este riesgo y el fortalecimiento del control sobre los sistemas confidenciales.

En este artículo se describe la fase 3 de la implementación. Aplica directivas de acceso con privilegios para restringir dónde se pueden usar las identidades con privilegios.

Con las señales de dispositivo de confianza establecidas en la fase 2, se configura el acceso condicional, por lo que los roles con privilegios, los portales y las interfaces de administración solo se pueden usar desde estaciones de trabajo de acceso con privilegios (PAW) aprobadas y de bajo riesgo.

Objetivos de protección

La fase 3 aplica los siguientes objetivos de protección:

  • Asegúrese de que las credenciales con privilegios no se pueden usar desde dispositivos que no son PAW.
  • Los portales de administración y las interfaces solo son accesibles desde dispositivos compatibles y de bajo riesgo.
  • El acceso con privilegios requiere autenticación de usuario sólida y confianza comprobada de dispositivos.
  • Restrinja el acceso a interfaces administrativas (portales, API, PowerShell) a PAW aprobados.
  • Las credenciales robadas no se pueden reutilizar desde puntos de conexión estándar o no administrados.
  • Las rutas de acceso con privilegios son explícitas, auditables y ejecutables.

Ámbito de protección

La fase 3 protege las interfaces de acceso con privilegios y los flujos de trabajo a través de los cuales se producen acciones con privilegios, entre las que se incluyen:

  • Portales de administración en la nube (portal de Azure, Centro de administración Microsoft Entra, Centro de administración de Microsoft 365)
  • Portales de administración de seguridad (portales de Microsoft Defender)
  • Uso y activación de roles con privilegios (incluidos los roles controlados por PIM)
  • Sesiones administrativas del navegador
  • Rutas de acceso de salida de red usadas por dispositivos con privilegios

La fase 3 no vuelve a configurar los dispositivos ni las identidades. Aplica la política a partir de los resultados de las fases 1 y 2.

Riesgos mitigados

Riesgo Por qué importa Mitigación de la fase 3
Credenciales privilegiadas reutilizadas desde dispositivos que no son PAW La MFA y las aprobaciones no impiden la reutilización por parte de los atacantes de tokens robados o credenciales sustraídas en estaciones de trabajo estándar comprometidas. El acceso condicional requiere roles con privilegios para autenticarse solo desde PAW compatibles y de bajo riesgo.
Acceso con privilegios desde dispositivos de alto riesgo o sin revisión Un dispositivo vulnerable permite a los atacantes ejercer inmediatamente el control administrativo. Las decisiones de acceso evalúan el cumplimiento de Intune y el nivel de riesgo de Microsoft Defender para punto de conexión antes de conceder acceso privilegiado.
Portales administrativos accesibles desde dispositivos BYOD o no administrados Los planos de control en la nube se vuelven accesibles desde dispositivos fuera del control organizativo. El acceso condicional restringe los portales administrativos a los PAW, lo que bloquea el acceso desde dispositivos que no son PAW.
Omisión de portales protegidos mediante interfaces alternativas Los atacantes pueden evitar controles mediante PowerShell, API o puntos de conexión de administrador alternativos. El cumplimiento se aplica de forma coherente en las interfaces administrativas, no solo en los portales principales.
Activación de roles con privilegios desde estaciones de trabajo comprometidas Los flujos de trabajo de aprobación se pueden secuestrar si se produce la activación de roles en un dispositivo no seguro. La activación y el uso de roles de PIM se exigen mediante los mismos requisitos de Acceso condicional relativos a la confianza del dispositivo.
Las credenciales por sí solas conceden acceso con privilegios Las protecciones basadas únicamente en la identidad presuponen un entorno de ejecución fiable. La fase 3 enlaza las condiciones de identidad, dispositivo e interfaz, por lo que las credenciales por sí solas son insuficientes.
Falta de visibilidad sobre la aplicación Sin la aplicación de directivas, es difícil demostrar que el acceso con privilegios está restringido. Las decisiones de acceso condicional y la telemetría Defender proporcionan evidencia de cumplimiento auditable y observable.
Escalación rápida después de que la estación de trabajo se ponga en peligro Los atacantes pasan rápidamente de un dispositivo comprometido a obtener el control de toda la empresa. La fase 3 garantiza que las credenciales robadas no puedan utilizarse fuera de las PAW, bloqueando las vías habituales de escalada de privilegios.

Resultados de la fase

Después de completar la fase 3:

  • Los roles con privilegios y los portales de administración solo son accesibles desde PAW compatibles y de bajo riesgo.
  • El acceso condicional bloquea el acceso con privilegios desde dispositivos que no son PAW.
  • La conformidad del dispositivo y las señales de riesgo de Microsoft Defender para punto de conexión son datos de entrada necesarios para las decisiones de acceso.
  • El acceso con privilegios se aplica a través de las capas de identidad, dispositivo e interfaz.
  • Los intentos de acceso se registran, son observables y auditables.

Prerequisites

Antes de configurar los procedimientos de este artículo:

  • Complete las instrucciones de la fase 1 para proteger el plano de control de identidad.
  • Completa la Fase 2 para desplegar y reforzar la seguridad de los PAW.
  • Asegúrese de que la conformidad del dispositivo y la integración con Defender for Endpoint estén activas.

Paso 1: Requerir MFA y confianza de dispositivo para el acceso con privilegios

Asegúrese de que el acceso con privilegios requiere una autenticación de usuario segura y dispositivos de confianza.

  1. En Microsoft Entra Admin Center, vaya a Protection>Acceso condicional>Policies.
  2. Seleccione Crear nueva directiva.
  3. En Asignaciones, los usuarios> estas opciones:
    • Incluya roles de directorio con privilegios como Administrador global, Administrador de seguridad.
    • Excluya el grupo de cristales de emergencia.
  4. En Assignments>, Cloud apps incluye aplicaciones de administración de la nube, como el portal de Azure, el centro de administración de Microsoft Entra, el centro de administración de Microsoft 365 y los portales de Defender.
  5. En Controles de acceso, conceda acceso con esta configuración:
    • Requiere autenticación multifactor
    • Requerir que el dispositivo esté marcado como compatible
    • Exigir riesgo del dispositivo de Microsoft Defender para punto de conexión = Bajo
  6. Active la política.

Paso 2: Restringir los portales administrativos a los PAW

Asegúrese de que los portales administrativos solo sean accesibles desde PAW compatibles.

  1. En Microsoft Entra Admin Center, vaya a Protection>Acceso condicional>Policies.
  2. Seleccione Crear nueva directiva para crear una directiva adicional.
  3. En Asignaciones, los usuarios> estas opciones:
    • Incluya roles de directorio con privilegios como Administrador global, Administrador de seguridad.
    • Excluya el grupo de cristales de emergencia.
  4. En Asignaciones>Aplicaciones en la nube se incluyen las aplicaciones administrativas que se utilizan para el acceso con privilegios en su entorno.
  5. En Controles de acceso, conceda acceso con esta configuración:
    • Requerir que el dispositivo esté marcado como compatible
    • Requerir que el riesgo del dispositivo en Microsoft Defender para punto de conexión sea bajo
  6. Active la política.

Paso 3: Bloquear el acceso con privilegios desde dispositivos que no son PAW

Asegúrese de que el acceso con privilegios a los portales administrativos está bloqueado desde dispositivos que no son PAW, incluso si esos dispositivos cumplen los requisitos generales de cumplimiento.

  1. En Microsoft Entra Admin Center, vaya a Protection>Acceso condicional>Policies.
  2. Seleccione Crear nueva directiva para crear una tercera directiva.
  3. En Asignaciones, los usuarios> estas opciones:
    • Incluya roles de directorio con privilegios como Administrador global, Administrador de seguridad.
    • Excluya las cuentas de acceso de emergencia designadas.
  4. En Asignaciones>, las aplicaciones en la nube incluyen los mismos portales administrativos.
  5. En Condiciones, seleccione Filtrar para dispositivos.
  6. Configure el filtro de dispositivos para que se aplique a dispositivos que no sean PAW:
    • Seleccione Incluir dispositivos filtrados:
    • Configure un filtro de dispositivo que identifique dispositivos que no sean PAW en función del atributo o regla que usa la organización para distinguir los PAW. Asegúrese de que coincide con el método de identificación establecido en la fase 2.
  7. Seleccione Listo para aplicar la condición de filtro de dispositivo.
  8. En Controles de acceso, seleccione Bloquear acceso.
  9. Seleccione Crear para habilitar la directiva.

Paso 4 - Restringir el acceso a la red PAW

Limite el acceso de red de PAW solo a los puntos de conexión administrativos y de administración necesarios. Esta configuración se basa en reglas de firewall explícitas para permitir puntos de conexión necesarios, en lugar de ampliar las asignaciones basadas en protocolos.

  1. En el centro de administración de Microsoft Intune, vaya a Endpoint security>Firewall.

  2. Seleccione Crear directiva.

  3. Configure la directiva: - Platform: Windows 10 y versiones posteriores. 1. Configure los valores del perfil de firewall:

    • Conexiones entrantes: Bloquear
    • Conexiones salientes: permitir (valor predeterminado, controlado por reglas siguientes)

  4. En Configuración, configure reglas de firewall . Use reglas de firewall para definir el tráfico necesario para la administración con privilegios.

  5. Cree reglas de permiso de salida para los servicios necesarios, como:

    • DNS
    • DHCP
    • NTP
    • Puntos de conexión necesarios para la administración en la nube de Microsoft, como Intune y Microsoft Entra ID.
    • Puntos de conexión administrativos necesarios.

    Cada regla debe:

    • Especifique Dirección: Saliente.
    • Especificar acción: Permitir
    • Definir puntos de conexión de destino (intervalos IP, FQDN o etiquetas de servicio donde se admita)

  6. Asegúrese de que no haya reglas de permiso amplias como HTTP/HTTPS sin restricciones configuradas.

  7. Asigne la directiva a Dispositivos de estación de trabajo seguras (PAW).

  8. Seleccione Crear para implementar la directiva.

Esto completa la capa de aplicación del acceso privilegiado. El siguiente artículo puede basarse en esto para cubrir los criterios de medición, supervisión y éxito.

Pasos siguientes

Con el nivel de cumplimiento de acceso con privilegios implementado, el último paso es configurar la supervisión.

  • Last updated on