Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Microsoft Entra ID

La seguridad de los activos empresariales depende de la integridad de las cuentas con privilegios que administran los sistemas de TI. Los atacantes cibernéticos usan ataques de robo de credenciales dirigidos a las cuentas de administrador y otros accesos con privilegios para intentar acceder a los datos confidenciales.

En el caso de los servicios en la nube, la prevención y la respuesta son responsabilidades conjuntas del proveedor de servicios en la nube y del cliente. Para obtener más información acerca de las amenazas más recientes a los puntos de conexión y a la nube, consulte el informe de inteligencia de seguridad de Microsoft. Este artículo puede ayudar a desarrollar un plan de desarrollo que cubra el espacio existente entre sus planes actuales y las directrices que se describen aquí.

Nota

Microsoft se compromete a ofrecer los mayores niveles de confianza, transparencia, así como de cumplimiento de estándares y reglamentaciones. Aprenda no solo la forma en que el equipo de respuesta a incidentes globales de Microsoft mitiga los efectos de los ataques contra los servicios en la nube, sino también la forma en que se incorpora la seguridad en los productos empresariales y servicios en la nube de Microsoft en Centro de confianza de Microsoft: Seguridad y destinos de cumplimiento de Microsoft en Centro de confianza de Microsoft: Cumplimiento normativo.

Tradicionalmente, la seguridad de la organización se centraba en los puntos de entrada y salida de una red, como el perímetro de seguridad. Sin embargo, las aplicaciones SaaS y los dispositivos personales en Internet han hecho que este enfoque sea menos eficaz. En Microsoft Entra ID, se reemplaza el perímetro de seguridad de red por la autenticación en la capa de identidad de la organización, bajo el control de los usuarios asignados a roles administrativos con privilegios. Su acceso debe estar protegido, independientemente de si se trata de un entorno local, en la nube o híbrido.

La protección del acceso con privilegios requiere que se realicen cambios en:

  • Los procesos, las prácticas administrativas y la administración del conocimiento.
  • Los componentes técnicos, como las defensas de los hosts, las protecciones de las cuentas y la administración de identidades.

Proteja el acceso con privilegios de manera que se administre y se notifique en los servicios de Microsoft que le interesan. Si tiene cuentas de administrador en el entorno local, consulte la guía para el acceso con privilegios a entornos locales e híbridos en Active Directory en Protección del acceso con privilegios.

Nota

Las instrucciones de este artículo se refieren principalmente a las características de Microsoft Entra ID que se incluyen en Microsoft Entra ID P1 y P2. Microsoft Entra ID P2 se incluye en los conjuntos EMS E5 y Microsoft 365 E5. En esta guía se da por supuesto que la organización ya ha adquirido licencias de Microsoft Entra ID P2 para los usuarios. Si no es así, es posible que algunas de las instrucciones no sean válidas para la organización. Además, en este artículo, el término Administrador global tiene el mismo significado que "administrador de empresa" o "Administrador de inquilinos".

Elaboración de un plan de desarrollo

Microsoft recomienda que se elabore un plan de desarrollo, y se siga, para proteger el acceso con privilegios frente a ciberatacantes. Dicho plan de desarrollo se puede ajustar en cualquier momento para adecuarlo a las funcionalidades existentes y a los requisitos concretos de cualquier organización. Cada fase del plan de desarrollo debería no solo aumentar el coste que supone a los adversarios atacar el acceso con privilegios en los activos en el entorno local, híbridos y en la nube, sino también dificultar dicho ataque. Microsoft recomienda las siguientes cuatro fases del plan de desarrollo. Programe primero las implementaciones más rápidas y eficaces. Este artículo puede ser una guía, basada en la experiencia de Microsoft con incidentes de ciberataques e implementación de respuestas. Los plazos indicados para este plan de desarrollo son aproximados.

Fases del plan de desarrollo con plazos

  • Fase 1 (24 a 48 horas): elementos críticos que es aconsejable realizar de inmediato.

  • Fase 2 (2 a 4 semanas): mitigar las técnicas de ataque que se usan con más frecuencia.

  • Fase 3 (1 a 3 meses): crear visibilidad y control total de la actividad del administrador.

  • Fase 4 (seis meses y más): seguir creando defensas que protejan aún más la plataforma de seguridad.

El marco de este plan de desarrollo está diseñado para maximizar el uso de tecnologías de Microsoft que es posible que ya haya implementado. Considere la posibilidad de vincular cualquier herramienta de seguridad de otros proveedores que ya haya implementado o que esté pensando implementar.

Fase 1: Elementos críticos que realizar de inmediato

Fase 1: Elementos críticos que realizar primero

La fase 1 del plan de desarrollo se centra en tareas críticas que se implementan de forma rápida y sencilla. Se recomienda realizar estos pocos elementos de inmediato, entre las primeras 24 y 48 horas, para garantizar un nivel básico de acceso con privilegios seguro. Esta fase del plan de desarrollo del acceso con privilegios protegido incluye las siguientes acciones:

Preparación general

Uso de Microsoft Entra Privileged Identity Management

Se recomienda empezar a usar Microsoft Entra Privileged Identity Management (PIM) en el entorno de producción de Microsoft Entra. Tras empezar a usar PIM, recibirá mensajes de correo electrónico de notificación si se producen cambios en el rol de acceso con privilegios. Estas notificaciones proporcionan una advertencia anticipada cuando se agregan más usuarios a roles con privilegios elevados.

Microsoft Entra Privileged Identity Management se incluye en Microsoft Entra ID P2 o EMS E5. Para ayudar a proteger el acceso a las aplicaciones y los recursos en el entorno local y en la nube, regístrese para obtener la prueba gratuita de 90 días de Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management y Protección de id. de Microsoft Entra supervisan la actividad de seguridad mediante informes, auditorías y alertas de Microsoft Entra ID.

Después de empezar a utilizar Microsoft Entra Privileged Identity Management:

  1. Inicie sesión en el centro de administración Microsoft Entra como Administrador global.

  2. Para cambiar los directorios en los que desea usar Privileged Identity Management, seleccione el nombre de usuario en la esquina superior derecha del Centro de administración Microsoft Entra.

  3. Vaya a Gobernanza de identidades>Administración de identidades privilegiadas.

Asegúrese de que a la primera persona que usa PIM en la organización se le asignan los roles de Administrador de seguridad y Administrador de roles con privilegios. Solo los administradores de roles con privilegios pueden administrar las asignaciones de roles de los usuarios en el directorio de Microsoft Entra. El asistente de seguridad de PIM le guía en la experiencia inicial de detección y asignación. Ahora puede salir del asistente sin realizar ningún cambio adicional.

Identificación y clasificación de las cuentas que están en roles con privilegios elevados

Después de empezar a utilizar Microsoft Entra Privileged Identity Management, vea los usuarios que tienen los siguientes roles de Microsoft Entra:

  • Administrador global
  • Administrador de roles con privilegios
  • Administrador de Exchange
  • Administrador de SharePoint

Si no tiene Microsoft Entra Privileged Identity Management en su organización, puede usar PowerShell de Microsoft Graph. Comience por el rol de administrador global, ya que un administrador global tiene los mismos permisos en todos los servicios en la nube a los que la organización se ha suscrito. Estos permisos se conceden independientemente de dónde se les haya asignado: en el Centro de administración de Microsoft 365, en el Centro de administración Microsoft Entra, o mediante PowerShell de Microsoft Graph.

Quite las cuentas que ya no sean necesarias en esos roles. A continuación, clasifique las restantes que están asignadas a roles de administrador:

  • Asignadas a usuarios administrativos, pero utilizadas también con fines no administrativos (por ejemplo, correo electrónico personal).
  • Asignadas a usuarios administrativos y utilizadas solo con fines administrativos.
  • Compartidas entre varios usuarios
  • Para los escenarios de acceso de máxima emergencia
  • Para scripts automatizados
  • Para usuarios externos

Definición de un mínimo de dos de cuentas de acceso de emergencia

Microsoft recomienda que las organizaciones tengan dos cuentas de acceso de emergencia de solo nube con el rol de administrador global asignado permanentemente. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas se limitan a escenarios de emergencia o de "máxima emergencia" en los que las cuentas normales no se pueden usar o todos los demás administradores se bloquean accidentalmente. Estas cuentas deben crearse siguiendo las recomendaciones de cuentas de acceso de emergencia.

Activación de la autenticación multifactor y registro de las cuentas de administrador no federadas de usuario único con privilegios elevados restantes

Requiera la autenticación multifactor de Microsoft Entra al iniciar sesión para todos los usuarios asignados de forma permanente a uno o varios de los roles de administrador de Microsoft Entra: Administrador global, Administrador de roles con privilegios, Administrador de Exchange y Administrador de SharePoint. Utilice las instrucciones que aparecen en el artículo Exigir la autenticación multifactor a los administradores y asegúrese de que todos los usuarios se hayan registrado en https://aka.ms/mfasetup. Puede encontrar más información en los pasos 2 y 3 de la guía sobre protección del acceso a usuarios y dispositivos de Microsoft 365.

Fase 2: Mitigación de ataques de que se usan con frecuencia

Fase 2: Mitigación de ataques de que se usan con frecuencia

La fase 2 del plan de desarrollo se centra en mitigar las técnicas de ataque que se usan con más frecuencia para el robo y abuso de credenciales y puede implementarse en aproximadamente entre 2 y 4 semanas. Esta fase del plan de desarrollo del acceso con privilegios protegido incluye las siguientes acciones.

Preparación general

Inventario de los servicios, propietarios y administradores

El aumento de las directivas "Bring your own device" y del trabajo desde casa y el crecimiento de la conectividad inalámbrica hacen que sea fundamental supervisar quiénes se conectan a la red. Una auditoría de seguridad puede revelar los dispositivos, las aplicaciones y los programas de la red que la organización no admite y que representan un riesgo alto. Para más información, consulte Información general sobre la administración y la supervisión de la seguridad en Azure. Asegúrese de que incluye todas las tareas siguientes en el proceso de inventario.

  • Identifique a los usuarios que tengan roles administrativos y los servicios donde pueden administrarlos.

  • Use Microsoft Entra PIM para averiguar qué usuarios de su organización tienen acceso de administrador a Microsoft Entra ID.

  • Más allá de los roles definidos en Microsoft Entra ID, Microsoft 365 incluye un conjunto de roles de administrador que se pueden asignar a los usuarios de la organización. Cada rol de administrador se asigna a funciones empresariales comunes y proporciona a las personas de su organización permisos para realizar tareas específicas en el Centro de administración de Microsoft 365. Use el Centro de administración de Microsoft 365 para averiguar qué usuarios de la organización tienen acceso de administrador a Microsoft 365, incluso mediante roles no administrados en Microsoft Entra ID. Para obtener más información, consulte Acerca de los roles de administrador de Microsoft 365 y Procedimientos de seguridad para Office 365.

  • Realice el inventario de los servicios utilizados en la organización, como Azure, Intune o Dynamics 365.

  • Asegúrese de que las cuentas que se usan con fines de administración:

    • Tienen asociadas direcciones de correo electrónico del trabajo.
    • Se han registrado para la autenticación multifactor de Microsoft Entra o utilizan MFA en el entorno local.
  • Pida a los usuarios su justificación comercial para el acceso administrativo.

  • Quite el acceso de administrador a los usuarios y servicios que no lo necesiten.

Identifique las cuentas de Microsoft que tengan roles administrativos y que deban cambiarse a cuentas profesionales o educativas

Si los administradores globales iniciales reutilizaron las credenciales de su cuenta de Microsoft existentes cuando comenzaron a utilizar Microsoft Entra ID, reemplace las cuentas de Microsoft por cuentas individuales basadas en la nube o sincronizadas.

Comprobación de que haya cuentas de usuario independientes y de que se lleve a cabo el reenvío de correos electrónicos para las cuentas de administrador global

Los atacantes cibernéticos normalmente suplantan cuentas de correo electrónico personales, un riesgo que hace que las direcciones de correo electrónico personales no sean aceptables para las cuentas de administrador global. Para ayudar a separar los riesgos de Internet de los privilegios administrativos, cree cuentas dedicadas para cada usuario con privilegios administrativos.

  • Asegúrese de crear cuentas independientes para los usuarios que van a realizar tareas de administrador global.
  • Asegúrese de que los administradores globales no abran mensajes de correo electrónico accidentalmente ni ejecuten programas con sus cuentas de administrador.
  • Asegúrese de que el correo electrónico de dichas cuentas se reenvía a un buzón activo.
  • Las cuentas de administrador global (y otros grupos con privilegios) deben ser cuentas solo en la nube sin vínculos a Active Directory local.

Comprobación de que las contraseñas de las cuentas administrativas hayan cambiado recientemente

Asegúrese de que todos los usuarios han iniciado sesión en sus cuentas administrativas y han cambiado sus contraseñas al menos una vez en los últimos 90 días. Además, compruebe si las contraseñas de las cuentas compartidas han cambiado recientemente.

Activación de la sincronización de hash de contraseña

Microsoft Entra Connect sincroniza un hash del hash de la contraseña de un usuario desde Active Directory local con una organización de Microsoft Entra basada en la nube. Puede usar la sincronización de hash de contraseña como copia de seguridad si usa la federación con Servicios de federación de Active Directory (AD FS). Esta copia de seguridad puede ser útil si los servidores de Active Directory local o AD FS no están disponibles temporalmente.

La sincronización de hash de contraseña permite que los usuarios inicien sesión en un servicio con la misma contraseña que usan para iniciar sesión en su instancia de Active Directory local. La sincronización de hash de contraseña permite a Protección de id. de Microsoft Entra detectar credenciales en peligro mediante la comparación de los hashes de contraseña con contraseñas que se sabe que están en peligro. Para obtener más información, consulte Implementación de la sincronización de hash de contraseña con la sincronización de Microsoft Entra Connect.

Exigencia de la autenticación multifactor para los usuarios de roles con privilegios y usuarios expuestos

Microsoft Entra ID recomienda exigir la autenticación multifactor para todos los usuarios. No olvide a los usuarios que podrían tener un impacto significativo si su cuenta estuviera en peligro (por ejemplo, los responsables financieros). MFA reduce el riesgo de ataques debidos a que una contraseña se ha puesto en peligro.

Active:

Si usa Windows Hello para empresas, el requisito de MFA se puede cumplir con la experiencia de inicio de sesión de Windows Hello. Para obtener más información, consulte Windows Hello.

Protección de id. de Microsoft Entra

Protección de id. de Microsoft Entra es una herramienta de supervisión y generación de informes basada en algoritmos que detecta posibles vulnerabilidades que afectan a las identidades de la organización. Puede configurar respuestas automáticas a las actividades sospechosas detectadas y realizar la acción apropiada para resolverlas. Para obtener más información, consulte Protección de id. de Microsoft Entra.

Obtención de la puntuación de seguridad de Microsoft 365 (si se usa Microsoft 365)

La puntuación de seguridad examina la configuración y las actividades de los servicios de Microsoft 365 que usa y las compara con una base de referencia establecida por Microsoft. Obtendrá una puntuación que se basa en su grado de alineación con los procedimientos de seguridad. Cualquiera que tenga permisos de administrador en una suscripción Microsoft 365 Empresa Estándar o Enterprise puede acceder a la puntuación de seguridad en https://security.microsoft.com/securescore.

Revisión de la guía de seguridad y cumplimiento de Microsoft 365 (si usa Microsoft 365)

El plan de seguridad y cumplimiento describe el enfoque para que los clientes de Office 365 configuren Office 365 y para habilitar otras funcionalidades de EMS. Luego, lea los pasos 3-6 sobre protección del acceso a datos y servicios de Microsoft 365 y la guía para supervisar la seguridad y el cumplimiento en Microsoft 365.

Configuración de la supervisión de la actividad de Microsoft 365 (si usa Microsoft 365)

Supervise a los usuarios de la organización que usan Microsoft 365 para identificar al personal que tiene una cuenta de administrador, pero que podría no necesitar acceso a Microsoft 365 porque no inician sesión en esos portales. Para obtener más información, consulte Informes de actividades en el Centro de administración de Microsoft 365.

Establecimiento de los propietarios de plan de respuesta a incidentes o emergencias

El establecimiento de una funcionalidad adecuada de respuesta a incidentes requiere una planeación y unos recursos considerables. Debe supervisar continuamente en busca de ciberataques y establecer prioridades para la gestión de incidentes. Recopile, analice y genere informes de datos de incidentes para crear relaciones y establecer comunicación con otros grupos internos y propietarios del plan. Para obtener más información, consulte Centro de respuestas de seguridad de Microsoft.

Protección (si no está implementada) de las cuentas administrativas con privilegios en el entorno local

Si la organización de Microsoft Entra está sincronizada con Active Directory local, siga las instrucciones que encontrará en el plan de desarrollo para proteger el acceso con privilegios. Esta fase incluye:

  • Creación de cuentas de administrador independientes para aquellos usuarios que deban llevar a cabo tareas administrativas en el entorno local
  • Implementación de estaciones de trabajo de acceso con privilegios para los administradores de Active Directory
  • Creación de contraseñas de administrador locales únicas para estaciones de trabajo y servidores

Pasos adicionales para las organizaciones que administran el acceso a Azure

Inventario de suscripciones

Utilice Enterprise Portal y Azure Portal para identificar las suscripciones de la organización que hospedan aplicaciones de producción.

Eliminación de cuentas de Microsoft de roles de administrador

Las cuentas Microsoft de otros programas, como Xbox, Live y Outlook, no deben usarse como cuentas de administrador para las suscripciones de la organización. Elimine el estado de administrador de todas las cuentas de Microsoft y reemplácelas por cuentas profesionales o educativas de Microsoft Entra ID (por ejemplo, chris@contoso.com). Con fines administrativos, utilice cuentas que se autentiquen en Microsoft Entra ID y no en otros servicios.

Supervisión de la actividad de Azure

El registro de actividad de Azure proporciona un historial de los eventos de nivel de suscripción en Azure. Ofrece información acerca de quién creó, actualizó o eliminó los recursos y cuándo se produjeron estos eventos. Para obtener más información, consulte Auditoría y recepción de notificaciones sobre las acciones importantes en su suscripción de Azure.

Pasos adicionales para las organizaciones que administran el acceso a otras aplicaciones en la nube mediante Microsoft Entra ID

Configuración de directivas de acceso condicional

Prepare directivas de acceso condicional tanto para las aplicaciones en el entorno local como para las hospedadas en la nube. Si los usuarios han unido dispositivos al área de trabajo, obtenga más información en Configuración del acceso condicional en el entorno local mediante el registro de dispositivos de Microsoft Entra.

Fase 3: Toma de control de la actividad administrativa

Fase 3: Toma de control de la actividad administrativa

La fase 3 se basa en las mitigaciones de riesgos de la fase 2 y se implementará en aproximadamente entre 1 y 3 meses. Esta fase del plan de desarrollo del acceso con privilegios protegido incluye los siguientes componentes.

Preparación general

Revisión de acceso de los usuarios en roles de administrador

Un mayor número de usuarios corporativos obtienen acceso con privilegios mediante los servicios en la nube, lo que puede llevar a un acceso no administrado. Actualmente, los usuarios se pueden convertir en administradores globales de Microsoft 365, administradores de suscripciones de Azure o tener acceso de administrador a las máquinas virtuales o mediante aplicaciones SaaS.

La organización debe hacer que los empleados realicen las transacciones empresariales ordinarias como usuarios sin privilegios y, después, conceder derechos de administrador solo cuando sea necesario. Realice revisiones del acceso para identificar y confirmar a aquellos usuarios que son aptos para activar privilegios administrativos.

Se recomienda que:

  1. Determine qué usuarios son administradores de Microsoft Entra, habilite el acceso de administrador cuando es necesario a petición y los controles de seguridad basados en roles.
  2. Convierta los usuarios que no tengan una justificación clara para el acceso de administrador con privilegios a otro rol (si ninguno de los roles es apto, quítelos).

Continuación del lanzamiento de una autenticación más segura para todos los usuarios

Requiera que los usuarios con una exposición alta utilicen una autenticación moderna y sólida, como la autenticación multifactor de Microsoft Entra o Windows Hello. Algunos ejemplos de usuarios con alta exposición son:

  • Ejecutivos de máximo rango
  • Administradores de alto nivel
  • Personal crítico de TI y seguridad

Uso de estaciones de trabajo dedicadas para la administración para Microsoft Entra ID

Los atacantes podrían intentar dirigirse a cuentas con privilegios con el fin de manipular la integridad y la autenticidad de los datos. A menudo usan código malintencionado que altera la lógica del programa o vigilan si el administrador escribe una credencial. Las estaciones de trabajo de acceso con privilegios (PAW) proporcionan un sistema operativo dedicado para tareas confidenciales protegido contra ataques de Internet y vectores de amenazas. La separación de estas tareas confidenciales y las cuentas de los dispositivos y las estaciones de trabajo de uso diario proporciona una protección segura frente a:

  • Ataques de suplantación de identidad.
  • Vulnerabilidades del sistema operativo y las aplicaciones.
  • Ataques de suplantación.
  • Ataques de robo de credenciales, como el registro de pulsaciones de teclas, Pass-the-Hash y Pass-the-Ticket.

Mediante la implementación de estaciones de trabajo de acceso con privilegios, se puede reducir el riesgo de que los administradores escriban las credenciales de administrador en un entorno de escritorio que no se haya protegido. Para obtener más información, consulte Estaciones de trabajo de acceso con privilegios.

Consulta de las recomendaciones de gestión de incidentes del National Institute of Standards and Technology

El National Institute of Standards and Technology (NIST) proporciona directrices para la gestión de incidentes, especialmente para analizar los datos relacionados con estos y determinar la respuesta más apropiada en cada caso. Para obtener más información, consulte la guía para la gestión de incidentes de seguridad en los equipos del NIST (SP 800-61, revisión 2).

Implementación de Privileged Identity Management (PIM) para JIT en más roles administrativos

Para Microsoft Entra ID, utilice la funcionalidad Microsoft Entra Privileged Identity Management. La activación por tiempo limitado de roles con privilegios funciona mediante la habilitación para:

  • Activar los privilegios de administrador para llevar a cabo una tarea específica.

  • Exigir MFA durante el proceso de activación.

  • Usar alertas para informar a los administradores acerca de los cambios fuera de banda.

  • Permitir a los usuarios conservar su acceso con privilegios durante un período previamente configurado.

  • Permitir a los administradores de seguridad:

    • Detectar todas las identidades con privilegios.
    • Ver informes de auditoría.
    • Crear revisiones de acceso para identificar a todos aquellos usuarios que sean aptos para activar privilegios de administrador.

Si ya utiliza Microsoft Entra Privileged Identity Management, ajuste los períodos de tiempo de los privilegios con tiempo limitado según sea necesario (por ejemplo, ventanas de mantenimiento).

Determinación de la exposición a protocolos de inicio de sesión mediante contraseña (si usa Exchange Online)

Se recomienda identificar a todos los posibles usuarios con credenciales que resultaría catastrófico para la organización que se vieran en peligro. Para esos usuarios, aplique requisitos de autenticación sólida y use el acceso condicional de Microsoft Entra para evitar que inicien sesión en su correo electrónico con el nombre de usuario y la contraseña. Puede bloquear la autenticación antigua mediante el acceso condicional y bloquear la autenticación básica mediante Exchange Online.

Evaluación de la revisión de los roles de Microsoft 365 (si usa Microsoft 365)

Evalúe si todos los usuarios administradores están en los roles correctos (elimínelos y vuelva a asignarlos en función de esta evaluación).

Análisis del enfoque de administración de incidentes de seguridad usado en Microsoft 365 y comparación con la propia organización

Este informe se puede descargar de Administración de incidentes de seguridad en Microsoft 365.

Continuación de la protección de las cuentas administrativas con privilegios en el entorno local

Si Microsoft Entra ID está conectado con Active Directory local, siga las instrucciones del plan de desarrollo del acceso con privilegios de seguridad, fase 2. En esta fase, puede:

  • Implementar estaciones de trabajo de acceso con privilegios para todos los administradores.
  • Exigir MFA.
  • Usar solo la administración necesaria para el mantenimiento del controlador de dominio, reduciendo así la superficie expuesta a ataques de los dominios.
  • Implementar análisis avanzado de amenazas para la detección de ataques.

Pasos adicionales para las organizaciones que administran el acceso a Azure

Establecimiento de la supervisión integrada

Microsoft Defender for Cloud:

  • Permite supervisar la seguridad integrada y administrar las directivas en las suscripciones de Azure.
  • Ayuda a detectar amenazas que podrían pasar desapercibidas de otro modo.
  • Funciona con una amplia gama de soluciones de seguridad.

Inventario de las cuentas con privilegios en las máquinas virtuales hospedadas

Normalmente, no es necesario conceder a los usuarios permisos sin restricciones a todas las suscripciones o recursos de Azure. Use los roles de administrador de Microsoft Entra para conceder solo el acceso que los usuarios necesitan para realizar su trabajo. Puede usar los roles de administrador de Microsoft Entra para permitir que un administrador administre solo las máquinas virtuales de una suscripción, mientras otro administra las bases de datos SQL de la misma suscripción. Para obtener más información, consulte ¿Qué es el control de acceso basado en roles de Azure?

Implementación de PIM para roles de administrador de Microsoft Entra

Use Privileged Identity Management con los roles de administrador de Microsoft Entra para administrar, controlar y supervisar el acceso a los recursos de Azure. El uso de PIM protege mediante la reducción del tiempo de exposición de los privilegios y el aumento de la visibilidad de su uso mediante alertas e informes. Para obtener más información, consulte ¿Qué es Microsoft Entra Privileged Identity Management?

Uso de las integraciones de registros de Azure para enviar los registros pertinentes de Azure a los sistemas de SIEM

Azure Log Integration permite integrar los registros sin procesar de los recursos de Azure en los sistemas de administración de eventos e información de seguridad (SIEM) existentes de la organización. Azure Log Integration recopila los eventos de Windows a partir de los registros del Visor de eventos de Windows y los recursos de Azure desde:

  • Registros de actividad de Azure
  • Alertas de Microsoft Defender for Cloud
  • Registros de recursos de Azure

Pasos adicionales para las organizaciones que administran el acceso a otras aplicaciones en la nube mediante Microsoft Entra ID

Implementación del aprovisionamiento de usuarios para las aplicaciones conectadas

Microsoft Entra ID permite automatizar la creación y el mantenimiento de las identidades de usuario de aplicaciones en la nube como Dropbox, Salesforce y ServiceNow. Para obtener más información, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Microsoft Entra ID.

Integración de la protección de información

Microsoft Defender for Cloud Apps permite investigar archivos y establecer directivas en función de las etiquetas de clasificación de Azure Information Protection, lo que permite tener mayor visibilidad y control de los datos en la nube. Analice y clasifique los archivos de la nube y aplique las etiquetas de Azure Information Protection. Para obtener más información, consulte Integración de Azure Information Protection.

Configuración del acceso condicional

Configure el acceso condicional en función del grupo, la ubicación y la confidencialidad de la aplicación para las aplicaciones SaaS y las aplicaciones conectadas a Microsoft Entra.

Supervisión de la actividad en las aplicaciones en la nube conectadas

Para asegurarse de que el acceso de los usuarios también se protege en las aplicaciones conectadas, se recomienda usar Microsoft Defender for Cloud Apps. Esta característica protege el acceso de la empresa a las aplicaciones en la nube y protege sus cuentas de administrador, ya que le permite:

  • Ampliar la visibilidad y el control a las aplicaciones en la nube.
  • Crear directivas de acceso, actividades y uso compartido de datos.
  • Identificar automáticamente las actividades de riesgo, comportamientos anómalos y amenazas.
  • Evitar la pérdida de datos.
  • Minimizar el riesgo, realizar una prevención automática de las amenazas y exigir la aplicación de directivas.

El agente de SIEM de Microsoft Defender for Cloud Apps integra Defender for Cloud Apps en el servidor de SIEM para habilitar la supervisión centralizada de las actividades y alertas de Microsoft 365. Se ejecuta en el servidor y extrae las alertas y actividades de Defender for Cloud Apps y las transmite por secuencias al servidor de SIEM. Para obtener más información, consulte Integración de SIEM.

Fase 4: Continuación con la creación de defensas

Fase 4: Adopción de una posición de seguridad activa

La fase 4 del plan de desarrollo se debe implementar a partir de los seis meses. Complete el plan de desarrollo para fortalecer las protecciones de acceso con privilegios frente a los posibles ataques que se conocen hoy en día. Para las amenazas de seguridad futuras, se recomienda ver la seguridad como un proceso continuo para aumentar los costes y reducir la tasa de éxito de los adversarios que amenazan el entorno.

La protección del acceso con privilegios es importante para establecer garantías de seguridad para los activos empresariales. Sin embargo, debe formar parte de un programa de seguridad completo que proporcione garantías de seguridad continuas. Dicho programa debe incluir elementos como:

  • Directiva
  • Operaciones
  • Seguridad de la información
  • Servidores
  • Aplicaciones
  • PC
  • Dispositivos
  • Tejido en la nube

Se recomiendan los siguientes procedimientos para administrar las cuentas con acceso con privilegios:

  • Asegúrese de que los administradores realizan sus tareas cotidianas como usuarios sin privilegios.
  • Conceda acceso con privilegios solo cuando sea necesario y revóquelo inmediatamente después (cuando es necesario).
  • Conserve los registros de las actividades de auditoría relacionadas con las cuentas con privilegios.

Para obtener más información acerca de cómo crear todo un plan de desarrollo de seguridad, consulte Recursos de arquitectura de TI de la nube de Microsoft. Para solicitar los servicios de Microsoft para ayudarle a implementar cualquiera de las áreas del plan de desarrollo, póngase en contacto con su representante de Microsoft o consulte Creación de ciberdefensas críticas para proteger la empresa.

Esta fase final del plan de desarrollo del acceso con privilegios protegido incluye los siguientes componentes.

Preparación general

Revisión de los roles de administrador en Microsoft Entra ID

Determine si los roles de administrador de Microsoft Entra integrados actuales siguen actualizados y asegúrese de que los usuarios solo están en los roles que necesitan. Con Microsoft Entra ID puede asignar administradores independientes que desempeñen distintas funciones. Para más información, consulte Roles integrados de Microsoft Entra.

Revisión de los usuarios que tienen administración de dispositivos unidos a Microsoft Entra

Para obtener más información, consulte Configuración de dispositivos unidos de forma híbrida a Microsoft Entra.

Revisión de los miembros de los roles de administrador de Microsoft 365 integrados

Omita este paso si no usa Microsoft 365.

Validación del plan de respuesta a incidentes

Para mejorar su plan, Microsoft recomienda validar periódicamente que funciona según lo esperado:

  • Recorra el plan de desarrollo existente para ver lo que falta.
  • En función del análisis post mortem, revise los procedimientos existentes o defina otros nuevos.
  • Asegúrese de distribuir a toda la organización el plan de respuesta a incidentes y los procedimientos actualizados.

Pasos adicionales para las organizaciones que administran el acceso a Azure

Determine si necesita transferir la propiedad de una suscripción de Azure a otra cuenta.

"Máxima emergencia": qué hacer en caso de emergencia

Cuentas para acceder en caso de máxima emergencia

  1. Notifique la información acerca del incidente a los principales directivos y responsables de seguridad.

  2. Revise el cuaderno de estrategias para repeler ataques.

  3. Acceda a la combinación de nombre de usuario y contraseña de la cuenta de "máxima emergencia" para iniciar sesión en Microsoft Entra ID.

  4. Obtenga ayuda de Microsoft, para lo que debe abrir una solicitud de soporte técnico de Azure.

  5. Examine los informes de inicio de sesión de Microsoft Entra. Puede transcurrir un tiempo entre el momento en el que se produce un evento y el momento en el que se incluye en el informe.

  6. En el caso de los entornos híbridos, si la infraestructura en el entorno local federada y el servidor de AD FS no están disponibles, puede cambiar temporalmente de la autenticación federada al uso de la sincronización de hash de contraseña. Este cambio revierte la federación del dominio a la autenticación administrada hasta que el servidor de AD FS vuelva a estar disponible.

  7. Supervise el correo electrónico de las cuentas con privilegios.

  8. Asegúrese de guardar copias de seguridad de los registros pertinentes, por si es preciso realizar una investigación legal o forense.

Para obtener más información sobre la forma en que Microsoft Office 365 controla los incidentes de seguridad, consulte Administración de incidentes de seguridad en Microsoft Office 365.

Preguntas frecuentes: Respuestas sobre la protección del acceso con privilegios

P: ¿Qué hago si aún no he implementado ningún componente de acceso seguro?

Respuesta: Defina un mínimo de dos cuentas de máxima emergencia, asigne MFA a sus cuentas de administrador con privilegios y separe las cuentas de usuario de las cuentas de administrador global.

P: Después de una vulneración, ¿qué problema es el primero que se debe solucionar?

Respuesta: Asegúrese de exigir la autenticación más sólida posible a los usuarios con mayor exposición.

P: ¿Qué ocurre si se han desactivado nuestros administradores con privilegios?

Respuesta: Cree una cuenta de administrador global y manténgala siempre actualizada.

P: ¿Qué ocurre si solo queda un administrador global y no se le puede localizar?

Respuesta: Utilice una de las cuentas de máxima emergencia para obtener acceso con privilegios de inmediato.

P: ¿Cómo puedo proteger a los administradores en mi organización?

Respuesta: indique a los administradores que siempre deben realizar sus tareas cotidianas como usuarios estándar "sin privilegios".

P: ¿Cuáles son los procedimientos recomendados para la creación de cuentas de administrador en Microsoft Entra ID?

Respuesta: Reserve el acceso con privilegios para tareas de administrador específicas.

P: ¿Qué herramientas existen para reducir el acceso de administrador persistente?

Respuesta: Privileged Identity Management (PIM) y los roles de administrador de Microsoft Entra.

P: ¿Cuál es la posición de Microsoft acerca de la sincronización de cuentas de administrador con Microsoft Entra ID?

Respuesta: Las cuentas de administrador de nivel 0 solo se usan para las cuentas de AD en el entorno local. Estas cuentas normalmente no se sincronizan con Microsoft Entra ID en la nube. El nivel 0 de cuentas de administrador incluye cuentas, grupos y otros recursos que tienen control administrativo directo o indirecto de los bosques, dominios, controladores de dominio y activos de Active Directory local.

P: ¿Cómo se puede evitar que los administradores asignen acceso de administrador aleatorio en el portal?

Respuesta: Use cuentas sin privilegios para todos los usuarios y la mayoría de los administradores. Para empezar, desarrolle una superficie de la organización para determinar qué cuentas de administrador deberían tener privilegios. Y supervise los usuarios administrativos recién creados.

Pasos siguientes

Otros servicios de Microsoft Online Services

  • Seguridad de Microsoft Intune: Intune proporciona funcionalidades de administración de dispositivos móviles, aplicaciones móviles y PC desde la nube.

  • Seguridad de Microsoft Dynamics 365: Dynamics 365 es la solución en la nube de Microsoft que unifica la administración de las relaciones con el cliente (CRM) y las funcionalidades de planificación de recursos empresariales (ERP).