Detecciones

MFA no obligatoria para un rol privilegiado

HIGH

Idioma:

Descripción

La autenticación multifactor (MFA), anteriormente conocida como autenticación en dos fases (2FA), ofrece a las cuentas protección sólida contra las vulnerabilidades asociadas con contraseñas débiles o vulneradas. En cumplimiento de las prácticas recomendadas y las normas del sector, lo aconsejable es habilitar la MFA, en especial para las cuentas privilegiadas, que son los principales objetivos de los atacantes, y cualquier vulneración podría tener enormes consecuencias.

Cuando un atacante obtiene por cualquier medio la contraseña de un usuario, la MFA solicita un factor o paso adicional (como un código de una aplicación móvil que vence tras un plazo determinado, un token físico, un rasgo biométrico, etc.) para bloquear la autenticación.

Este indicador de exposición le alerta cuando un rol privilegiado no exige la MFA, lo que afecta a los usuarios privilegiados a quienes se les otorgó ese rol privilegiado específico. Con Microsoft Entra ID, puede habilitar la MFA a través de diferentes métodos:

  • Valores predeterminados de seguridad: opciones de seguridad preconfiguradas que incluyen el uso obligatorio de la autenticación multifactor para administradores. Al habilitar esta opción, se activan simultáneamente varias funcionalidades de seguridad según lo recomendado por Microsoft.

  • Acceso condicional: las políticas especifican eventos o aplicaciones en los que se necesita la MFA. Estas políticas pueden permitir los inicios de sesión normales con MFA para los administradores. Nota: Esta funcionalidad requiere una licencia de Microsoft Entra ID P1 o superior y no viene con Microsoft Entra ID gratis. Se recomienda especialmente para organizaciones consolidadas con necesidades de seguridad complejas que buscan definir con precisión sus criterios de autenticación. Este indicador de exposición busca directivas de acceso condicional con la siguiente configuración:

    • La opción “Usuarios” establecida para incluir “Todos los usuarios” o los roles privilegiados.
    • La opción “Recursos de destino” establecida en “Todos los recursos”.
    • La opción “Condiciones > Aplicaciones cliente” establecida en “No” (“No configurado”). Como alternativa, establezca la opción en “Sí” y seleccione las cuatro opciones: “Exploradores”, “Aplicaciones móviles y clientes de escritorio”, “Clientes de Exchange ActiveSync” y “Otros clientes”.
    • La opción “Conceder” establecida en “Requerir autenticación multifactor” o en “Requerir intensidad de autenticación” con uno de los siguientes valores: “Autenticación multifactor”, “MFA sin contraseña” o “MFA resistente al phishing”.
    • Por último, establezca “Habilitar directiva” en “Activado” (no en “Desactivado” ni “Solo informe”).

  • MFA por usuario: la MFA por usuario es un servicio heredado que Microsoft recomienda reemplazar por los valores predeterminados de seguridad o las directivas de acceso condicional más recientes. Por lo tanto, debido a la falta de compatibilidad en Microsoft Graph API, este indicador de exposición no puede determinar si los usuarios con un rol privilegiado usan y exigen la MFA por usuario heredada.

Los valores predeterminados de seguridad y el acceso condicional son mutuamente excluyentes; no pueden usarse a la vez. Tenga en cuenta que las directivas de acceso condicional solo pueden dirigirse a roles integrados de Entra, de modo que se excluyen los roles específicos de la unidad administrativa y los roles personalizados.

Solución

Todos los roles privilegiados de Entra informados deben exigir la MFA para aumentar la protección de sus usuarios asignados frente a ataques de credenciales.

En el caso de Microsoft Entra ID, Microsoft ofrece una plantilla de directiva de acceso condicional denominada Require MFA for administrators. Esta plantilla cumple con todos los criterios que exige este indicador de exposición. Esta directiva solicita a los usuarios que registren un método de MFA al autenticarse por primera vez tras la aplicación de la MFA. Tenable recomienda que siga la documentación de Microsoft “Planeamiento de la implementación del acceso condicional” para garantizar una planificación y una gestión de cambios adecuadas, así como para mitigar el riesgo de quedar bloqueado. En particular, si usa soluciones de identidades híbridas, como Microsoft Entra Connect o Microsoft Entra Cloud Sync, debe excluir su cuenta de servicio de la directiva, ya que no puede cumplir con la directiva de acceso condicional. Use la acción “Excluir usuarios” y excluya las cuentas de servicio directamente o marque la opción “Roles de directorio” y seleccione el rol “Cuentas de sincronización de directorios”.

Como alternativa, los valores predeterminados de seguridad pueden cumplir este objetivo al exigir la autenticación multifactor para los administradores. Esto incluye la activación de varias funcionalidades de seguridad distintas recomendadas por Microsoft. Evalúe minuciosamente de antemano si alguno de estos cambios podría provocar regresiones o efectos secundarios no deseados en su entorno.

Detalles del indicador

Nombre: MFA no obligatoria para un rol privilegiado

Nombre en clave: MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

Gravedad: High

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: