Compartir a través de

Entorno de administración de seguridad mejorado

  • Artículo

La arquitectura del entorno de administración de seguridad mejorada (ESAE) (a menudo denominada bosque rojo, bosque de administración o bosque protegido) es un enfoque heredado para proporcionar un entorno seguro para las identidades de administrador de Windows Server Active Directory (AD).

La recomendación de Microsoft de usar este patrón arquitectónico se ha reemplazado por la estrategia de acceso con privilegios modernos y plan de modernización rápida (RAMP) guía como enfoque recomendado predeterminado para proteger a los usuarios con privilegios. Esta guía está pensada para ser inclusiva de adaptar una estrategia más amplia para avanzar hacia una arquitectura de confianza cero . Dadas estas estrategias modernizadas, la arquitectura de bosque administrativo protegida por ESAE (local o basada en la nube) ahora se considera una configuración personalizada adecuada solo para los casos de excepción.

Escenarios de uso continuado

Aunque ya no es una arquitectura recomendada, ESAE (o componentes individuales en ella) todavía puede ser válido en un conjunto limitado de escenarios exentos. Normalmente, estos entornos locales están aislados en los que los servicios en la nube pueden no estar disponibles. Este escenario puede incluir infraestructura crítica u otros entornos de tecnología operativa desconectada (OT). Sin embargo, debe tenerse en cuenta que los segmentos sistema de control industrial/control de supervisión y adquisición de datos (ICS/SCADA) del entorno no suelen usar su propia implementación de Active Directory.

Si la organización se encuentra en uno de estos escenarios, el mantenimiento de una arquitectura esaE implementada actualmente en su totalidad puede seguir siendo válida. Sin embargo, debe entenderse que su organización incurre en un riesgo adicional debido al aumento de la complejidad técnica y los costos operativos del mantenimiento de ESAE. Microsoft recomienda que cualquier organización que siga usando ESAE u otros controles de seguridad de identidad heredados aplique un rigor adicional para supervisar, identificar y mitigar los riesgos asociados.

Nota

Aunque Microsoft ya no recomienda un modelo de bosque protegido aislado para la mayoría de los escenarios de la mayoría de las organizaciones, Microsoft sigue funcionando internamente (y los procesos de soporte técnico asociados y el personal) debido a los requisitos de seguridad extremos para proporcionar servicios en la nube de confianza a las organizaciones de todo el mundo.

Guía para implementaciones existentes

Para los clientes que ya han implementado esta arquitectura para mejorar la seguridad o simplificar la administración de bosques múltiples, no hay ninguna urgencia para retirar o reemplazar una implementación de ESAE si se está operando según lo diseñado y previsto. Al igual que con cualquier sistema empresarial, debe mantener el software en él aplicando actualizaciones de seguridad y asegurándose de que el software se encuentra dentro de ciclo de vida de soporte técnico.

Microsoft también recomienda a las organizaciones con ESAE o bosques protegidos adoptar la estrategia moderna de acceso con privilegios mediante la guía de plan de modernización rápida (RAMP). Esta guía complementa una implementación existente de ESAE y proporciona la seguridad adecuada para los roles que aún no están protegidos por ESAE, incluidos los administradores de Microsoft Entra, los usuarios empresariales confidenciales y los usuarios empresariales estándar. Para obtener más información, consulte el artículo Protección de los niveles de seguridad de acceso con privilegios.

Cuando ESAE se diseñó originalmente hace más de 10 años, el enfoque era entornos locales con Active Directory (AD) que actúa como proveedor de identidades local. Este enfoque heredado se basa en técnicas de segmentación de macros para lograr privilegios mínimos y no tiene en cuenta adecuadamente los entornos híbridos o basados en la nube. Además, las implementaciones de bosque protegidos y ESAE solo se centran en proteger los administradores locales de Windows Server Active Directory (identidades) y no tienen en cuenta los controles de identidad específicos y otras técnicas contenidas en los pilares restantes de una arquitectura de Zero-Trust moderna. Microsoft ha actualizado su recomendación a las soluciones basadas en la nube, ya que se pueden implementar más rápidamente para proteger un ámbito más amplio de roles y sistemas administrativos y confidenciales para la empresa. Además, son menos complejos, escalables y requieren menos inversión de capital para mantener.

Nota

Aunque esaE ya no se recomienda en su totalidad, Microsoft se da cuenta de que muchos componentes individuales contenidos en ella se definen como una buena higiene cibernética (por ejemplo, estaciones de trabajo de acceso con privilegios dedicadas). La desuso de ESAE no está pensada para impulsar a las organizaciones a abandonar buenas prácticas de higiene cibernética, solo para reforzar las estrategias arquitectónicas actualizadas para proteger las identidades privilegiadas.

Ejemplos de buenas prácticas de higiene cibernética en ESAE que son aplicables a la mayoría de las organizaciones

  • Uso de estaciones de trabajo de acceso con privilegios (PAW) para todas las actividades administrativas
  • Exigir autenticación multifactor o basada en tokens (MFA) para credenciales administrativas, incluso si no se usa ampliamente en todo el entorno
  • Aplicación del modelo administrativo con privilegios mínimos a través de la evaluación regular de la pertenencia a grupos o roles (aplicada por una directiva organizativa sólida)

Procedimiento recomendado para proteger AD local

Como se describe en Escenarios de uso continuado, puede haber circunstancias en las que la migración a la nube no se pueda lograr (parcialmente o en su totalidad) debido a distintas circunstancias. Para estas organizaciones, si aún no tienen una arquitectura ESAE existente, Microsoft recomienda reducir la superficie expuesta a ataques de AD local mediante el aumento del rigor de seguridad para Active Directory y las identidades con privilegios. Aunque no es una lista exhaustiva, tenga en cuenta las siguientes recomendaciones de alta prioridad.

  • Use un enfoque por niveles que implemente el modelo administrativo con privilegios mínimos:
    • Aplicar privilegios mínimos absolutos.
    • Detectar, revisar y auditar identidades con privilegios (vínculo seguro a la directiva de la organización).
      • La concesión excesiva de privilegios es uno de los problemas más identificados en entornos evaluados.
    • MFA para cuentas administrativas (incluso si no se usa ampliamente en todo el entorno).
    • Roles con privilegios basados en tiempo (reducir cuentas excesivas, reforzar los procesos de aprobación).
    • Habilite y configure todas las auditorías disponibles para las identidades con privilegios (notificación de habilitación/deshabilitación, restablecimiento de contraseña y otras modificaciones).
  • Usar estaciones de trabajo de acceso con privilegios (PAW):
    • No administre PAW desde un host de menos confianza.
    • Use MFA para acceder a PAW.
    • No olvide la seguridad física.
    • Asegúrese siempre de que las PAW ejecutan los sistemas operativos más recientes o compatibles actualmente.
  • Comprender las rutas de acceso a ataques y las cuentas o aplicaciones de alto riesgo:
    • Priorice la supervisión de identidades y sistemas que suponen el mayor riesgo (objetivos de oportunidad o alto impacto).
    • Erradique la reutilización de contraseñas, incluidos los límites del sistema operativo (técnica de movimiento lateral común).
    • Aplique directivas que restrinjan las actividades que aumentan el riesgo (navegación por Internet desde estaciones de trabajo protegidas, cuentas de administrador local en varios sistemas, etc.).
    • Reduzca las aplicaciones en Active Directory o Controladores de dominio (cada aplicación agregada es superficie expuesta a ataques adicional).
      • Elimine las aplicaciones innecesarias.
      • Si es posible, las aplicaciones siguen siendo necesarias para otras cargas de trabajo fuera de / DC.
  • Copia de seguridad inmutable de Active Directory:
    • Componente crítico para la recuperación de la infección por ransomware.
    • Programación de copia de seguridad normal.
    • Se almacena en una ubicación fuera de la nube o basada en la nube determinada por el plan de recuperación ante desastres.
  • Realice una de evaluación de seguridad de Active Directory:
    • La suscripción de Azure es necesaria para ver los resultados (panel personalizado de Log Analytics).
    • Ofertas admitidas por ingenieros de Microsoft o a petición.
    • Valide o identifique las instrucciones de la evaluación.
    • Microsoft recomienda realizar evaluaciones de forma anual.

Para obtener instrucciones completas sobre estas recomendaciones, revise los procedimientos recomendados de para proteger Active Directory.

Recomendaciones complementarias

Microsoft reconoce que algunas entidades pueden no ser capaces de implementar completamente una arquitectura de confianza cero basada en la nube debido a restricciones variables. Algunas de estas restricciones se mencionaron en la sección anterior. En lugar de una implementación completa, las organizaciones pueden abordar el riesgo y avanzar hacia Zero-Trust a la vez que mantienen los equipos o arquitecturas heredados en el entorno. Además de las instrucciones mencionadas anteriormente, las siguientes funcionalidades pueden ayudar a reforzar la seguridad de su entorno y servir como punto de partida para adoptar una arquitectura de Zero-Trust.

Microsoft Defender for Identity (MDI)

microsoft Defender for Identity (MDI) (formalmente Azure Advanced Threat Protection o ATP) respalda la arquitectura de Microsoft Zero-Trust y se centra en el pilar de identidad. Esta solución basada en la nube usa señales de AD local e id. de Microsoft Entra para identificar, detectar e investigar amenazas que implican identidades. MDI supervisa estas señales para identificar comportamientos anómalos y malintencionados de usuarios y entidades. En particular, MDI facilita la capacidad de visualizar la ruta de desplazamiento lateral de un adversario resaltando cómo se pueden usar las cuentas dadas si se ponen en peligro. Los análisis de comportamiento y las características de línea de base de usuario de MDI son elementos clave para determinar la actividad anómala dentro del entorno de AD.

Nota

Aunque MDI recopila señales de AD local, requiere una conexión basada en la nube.

Microsoft Defender para Internet de las cosas (D4IoT)

Además de otras instrucciones descritas en este documento, las organizaciones que operan en uno de los escenarios mencionados anteriormente podrían implementar Microsoft Defender para IoT (D4IoT). Esta solución incluye un sensor de red pasivo (virtual o físico) que permite la detección de recursos, la administración del inventario y el análisis de comportamiento basado en riesgos para entornos de Internet de las cosas (IoT) y tecnología operativa (OT). Se puede implementar en entornos locales con conexión inalámbrica o conectada a la nube y tiene la capacidad de realizar una inspección profunda de paquetes en más de 100 protocolos de red propietarios icS/OT.

Pasos siguientes

Revise los artículos siguientes:

  1. de estrategia de acceso con privilegios de
  2. plan de modernización rápida (RAMP) de
  3. Procedimientos recomendados de para proteger active Directory