Implementación de hosts administrativos seguros

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Los hosts administrativos seguros son estaciones de trabajo o servidores que se han configurado específicamente con el fin de crear plataformas seguras desde las que las cuentas con privilegios pueden realizar tareas administrativas en Active Directory o en controladores de dominio, sistemas unidos a un dominio y aplicaciones que se ejecutan en sistemas unidos a un dominio. En este caso, "cuentas con privilegios" hace referencia no solo a las cuentas que son miembros de los grupos con más privilegios de Active Directory, sino también a las cuentas a las que se han delegado derechos y permisos que permiten realizar tareas administrativas.

Estas cuentas pueden ser cuentas del servicio de ayuda que tienen la capacidad de restablecer contraseñas para la mayoría de los usuarios de un dominio, cuentas que se usan para administrar registros y zonas DNS o cuentas que se usan para la administración de configuración. Los hosts administrativos seguros están dedicados a la funcionalidad administrativa y no ejecutan software como aplicaciones de correo electrónico, exploradores web o software de productividad como Microsoft Office.

Aunque las cuentas y los grupos "con más privilegios" deben protegerse en consecuencia de forma más estricta, esto no elimina la necesidad de proteger las cuentas y grupos a los que se hayan concedido privilegios por encima de los de las cuentas de usuario estándar.

Un host administrativo seguro puede ser una estación de trabajo dedicada que solo se usa para tareas administrativas, un servidor miembro que ejecuta el rol de servidor de puerta de enlace de Escritorio remoto y al que los usuarios de TI se conectan para realizar la administración de hosts de destino, o un servidor que ejecuta el rol de Hyper-V y proporciona una máquina virtual única para cada usuario de TI que se usará para sus tareas administrativas. En muchos entornos, se pueden implementar combinaciones de los tres enfoques.

La implementación de hosts administrativos seguros requiere un planeamiento y una configuración coherentes con el tamaño de la organización, las prácticas administrativas, el riesgo y el presupuesto. Aquí se proporcionan consideraciones y opciones para implementar hosts administrativos seguros para que los use en el desarrollo de una estrategia administrativa adecuada para su organización.

Principios para crear hosts administrativos seguros

Para proteger eficazmente los sistemas contra ataques, se deben tener en cuenta algunos principios generales:

  1. Nunca debe administrar un sistema de confianza (es decir, un servidor seguro, como un controlador de dominio) desde un host de menos confianza (es decir, una estación de trabajo que no está protegida en el mismo grado que los sistemas que administra).

  2. No debe confiar en un solo factor de autenticación al realizar actividades con privilegios. Es decir, las combinaciones de nombre de usuario y contraseña no deben considerarse autenticación aceptable porque solo se representa un único factor (algo que sabe). Debe tener en cuenta dónde se generan y almacenan las credenciales en caché o en escenarios administrativos.

  3. Aunque la mayoría de los ataques en el panorama actual de amenazas aprovechan malware y piratería malintencionada, no omita la seguridad física al diseñar e implementar hosts administrativos seguros.

Configuración de la cuenta

Incluso si su organización no usa actualmente tarjetas inteligentes, debe considerar la posibilidad de implementarlas para cuentas con privilegios y hosts administrativos seguros. Los hosts administrativos deben configurarse para requerir el inicio de sesión con tarjeta inteligente para todas las cuentas modificando la siguiente configuración en un GPO que esté vinculado a las us que contienen hosts administrativos:

Configuración del equipo\Directivas\Windows Configuración\Directivas locales\Opciones de seguridad\Inicio de sesión interactivo: Requerir tarjeta inteligente

Esta configuración requerirá que todos los inicios de sesión interactivos usen una tarjeta inteligente, independientemente de la configuración de una cuenta individual en Active Directory.

También debe configurar hosts administrativos seguros para permitir inicios de sesión solo por cuentas autorizadas, que se pueden configurar en:

Configuración del equipo\Directivas\Windows Configuración\Directivas locales\Seguridad Configuración\Directivas locales\Asignación de derechos de usuario

Esto concede derechos de inicio de sesión interactivos (y, si procede, Servicios de Escritorio remoto) solo a los usuarios autorizados del host administrativo seguro.

Seguridad física

Para que los hosts administrativos se consideren de confianza, deben configurarse y protegerse en el mismo grado que los sistemas que administran. La mayoría de las recomendaciones proporcionadas en Protección de controladores de dominio frente a ataques también son aplicables a los hosts que se usan para administrar controladores de dominio y la base de datos AD DS dominio. Uno de los desafíos de implementar sistemas administrativos seguros en la mayoría de los entornos es que la seguridad física puede ser más difícil de implementar porque estos equipos suelen residir en áreas que no son tan seguras como los servidores hospedados en centros de datos, como los escritorios de los usuarios administrativos.

La seguridad física incluye el control del acceso físico a los hosts administrativos. En una organización pequeña, esto puede significar que mantiene una estación de trabajo administrativa dedicada que se mantiene bloqueada en una oficina o un cajón de escritorio cuando no está en uso. O bien, puede significar que cuando necesite realizar la administración de Active Directory o los controladores de dominio, inicie sesión directamente en el controlador de dominio.

En organizaciones de tamaño medio, puede considerar la posibilidad de implementar "servidores de salto" administrativos seguros que se encuentran en una ubicación protegida en una oficina y se usan cuando se requiere la administración de Active Directory o controladores de dominio. También puede implementar estaciones de trabajo administrativas que están bloqueadas en ubicaciones seguras cuando no están en uso, con o sin servidores de salto.

En organizaciones grandes, puede implementar servidores de saltos internos en centros de datos que proporcionen acceso estrictamente controlado a Active Directory; controladores de dominio; y servidores de archivos, de impresión o de aplicaciones. Es muy probable que la implementación de una arquitectura de servidor de salto incluya una combinación de estaciones de trabajo seguras y servidores en entornos grandes.

Independientemente del tamaño de la organización y del diseño de los hosts administrativos, debe proteger los equipos físicos contra el acceso no autorizado o el robo, y debe usar Cifrado de unidad BitLocker para cifrar y proteger las unidades en hosts administrativos. Al implementar BitLocker en hosts administrativos, incluso si se roba un host o se quitan sus discos, puede asegurarse de que los datos de la unidad no son accesibles para usuarios no autorizados.

Versiones y configuración del sistema operativo

Todos los hosts administrativos, ya sean servidores o estaciones de trabajo, deben ejecutar el sistema operativo más reciente en uso en su organización por los motivos descritos anteriormente en este documento. Al ejecutar los sistemas operativos actuales, el personal administrativo se beneficia de las nuevas características de seguridad, el soporte técnico completo del proveedor y la funcionalidad adicional introducida en el sistema operativo. Además, al evaluar un nuevo sistema operativo, implementando primero en hosts administrativos, deberá familiarizarse con las nuevas características, la configuración y los mecanismos de administración que ofrece, que posteriormente se pueden aprovechar para planear una implementación más amplia del sistema operativo. Para entonces, los usuarios más sofisticados de su organización también serán los usuarios que estén familiarizados con el nuevo sistema operativo y que estén mejor posicionados para admitirlo.

Asistente para configuración de seguridad de Microsoft

Si implementa servidores de salto como parte de la estrategia de host administrativo, debe usar el Asistente para configuración de seguridad integrado para configurar los valores de servicio, registro, auditoría y firewall para reducir la superficie de ataque del servidor. Cuando se han recopilado y configurado las opciones de configuración del Asistente para configuración de seguridad, la configuración se puede convertir en un GPO que se usa para aplicar una configuración de línea base coherente en todos los servidores de salto. Puede editar aún más el GPO para implementar la configuración de seguridad específica de los servidores de salto y puede combinar todas las opciones con la configuración de línea base adicional extraída del Administrador de cumplimiento de seguridad de Microsoft.

Administrador de cumplimiento de seguridad de Microsoft

El Administrador de cumplimiento de seguridad de Microsoft es una herramienta disponible de forma gratuita que integra las configuraciones de seguridad recomendadas por Microsoft, en función de la configuración de roles y versiones del sistema operativo, y las recopila en una sola herramienta e interfaz de usuario que se pueden usar para crear y configurar valores de seguridad de línea de base para controladores de dominio. Las plantillas del Administrador de cumplimiento de seguridad de Microsoft se pueden combinar con la configuración del Asistente para configuración de seguridad para generar líneas de base de configuración completas para servidores de salto implementados y aplicados por GPO implementados en las us en las que los servidores de salto se encuentran en Active Directory.

Nota:

En este artículo, el Administrador de cumplimiento de seguridad de Microsoft no incluye la configuración específica para los servidores de salto u otros hosts administrativos seguros, pero el Administrador de cumplimiento de seguridad (SCM) todavía se puede usar para crear líneas base iniciales para los hosts administrativos. Sin embargo, para proteger correctamente los hosts, debe aplicar una configuración de seguridad adicional adecuada a los servidores y estaciones de trabajo altamente protegidos.

AppLocker

Los hosts administrativos y las máquinas virtuales deben configurarse con scripts, herramientas y aplicaciones a través de AppLocker o un software de restricción de aplicaciones de terceros. Todas las aplicaciones o utilidades administrativas que no cumplan la configuración segura deben actualizarse o reemplazarse por herramientas que cumplan las prácticas administrativas y de desarrollo seguros. Cuando se necesitan herramientas nuevas o adicionales en un host administrativo, las aplicaciones y las utilidades se deben probar exhaustivamente y, si las herramientas son adecuadas para la implementación en hosts administrativos, se pueden agregar a los sistemas.

Restricciones de RDP

Aunque la configuración específica variará en función de la arquitectura de los sistemas administrativos, debe incluir restricciones sobre qué cuentas y equipos se pueden usar para establecer conexiones Protocolo de escritorio remoto (RDP) a sistemas administrados, como el uso de servidores de salto de puerta de enlace de Escritorio remoto (puerta de enlace de Escritorio remoto) para controlar el acceso a controladores de dominio y otros sistemas administrados de usuarios y sistemas autorizados.

Debe permitir inicios de sesión interactivos por parte de usuarios autorizados y debe quitar o incluso bloquear otros tipos de inicio de sesión que no son necesarios para el acceso al servidor.

Administración de revisiones y configuración

Las organizaciones más pequeñas pueden basarse en ofertas como Windows Update o Windows Server Update Services (WSUS) para administrar la implementación de actualizaciones en sistemas Windows, mientras que las organizaciones más grandes pueden implementar software de administración de revisiones y configuración empresariales, como Microsoft Endpoint Configuration Manager. Independientemente de los mecanismos que use para implementar actualizaciones en la población general de servidores y estaciones de trabajo, debe considerar implementaciones independientes para sistemas altamente seguros, como controladores de dominio, entidades de certificación y hosts administrativos. Mediante la segregación de estos sistemas de la infraestructura de administración general, si el software de administración o las cuentas de servicio están en peligro, el riesgo no se puede extender fácilmente a los sistemas más seguros de la infraestructura.

Aunque no debe implementar procesos de actualización manuales para sistemas seguros, debe configurar una infraestructura independiente para actualizar sistemas seguros. Incluso en organizaciones muy grandes, esta infraestructura normalmente se puede implementar a través de servidores WSUS dedicados y GPO para sistemas protegidos.

Bloqueo del acceso a Internet

Los hosts administrativos no deben tener acceso a Internet ni deben poder examinar la intranet de una organización. No se deben permitir exploradores web ni aplicaciones similares en hosts administrativos. Puede bloquear el acceso a Internet para hosts seguros mediante una combinación de la configuración del firewall perimetral, la configuración de WFAS y la configuración de proxy "black hole" en hosts seguros. También puede usar la aplicación allowslist para evitar que los exploradores web se usen en hosts administrativos.

Virtualización

Siempre que sea posible, considere la posibilidad de implementar máquinas virtuales como hosts administrativos. Mediante la virtualización, puede crear sistemas administrativos por usuario que se almacenan y administran de forma centralizada y que se pueden apagar fácilmente cuando no están en uso, lo que garantiza que las credenciales no se quedan activas en los sistemas administrativos. También puede requerir que los hosts administrativos virtuales se restablezcan a una instantánea inicial después de cada uso, lo que garantiza que las máquinas virtuales permanezcan intactas. En la sección siguiente se proporciona más información sobre las opciones para la virtualización de hosts administrativos.

Enfoques de ejemplo para implementar hosts administrativos seguros

Independientemente de cómo diseñe e implemente la infraestructura de host administrativo, debe tener en cuenta las directrices proporcionadas en "Principios para crear hosts administrativos seguros" anteriormente en este tema. Cada uno de los enfoques descritos aquí proporciona información general sobre cómo puede separar los sistemas "administrativos" y de "productividad" que usa el personal de TI. Los sistemas de productividad son equipos que los administradores de TI emplean para comprobar el correo electrónico, examinar Internet y usar software de productividad general, como Microsoft Office. Los sistemas administrativos son equipos que están forenses y dedicados a su uso para la administración diaria de un entorno de TI.

La manera más sencilla de implementar hosts administrativos seguros es proporcionar al personal de IT estaciones de trabajo protegidas desde las que pueden realizar tareas administrativas. En una implementación de solo estación de trabajo, cada estación de trabajo administrativa se usa para iniciar herramientas de administración y conexiones RDP para administrar servidores y otra infraestructura. Las implementaciones solo de estación de trabajo pueden ser eficaces en organizaciones más pequeñas, aunque las infraestructuras más grandes y complejas pueden beneficiarse de un diseño distribuido para hosts administrativos en los que se usan servidores administrativos y estaciones de trabajo dedicados, como se describe en "Implementar estaciones de trabajo administrativas seguras y servidores de salto" más adelante en este tema.

Implementación de estaciones de trabajo físicas independientes

Una manera de implementar hosts administrativos es emitir dos estaciones de trabajo a cada usuario de TI. Una estación de trabajo se usa con una cuenta de usuario "normal" para realizar actividades como comprobar el correo electrónico y usar aplicaciones de productividad, mientras que la segunda estación de trabajo se dedica estrictamente a las funciones administrativas.

Para la estación de trabajo de productividad, al personal de TI se le pueden dar cuentas de usuario normales en lugar de usar cuentas con privilegios para iniciar sesión en equipos no seguros. La estación de trabajo administrativa debe configurarse con una configuración estrictamente controlada y el personal de IT debe usar una cuenta diferente para iniciar sesión en la estación de trabajo administrativa.

Si ha implementado tarjetas inteligentes, las estaciones de trabajo administrativas deben configurarse para requerir inicios de sesión con tarjeta inteligente y el personal de TI debe tener cuentas independientes para uso administrativo, también configuradas para requerir tarjetas inteligentes para el inicio de sesión interactivo. El host administrativo debe estar mejorado como se ha descrito anteriormente y solo los usuarios de IT designados deben poder iniciar sesión localmente en la estación de trabajo administrativa.

Ventajas

Al implementar sistemas físicos independientes, puede asegurarse de que cada equipo esté configurado correctamente para su rol y de que los usuarios de TI no puedan exponer involuntariamente los sistemas administrativos al riesgo.

Desventajas

  • La implementación de equipos físicos independientes aumenta los costos de hardware.

  • Al iniciar sesión en un equipo físico con credenciales que se usan para administrar sistemas remotos, se almacenarán en caché las credenciales en memoria.

  • Si las estaciones de trabajo administrativas no se almacenan de forma segura, pueden ser vulnerables a poner en peligro a través de mecanismos como registradores de claves de hardware físico u otros ataques físicos.

Implementación de una estación de trabajo física segura con una estación de trabajo de productividad virtualizada

En este enfoque, los usuarios de IT reciben una estación de trabajo administrativa segura desde la que pueden realizar funciones administrativas diarias, mediante conexiones Herramientas de administración remota del servidor (RSAT) o RDP a servidores dentro de su ámbito de responsabilidad. Cuando los usuarios de IT necesitan realizar tareas de productividad, pueden conectarse a través de RDP a una estación de trabajo de productividad remota que se ejecuta como una máquina virtual. Se deben usar credenciales independientes para cada estación de trabajo y se deben implementar controles como tarjetas inteligentes.

Ventajas

  • Las estaciones de trabajo administrativas y las estaciones de trabajo de productividad están separadas.

  • El personal de IT que usa estaciones de trabajo seguras para conectarse a estaciones de trabajo de productividad puede usar credenciales independientes y tarjetas inteligentes, y las credenciales con privilegios no se depósiton en el equipo menos seguro.

Desventajas

  • La implementación de la solución requiere trabajo de diseño e implementación y opciones de virtualización sólidas.

  • Si las estaciones de trabajo físicas no se almacenan de forma segura, pueden ser vulnerables a ataques físicos que pone en peligro el hardware o el sistema operativo y hacen que sean susceptibles a la interceptación de comunicaciones.

Implementación de una estación de trabajo segura única con conexiones para separar la "productividad" y la "administración" Virtual Machines

En este enfoque, puede emitir a los usuarios de TI una única estación de trabajo física que esté bloqueada como se ha descrito anteriormente y en la que los usuarios de TI no tengan acceso con privilegios. Puede proporcionar conexiones de Servicios de Escritorio remoto a máquinas virtuales hospedadas en servidores dedicados, proporcionando al personal de TI una máquina virtual que ejecuta correo electrónico y otras aplicaciones de productividad, y una segunda máquina virtual configurada como host administrativo dedicado del usuario.

Debe requerir una tarjeta inteligente u otro inicio de sesión multifactor para las máquinas virtuales, utilizando cuentas independientes distintas de la cuenta que se usa para iniciar sesión en el equipo físico. Después de que un usuario de IT inicie sesión en un equipo físico, puede usar su tarjeta inteligente de productividad para conectarse a su equipo de productividad remoto y una cuenta independiente y una tarjeta inteligente para conectarse a su equipo administrativo remoto.

Ventajas

  • Los usuarios de IT pueden usar una sola estación de trabajo física.

  • Al requerir cuentas independientes para los hosts virtuales y usar conexiones Servicios de Escritorio remoto a las máquinas virtuales, las credenciales de los usuarios de TI no se almacenan en caché en memoria en el equipo local.

  • El host físico se puede proteger en el mismo grado que los hosts administrativos, lo que reduce la probabilidad de poner en peligro el equipo local.

  • En los casos en los que la máquina virtual de productividad de un usuario de IT o su máquina virtual administrativa puedan estar en peligro, la máquina virtual se puede restablecer fácilmente a un estado "conocido bueno".

  • Si el equipo físico está en peligro, no se almacenará ninguna credencial con privilegios en la memoria caché y el uso de tarjetas inteligentes puede impedir que los registradores de pulsaciones de teclas puedan poner en peligro las credenciales.

Desventajas

  • La implementación de la solución requiere trabajo de diseño e implementación y opciones de virtualización sólidas.

  • Si las estaciones de trabajo físicas no se almacenan de forma segura, pueden ser vulnerables a ataques físicos que pone en peligro el hardware o el sistema operativo y hacen que sean susceptibles a la interceptación de comunicaciones.

Implementación de estaciones de trabajo administrativas seguras y servidores de salto

Como alternativa a proteger las estaciones de trabajo administrativas, o en combinación con ellas, puede implementar servidores de salto seguros y los usuarios administrativos pueden conectarse a los servidores de salto mediante RDP y tarjetas inteligentes para realizar tareas administrativas.

Los servidores de salto deben configurarse para ejecutar el rol de puerta de enlace de Escritorio remoto para que pueda implementar restricciones en las conexiones al servidor de salto y a los servidores de destino que se administrarán desde él. Si es posible, también debe instalar el rol de Hyper-V y crear escritorios virtuales personales u otras máquinas virtuales por usuario para que los usuarios administrativos los usen para sus tareas en los servidores de salto.

Al proporcionar a los usuarios administrativos máquinas virtuales por usuario en el servidor de salto, proporciona seguridad física para las estaciones de trabajo administrativas y los usuarios administrativos pueden restablecer o apagar sus máquinas virtuales cuando no están en uso. Si prefiere no instalar el rol de Hyper-V y el rol de puerta de enlace de Escritorio remoto en el mismo host administrativo, puede instalarlos en equipos independientes.

Siempre que sea posible, se deben usar herramientas de administración remota para administrar servidores. La característica Herramientas de administración remota del servidor (RSAT) debe instalarse en las máquinas virtuales de los usuarios (o en el servidor de salto si no implementa máquinas virtuales por usuario para la administración) y el personal administrativo debe conectarse a través de RDP a sus máquinas virtuales para realizar tareas administrativas.

En los casos en los que un usuario administrativo debe conectarse a través de RDP a un servidor de destino para administrarlo directamente, la puerta de enlace de Escritorio remoto debe configurarse para permitir la conexión solo si se usan el usuario y el equipo adecuados para establecer la conexión con el servidor de destino. La ejecución de herramientas RSAT (o similares) debe estar prohibida en sistemas que no son sistemas de administración designados, como estaciones de trabajo de uso general y servidores miembros que no son servidores de salto.

Ventajas

  • La creación de servidores de salto permite asignar servidores específicos a "zonas" (colecciones de sistemas con requisitos de configuración, conexión y seguridad similares) en la red y requerir que el personal administrativo que se conecta desde hosts administrativos seguros a un servidor de "zona" designado lo haga.

  • Al asignar servidores de salto a zonas, puede implementar controles pormenorizados para las propiedades de conexión y los requisitos de configuración, y puede identificar fácilmente los intentos de conexión desde sistemas no autorizados.

  • Al implementar máquinas virtuales por administrador en servidores de salto, se aplica el apagado y el restablecimiento de las máquinas virtuales a un estado limpio conocido cuando se completan las tareas administrativas. Al forzar el apagado (o reinicio) de las máquinas virtuales cuando se completan las tareas administrativas, los atacantes no pueden dirigir las máquinas virtuales ni son factibles los ataques de robo de credenciales porque las credenciales almacenadas en memoria caché no persisten más allá de un reinicio.

Desventajas

  • Los servidores dedicados son necesarios para los servidores de salto, ya sean físicos o virtuales.

  • La implementación de servidores de salto designados y estaciones de trabajo administrativas requiere una cuidadosa planeación y configuración que se asigna a las zonas de seguridad configuradas en el entorno.