Consejos prácticos para monitorizar a usuarios administradores

Consejos prácticos para monitorizar a usuarios administradores

Lorena Fernández

¿Te has puesto a pensar en la posibilidad de que los usuarios con permisos de administrador deben ser controlados? Pues, no es una posibilidad sino un hecho. Así como debemos monitorizar a los usuarios «normales», también lo tenemos que hacer con los administradores. Los mismos cuentan con múltiples permisos, incluso acceso y manipulación a conjuntos de datos, los cuales generalmente contienen información sensible. Esta guía te demostrará cuáles son las mejores prácticas para que puedas tener visibilidad completa de estos super usuarios y protegerte de potenciales ataques «insider».

Los usuarios que tengan permiso de administrador tienen el poder. Tienen acceso total a todos los recursos de la red y sirven de apoyo para la resolución de múltiples problemas con la red. Desafortunadamente, este perfil de usuario no es bien visto por muchas personas dentro de una organización. Incluso, existe un cierto prejuicio en relación a las personas que trabajan en el área de TI en general.

Es normal escuchar o leer que estos espían a los colaboradores, que en cualquier momento van a instalar virus en sus ordenadores o peor aún, piensan que los problemas que pueda haber en la red ocurren porque ellos tienen la intención de que así sea. ¿Tanta desconfianza puede haber hacia aquellas personas que trabajan en TI, incluyendo a aquellos que cuentan con permisos de administrador? No es algo imposible.

Hoy en RedesZone os vamos a proponer algunas acciones para tener un mayor control de los usuarios que tienen permisos de administrador. El objetivo principal de esto es que los mismos estén en manos de quienes realmente lo necesitan. Así también, esto ayudará a mejorar la reputación de este tipo de usuarios en general. A continuación, destacaremos las más importantes.

Autenticación Multi-Factor

Este método de autenticación es clave para que los usuarios tengan el acceso a la red con los recursos y privilegios que necesitan. Así también, es un aliado a la hora de que la gestión de los recursos y privilegios de acceso estén cumpliendo las regulaciones internas, locales, nacionales e internacionales. Nunca debemos dejar de lado al aspecto legal.

Las cuentas de administrador como los servicios de Office 365 no requieren de licencias ni permisos adicionales. Por lo que, en una red pequeña, no acostumbra a ser necesaria la existencia de un único usuario administrador, sino que los roles de administrador pueden ser asignados a múltiples usuarios, es decir, a todos los que corresponden a esa pequeña organización. En suma, se puede agregar un nivel más de seguridad utilizando servicios de Autenticación Multi-Factor como el autenticador de Microsoft o el de Google.

Si aún no lo conoces y te gustaría probar el autenticador de Google, puedes acceder al atajo más abajo y probarlo cuanto antes:

Google Authenticator
Google Authenticator
Developer: Google LLC
Price: Free

Ahora bien, si los requerimientos de seguridad y cumplimiento de normas así lo requieren, se puede contar con un único usuario administrador. A su vez, para mayor protección, se puede implementar este método de autenticación para garantizar el acceso de dicho administrador no sólo en uno sino en varios dispositivos.

Autenticación Multi-Factor en Microsoft

Si la red que administras está gobernada por aplicaciones y servicios de Microsoft, debes saber que el uso de la Autenticación Multi-Factor ya es obligatoria para todas las cuentas que vienen de parte de las organizaciones que son sus partners (socios). Sin duda, este es un punto que debes consultar a la hora de contratar los servicios de una compañía que acredite ser partner de Microsoft.

Por otro lado, las configuraciones de seguridad de varios roles en las cuentas de usuario en Azure Active Directory se han actualizado y la novedad es que, deben utilizar este método de autenticación. Sin embargo, esto se aplica a los siguientes roles de Administrador:

  • Global
  • SharePoint
  • Exchange
  • Acceso condicional
  • De seguridad
  • HelpDesk
  • De facturación
  • De usuarios
  • Autenticación

Por tanto, se bloquearon las autenticaciones de tipo Legacy. Es decir, aquellas que vienen de parte de clientes que no utilizan ningún método de autenticación moderno, como los clientes Office 2010 para atrás. Así también, implica a aquellos clientes que se valen de protocolos antiguos para comunicarse, como los de correo electrónico (SMTP, POP3 e IMAP).

Por desgracia, aunque estas autenticaciones Legacy estén con el añadido de Autenticación Multi-Factor, estos clientes «obsoletos» son vulnerables a ataques. Desde el momento en que el cibercriminal logre vulnerar alguno de los protocolos antiguos o aplicaciones Legacy, el añadido del Multi-Factor ya no sirve para nada. Es como si el mismo no hubiese existido desde un principio.

Minimizar el riesgo de compartir accesos

Cualquier acceso con permisos de administrador o bien, permisos de administrador global, debe ser monitorizado con cercanía. Por tanto, su alcance y sus capacidades deben ajustarse estrictamente al alcance que se había definido en un principio. Sin embargo, un determinado usuario administrador no debería tener limitaciones exageradas en relación a los recursos que puede consumir. Además de las informaciones y procesos a las cuales puede tener acceso.

Una buena práctica para los usuarios administradores es la utilización de Estaciones de Trabajo con Acceso Privilegiado. Los mismos proveen un sistema operativo dedicado a la realización de tareas de alto nivel de sensibilidad. En consecuencia, cuenta con un alto nivel de protección ante ciberataques provenientes de Internet y amenazas de seguridad en general. La ventaja de utilizar este tipo de estaciones de trabajo es que permite una eficaz separación de las tareas muy críticas y sensibles de los dispositivos tradicionales.

Por otro lado, es altamente recomendable limitar la cantidad de usuarios con permisos de administrador. El límite de cantidad que se recomienda crear es de 5 cuentas, dependiendo del tamaño y requerimientos de la red. Por tanto, se puede considerar la posibilidad de crear cuentas con permisos de subadministrador, los cuales pueden ser distribuidos por áreas clave en la organización. De esta manera, cada usuario sub-administrador podrá tener control completo únicamente sobre lo que corresponde a su área.

Establecer cuentas de emergencia

Otra medida que se recomienda aplicar es la creación de cuentas de emergencia en el caso de que se utilicen servicios de Azure (Azure Active Directory) y/u Office 365. Estas cuentas no tienen que tener configurada la Autenticación Multi-Factor. Si algo ocurre con las cuentas «oficiales» que sí tienen este método de autenticación, entonces podrás recuperar el acceso a dichos servicios mediante esa cuenta de emergencia.

Por otro lado, puedes crear una cuenta de administrador que no tenga Autenticación Multi-Factor y que además, esté excluido de cualquier política. La contraseña que se le configure debe ser bastante larga. Para poder monitorizar y tener visibilidad de si esa cuenta fue utilizada, compartimos mediante este enlace un excelente tutorial en YouTube que te demostrará paso a paso cómo debes hacerlo.

El vídeo que hemos compartido está en inglés, pero lo hemos visto en su totalidad y es posible optar por la traducción automática de los subtítulos a Español si lo necesitas. Igualmente, este paso a paso es bastante claro y el prerrequisito principal es que tengas una cuenta Azure Active Directory Premium. Si no lo tienes, es posible acceder a una prueba gratuita por 30 días y de esta manera, lograrás probar la monitorización de las cuentas de emergencia.