[09/09/2020] El despliegue remoto debe realizarse de forma segura. Hasta hace poco, la clave para la arquitectura segura de una empresa era un servidor en una habitación cerrada. Ahora la arquitectura segura es virtual y distribuida, y lo es cada vez más a medida que las empresas alargan los mandatos del trabajo desde casa. Se necesita confiar en los puntos finales y el firmware de la tecnología informática que se implemente.
Despliegue remoto seguro con Autopilot
Se pueden utilizar varias metodologías para implementar recursos informáticos seguros. Con Windows 10, una nueva herramienta de implementación llamada Autopilot permite a las empresas realizar varios pasos para implementar máquinas de forma segura.
Con Autopilot puede:
- Unir automáticamente los dispositivos a Azure Active Directory (Azure AD) o Active Directory (a través de Hybrid Azure AD Join).
- Inscribir automáticamente los dispositivos en servicios de administración de dispositivos móviles (MDM), como Microsoft Intune (requiere una suscripción a Azure AD Premium para la configuración).
- Restringir la creación de cuentas de administrador
- Crear y autoasignar dispositivos a grupos de configuración según el perfil de un dispositivo.
- Personalizar el contenido de la experiencia inmediata de Windows específico para la organización.
Microsoft lanzó recientemente para una vista previa pública la capacidad de usar Windows Autopilot para implementar Hybrid Azure AD Join, dirigida por el usuario a través de Internet mediante una VPN. Implementar esta solución requiere lo siguiente:
- Una versión compatible de Windows 10: Windows 10 1903 + Actualización acumulativa del 10 de diciembre (KB4530684, OS build 18362.535) o superior; Windows 10 1909 + Actualización acumulativa del 10 de diciembre (KB4530684, OS build 18363.535) o superior; Windows 10 2004 o posterior.
- La nueva "Omitir comprobación de conectividad de dominio" habilitada en el perfil de Hybrid Azure AD Join Autopilot.
- Una configuración de VPN que pueda ser implementada a través de Intune que permita al usuario establecer manualmente una conexión VPN desde la pantalla de inicio de sesión de Windows, o una que establezca automáticamente una conexión VPN según sea necesario.
Puede realizar una implementación de Autopilot de forma remota sin acceso físico a una máquina. Alternativamente, puede trabajar con proveedores que suministran máquinas que están listas para configurarse de forma remota. Puede comprar máquinas preparadas para Autopilot y hacer que sean enviadas a sus empleados. Ellos solo necesitarán una suscripción a Azure AD Premium (P1 o P2), Microsoft Intune, VMware Workspace ONE u otra solución MDM compatible con Autopilot, y una conexión a Internet para acceder a la infraestructura adecuada de Microsoft Azure AD.
Usar restricciones de software y AppLocker
Incluso si ha implementado máquinas anteriormente, aún puede bloquearlas de forma remota. Un método recomendado es utilizar políticas de restricción de software y AppLocker. En la era de Windows 10, AppLocker requiere Windows 10 Enterprise o Education, por lo que es posible que no sea viable para todas las organizaciones. Puede utilizar AppLocker CSP para configurar las políticas de AppLocker en cualquier edición de Windows 10 compatible con MDM. Solo puede administrar AppLocker con la Directiva de grupo en dispositivos que ejecutan Windows 10 Enterprise, Windows 10 Education y Windows Server 2016.
El objetivo de AppLocker es garantizar una capa adicional en una estrategia de defensa profunda. La NSA ha proporcionado orientación para evitar que los usuarios ejecuten código malicioso o software no autorizado sin saberlo o accidentalmente. El uso de AppLocker para la aplicación de la lista blanca de aplicaciones no detendrá todo el software malicioso. La NSA proporciona una guía adicional de AppLocker en su página de GitHub. Alternativamente, puede revisar la guía personalizada de AppLocker llamada Aaronlocker en GitHub.
Si su organización utiliza Windows 10 Professional en lugar de Enterprise o Education, soluciones de terceros como PolicyPak le permiten enviar restricciones a máquinas que están unidas al dominio o conectadas a través de Intune.
Guía de hardening de la estación de trabajo de Windows 10
El Centro Australiano de Seguridad Cibernética publicó recientemente su guía de hardening de la estación de trabajo para Windows 10 1909, que incluye recomendaciones para el hardening de aplicaciones. Por ejemplo, con Office 2013 y Office 2016/2019/Office 365, recomiendan que la configuración de directivas de grupo bloquee las macros de Office, bloquee las llamadas de Office a Flash, entre otros consejos. La guía de hardening va más allá del fortalecimiento del sistema operativo y recomienda la autenticación multifactor (MFA) para usuarios cuando realizan una acción privilegiada o acceden a repositorios de datos importantes o sensibles. Cada vez que añade MFA, se lo hace más difícil para los atacantes.
Recientemente, se han producido más vulnerabilidades a través del hardware. Estas vulnerabilidades de firmware y de la Interfaz de Firmware Extensible Unificada (UEFI, por sus siglas en inglés) necesitan mitigación y parches adicionales. Puede revisar los recursos proporcionados por la NSA.
Muchas veces las actualizaciones de firmware no son proporcionadas a través de la actualización de Microsoft. En su lugar, debe confiar en que la aplicación de un proveedor va a monitorear e instalar actualizaciones de firmware, por lo que es aconsejable estandarizar una configuración de hardware. Aunque pueda afectar el rendimiento, considere la posibilidad de deshabilitar el hyper-threading en los sistemas que manejan información confidencial. Si no ha implementado la lista blanca de aplicaciones, es posible que también desee deshabilitar el hyper-threading. Finalmente, si tiene sistemas Intel de novena generación o más antiguos, debe considerar deshabilitar el hyper-threading.
Recientemente, se ha encontrado y divulgado una nueva vulnerabilidad de BootHole de GRUB2. Si trabaja en una industria que necesita estar al tanto de los datos confidenciales, tómese el tiempo para revisar cómo mantener actualizado su firmware. Mantener estos sistemas actualizados es clave para proteger este tipo de datos.
Al trasladarse a una fuerza laboral distribuida permanente, revise qué herramientas posee y qué opciones tiene para controlar, parchar y confirmar la implementación. Es posible que en el futuro necesite más herramientas y opciones en su conjunto de herramientas de seguridad.
Susan Bradley, CSO (EE.UU.)