Protección de cuentas privilegiadas con estaciones de trabajo de acceso seguro (SAW)

Protección de cuentas privilegiadas con estaciones de trabajo de acceso seguro (SAW)

08/11/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la implementación de estaciones de trabajo de acceso seguro (SAW), también conocidas como estaciones de trabajo de acceso privilegiado (PAW), para proteger cuentas y tareas privilegiadas. Las SAW están diseñadas para crear un entorno informático aislado y altamente seguro, minimizando el riesgo de comprometer cuentas con privilegios elevados, que son los objetivos más valiosos para los atacantes [1].

Introducción

Comprometer credenciales privilegiadas es uno de los vectores de ataque más devastadores. El enfoque tradicional de utilizar la misma estación de trabajo para tareas administrativas y de productividad (correo electrónico, navegación) expone las credenciales privilegiadas a riesgos inaceptables. Los SAW resuelven este problema al ser computadoras dedicadas y reforzadas, utilizadas exclusivamente para tareas administrativas, siguiendo el Principio de fuente limpia: un sistema de mayor seguridad nunca debe administrarse desde un sistema de menor seguridad [2].

¿Por qué son cruciales las SAW?

  • Aislamiento de credenciales: evita que las credenciales privilegiadas queden expuestas a entornos menos seguros.
  • Reducción de la superficie de ataque: Minimiza los vectores de ataque disponibles en la estación de trabajo administrativa.
  • Control estricto: permite la aplicación de políticas de seguridad estrictas, como el control de aplicaciones, que no serían prácticas en estaciones de trabajo de uso general.

Requisitos previos

  1. Licencia: Windows 10/11 Enterprise. Herramientas como Microsoft Intune son muy recomendables para la gestión.
  2. Acceso Administrativo: Privilegios para configurar políticas de seguridad (GPO o Intune).
  3. Hardware dedicado o entorno virtualizado seguro: Computadoras físicas o VM aisladas.

Paso a paso: Implementación de una SAW

1. Definición del modelo de niveles

El modelo de acceso privilegiado de Microsoft clasifica los activos en niveles. SAW es esencial para proteger el acceso a los niveles más altos:

  • Nivel 0: Control directo de la infraestructura (Ej: controladores de dominio, administradores globales de Azure AD).
  • Nivel 1: Servidores y aplicaciones de misión crítica.
  • Nivel 2: Estaciones de trabajo de usuario final.

Una SAW de nivel 0 solo debe usarse para administrar recursos de nivel 0.

2. Aprovisionamiento y endurecimiento de SIERRA

  1. Instalación limpia: instale una copia limpia de Windows 10/11 Enterprise. No instale software innecesario.
  2. Actualizaciones: aplique los últimos parches de seguridad.
  3. Firewall de Windows: configure el firewall para bloquear todo el tráfico entrante de forma predeterminada y solo permita el tráfico saliente estrictamente necesario para tareas administrativas (por ejemplo, RDP a servidores específicos, acceso a portales en la nube).
  4. Deshabilitar servicios innecesarios: use PowerShell para deshabilitar servicios no esenciales. powershell # Ejemplo para desactivar el servicio de cola de impresión Set-Service -Nombre "Spooler" -StartupType Deshabilitado Detener-servicio -Nombre "Spooler"
  5. Aplicar líneas de base de seguridad: use líneas de base de seguridad de Microsoft o CIS (Centro para la seguridad de Internet) para aplicar cientos de configuraciones de seguridad a la vez a través de GPO o Intune.

3. Implementación del control de aplicaciones

Este es uno de los controles más importantes de una SAW. Sólo deberían poder ejecutarse las aplicaciones permitidas explícitamente.

  • Control de aplicaciones de Windows Defender (WDAC): Es la tecnología preferida y más segura. WDAC crea políticas de integridad de código que se aplican a nivel del kernel, evitando que se ejecute cualquier software o script no autorizado. La configuración es más compleja, pero ofrece el mayor nivel de seguridad [3].
  • AppLocker: más fácil de administrar, pero se considera una tecnología heredada con omisiones conocidas. Se puede utilizar como capa complementaria de WDAC para escenarios específicos.

Implementación básica con AppLocker (vía GPO):

  1. Navegue hasta Configuración de la computadora > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de control de aplicaciones > AppLocker.
  2. Cree Reglas predeterminadas para permitir la ejecución de archivos.Windows aúlla.
  3. Cree reglas para permitir solo ejecutables, scripts e instaladores de herramientas administrativas necesarias (por ejemplo, mmc.exe, Conexión a escritorio remoto).
  4. Configure el servicio Application Identity para que se inicie automáticamente.

4. Restringir el acceso a Internet y a los recursos locales

  • Aislamiento de red: el SAW debe estar en una VLAN o segmento de red aislado, con estrictas reglas de firewall que controlen el tráfico entrante y saliente.
  • Bloqueo de navegación: el acceso a Internet debe bloquearse o, como mínimo, restringirse a una lista muy pequeña de sitios confiables (por ejemplo, portal.azure.com, portal.office.com) a través de un servidor proxy o firewall.
  • Bloqueo de medios extraíbles: utilice políticas de dispositivos para bloquear el uso de unidades USB y otros tipos de almacenamiento extraíbles.
  • Separación de cuentas: el usuario SAW debe ser un usuario estándar en la máquina, no un administrador local. La cuenta utilizada para iniciar sesión en SAW no debe ser la misma cuenta con privilegios de dominio o de nube. La elevación de privilegios solo debe ocurrir cuando se conecta al recurso de destino (por ejemplo, usando runas o ingresando credenciales en la herramienta de administración).

5. Gestión y mantenimiento de SIERRA

  • Actualizaciones: SAW debe tener un proceso riguroso para recibir y aplicar parches de seguridad.
  • Monitoreo: SAW debe ser monitoreado de cerca por su SIEM (como Microsoft Sentinel) y la solución EDR (Microsoft Defender for Endpoint). Cualquier actividad anómala debería generar una alerta de alta prioridad.

Ejemplo de uso diario

  1. El administrador inicia sesión en su estación de trabajo de usuario (Nivel 2) para tareas de productividad (correo electrónico, Teams).
  2. Cuando necesita realizar una tarea administrativa (por ejemplo, administrar un controlador de dominio), se traslada físicamente a su SAW (Nivel 0) o se conecta a él mediante un método seguro.
  3. En SAW, inicia sesión con su cuenta de usuario SAW estándar.
  4. Abre la herramienta administrativa (por ejemplo: Usuarios y computadoras de Active Directory). La herramienta se ejecuta y, cuando se conecta al controlador de dominio, utiliza sus credenciales de administrador de dominio (Nivel 0).
  5. Después de completar la tarea, cierra la herramienta y cierra sesión en SAW. Las credenciales de nivel 0 nunca se escribieron ni se expusieron fuera de SAW.

Conclusión

La implementación de estaciones de trabajo de acceso seguro es una medida de defensa en profundidad esencial para proteger las "llaves del reino" de una organización. Al aislar las tareas administrativas en un entorno reforzado y estrictamente controlado, las SAW rompen la cadena de ataques que los adversarios utilizan para escalar privilegios y moverse lateralmente. Si bien requiere planificación y disciplina, invertir en la creación de un entorno de gestión seguro es uno de los pasos más importantes que una organización puede tomar para protegerse contra ataques cibernéticos avanzados.

Referencias

[1]Microsoft. (2023). Descripción general sobre cómo proteger el acceso privilegiado. [2]Microsoft. (2023). Principio de fuente limpia. [3]Microsoft. (2023). Control de aplicaciones de Windows Defender (WDAC). [4]Microsoft. (2023). Modelo de acceso privilegiado.