Cuenta de Entra con privilegios sincronizada con AD (híbrida)

Si en su organización se configuró la sincronización de directorios ―por ejemplo con “Microsoft Entra Connect” (anteriormente “Azure AD Connect”) o “Microsoft Entra Cloud Sync” (anteriormente “Azure AD Connect Cloud Sync”)― para sincronizar los usuarios (entre otras cosas) desde la instancia local de Active Directory con Entra ID en la nube, es posible que sienta la tentación de usar cuentas de AD híbridas para los roles con privilegios en Entra ID. Sin embargo, esto genera una oportunidad de acceso adicional para los atacantes, quienes pueden ampliar su control malintencionado hacia Entra ID luego de poner en riesgo Active Directory. Cuentan con diversas técnicas para suplantar la identidad de cualquier usuario de AD y, además, aplicar esta suplantación de identidad a Entra ID.

Por tal motivo, en el artículo “Protección de Microsoft 365 contra ataques locales”, Microsoft desaconseja esta práctica, ya que considera que “no debe haber ninguna cuenta local con privilegios administrativos en Microsoft 365” y recomienda que se asegure de que “ninguna cuenta local tenga privilegios elevados para Microsoft 365”. En Configuración de Microsoft Entra para aumentar la seguridad también se recomienda que las cuentas con privilegios sean identidades nativas en la nube.

En el artículo “Protección de Microsoft 365 contra ataques locales”, Microsoft recomienda “utilizar cuentas solo en la nube para Microsoft Entra ID y roles privilegiados de Microsoft 365”. Se refuerza aún más en “Procedimientos recomendados para los roles de Microsoft Entra”: “9. Uso de cuentas nativas en la nube para roles de Microsoft Entra. Evite el uso de cuentas sincronizadas locales para las asignaciones de roles de Microsoft Entra. Si la cuenta local se ve comprometida, también puede poner en peligro los recursos de Microsoft Entra”.

Las cuentas solo en la nube son cuentas que se crean en Entra ID y que no se sincronizan con Active Directory; es decir, son lo opuesto a las cuentas híbridas. Debe usar cuentas solo en la nube dedicadas para todas las asignaciones de roles de Entra con privilegios.

Las personas que tienen una cuenta de Entra con privilegios solo en la nube también suelen tener una cuenta de Active Directory. Deberían usarse contraseñas distintas para las cuentas de Active Directory y de Entra, con el fin de aislar por completo la cuenta de Entra en caso de que AD corra peligro y se revele la contraseña de AD. Conciencie acerca de la importancia de tener contraseñas distintas para que este aislamiento resulte eficaz.

Las prácticas recomendadas relativas a la seguridad también indican que es conveniente tener una cuenta independiente para los roles con privilegios, con el fin de mantener la cuenta con privilegios solo en la nube (con una contraseña distinta) separada de la cuenta de Entra normal, que puede ser una cuenta híbrida.

Después de crear cuentas solo en la nube y capacitar a los propietarios para que entiendan su propósito y cómo usarlas, sustituya todas las asignaciones de roles con privilegios de las cuentas híbridas que se identificaron en este indicador de exposición por las nuevas cuentas solo en la nube.

Nombre: Cuenta de Entra con privilegios sincronizada con AD (híbrida)

Nombre en clave: PRIVILEGED-ENTRA-ACCOUNT-SYNCHRONIZED-WITH-AD-HYBRID

Gravedad: High

Tipo: Microsoft Entra ID Indicator of Exposure