Proteja de derechos de administrador excesivos a su red de Windows

[01/09/2020] Antes era normal que los usuarios de Windows fueran administradores locales en sus máquinas, principalmente porque el ecosistema de desarrolladores de Microsoft Windows necesitaba derechos de administrador para ejecutar software. La introducción de User Account Control (UAC) con Windows 7 fue controvertida. Era un programa a largo plazo para eliminar la necesidad de que los desarrolladores tuvieran derechos de administrador al ejecutar software. Desde entonces, hemos recorrido un largo camino hasta que las personas se han dado cuenta de que ya no podemos ejecutar nuestras máquinas con derechos de administrador.

Si todavía está luchando por justificaciones de por qué no debe trabajar en sus máquinas Windows con derechos de administrador, un reciente post en Twitter por Sean Metcalf enumera varias razones:

1. Facilita que un atacante controle ese sistema simplemente comprometiendo esa cuenta. El atacante ahora tiene derechos de administrador local y puede volcar el Local Security Authority Subsystem Service (LSASS) y la Service Management Automation (SMA)  local para obtener más credenciales.
2. Hace que el registro sea más complicado. Si todos los usuarios carecen de derechos de administrador local, puede monitorear la actividad sospechosa de acceso privilegiado mediante el evento "autenticado como administrador local" (evento 4672). Si todos los usuarios son administradores, la supervisión de este y los eventos relacionados resultan inútiles.
3. Cuando el usuario tiene derechos de administrador local, el ransomware tiene todo el acceso que necesita para bloquear totalmente el sistema.
4. Si todas las estaciones de trabajo comparten la misma contraseña de administrador local, el riesgo de una sola cuenta de usuario implica comprometer a todas las estaciones de trabajo. Es probable que estas acciones se realicen en minutos. Para resolver este problema, implemente una solución como Local Administrator Password Solution (LAPS).

Problemas de seguridad de UAC

Sin embargo, confiar en UAC en Windows 7 y Windows 10 no es suficiente. Los atacantes pueden usar herramientas como UACMe con el fin de obtener acceso a un sistema. UACMe abusa de la backdoor integrada,AutoElevate, de Windows. UAC no es un límite de seguridad. Como señaló Raymond Chen, "UAC no es una función de seguridad. Es una característica de conveniencia que actúa como una función forzada para que los desarrolladores de software actúen juntos". UAC se introdujo como un proceso para alejar al ecosistema de exigir derechos de administrador en un sistema. No sea complaciente y comprenda que los atacantes saben más sobre estas debilidades que usted.

Azure no es inmune a la necesidad de controlar y proteger a los administradores. En lugar de los administradores locales en las estaciones de trabajo, debe supervisar el uso y la protección de los administradores globales. En agosto del 2019, Microsoft había identificado que solo el 8% de las cuentas de administrador global estaban protegidas con autenticación multifactor. Sin MFA, un atacante puede utilizar un ataque de rociado de contraseñas para asumir una función de administrador global.

Otro problema de ataque incluye la elevación de derechos de un administrador global de Office 365. Como Metcalf escribió en su blog, si una cuenta de administrador global de Office 365 se ve comprometida, el atacante puede activar un rol llamado "Administración de acceso para recursos de Azure". Al activar este acceso en la consola de administración, se agrega la cuenta al rol de administrador de acceso de usuario en Azure RBAC en el ámbito raíz (que tiene control sobre todas las suscripciones en el inquilino). 

Para proteger mejor la función de administrador global, supervise la función de administrador global de Azure AD en busca de cambios y aplique MFA en todas las cuentas que tengan la función de administrador global. También deseará asegurarse de tener las licencias adecuadas. Se necesita una licencia de Azure AD Premium 2 para agregar Azure AD Privileged Identity Management (PIM). Alternativamente, puede obtener acceso PIM con una licencia E5.

Habilite la gestión de identidad privilegiada

PIM agrega las siguientes protecciones de administración de acceso privilegiado (PAM, por sus siglas en inglés) a sus cuentas de administrador global:

• Proporciónele acceso privilegiado, justo a tiempo, a Azure AD y los recursos de Azure.
• Asígnele acceso de duración determinada a los recursos mediante fechas de inicio y finalización.
• Requiera aprobación para activar roles privilegiados.
• Aplique MFA para activar cualquier rol.
• Utilice la justificación para comprender por qué los usuarios se activan.
• Recibe notificaciones cuando se activan roles privilegiados.
• Realice revisiones de acceso para asegurarse de que los usuarios sigan necesitando roles.
• Descargue historial de auditoría para auditoría interna o externa.

Como afirma Microsoft: "La administración de acceso privilegiado se habilita mediante la configuración de políticas que especifican acceso, justo a tiempo, para actividades basadas en tareas en su inquilino. Puede ayudar a proteger a su organización de las infracciones que pueden utilizar cuentas de administrador privilegiadas existentes con acceso permanente a datos confidenciales o acceso a ajustes de configuración críticos. Por ejemplo, puede configurar una política de administración de acceso privilegiado, la cual requerirá de aprobación explícita para acceder y cambiar la configuración del buzón de correo de la organización en su inquilino".

Para habilitar PIM:

1. Inicie el portal de Azure.
2. Diríjase a "Administración de Identidad Privilegiada".
3. Diríjase a "Funciones de Azure AD Directory - Descripción general" y haga clic en "Asistente", que lo guiará a través del proceso.

Piense en PIM como un proceso de aprobación automatizado y haga que su sistema se asegure de que solo las personas que deberían tener acceso a un proceso realmente accedan a él. Cada subadministrador de un proceso tendrá el mandato de obtener acceso mediante un proceso de aprobación.

Al configurar el proceso de aprobación de gestión, justo a tiempo, revise cuánto tiempo permanecerá la activación de acceso. Mantenga este tiempo bajo, pero no tan escaso que sus administradores se apresuren en completar las tareas. PIM le permite realizar un seguimiento de los usuarios administrativos en Azure AD, Office 365 y Microsoft Intune.

Configure MFA para usuarios de Office 365

Finalmente, habilite MFA para todos los usuarios de Office/Microsoft 365, tengan o no derechos de administrador o de administrador global. Usted puede implementar la autenticación de dos factores con herramientas que incluyen llaveros o tokens físicos, mensajería SMS, devolución de llamada al número de teléfono de la oficina o una aplicación de autenticación. Puede utilizar la aplicación de autenticación de Microsoft o Google como su token virtual preferido.

Su conclusión clave debería ser implementar MFA. Su cuenta tiene más del 99,9% de probabilidades de no ser afectada si se utiliza AMF. ¿Son infalibles? No, pero realizar cualquier forma de MFA le aleja del alcance de la mayoría de los ataques.

Susan Bradley, CSO (EE.UU.)