Estas herramientas de Microsoft lo ayudan a reducir, eliminar o bloquear el acceso de administrador para mejorar la seguridad


El compromiso de SolarWinds significa que ya no puede posponer la administración de cuentas privilegiadas.

Una estrategia de acceso privilegiado exitosa debe limitar las rutas de acceso privilegiado y luego proteger y monitorear esas rutas autorizadas.

«data-credit =» Imagen: Microsoft «rel =» noopener noreferrer nofollow «>acceso-privilegiado-tr.jpg

Una estrategia de acceso privilegiado exitosa debe limitar las rutas de acceso privilegiado y luego proteger y monitorear esas rutas autorizadas.

Imagen: Microsoft

No es ninguna novedad que los privilegios adicionales en las cuentas de administrador las conviertan en un objetivo para los atacantes, y una de las razones por las que las amenazas internas son tan peligrosas. Desea que las personas que ejecutan su infraestructura de TI tengan la potencia que necesitan para ejecutar su infraestructura, pero no quiere que tengan más acceso o más management del que necesitan.

El hecho de que un administrador necesite acceso a una configuración del sistema, foundation de datos o crimson no significa que necesite acceder a todos ellos aplicar permisos de seguridad basados ​​en roles a su equipo de TI tiene tanto sentido como no darles a los recepcionistas acceso al árbol de compilación para sus aplicaciones internas.

VER: Lista de verificación: protección de los sistemas Home windows 10 (TechRepublic Quality)

Si bien es conveniente tener acceso de administrador privilegiado, si hay una fuga de datos, un administrador de la foundation de datos preferiría poder decir que el contenido de la foundation de datos está encriptado, por lo que no puede haber visto nada que probar y demostrar que no copiaron datos a los que no necesitaban tener acceso en primer lugar.

Limitar qué cuentas tienen acceso privilegiado también puede ayudar con la productividad. Como administrador, podría pensar que las 2 p.m. de un viernes por la tarde es el momento perfecto para reiniciar su escritorio digital y migrarlo a un nuevo servidor de terminal, pero eso no es tan útil si está en medio de una reunión de ventas. La eliminación de los derechos de acceso del usuario last también suele reducir las llamadas al servicio de asistencia técnica, generalmente porque impide que las personas cambien la configuración que luego causan problemas o les impide instalar utilidades no autorizadas que realizan esos cambios en intentos equivocados de &#39sintonizar&#39 la Laptop.

También sabemos desde hace un tiempo que el nivel de acceso requerido por las herramientas de seguridad y monitoreo también puede generar problemas, porque la conveniencia de la implementación a menudo supera al proceso más lento de implementación con permisos limitados. Esto deja a los sistemas críticos como los controladores de dominio y los servidores de bases de datos con contraseñas débiles en las cuentas de servicio con todos los derechos que un atacante necesitaría para hacerse cargo de una purple completa.

Pero el impacto del ataque SolarWinds significa que las organizaciones no pueden permitirse posponer la auditoría de qué cuentas tienen privilegios de acceso y de administrador, aplicando los principios de privilegio mínimo y cambiando a acceso de administrador auditado justo a tiempo en lugar de privilegios permanentes no supervisados ​​en alta sistemas de valores.

Los atacantes apuntan a los administradores

Cualquier sistema que tenga cuentas con derechos de administrador es potencialmente susceptible a los atacantes. Muchos ataques buscan configuraciones erróneas comunes en Lively Listing o sistemas que aún usan autenticación heredada como NTLMv1 (donde las contraseñas son fácilmente forzadas). los Solorigate los ataques utilizaron cuentas privilegiadas en controladores de dominio, cuentas de servicio administradas por grupos y tickets Kerberos robados o falsificados, además de ejecutar herramientas Advertisement legítimas para ver cuentas en sistemas remotos y dominios federados.

Dedique algún tiempo a revisar todos los cuentas de servicio altamente privilegiadas tiene derechos de administrador de dominio, acceso al sistema, derechos de administración worldwide y el equivalente, y averigüe cuál de ellos realmente necesita tanto acceso y cuál podría tener permisos de solo lectura. También necesitas mirar dispositivos intermediarios – VPN, escritorios remotos y puertas de enlace de acceso, VDI, publicación de aplicaciones que utilizan proxies de acceso y otras áreas en las que la gestión de acceso e identidad privilegiada es particularmente importante.

Puede encontrar administradores de Advertisement con el comando de PowerShell Get-ADGroupMember &#39Administrators&#39 -Comprobación recursiva, pero para realizar una verificación más exhaustiva del estado del administrador, el servicio y otras cuentas y grupos privilegiados en su Lively Listing y en los controladores de dominio, utilice estos Scripts de PowerShell o una herramienta como ADRecon. De esa manera, puede detectar problemas como cuentas confidenciales con el indicador de &#39contraseña nunca caduca&#39. Microsoft ha publicado un Libro de trabajo de Azure Observe para recopilar información equivalent para Azure Advert.

Busque aplicaciones y cuentas de servicio en el Grupo de administradores de dominio las aplicaciones que necesitan privilegios de administrador de dominio probablemente estén usando autenticación heredada. También busque aplicaciones que tengan la misma cuenta privilegiada en múltiples sistemas en la crimson probablemente usen las mismas credenciales, por lo que un atacante que comprometa una cuenta puede usarla para moverse lateralmente a través de la red. Compruebe si las aplicaciones con cuentas de administrador regional realmente necesitan privilegios de administrador para ejecutarse y notice sus planes a largo plazo para actualizarlas o reemplazarlas con aplicaciones que utilicen métodos de autenticación modernos.

VER: Hacks del menú Inicio de Home windows 10 (TechRepublic High quality)

Utilizar el Solución de contraseña de administrador regional (LAPS) para administrar contraseñas de cuentas de administrador regional para equipos unidos a un dominio. Estos a menudo terminan con la misma contraseña de administrador en todos los dispositivos porque es más fácil para la solución de problemas y el soporte. LAPS establece una contraseña aleatoria rotada diferente (que se almacena en Energetic Listing y está protegida por ACL para limitar quién puede leerla y restablecerla) para la cuenta de administrador regional común en cada computadora en el dominio.

Si usa Azure Ad, cree Revisiones de acceso a Azure Ad (esto requiere una suscripción P2) para verificar quién tiene acceso de administrador, cuántos de ellos son administradores globales o tienen roles de recursos de Azure como Administrador de acceso de usuario, y si algún invitado o socio externo que recibió acceso de administrador temporal todavía lo tiene meses después. La revisión se puede delegar a los gerentes que deberían tomar decisiones comerciales, pero el equipo de TI querrá explicar por qué es importante.

Asegúrese de no tener cuentas locales con privilegios administrativos en Business 365 o Microsoft 365, y aislar las cuentas de administrador de Microsoft 365. Si tiene una suscripción comercial de Microsoft 365, hay herramientas en el Centro de administración de Microsoft 365 (o puede usar Trade Management PowerShell) para ayudar con la administración de cuentas de privilegios para Office 365.

Hacer cumplir MFA (idealmente con claves de seguridad o biometría) para cuentas de administrador y roles de administrador es especialmente importante: si tiene alguna suscripción comercial de Microsoft, incluye Azure Advert MFA sin costo adicional. Use políticas de acceso condicional para asegurarse de que las cuentas de administrador no puedan autenticarse en escenarios de alto riesgo donde podrían verse comprometidas.

Microsoft Defender for Id (anteriormente Azure Innovative Risk Protection) supervisa las identidades locales y la infraestructura de Advert, detectando movimiento lateral y otras señales de que los atacantes han comprometido las credenciales. Ya protege los controladores de dominio en las instalaciones y en entornos híbridos, y ahora puede cubrir Servicios de federación de Lively Directory (ADFS). Eso le permite ver los inicios de sesión fallidos de los registros de ADFS, así como los detalles de Active Directory, como si los inicios de sesión del mismo usuario usaron MFA, lo que facilita la detección de ataques de fuerza bruta, si hay docenas de inicios de sesión fallidos en varias cuentas y no hay MFA cuando la cuenta finalmente inicia sesión, es más possible que sea un atacante exitoso que varios empleados muy olvidadizos.

Solo suficientes privilegios

Las piezas más importantes de su infraestructura necesitan protecciones adicionales porque los privilegios de administrador de los que no puede deshacerse serán seleccionados. Identificar cuentas sensibles y privilegiadas con el más alto nivel de acceso y implementar más protecciones a su alrededor como configurar Azure Advert Privileged Identity Management.

Suficiente administración (JEA), originalmente llamado Just In Time Just Adequate Admin o JITJEA, es una función de PowerShell para delegar la administración de cualquier cosa administrada a través de PowerShell para que se pueda hacer a través de cuentas temporales virtuales o de equipo. Esto limita los comandos que esas cuentas pueden ejecutar a los necesarios para tareas específicas, que están disponibles solo durante un tiempo predeterminado una vez que se ha aprobado la solicitud de administrador.

Para privilegios y cuentas de administrador particularmente sensibles, es posible que desee implementar estaciones de trabajo seguras donde el sistema operativo se ha reforzado. Implementar un Estación de trabajo de acceso privilegiado es un proceso bastante largo que es más straightforward con una licencia de Microsoft 365 E5, pero los SKU más bajos incluyen muchas de las herramientas.

Ver también



Enlace a la noticia original