No es ninguna novedad que los privilegios adicionales en las cuentas de administrador las convierten en un objetivo para los atacantes y una de las razones por las que las amenazas internas son tan peligrosas. Quiere que las personas que administran su infraestructura de TI tengan el poder que necesitan para hacer funcionar su infraestructura, pero no quiere que tengan más acceso o más control del que necesitan.

El hecho de que un administrador necesite acceso a una configuración del sistema, base de datos o red no significa que necesite acceso a todos ellos; Aplicar permisos de seguridad basados ​​en roles a su equipo de TI tiene tanto sentido como no dar acceso a los recepcionistas al árbol de compilación de sus aplicaciones internas.

VER: Lista de verificación: Protección de sistemas Windows 10 (Premium de TechRepublic)

Si bien tener acceso de administrador privilegiado es útil, si hay una fuga de datos, un administrador de base de datos preferiría poder decir que el contenido de la base de datos está encriptado para que no haya visto nada, pero para intentar demostrar que no lo hizo. t copiar datos a los que no necesitaban tener acceso en primer lugar.

Limitar las cuentas con acceso privilegiado también puede ayudar con la productividad. Como administrador, podría pensar que las 2 p. m. de un viernes por la tarde es el momento perfecto para reiniciar su escritorio virtual para migrar a un nuevo servidor de terminal, pero eso no es tan útil si está en medio de una reunión de ventas. La eliminación de los derechos de acceso del usuario final también suele reducir las llamadas a la mesa de ayuda, generalmente porque evita que las personas cambien la configuración que luego causa problemas o evita que instalen utilidades no autorizadas que hacen estos cambios en intentos equivocados de "afinar" la PC.

También sabemos desde hace algún tiempo que el nivel de acceso requerido por las herramientas de seguridad y monitoreo también puede generar problemas, ya que la conveniencia de la implementación a menudo supera el proceso más lento de implementación con permisos limitados. Esto deja sistemas críticos como controladores de dominio y servidores de bases de datos con contraseñas débiles en cuentas de servicio con todos los derechos que un atacante necesitaría para tomar el control de toda una red.

Pero el impacto del ataque de SolarWinds significa que las organizaciones no pueden darse el lujo de aplazar la auditoría de cuentas con privilegios administrativos y acceso, aplicando los principios de privilegios mínimos y pasando al acceso administrativo auditado justo a tiempo en lugar de privilegios permanentes desatendidos sobre privilegios elevados. sistemas de valores.

Índice
  • Los atacantes apuntan a los administradores
  • Solo suficientes privilegios
  • Los atacantes apuntan a los administradores

    Cualquier sistema que tenga cuentas con derechos de administrador es potencialmente vulnerable a los atacantes. Muchos ataques buscan errores de configuración comunes en Active Directory o sistemas que aún usan autenticación heredada como NTLMv1 (donde las contraseñas se descifran fácilmente). Los ataques de Solorigate utilizaron cuentas privilegiadas en controladores de dominio, cuentas de servicio administradas por grupos y tickets de Kerberos falsificados o robados, además de ejecutar herramientas AD legítimas para examinar cuentas en sistemas remotos y dominios federados.

    Dedique algún tiempo a examinar todas las cuentas de servicio altamente privilegiadas que tiene con derechos de administrador de dominio, acceso al sistema, derechos de administrador global y similares, y descubra cuáles de ellas realmente necesitan dicho acceso y cuáles pueden tener permisos de solo lectura. También debe considerar los dispositivos intermedios: VPN, escritorios remotos y puertas de enlace de acceso, VDI, aplicaciones de publicación que usan proxies de acceso y otras áreas donde la administración de identidad y acceso privilegiado es particularmente importante.

    Puede encontrar administradores de AD con el comando PowerShell Get-ADGroupMember 'Administradores' - Comprobación recursiva, pero para realizar una verificación más profunda del estado del administrador, el servicio y otras cuentas y grupos privilegiados en Active Directory y en los controladores de dominio, use estos scripts de PowerShell o una herramienta como ADRecon. De esta manera, puede detectar problemas como cuentas confidenciales con el indicador "la contraseña nunca caduca". Microsoft lanzó un libro de Azure Monitor para recopilar información similar para Azure AD.

    Busque aplicaciones y cuentas de servicio en el grupo de administradores de dominio; Es probable que las aplicaciones que necesitan privilegios de administrador de dominio utilicen la autenticación heredada. Busque también aplicaciones que tengan la misma cuenta privilegiada en varios sistemas de la red; es probable que usen las mismas credenciales, por lo que un atacante que compromete una cuenta puede usarla para moverse lateralmente a través de la red. Compruebe si las aplicaciones con cuentas de administrador local realmente necesitan privilegios de administrador para ejecutarse y revise sus planes a largo plazo para actualizarlas o reemplazarlas con aplicaciones que utilicen métodos de autenticación modernos.

    VER: Trucos para el menú de inicio de Windows 10 (Premium de TechRepublic)

    Utilice la herramienta Solución de contraseña de administrador local (LAPS) para administrar las contraseñas de cuentas de administrador local para equipos unidos a un dominio. Estos a menudo terminan con la misma contraseña de administrador en cada dispositivo, ya que esto facilita la solución de problemas y el soporte. LAPS establece una contraseña aleatoria alternativa diferente (que se almacena en Active Directory y está protegida por ACL para limitar quién puede leerla y restablecerla) para la cuenta de administrador local común en cada computadora del dominio.

    Si usa Azure AD, cree revisiones de acceso recurrentes de Azure AD (esto requiere una suscripción P2) para verificar quién tiene acceso de administrador, cuántos son administradores globales o tienen roles de recursos de Azure como acceso de usuario administrador y si son invitados externos o socios. quienes recibieron acceso de administrador temporal todavía lo tienen meses después. La revisión se puede delegar a los gerentes que deberían tomar decisiones comerciales, pero el equipo de TI querrá explicar por qué es importante.

    Asegúrese de no tener ninguna cuenta local con privilegios de administrador en Office 365 o Microsoft 365, y aísle las cuentas de administrador de Microsoft 365. Si tiene una suscripción comercial de Microsoft 365, hay herramientas en el centro de administración de Microsoft 365 (o puede usar Exchange Management PowerShell) para ayudarlo a administrar cuentas con privilegios para Office 365.

    Hacer cumplir MFA (idealmente con claves de seguridad o datos biométricos) para cuentas de administrador y roles de administrador es especialmente importante: si tiene una suscripción comercial de Microsoft, incluye Azure AD MFA sin costo adicional. Utilice políticas de acceso condicional para garantizar que las cuentas de administrador no puedan autenticarse en situaciones de alto riesgo en las que podrían verse comprometidas.

    Microsoft Defender for Identity (anteriormente Azure Advanced Threat Protection) supervisa las identidades locales y la infraestructura de AD, detectando el movimiento lateral y otras señales de que los atacantes han comprometido las credenciales. Ya protege los controladores de dominio locales y en entornos híbridos, y ahora puede cubrir los Servicios de federación de Active Directory (ADFS). Esto le permite ver las fallas de inicio de sesión de los registros de ADFS, así como los detalles de Active Directory, como si los inicios de sesión del mismo usuario usaron MFA, lo que facilita la detección de ataques de fuerza bruta, si hay docenas de inicios de sesión fallidos en varias cuentas y no MFA cuando la cuenta finalmente inicia sesión, es más probable que sea un atacante exitoso que varios empleados altamente distraídos.

    Solo suficientes privilegios

    Las piezas más importantes de su infraestructura necesitan protecciones adicionales, porque los privilegios de administrador de los que no puede deshacerse serán el objetivo. Identifique cuentas confidenciales y privilegiadas con el nivel más alto de acceso e implemente más protecciones a su alrededor, como configurar Azure AD Privileged Identity Management.

    Just Enough Administration (JEA), originalmente llamado Just In Time Just Enough Admin o JITJEA, es una función de PowerShell para delegar la administración de cualquier cosa administrada a través de PowerShell para que se pueda realizar a través de cuentas virtuales o equipos temporales. Esto limita los comandos que estas cuentas pueden ejecutar a los necesarios para tareas específicas, que solo están disponibles durante un tiempo predefinido después de que se aprueba la solicitud de administración.

    Para cuentas y privilegios de administrador particularmente sensibles, es posible que desee implementar estaciones de trabajo seguras donde el sistema operativo se haya fortalecido. La implementación de un escritorio de acceso privilegiado es un proceso bastante largo que es más fácil con una licencia de Microsoft 365 E5, pero las SKU más bajas incluyen muchas herramientas.