Modelo de niveles para el particionamiento de los privilegios administrativosTier model for partitioning administrative privileges

En este artículo se describe un modelo de seguridad diseñado para proteger frente a la elevación de privilegios mediante la separación de las actividades con muchos privilegios de las zonas de alto riesgo.This article describes a security model intended to protect against elevation of privilege by segregating high-privilege activities from high-risk zones.

Importante

El modelo de este artículo está pensado únicamente para entornos de Active Directory aislados que usan PAM de MIM.The model in this article is intended only for isolated Active Directory environments using MIM PAM. Para entornos híbridos, consulte en su lugar las instrucciones del modelo de acceso empresarial.For hybrid environments, see instead the guidance in the enterprise access model.

Elevación de privilegios en bosques de Active DirectoryElevation of Privilege in Active Directory forests

Las cuentas de usuarios, servicios o aplicaciones con privilegios administrativos permanentes en los bosques de Windows Server Active Directory (AD) plantean un nivel considerable de riesgo para la misión y el negocio de la organización.Users, services, or applications accounts that are granted permanent administrative privileges to Windows Server Active Directory (AD) forests introduce a significant amount of risk to the organization’s mission and business. Estas cuentas suelen ser objetivo de los atacantes porque, si se ven en peligro, el atacante tiene derechos para conectarse a otros servidores o aplicaciones del dominio.These accounts are often targeted by attackers because if they are compromised, the attacker has rights to connect to other servers or applications in the domain.

El modelo de niveles crea divisiones entre administradores en función de los recursos que administran.The tier model creates divisions between administrators based on what resources they manage. Los administradores con control sobre las estaciones de trabajo de los usuarios están separados de los que controlan aplicaciones o administran identidades de empresa.Admins with control over user workstations are separated from those that control applications, or manage enterprise identities.

Restricción de la exposición de las credenciales con restricciones de inicio de sesiónRestricting credential exposure with logon restrictions

La disminución del riesgo de robo de credenciales de las cuentas administrativas generalmente exige reformular los procedimientos administrativos para limitar la exposición a los atacantes.Reducing credential theft risk for administrative accounts typically requires reshaping administrative practices to limit exposure to attackers. Como primer paso, se recomienda que las organizaciones:As a first step, organizations are advised to:

  • Limiten la cantidad de hosts en los que se exponen las credenciales administrativas.Limit the number of hosts on which administrative credentials are exposed.
  • Limiten los privilegios de rol al mínimo requerido.Limit role privileges to the minimum required.
  • Garanticen que las tareas administrativas no se realizan en hosts usados para las actividades de usuario estándar (por ejemplo, correo electrónico y exploración web).Ensure administrative tasks are not performed on hosts used for standard user activities (for example, email and web browsing).

El próximo paso es implementar restricciones de inicio de sesión y habilitar los procesos y prácticas para cumplir con los requisitos del modelo en niveles.The next step is to implement logon restrictions and enable processes and practices to adhere to the tier model requirements. De forma ideal, la exposición de las credenciales debería además limitarse al menor privilegio posible exigido para el rol dentro de cada nivel.Ideally, credential exposure should also be reduced to the least privilege required for the role within each tier.

Se deben aplicar restricciones de inicio de sesión para garantizar que las cuentas con privilegios elevados no tengan acceso a los recursos menos seguros.Logon restrictions should be enforced to ensure that highly privileged accounts do not have access to less secure resources. Por ejemplo:For example:

  • Los administradores de dominio (nivel 0) no pueden iniciar sesión en servidores empresariales (nivel 1) ni en estaciones de trabajo de usuario estándar (nivel 2).Domain admins (tier 0) cannot log on to enterprise servers (tier 1) and standard user workstations (tier 2).
  • Los administradores de servidor (nivel 1) no pueden iniciar sesión en estaciones de trabajo de usuario estándar (nivel 2).Server administrators (tier 1) cannot log on to standard user workstations (tier 2).

Nota

Los administradores de servidor no deben estar en el grupo de administradores de dominio.Server administrators should not be in to the domain admin group. El personal que tiene responsabilidades de administración tanto de controladores de dominio como de servidores empresariales debe tener cuentas independientes.Personnel with responsibilities for managing both domain controllers and enterprise servers should be given separate accounts.

Las restricciones de inicio de sesión se pueden aplicar con lo siguiente:Logon restrictions can be enforced with:

  • Restricciones de derechos de inicio de sesión de directivas de grupo, que incluyen:Group Policy Logon Rights Restrictions, including:
    • Denegar el acceso a este equipo desde la redDeny access to this computer from the network
    • Denegar el inicio de sesión como trabajo por lotesDeny logon as a batch job
    • Denegar el inicio de sesión como servicioDeny logon as a service
    • Denegar el inicio de sesión localDeny logon locally
    • Denegar el inicio de sesión mediante la configuración de Escritorio remotoDeny logon through Remote Desktop settings
  • Silos y directivas de autenticación, si usa Windows Server 2012 o posterior.Authentication policies and silos, if using Windows Server 2012 or later
  • Autenticación selectiva, si la cuenta está en un bosque administrativo dedicado.Selective authentication, if the account is in a dedicated admin forest

Pasos siguientesNext steps

  • En el siguiente artículo, Planificación de un entorno bastión, se explica cómo agregar un bosque administrativo dedicado para que Microsoft Identity Manager establezca las cuentas administrativas.The next article, Planning a bastion environment, describes how to add a dedicated administrative forest for Microsoft Identity Manager to establish the administrative accounts.
  • La protección de los dispositivos proporciona un sistema operativo dedicado para las tareas confidenciales que están protegidas frente a los ataques por Internet y los vectores de amenazas.Securing devices provide a dedicated operating system for sensitive tasks that is protected from Internet attacks and threat vectors.