Proteger dispositivos como parte de la historia de acceso con privilegios
Esta guía forma parte de una estrategia de acceso con privilegios completos y se implementa como parte de la implementación de acceso con privilegios
La seguridad de confianza de extremo a extremo para un acceso con privilegios requiere una base sólida de seguridad del dispositivo sobre la que crear otras garantías de seguridad para la sesión. Aunque las garantías de seguridad se pueden mejorar en la sesión, siempre estarán limitadas por la seguridad de las garantías de seguridad en el dispositivo de origen. Un atacante con el control de este dispositivo puede suplantar a los usuarios en él o robar sus credenciales para suplantación futura. Este riesgo socava otras garantías en la cuenta, intermediarios como servidores de salto y en los propios recursos. Para obtener más información, vea principio de origen limpio
En el artículo se proporciona información general sobre los controles de seguridad para proporcionar una estación de trabajo segura para usuarios confidenciales durante todo su ciclo de vida.
Esta solución se basa en las capacidades de seguridad principales en el Windows 10 operativo, Microsoft Defender para Endpoint, Azure Active Directory y Microsoft InTune.
Quién Ventajas de una estación de trabajo segura?
Todos los usuarios y operadores se benefician del uso de una estación de trabajo segura. Un atacante que pone en peligro un equipo o dispositivo puede suplantar o robar credenciales o tokens para todas las cuentas que lo usan, lo que socava muchas o todas las demás garantías de seguridad. Para administradores o cuentas confidenciales, esto permite a los atacantes escalar privilegios y aumentar el acceso que tienen en su organización, a menudo considerablemente a privilegios de administrador de dominio, global o empresarial.
Para obtener más información sobre los niveles de seguridad y los usuarios a los que se debe asignar el nivel, vea Niveles de seguridad de acceso privilegiado
Controles de seguridad de dispositivos
La implementación correcta de una estación de trabajo segura requiere que sea parte de un enfoque de extremo a extremo, incluidos dispositivos, cuentas, intermediariosy directivas de seguridad aplicadas a las interfaces de aplicación. Todos los elementos de la pila deben abordarse para obtener una estrategia de seguridad de acceso con privilegios completos.
En esta tabla se resumen los controles de seguridad para distintos niveles de dispositivo:
| Perfil | Enterprise | Especializado | Privilegiado |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) administrado | Sí | Sí | Sí |
| Denegar la inscripción de dispositivos BYOD | No | Sí | Sí |
| Línea base de seguridad MEM aplicada | Sí | Sí | Sí |
| Microsoft Defender para endpoint | Sí* | Sí | Sí |
| Unirse a un dispositivo personal a través de Autopilot | Sí* | Sí* | No |
| Direcciones URL restringidas a la lista aprobada | Permitir la mayoría | Permitir la mayoría | Denegar predeterminado |
| Eliminación de derechos de administrador | Sí | Sí | |
| Control de ejecución de aplicaciones (AppLocker) | Auditoría: > obligatorio | Sí | |
| Aplicaciones instaladas solo por MEM | Sí | Sí |
Nota
La solución se puede implementar con nuevo hardware, hardware existente y traer su propio dispositivo (BYOD) escenarios.
En todos los niveles, las directivas de Intune aplicarán una buena limpieza de mantenimiento de seguridad para las actualizaciones de seguridad. Las diferencias de seguridad a medida que aumenta el nivel de seguridad del dispositivo se centran en reducir la superficie de ataque que un atacante puede intentar explotar (conservando la mayor productividad posible de los usuarios). Enterprise y los dispositivos de nivel especializado permiten aplicaciones de productividad y exploración web general, pero las estaciones de trabajo de acceso privilegiado no. Enterprise usuarios pueden instalar sus propias aplicaciones, pero es posible que los usuarios especializados no (y no sean administradores locales de sus estaciones de trabajo).
Nota
La exploración web aquí hace referencia al acceso general a sitios web arbitrarios que pueden ser una actividad de alto riesgo. Este tipo de exploración es distinta del uso de un explorador web para obtener acceso a un pequeño número de sitios web administrativos conocidos para servicios como Azure, Microsoft 365, otros proveedores de nube y aplicaciones SaaS.
Raíz de confianza del hardware
Esencial para una estación de trabajo segura es una solución de cadena de suministro en la que se usa una estación de trabajo de confianza denominada "raíz de la confianza". La tecnología que debe considerarse en la selección de la raíz del hardware de confianza debe incluir las siguientes tecnologías incluidas en los portátiles modernos:
- Módulo de plataforma de confianza (TPM) 2.0
- Cifrado de unidad BitLocker
- Inicio seguro de UEFI
- Controladores y firmware distribuidos a través Windows actualización
- Virtualización y HVCI habilitados
- Controladores y aplicaciones HVCI-Ready
- Windows Hello
- Protección de E/S DMA
- Protección del sistema
- Modo de espera moderno
Para esta solución, la raíz de la confianza se implementará Windows tecnología Autopilot con hardware que cumpla los requisitos técnicos modernos. Para proteger una estación de trabajo, Autopilot le permite aprovechar los dispositivos Windows 10 OEM de Microsoft. Estos dispositivos vienen en un buen estado conocido por parte del fabricante. En lugar de reimaginar un dispositivo potencialmente inseguro, Autopilot puede transformar un Windows 10 en un estado "listo para la empresa". Aplica la configuración y las directivas, instala aplicaciones e incluso cambia la edición de Windows 10.
Perfiles y roles de dispositivo
En estas instrucciones se muestra cómo Windows 10 y reducir los riesgos asociados con el compromiso del dispositivo o el usuario. Para aprovechar la tecnología de hardware moderna y la raíz del dispositivo de confianza, la solución usa La certificación de estado del dispositivo. Esta capacidad está presente para asegurarse de que los atacantes no pueden ser persistentes durante el inicio anticipado de un dispositivo. Lo hace mediante la directiva y la tecnología para ayudar a administrar las características y riesgos de seguridad.
- Enterprise dispositivo: el primer rol administrado es bueno para los usuarios del hogar, los usuarios de pequeñas empresas, los desarrolladores generales y las empresas donde las organizaciones quieren aumentar la barra de seguridad mínima. Este perfil permite a los usuarios ejecutar cualquier aplicación y examinar cualquier sitio web, pero se requiere una solución antimalware y detección y respuesta de puntos de conexión (EDR) como Microsoft Defender para endpoint. Se toma un enfoque basado en directivas para aumentar la posición de seguridad. Proporciona un medio seguro para trabajar con los datos de los clientes al tiempo que usa herramientas de productividad como el correo electrónico y la exploración web. Las directivas de auditoría y Intune le permiten supervisar una estación de Enterprise para el comportamiento de los usuarios y el uso de perfiles.
El perfil de seguridad empresarial de las instrucciones de implementación de acceso con privilegios usa archivos JSON para configurarlo con Windows 10 y los archivos JSON proporcionados.
- Dispositivo especializado: esto representa un importante paso al frente del uso empresarial al quitar la capacidad de administrar automáticamente la estación de trabajo y limitar qué aplicaciones pueden ejecutarse solo a las aplicaciones instaladas por un administrador autorizado (en los archivos del programa y aplicaciones preaprobadas en la ubicación de perfil de usuario). Quitar la capacidad de instalar aplicaciones puede afectar a la productividad si se implementa incorrectamente, por lo que asegúrese de que ha proporcionado acceso a aplicaciones de microsoft store o aplicaciones administradas corporativas que se pueden instalar rápidamente para satisfacer las necesidades de los usuarios. Para obtener instrucciones sobre qué usuarios deben configurarse con dispositivos de nivel especializado, vea Niveles de seguridad de acceso privilegiado
- El usuario de seguridad especializado exige un entorno más controlado mientras sigue siendo capaz de realizar actividades como el correo electrónico y la exploración web en una experiencia sencilla de usar. Estos usuarios esperan que funcionen características como cookies, favoritos y otros métodos abreviados, pero no requieren la capacidad de modificar o depurar su sistema operativo del dispositivo, instalar controladores o similares.
El perfil de seguridad especializado en las instrucciones de implementación de acceso con privilegios usa archivos JSON para configurarlo con Windows 10 y los archivos JSON proporcionados.
- Estación de trabajo de acceso con privilegios (PATA): esta es la configuración de seguridad más alta diseñada para roles extremadamente confidenciales que tendrían un impacto importante o significativo en la organización si su cuenta se ve comprometida. La configuración de PATA incluye controles de seguridad y directivas que restringen el acceso administrativo local y las herramientas de productividad para minimizar la superficie de ataque a solo lo que es absolutamente necesario para realizar tareas de trabajo confidenciales.
Esto hace que el dispositivo PATA sea difícil de poner en peligro para los atacantes, ya que bloquea el vector más común para ataques de suplantación de identidad (phishing): correo electrónico y exploración web.
Para proporcionar productividad a estos usuarios, deben proporcionarse cuentas y estaciones de trabajo independientes para aplicaciones de productividad y exploración web. Aunque no es conveniente, este es un control necesario para proteger a los usuarios cuya cuenta podría causar daños a la mayoría o a todos los recursos de la organización.
- Una estación de trabajo con privilegios proporciona una estación de trabajo más dura que tiene un control de aplicaciones y una protección de aplicaciones claros. La estación de trabajo usa protección de credenciales, protección de dispositivos, protección de aplicaciones y protección contra vulnerabilidades para proteger al host contra comportamientos malintencionados. Todos los discos locales se cifran con BitLocker y el tráfico web está restringido a un conjunto límite de destinos permitidos (Denegar todo).
El perfil de seguridad privilegiado de las instrucciones de implementación de acceso con privilegios usa archivos JSON para configurarlo con Windows 10 y los archivos JSON proporcionados.
Pasos siguientes
Implementar una estación de trabajo administrada por Azure segura.