Uso de estaciones de trabajo con privilegios de acceso
Al revisar el informe de seguridad que han creado los asesores de Contoso, ya sabe que los hackers malintencionados se centrarán en las estaciones de trabajo que usan habitualmente los administradores con acceso de alto nivel a la infraestructura. Por lo tanto, es importante asegurarse de que dichas estaciones de trabajo sean seguras.
¿Qué es una estación de trabajo de acceso con privilegios?
Una estación de trabajo de acceso con privilegios (PAW) es un equipo que puede usar para realizar tareas de administración, como la administración de sistemas de identidades, servicios en la nube y otras funciones confidenciales. Este equipo se protegerá de Internet y se bloqueará para que solo se puedan ejecutar las aplicaciones de administración necesarias.
Precaución
Asegúrese de que las cuentas de usuario administrativo no se pueden usar como cuentas de usuario estándar.
Recuerde que nunca debe usar esta estación de trabajo para estar en Internet, mirar el correo electrónico y usar otras aplicaciones de usuario final comunes; asimismo, debe tener un control estricto de la aplicación. No debe permitir la conexión a redes inalámbricas o a dispositivos USB externos. Una PAW debe implementar características de seguridad como Multi-Factor Authentication (MFA).
Sugerencia
Debe configurar los servidores con privilegios para que no acepten conexiones de una estación de trabajo sin privilegios.
Microsoft recomienda usar Windows 10 Enterprise para las PAW. Esto se debe a que Windows 10 Enterprise admite características de seguridad que no están disponibles en otras ediciones. Estas características de Windows Defender se describen en la tabla siguiente.
| Característica | Descripción |
|---|---|
| Control de aplicaciones de Windows Defender | Se aleja del modelo de confianza de aplicaciones tradicional, en el que se supone que todas las aplicaciones son de confianza de forma predeterminada, y establece una opción en la que las aplicaciones deben ganar confianza para ejecutarse. |
| Credential Guard de Windows Defender | Protege los hash de contraseña NTLM, los vales de concesión de vales de Kerberos y las credenciales que almacenan las aplicaciones como credenciales de dominio. Dado que ya no se almacenan en la autoridad de seguridad local (LSA), el robo de credenciales se puede bloquear incluso en un sistema en peligro. |
| Device Guard de Windows Defender | Combina las características del control de aplicaciones de Windows con la capacidad de usar el hipervisor de Hyper-V de Windows para proteger los procesos del modo kernel de Windows de la inyección y ejecución de código malintencionado o no comprobado. |
| Windows Defender Exploit Guard | Permite a los administradores definir y administrar directivas para reducir los ataques y las vulnerabilidades de seguridad, la protección de la red y para proteger las aplicaciones sospechosas del acceso a carpetas de destino común. |
Perfiles de hardware de PAW
Es importante recordar que los administradores también son usuarios. Esto significa que usarán el correo electrónico, explorarán Intenet y ejecutarán aplicaciones de productividad como Microsoft Office. Si el equipo del administrador es una PAW, afectará gravemente a la productividad del usuario en tareas no administrativas.
Precaución
Merece la pena recordar que los usuarios tienden a abandonar soluciones seguras que limitan la productividad en favor de soluciones no seguras que mejoran la productividad.
Para mantener la seguridad, los usuarios administradores deben disponer de dos estaciones de trabajo. Una estación de trabajo es una PAW, mientras que la otra se usa para las tareas cotidianas que no requieren elevación. Puede lograr esta separación mediante perfiles de hardware de PAW. Microsoft recomienda usar uno de los siguientes perfiles de hardware:
- Hardware dedicado. Separa los dispositivos dedicados en tareas de usuario y tareas administrativas. La estación de trabajo de administración debe admitir mecanismos de seguridad de hardware, como un módulo de plataforma segura (TPM), e implementar las características de seguridad de Windows 10 Enterprise ya mencionadas.
- Uso simultáneo. Un único dispositivo que puede ejecutar tareas de usuario y tareas administrativas simultáneamente mediante la ejecución de dos sistemas operativos, donde uno es un sistema de usuario y el otro es un sistema de administrador. Para ello, puede ejecutar un sistema operativo independiente en una VM de uso diario.
Precaución
Si usa un único dispositivo, asegúrese de que la PAW se ejecuta en el equipo físico, mientras que la estación de trabajo normal se ejecuta como una VM. Esto le proporcionará el nivel correcto de seguridad.
En la tabla siguiente se describen las ventajas e inconvenientes de estos elementos.
| Escenario | Ventajas | Inconvenientes |
|---|---|---|
| Hardware dedicado | Separación de seguridad sólida | Requiere dos dispositivos. Esto requiere más espacio y costos de implementación. |
| Uso simultáneo | Menores costos de hardware | Compartir el mismo teclado y mouse puede dar lugar a errores y suponer riesgos de seguridad. |