Privileged Access Management para los Servicios de dominio de Active DirectoryPrivileged Access Management for Active Directory Domain Services

Privileged Access Management (PAM) es una solución que ayuda a las organizaciones a restringir el acceso con privilegios en un entorno existente de Active Directory.Privileged Access Management (PAM) is a solution that helps organizations restrict privileged access within an existing Active Directory environment.

Privileged Access Management cumple dos objetivos:Privileged Access Management accomplishes two goals:

  • Vuelve a establecer el control sobre el entorno de Active Directory en peligro al mantener un entorno bastión independiente que se conoce por no verse afectado por los ataques malintencionados.Re-establish control over a compromised Active Directory environment by maintaining a separate bastion environment that is known to be unaffected by malicious attacks.
  • Aísla el uso de cuentas con privilegios para reducir el riesgo de que roben dichas credenciales.Isolate the use of privileged accounts to reduce the risk of those credentials being stolen.

Nota

PAM es una instancia de Privileged Identity Management (PIM) que se implementa mediante Microsoft Identity Manager (MIM).PAM is an instance of Privileged Identity Management (PIM) that is implemented using Microsoft Identity Manager (MIM).

¿Qué problemas soluciona PAM?What problems does PAM help solve?

Una preocupación real de las empresas de hoy en día es el acceso a los recursos en un entorno de Active Directory.A real concern for enterprises today is resource access within an Active Directory environment. Resultan especialmente preocupantes:Particularly troubling are:

  • Las vulnerabilidades.Vulnerabilities.
  • Las elevaciones de privilegios no autorizadas.Unauthorized privilege escalations.
  • Pass-the-hash.Pass-the-hash.
  • Pass-the-ticket.Pass-the-ticket.
  • Spear phishing.spear phishing.
  • Compromisos de Kerberos.Kerberos compromises.
  • Otros ataques.Other attacks.

Hoy en día, es muy fácil que los atacantes obtengan las credenciales de las cuentas de administradores de dominio, y es muy difícil detectar estos ataques después de que se produzcan.Today, it’s too easy for attackers to obtain Domain Admins account credentials, and it’s too hard to discover these attacks after the fact. El objetivo de PAM es reducir las oportunidades de que los usuarios malintencionados obtengan acceso, al tiempo que aumenta su control y conocimiento del entorno.The goal of PAM is to reduce opportunities for malicious users to get access, while increasing your control and awareness of the environment.

PAM hará que a los atacantes les resulte más difícil penetrar una red y obtener acceso a cuentas con privilegios.PAM makes it harder for attackers to penetrate a network and obtain privileged account access. PAM agrega protección a los grupos con privilegios que controlan el acceso a una serie de equipos unidos a un dominio y a las aplicaciones de dichos equipos.PAM adds protection to privileged groups that control access across a range of domain-joined computers and applications on those computers. También agrega más supervisión, más visibilidad y controles más precisos.It also adds more monitoring, more visibility, and more fine-grained controls. Esto permite a las organizaciones ver quiénes son sus administradores con privilegios y qué están haciendo.This allows organizations to see who their privileged administrators are and what are they doing. PAM permite a las organizaciones comprender mejor cómo se usan las cuentas administrativas en el entorno.PAM gives organizations more insight into how administrative accounts are used in the environment.

Configuración de PAMSetting up PAM

PAM se basa en el principio de la administración Just-In-Time, que se relaciona con Just Enough Administration (JEA).PAM builds on the principle of just-in-time administration, which relates to just enough administration (JEA). JEA es un kit de herramientas de Windows PowerShell que define un conjunto de comandos para realizar actividades con privilegios.JEA is a Windows PowerShell toolkit that defines a set of commands for performing privileged activities. Es un punto de conexión donde los administradores pueden obtener autorización para ejecutar los comandos.It is an endpoint where administrators can get authorization to run commands. En JEA, un administrador decide qué usuarios con un privilegio determinado pueden realizar una tarea determinada.In JEA, an administrator decides that users with a certain privilege can perform a certain task. Cada vez que un usuario apto necesita realizar esa tarea, le habilitan ese permiso.Every time an eligible user needs to perform that task, they enable that permission. Los permisos expiran después de un período de tiempo especificado, por lo que un usuario malintencionado no puede apropiarse del acceso.The permissions expire after a specified time period, so that a malicious user can't steal the access.

La configuración y el funcionamiento de PAM consta de cuatro pasos.PAM setup and operation has four steps.

Pasos de PAM: preparación, protección, funcionamiento, supervisión: diagrama

  1. Preparación: identifique los grupos del bosque existente que tengan privilegios importantes.Prepare: Identify which groups in your existing forest have significant privileges. Vuelva a crear estos grupos sin miembros en el bosque bastión.Recreate these groups without members in the bastion forest.
  2. Protección: configure el ciclo de vida y la protección de la autenticación, como Multi-Factor Authentication (MFA), cuando los usuarios soliciten administración Just-In-Time.Protect: Set up lifecycle and authentication protection, such as Multi-Factor Authentication (MFA), for when users request just-in-time administration. MFA ayuda a evitar ataques programáticos por parte de software malintencionado o el robo subsiguiente de credenciales.MFA helps prevent programmatic attacks from malicious software or following credential theft.
  3. Funcionamiento: una vez que se cumplen los requisitos de autenticación y se aprueba una solicitud, se agrega una cuenta de usuario temporalmente a un grupo con privilegios en el bosque bastión.Operate: After authentication requirements are met and a request is approved, a user account gets added temporarily to a privileged group in the bastion forest. Durante un período de tiempo establecido previamente, el administrador tiene todos los privilegios y permisos de acceso que están asignados a ese grupo.For a pre-set amount of time, the administrator has all privileges and access permissions that are assigned to that group. Después de ese tiempo, la cuenta se quita del grupo.After that time, the account is removed from the group.
  4. Supervisión: PAM agrega auditoría, alertas e informes de las solicitudes de acceso con privilegios.Monitor: PAM adds auditing, alerts, and reports of privileged access requests. Puede revisar el historial de acceso con privilegios y ver quién realizó una actividad.You can review the history of privileged access, and see who performed an activity. Puede decidir si la actividad es válida o no e identificar fácilmente actividades no autorizadas, como un intento de agregar un usuario directamente a un grupo con privilegios en el bosque original.You can decide whether the activity is valid or not and easily identify unauthorized activity, such as an attempt to add a user directly to a privileged group in the original forest. Este paso es importante no solo para identificar el software malintencionado, sino para llevar un seguimiento de los ataques desde dentro de la organización.This step is important not only to identify malicious software but also for tracking "inside" attackers.

¿Cómo funciona PAM?How does PAM work?

PAM se basa en las funcionalidades nuevas de AD DS, especialmente en el caso de la autenticación y la autorización de cuentas de dominio, y en otras nuevas de Microsoft Identity Manager.PAM is based on new capabilities in AD DS, particularly for domain account authentication and authorization, and new capabilities in Microsoft Identity Manager. PAM separa las cuentas con privilegios de un entorno de Active Directory existente.PAM separates privileged accounts from an existing Active Directory environment. Cuando es necesario usar una cuenta con privilegios, primero hay que solicitarlo y aprobarlo.When a privileged account needs to be used, it first needs to be requested, and then approved. Tras la aprobación, la cuenta con privilegios recibe permiso a través de un grupo de entidades de seguridad externas en un nuevo bosque bastión, en lugar de en el bosque actual del usuario o la aplicación.After approval, the privileged account is given permission via a foreign principal group in a new bastion forest rather than in the current forest of the user or application. El uso de un bosque bastión ofrece a la organización un mayor control, por ejemplo, en lo relativo a cuándo un usuario puede pertenecer a un grupo con privilegios y cómo debe autenticarse dicho usuario.The use of a bastion forest gives the organization greater control, such as when a user can be a member of a privileged group, and how the user needs to authenticate.

Active Directory, el servicio de MIM y otros componentes de esta solución también pueden implementarse en una configuración de alta disponibilidad.Active Directory, the MIM Service, and other portions of this solution can also be deployed in a high availability configuration.

En el ejemplo siguiente se muestra con más detalle el funcionamiento de PIM.The following example shows how PIM works in more detail.

Participantes y procesos de PIM: diagrama

El bosque bastión emite pertenencias a grupos de tiempo limitado que, a su vez, producen vales concedidos por el servicio de concesión de vales (TGTs) durante un tiempo limitado.The bastion forest issues time-limited group memberships, which in turn produce time-limited ticket-granting tickets (TGTs). Los servicios o aplicaciones basados en Kerberos pueden respetar y aplicar estos TGT si las aplicaciones y los servicios existen en bosques que confían en el bosque bastión.Kerberos-based applications or services can honor and enforce these TGTs, if the apps and services exist in forests that trust the bastion forest.

Las cuentas de usuario diarias no necesitan moverse a un bosque nuevo.Day-to-day user accounts do not need to move to a new forest. Lo mismo pasa con los equipos, las aplicaciones y los grupos.The same is true with the computers, applications, and their groups. Pueden permanecer en el lugar del bosque donde se encuentren actualmente.They stay where they are today in an existing forest. Un ejemplo sería el caso de una organización preocupada por los problemas de ciberseguridad de hoy en día, pero que no tiene planes inmediatos para actualizar la infraestructura de servidores a la próxima versión de Windows Server.Consider the example of an organization that is concerned with these cybersecurity issues today, but has no immediate plans to upgrade the server infrastructure to the next version of Windows Server. Dicha organización puede aprovechar igualmente esta solución combinada si usa MIM y un nuevo bosque bastión para poder controlar mejor el acceso a los recursos.That organization can still take advantage of this combined solution by using MIM and a new bastion forest, and can better control access to existing resources.

PAM ofrece las siguientes ventajas:PAM offers the following advantages:

  • Aislamiento y ámbito de privilegios: los usuarios no tienen privilegios en las cuentas que se usan también para las tareas sin privilegios como la comprobación del correo electrónico o la exploración en Internet.Isolation/scoping of privileges: Users do not hold privileges on accounts that are also used for non-privileged tasks like checking email or browsing the Internet. Los usuarios deben solicitar los privilegios pertinentes.Users need to request privileges. Las solicitudes se aprobarán o se denegarán en función de las directivas de MIM que defina un administrador de PAM.Requests are approved or denied based on MIM policies defined by a PAM administrator. Mientras no se apruebe una solicitud, el acceso con privilegios no estará disponible.Until a request is approved, privileged access is not available.

  • Actualización a una edición superior y pruebas: se trata de nuevos desafíos de autenticación y autorización que ayudan a administrar el ciclo de vida de las cuentas administrativas independientes.Step-up and proof-up: These are new authentication and authorization challenges to help manage the lifecycle of separate administrative accounts. El usuario puede solicitar la elevación de una cuenta administrativa. A continuación, dicha solicitud pasará por los flujos de trabajo de MIM.The user can request the elevation of an administrative account and that request goes through MIM workflows.

  • Inicio de sesión adicional: junto con los flujos de trabajo integrados de MIM, hay un inicio de sesión adicional para PAM que identifica la solicitud, cómo se autorizó y los eventos que se producen tras la aprobación.Additional logging: Along with the built-in MIM workflows, there is additional logging for PAM that identifies the request, how it was authorized, and any events that occur after approval.

  • Flujo de trabajo personalizable: es posible configurar los flujos de trabajo de MIM para diferentes escenarios, y pueden usarse varios flujos de trabajo según los parámetros del usuario que realiza la solicitud o de las funciones solicitadas.Customizable workflow: The MIM workflows can be configured for different scenarios, and multiple workflows can be used, based on the parameters of the requesting user or requested roles.

¿Cómo solicitan los usuarios acceso con privilegios?How do users request privileged access?

Hay varias maneras en que un usuario puede enviar una solicitud, incluidos:There are a number of ways in which a user can submit a request, including:

  • API de servicios web de servicios MIMThe MIM Services Web Services API
  • Un extremo de RESTA REST endpoint
  • Windows PowerShell (New-PAMRequest)Windows PowerShell (New-PAMRequest)

Obtenga detalles acerca de los cmdlet de Privileged Access Management.Get details about the Privileged Access Management cmdlets.

¿Qué flujos de trabajo y opciones de supervisión están disponibles?What workflows and monitoring options are available?

Por poner un ejemplo, supongamos que un usuario pertenecía a un grupo administrativo antes de que se configurase PIM.As an example, let’s say a user was a member of an administrative group before PIM is set up. Como parte de la configuración de PIM, el usuario se quitó del grupo administrativo y se creó una directiva en MIM.As part of PIM setup, the user is removed from the administrative group, and a policy is created in MIM. La directiva especifica que, si ese usuario solicita privilegios administrativos y se autentica mediante MFA, la solicitud se aprueba y se agrega una cuenta independiente para el usuario en el grupo con privilegios del bosque bastión.The policy specifies that if that user requests administrative privileges and is authenticated by MFA, the request is approved and a separate account for the user will be added to the privileged group in the bastion forest.

Suponiendo que la solicitud se apruebe, el flujo de trabajo de acción se comunica directamente con el bosque bastión de Active Directory para incluir a un usuario en un grupo.Assuming the request is approved, the Action workflow communicates directly with bastion forest Active Directory to put a user in a group. Por ejemplo, cuando Jen solicita administrar la base de datos de recursos humanos, la cuenta administrativa de Jen se agrega al grupo con privilegios del bosque bastión en cuestión de segundos.For example, when Jen requests to administer the HR database, the administrative account for Jen is added to the privileged group in the bastion forest within seconds. Su pertenencia a la cuenta administrativa de ese grupo expirará después de un límite de tiempo.Her administrative account’s membership in that group will expire after a time limit. Con Windows Server Technical Preview, esta pertenencia está asociada en Active Directory a un límite de tiempo; con Windows Server 2012 R2 en el bosque bastión, ese límite de tiempo se aplica mediante MIM.With Windows Server Technical Preview, that membership is associated in Active Directory with a time limit; with Windows Server 2012 R2 in the bastion forest, that time limit is enforced by MIM.

Nota

Cuando se agrega un nuevo miembro a un grupo, el cambio debe replicarse en otros controladores de dominio del bosque bastión.When you add a new member to a group, the change needs to replicate to other domain controllers (DCs) in the bastion forest. La latencia de replicación puede afectar a la capacidad de los usuarios para acceder a los recursos.Replication latency can impact the ability for users to access resources. Para obtener información sobre la latencia de replicación, vea How Active Directory Replication Topology Works (Funcionamiento de la topología de replicación de Active Directory).For more information about replication latency, see How Active Directory Replication Topology Works.

En cambio, el Administrador de cuentas de seguridad (SAM) evalúa en tiempo real un vínculo expirado.In contrast, an expired link is evaluated in real time by the Security Accounts Manager (SAM). Aunque la adición de un miembro del grupo necesita replicarse mediante el controlador de dominio que recibe la solicitud de acceso, la eliminación de un miembro del grupo se evalúa al instante en cualquier controlador de dominio.Even though the addition of a group member needs to be replicated by the DC that receives the access request, the removal of a group member is evaluated instantaneously on any DC.

Este flujo de trabajo está pensado específicamente para estas cuentas administrativas.This workflow is specifically intended for these administrative accounts. Los administradores (o incluso los scripts) que solo necesitan un acceso ocasional para grupos con privilegios pueden solicitar el acceso.Administrators (or even scripts) who need only occasional access for privileged groups, can precisely request that access. MIM registra la solicitud y los cambios en Active Directory, y puede verlos en el Visor de eventos o enviar los datos a las soluciones de supervisión empresarial como System Center 2012, Servicios de recopilación de auditorías (ACS) de Operations Manager u otras herramientas de terceros.MIM logs the request and the changes in Active Directory, and you can view them in Event Viewer or send the data to enterprise monitoring solutions such as System Center 2012 - Operations Manager Audit Collection Services (ACS), or other third-party tools.

Pasos siguientesNext steps