Detecciones

Número elevado de administradores

HIGH

Idioma:

Descripción

Por definición, los administradores tienen privilegios elevados. Cuando su número es elevado, pueden representar riesgos de seguridad, ya que esto aumenta la superficie de ataque al haber una mayor probabilidad de que un administrador se vea vulnerado. Esta también es una señal de que no se respeta el principio de privilegios mínimos.

Las personas asignadas a estos roles deben examinarse, capacitarse y estar justificadas de manera cuidadosa.

De manera predeterminada, las cuentas y entidades de servicio deshabilitadas se ignoran (no se cuentan, aunque el parámetro se puede cambiar) porque los atacantes no pueden usarlas.

Solución

Para limitar los riesgos, emplee el principio de privilegios mínimos cuando asigne roles de administrador:

  • Reduzca la cantidad de cuentas que hay asignadas al rol en particular.
  • Si estas cuentas necesitan privilegios, considere la posibilidad de restringirlas a un rol más específico que tenga solo los permisos necesarios. Microsoft Entra ID ofrece diversos roles administrativos, además de “Administrador global”, lo que permite conceder únicamente los permisos necesarios. Por ejemplo, una cuenta de soporte técnico solo necesita el rol “Administrador del departamento de soporte técnico” para restablecer las contraseñas de los usuarios, en lugar de “Administrador global”.
  • Reduzca el ámbito de asignación. Microsoft Entra ID le permite asignar un rol a un ámbito en particular; lo ideal sería asignarlo al ámbito más pequeño. Por ejemplo, si el mismo técnico de soporte está a cargo de la región EMEA únicamente, debe asignarle el rol solo en la unidad administrativa “EMEA”.

Si esto no es posible debido al gran tamaño de su organización de TI, considere la posibilidad de aumentar el número máximo de cuentas permitidas en los parámetros.

En particular, Microsoft recomienda limitar el número de administradores globales a menos de 5.

Detalles del indicador

Nombre: Número elevado de administradores

Nombre en clave: HIGH-NUMBER-OF-ADMINISTRATORS

Gravedad: High

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: