Proteger dispositivos como parte de la historia de acceso privilegiado

Esta guía forma parte de una estrategia de acceso con privilegios completos y se implementa como parte de la implementación de acceso con privilegios.

Fin a fin de cero seguridad de confianza para el acceso con privilegios requiere una base sólida de seguridad del dispositivo sobre la que construir otras garantías de seguridad para la sesión. Aunque las garantías de seguridad pueden mejorarse en la sesión, siempre estarán limitadas por la intensidad de las garantías de seguridad en el dispositivo original. Un atacante con control de este dispositivo puede suplantar a los usuarios en él o robar sus credenciales para futuras suplantaciones. Este riesgo menoscaba otras garantías de la cuenta, de intermediarios como servidores puente y de los propios recursos. Para obtener más información, consulte principio de origen limpio

El artículo proporciona información general sobre los controles de seguridad para proporcionar una estación de trabajo segura para usuarios confidenciales durante todo su ciclo de vida.

Workflow to acquire and deploy a secure workstation

Esta solución se basa en las capacidades de seguridad principales del sistema operativo Windows 10, Microsoft Defender para punto de conexión, Azure Active Directory y Microsoft InTune.

Quién ventajas de una estación de trabajo segura?

Todos los usuarios y operadores se benefician del uso de una estación de trabajo segura. Un atacante que pone en peligro un equipo o dispositivo puede suplantar o robar credenciales/tokens para todas las cuentas que lo usan, lo que socava muchas o todas las demás garantías de seguridad. Para los administradores o cuentas confidenciales, esto permite a los atacantes escalar privilegios y aumentar el acceso que tienen en su organización, a menudo dramáticamente a privilegios de administrador de dominio, global o de empresa.

Para obtener más información sobre los niveles de seguridad y a qué usuarios deben asignarse cada nivel, consulte Niveles de seguridad de acceso privilegiado

Controles de seguridad del dispositivo

La implementación correcta de una estación de trabajo segura requiere que formen parte de un enfoque de un extremo a otro, incluidos dispositivos, cuentas, intermediarios y directivas de seguridad aplicadas a las interfaces de las aplicaciones. Todos los elementos de la pila deben abordarse para una estrategia de seguridad de acceso con privilegios completos.

En esta tabla se resumen los controles de seguridad para los distintos niveles de dispositivo:

Perfil Enterprise Especializado Privilegiada
administración de Microsoft Endpoint Manager (MEM)
Denegar la inscripción del dispositivo BYOD No
Línea base de seguridad MEM aplicada
Microsoft Defender para punto de conexión Sí*
Unirse a un dispositivo personal a través de AutoPilot Sí* Sí* No
Direcciones URL restringidas a la lista aprobada Permitir la mayoría Permitir la mayoría Denegar valor predeterminado
Eliminación de derechos de administrador
Control de ejecución de aplicaciones (AppLocker) Auditoría:> obligatoria
Aplicaciones instaladas solo por MEM

Nota

La solución se puede implementar con hardware nuevo, hardware existente y llevar tu propio dispositivo (BYOD) escenarios.

En todos los niveles, las políticas de Intune aplicarán una buena higiene en el mantenimiento de la seguridad para las actualizaciones de seguridad. Las diferencias en la seguridad a medida que aumenta el nivel de seguridad del dispositivo se centran en reducir la superficie de ataque que un atacante puede intentar aprovechar (conservando la mayor productividad posible del usuario). Enterprise y los dispositivos de nivel especializado permiten aplicaciones de productividad y exploración web en general, pero las estaciones de trabajo con privilegios de acceso no lo hacen. Enterprise los usuarios pueden instalar sus propias aplicaciones, pero los usuarios especializados no pueden (ni son administradores locales de sus estaciones de trabajo).

Nota

La exploración web aquí se refiere al acceso general a sitios web arbitrarios que pueden ser una actividad de alto riesgo. Esta exploración es claramente diferente de usar un explorador web para acceder a un pequeño número de sitios web administrativos conocidos para servicios como Azure, Microsoft 365, otros proveedores de nube y aplicaciones SaaS.

Raíz de hardware de confianza

Esencial para una estación de trabajo segura es una solución de cadena de suministro donde se utiliza una estación de trabajo de confianza denominada "raíz de confianza". La tecnología que debe tenerse en cuenta en la selección de la raíz del hardware de confianza debe incluir las siguientes tecnologías incluidas en los portátiles modernos:

Para esta solución, la raíz de confianza se implementará con Windows tecnología autopilot con hardware que cumpla los requisitos técnicos modernos. Para proteger una estación de trabajo, AutoPilot le permite aprovechar los dispositivos Windows 10 optimizados para OEM de Microsoft. Estos dispositivos vienen en un estado correcto conocido del fabricante. En lugar de volver a crear un dispositivo potencialmente inseguro, AutoPilot puede transformar un dispositivo Windows 10 en un estado "preparado para la empresa". Aplica opciones de configuración y directivas, instala aplicaciones e incluso cambia la edición de Windows 10.

Secure workstation Levels

Perfiles y roles de dispositivo

Esta guía muestra cómo endurecer Windows 10 y reducir los riesgos asociados con la puesta en peligro del dispositivo o usuario. Para aprovechar la tecnología de hardware moderna y la raíz del dispositivo de confianza, la solución usa la atestación de estado del dispositivo. Esta capacidad está presente para garantizar que los atacantes no puedan ser persistentes durante el arranque anticipado de un dispositivo. Lo hace usando directivas y tecnología para ayudar a administrar las características y los riesgos de seguridad.

Secure workstation profiles

  • Enterprise dispositivo: el primer rol administrado es bueno para usuarios domésticos, usuarios de pequeñas empresas, desarrolladores generales y empresas en las que las organizaciones quieran elevar la barra de seguridad mínima. Este perfil permite a los usuarios ejecutar cualquier aplicación y navegar por cualquier sitio web, pero se requiere una solución antimalware y detección y respuesta de puntos de conexión (EDR) como Microsoft Defender para punto de conexión. Se toma un enfoque basado en la política para aumentar la postura de seguridad. Proporciona un medio seguro para trabajar con los datos de los clientes, mientras que también usa herramientas de productividad como el correo electrónico y la exploración web. Las directivas de auditoría y los Intune le permiten supervisar un Enterprise estación de trabajo para detectar el comportamiento del usuario y el uso del perfil.

El perfil de seguridad empresarial de la guía de implementación de acceso con privilegios usa archivos JSON para configurarlo con Windows 10 y los archivos JSON proporcionados.

  • Dispositivo especializado : esto representa un importante avance del uso empresarial al eliminar la capacidad de autoadministrar la estación de trabajo y limitar las aplicaciones que se pueden ejecutar solo a las aplicaciones instaladas por un administrador autorizado (en los archivos de programa y las aplicaciones preaprobadas en la ubicación del perfil de usuario. Quitar la capacidad de instalar aplicaciones puede afectar a la productividad si se implementa incorrectamente, por lo que debe asegurarse de que ha proporcionado acceso a aplicaciones de Microsoft Store o aplicaciones administradas por la empresa que se pueden instalar rápidamente para satisfacer las necesidades de los usuarios. Para obtener instrucciones sobre qué usuarios deben configurarse con dispositivos de nivel especializados, consulte Niveles de seguridad de acceso privilegiados
    • El usuario de seguridad especializado exige un entorno más controlado, a la vez que puede realizar actividades como el correo electrónico y la exploración web en una experiencia sencilla de usar. Estos usuarios esperan que funcionen funciones como cookies, favoritos y otros accesos directos, pero no requieren la capacidad de modificar o depurar el sistema operativo de su dispositivo, instalar controladores o similares.

El perfil de seguridad especializado en la guía de implementación de acceso con privilegios usa archivos JSON para configurarlo con Windows 10 y los archivos JSON proporcionados.

  • Estación de trabajo de acceso con privilegios (PAW): esta es la configuración de seguridad más alta diseñada para roles extremadamente sensibles que tendrían un impacto importante o importante en la organización si su cuenta se ve comprometida. La configuración paw incluye controles de seguridad y directivas que restringen el acceso administrativo local y las herramientas de productividad para minimizar la superficie de ataque a sólo lo que es absolutamente necesario para realizar tareas de trabajo sensibles. Esto hace que el dispositivo PAW sea difícil de poner en peligro para los atacantes, ya que bloquea el vector más común de ataques de suplantación de identidad (phishing): correo electrónico y exploración web. Para proporcionar productividad a estos usuarios, deben proporcionarse cuentas y estaciones de trabajo independientes para aplicaciones de productividad y exploración web. Si bien es inconveniente, este es un control necesario para proteger a los usuarios cuya cuenta podría causar daños a la mayoría o a todos los recursos de la organización.
    • Una estación de trabajo con privilegios proporciona una estación de trabajo endurecida que tiene un control claro de la aplicación y protección de aplicaciones. La estación de trabajo usa credential guard, device guard, app guard y exploit guard para proteger el host de comportamiento malintencionado. Todos los discos locales se cifran con BitLocker y el tráfico web está restringido a un conjunto limitado de destinos permitidos (Denegar todo).

El perfil de seguridad con privilegios en la guía de implementación de acceso con privilegios usa archivos JSON para configurarlo con Windows 10 y los archivos JSON proporcionados.

Pasos siguientes

Implementar una estación de trabajo administrada por Azure segura.