Modelo de niveles para el particionamiento de los privilegios administrativos

  • Artículo

En este artículo se describe un modelo de seguridad diseñado para proteger frente a la elevación de privilegios mediante la separación de las actividades con muchos privilegios de las zonas de alto riesgo.

Importante

El modelo de este artículo está pensado solo para entornos de Active Directory aislados mediante MIM PAM. Para entornos híbridos, consulte en su lugar las instrucciones del modelo de acceso empresarial.

Elevación de privilegios en bosques de Active Directory

Las cuentas de usuarios, servicios o aplicaciones con privilegios administrativos permanentes en los bosques de Windows Server Active Directory (AD) plantean un nivel considerable de riesgo para la misión y el negocio de la organización. Estas cuentas suelen ser objetivo de los atacantes porque, si se ven en peligro, el atacante tiene derechos para conectarse a otros servidores o aplicaciones del dominio.

El modelo de niveles crea divisiones entre administradores en función de los recursos que administran. Los administradores con control sobre las estaciones de trabajo de los usuarios están separados de los que controlan aplicaciones o administran identidades de empresa.

Restricción de la exposición de las credenciales con restricciones de inicio de sesión

La disminución del riesgo de robo de credenciales de las cuentas administrativas generalmente exige reformular los procedimientos administrativos para limitar la exposición a los atacantes. Como primer paso, se recomienda que las organizaciones:

  • Limiten la cantidad de hosts en los que se exponen las credenciales administrativas.
  • Limiten los privilegios de rol al mínimo requerido.
  • Garanticen que las tareas administrativas no se realizan en hosts usados para las actividades de usuario estándar (por ejemplo, correo electrónico y exploración web).

El próximo paso es implementar restricciones de inicio de sesión y habilitar los procesos y prácticas para cumplir con los requisitos del modelo en niveles. De forma ideal, la exposición de las credenciales debería además limitarse al menor privilegio posible exigido para el rol dentro de cada nivel.

Se deben aplicar restricciones de inicio de sesión para garantizar que las cuentas con privilegios elevados no tengan acceso a los recursos menos seguros. Por ejemplo:

  • Los administradores de dominio (nivel 0) no pueden iniciar sesión en servidores empresariales (nivel 1) ni en estaciones de trabajo de usuario estándar (nivel 2).
  • Los administradores de servidor (nivel 1) no pueden iniciar sesión en estaciones de trabajo de usuario estándar (nivel 2).

Nota:

Los administradores de servidor no deben estar en el grupo de administradores de dominio. El personal que tiene responsabilidades de administración tanto de controladores de dominio como de servidores empresariales debe tener cuentas independientes.

Las restricciones de inicio de sesión se pueden aplicar con lo siguiente:

  • Restricciones de derechos de inicio de sesión de directivas de grupo, que incluyen:
    • Denegar el acceso desde la red a este equipo
    • Denegar el inicio de sesión como trabajo por lotes
    • Denegar el inicio de sesión como servicio
    • Denegar inicio de sesión localmente
    • Denegar el inicio de sesión mediante la configuración de Escritorio remoto
  • Silos y directivas de autenticación, si usa Windows Server 2012 o posterior.
  • Autenticación selectiva, si la cuenta está en un bosque administrativo dedicado.

Pasos siguientes

  • En el siguiente artículo, Planificación de un entorno bastión, se explica cómo agregar un bosque administrativo dedicado para que Microsoft Identity Manager establezca las cuentas administrativas.
  • La protección de dispositivos proporciona un sistema operativo dedicado para tareas confidenciales que están protegidas frente a ataques de Internet y vectores de amenazas.