Detecciones

Cuenta privilegiada de Entra con acceso a servicios de M365

MEDIUM

Idioma:

Descripción

Cuando utiliza una cuenta privilegiada para las actividades diarias, como leer correos electrónicos o documentos de Internet, aumenta el riesgo de poner esa cuenta en peligro. Con frecuencia, los agentes maliciosos obtienen acceso inicial a un entorno a través de documentos de phishing enviados por correo electrónico o ataques de descarga involuntaria en navegadores web. Si un atacante emplea estos métodos contra un administrador, esto podría tener graves consecuencias, lo que pondría la infraestructura de Entra, sus cuentas y recursos en peligro directo y total.

Este indicador de exposición comprueba si los planes de servicio (es decir, las licencias) asociados con las aplicaciones y servicios de Microsoft 365 están asignados a cuentas privilegiadas, cuando solo deberían ser necesarios para cuentas normales. Esta heurística de detección tiene como objetivo señalar cuándo los administradores tienen una sola cuenta en lugar de dos cuentas independientes (una cuenta estándar y una cuenta privilegiada). Este método de detección puede generar falsos positivos, como cuando un administrador ya tiene cuentas estándar y privilegiadas independientes con planes de servicio asignados a ambas cuentas. Puede ignorar el hallazgo si confirma un falso positivo después de la investigación a través de una de las opciones que se proporcionan. Sin embargo, incluso en esos casos, usar aplicaciones y servicios de Microsoft 365 desde la cuenta privilegiada aumenta la probabilidad de poner esa cuenta en peligro, lo cual no se recomienda.

El IoE verifica los siguientes servicios de Microsoft 365:

  • Exchange Online
  • Aplicaciones de Microsoft 365
  • Office para la Web
  • SharePoint Online
  • Microsoft Teams
  • Skype Empresarial Online

Este IoE considera distintas variantes de planes de servicio para los servicios de Microsoft 365, como empresas, educación, administración y otros.

Solución

Debe asegurarse de que los usuarios que se encargan de tareas administrativas en Entra ID tengan varios tipos de cuentas, normalmente dos: una cuenta estándar para uso diario y una cuenta privilegiada independiente exclusivamente para actividades administrativas. Debería utilizar una cuenta estándar sin privilegios para las operaciones diarias de riesgo en Internet o al abrir documentos que no sean confiables. Debería tener una cuenta privilegiada independiente con planes de servicio limitados, que incluyan solo los planes necesarios y obligatorios, para concentrarse en las tareas administrativas. Esto sigue las pautas de Microsoft sobre la independencia de cuentas para administradores, según la recomendación de Microsoft.

Para resumir, siga dos pasos de corrección:

  1. Cree una cuenta de administrador independiente para los usuarios con privilegios, como los administradores, que es el principal objetivo de este IoE. Asigne los privilegios a estas cuentas privilegiadas dedicadas en lugar de a sus cuentas normales. Utilice las cuentas privilegiadas solo para tareas administrativas. Esta es una práctica de ciberseguridad común que Microsoft recomienda y que las organizaciones nacionales de ciberseguridad y los estándares de cumplimiento exigen.
  2. Después de separar las cuentas, asegúrese de asignar planes de servicio limitados a las cuentas privilegiadas. Dado que estas cuentas solo deben realizar tareas administrativas, no necesitan acceso a las aplicaciones y servicios de Microsoft 365, lo que también ayuda a reducir su exposición a riesgos. Este paso hace que las cuentas privilegiadas cumplan con este IoE. En particular para las cuentas privilegiadas, deshabilite los planes de servicio para aplicaciones y servicios de Microsoft 365 que no sean necesarios para tareas administrativas. Conserve las licencias de seguridad útiles, como Entra ID P1/P2. Según la licencia de su organización, como Microsoft 365 E3/E5, deshabilite algunos planes de servicio, como Exchange Online, a la vez que mantiene otros (Entra ID P1/P2). Consulte la guía de Microsoft sobre el cambio de las asignaciones de licencia de un usuario o grupo en Microsoft Entra ID.

Mantener cuentas estándar y privilegiadas independientes presenta otros aspectos relacionados con la seguridad que también se deben atender:

  • Para la gestión de contraseñas, asegúrese de que los administradores establezcan contraseñas distintas para las cuentas estándar y privilegiadas. Tener la misma contraseña frustra el propósito de la separación de cuentas, ya que permite que un atacante que vulnera las credenciales de la cuenta estándar acceda a la cuenta privilegiada.
  • Asegúrese de que los usuarios no accedan a estas cuentas desde el mismo equipo. Para proteger las cuentas privilegiadas, proporcione un dispositivo seguro dedicado que esté reservado para las operaciones privilegiadas. Este concepto se conoce como “estación de trabajo de acceso con privilegios” (PAW) o “dispositivos de acceso con privilegios”. Consulte la documentación de Microsoft sobre la protección de dispositivos como parte de la historia de acceso con privilegios.

Detalles del indicador

Nombre: Cuenta privilegiada de Entra con acceso a servicios de M365

Nombre en clave: PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure