Contáctenos

Cómo Implementar la Autenticación Resistente al Phishing en Entra ID

Como Implementar la Autenticación Resistente al Phishing en Entra ID con Entra CBA y FIDO2 Passkeys
24 Feb 2024

Cómo implementar autenticación resistente al phishing en Entra ID (Azure AD)

Para implementar de manera efectiva la autenticación antiphishing usando Entra dentro de su organización, es crucial abordar cada aspecto del ciclo de vida del usuario. Esto incluye procesos como: crear una cuenta de usuario sin contraseña, proporcionar claves de hardware (como YubiKeys), comenzar la integración de usuarios y PC, administrar la autenticación de red, implementar condicional acceso y permitir la entrada no phishing a recursos fuera de Entra ID (como sistemas Linux). Reconocemos la complejidad de esta tarea y nos comprometemos a simplificarla explorando meticulosamente cada componente.

Cómo crear un usuario de entrada sin contraseña

Microsoft aún no ha implementado la opción para configurar cuentas sin contraseña, lo que puede resultar un poco frustrante. La solución más práctica por ahora implica crear cuentas con contraseñas excepcionalmente largas que no se almacenan, junto con la implementación de autenticación antiphishing a través de políticas de acceso condicional. Para ayudar con esto, hemos elaborado un tutorial completo sobre cómo crear usuarios con contraseñas aleatorias, incluidos scripts de PowerShell para la creación de cuentas.

Cómo enviar YubiKeys a todo el mundo

La entrega de claves de hardware como YubiKeys para una autenticación no phishing plantea desafíos importantes para organizaciones de cualquier tamaño. Para las grandes organizaciones, la distribución global implica cuestiones complejas, como el cumplimiento aduanero y la necesidad de un equipo dedicado para gestionar y enviar claves, lo que aumenta la complejidad. Nuestra amplia experiencia en la distribución global de claves es un activo crucial en este contexto. EZCMS simplifica estos desafíos con su software de emisión de boletos integrado, ayudando a su departamento de TI a administrar y rastrear eficientemente el inventario clave. Además, nuestro servicio de logística especializado YubiKey, respaldado por asociaciones globales, garantiza una entrega internacional de llaves sin problemas. Descubra más sobre nuestro software de emisión de entradas y nuestras asociaciones de distribución global de YubiKey.

Por el contrario, las organizaciones más pequeñas enfrentan distintos obstáculos, como limitaciones de los principales proveedores que tal vez no atiendan a las empresas más pequeñas y una falta de capacidades para distribuir o imprimir tarjetas inteligentes. Esto puede dificultar bastante el cambio a un sistema resistente al phishing. En Keytos, ampliamos nuestros servicios a empresas de todos los tamaños, brindando soporte que va desde la impresión de tarjetas inteligentes hasta la adquisición y distribución de claves de hardware, garantizando una transición sin esfuerzo a un marco resistente al phishing.

Implementación de credenciales no phishing sin TAP ni contraseña

El principal desafío aquí es familiarizar a los usuarios con el método de autenticación antiphishing seleccionado y al mismo tiempo proteger al personal de TI de tácticas similares a las observadas en el incidente de restablecimiento de contraseña de MGM, donde los atacantes se hicieron pasar por un usuario para obtener una contraseña temporal.

Si bien Microsoft sugiere utilizar un Pase de acceso temporal (TAP), un examen más profundo muestra que los TAP sirven esencialmente como contraseñas de un solo uso y son susceptibles a ataques similares, convirtiéndose potencialmente en el eslabón más débil de su seguridad. Hemos compilado una guía completa sobre la incorporación de usuarios sin TAP, cuya consulta se recomienda encarecidamente. El enfoque ideal es un método de incorporación de autoservicio, como la verificación de identidad gubernamental proporcionada por EZCMS (consulte el vídeo adjunto para obtener más detalles al respecto).

Cómo utilizar Autopilot para la configuración de PC

Una vez que se haya verificado la identidad del usuario, sugerimos dos opciones: configurar un quiosco dedicado para que los usuarios accedan a la aplicación EZCMS de forma independiente sin necesidad de sus computadoras personales, o permitir que los usuarios remotos se registren usando sus propios dispositivos. Afortunadamente, EZCMS está equipado con pasos de verificación adicionales que ayudan a abordar cualquier problema de seguridad que surja del uso de dispositivos personales no regulados.

Después de la verificación de identidad, el siguiente paso es que los usuarios configuren sus computadoras de trabajo. En particular, Windows 11 facilita este proceso al admitir el uso de una clave de seguridad durante la configuración inicial. Esta funcionalidad permite a los usuarios iniciar sesión en sus computadoras por primera vez usando su clave FIDO2, eliminando la necesidad de una contraseña o TAP.

Cómo configurar Intune SCEP para usar certificados para autenticación VPN y Wi-Fi

Utilizar Autopilot intrínsecamente significa que también está utilizando Intune. Para la autenticación VPN y Wi-Fi, el enfoque preferido es implementar certificados X.509, administrados a través de Intune SCEP. Tiene la opción de establecer y supervisar manualmente su servidor ADCS CA y SCEP; sin embargo, las soluciones Intune PKI de terceros como EZCA pueden simplificar enormemente este procedimiento. Estos servicios ayudan a configurar rápidamente una CA respaldada por HSM y ayudan a configurar de manera eficiente un perfil de Wi-Fi basado en certificado.

Cómo implementar el acceso condicional

Después de implementar la autenticación no phishing en su organización, es esencial asegurarse de que estos métodos se utilicen exclusivamente para los inicios de sesión. Entra ID de Microsoft, en particular su función de acceso condicional, sirve como un mecanismo eficaz para este propósito. Tener una licencia Premium P1 o superior otorga acceso al acceso condicional de Entra ID.

Para activar el acceso condicional, comience iniciando sesión en Azure Portal como administrador global. Luego navegue hasta Entra ID y siga la ruta Seguridad -> Políticas de acceso condicional -> Nueva política. Comience por elaborar una política, pero primero aplíquela a un grupo limitado de usuarios de prueba para evitar restringir inadvertidamente el acceso para todos. Elija las aplicaciones específicas para la aplicación de políticas. En el segmento Condiciones, puede optar por excluir las plataformas de dispositivos incompatibles con su método de autenticación, aunque, en general, es recomendable aplicar esto en todas las plataformas para eliminar cualquier brecha de seguridad que pueda explotarse. En la sección Conceder de los controles de acceso, ajuste la configuración a “Require Authentication Strength” para MFA sin contraseña. También es beneficioso incluir los requisitos del dispositivo en su póliza.

Para obtener información más completa sobre la seguridad de los dispositivos, consulte nuestro seminario web sobre el tema:

Cómo establecer la autenticación de Entra ID en Linux

Proteger las cuentas corporativas para una autenticación antiphishing es un primer paso vital, pero muchas organizaciones pasan por alto un componente crítico en su infraestructura: Linux. Tradicionalmente, Linux se ha basado en cuentas locales que no están integradas con Entra ID. Si bien este enfoque fue adecuado para las primeras operaciones SSH, no cumple con las demandas operativas y de seguridad de los entornos de nube modernos. Administrar credenciales y usuarios a tal escala es, por decirlo suavemente, una tarea formidable. Algunas organizaciones intentan incorporar sus sistemas Linux con Entra: un enfoque funcional, pero no el más seguro, que a menudo está sujeto a interrupciones causadas por problemas de DNS. Organizaciones importantes como Google, Facebook, Uber y Netflix han optado por utilizar certificados SSH .

Los certificados SSH son herramientas criptográficas que otorgan acceso temporal a sistemas Linux. El principal obstáculo radica en su emisión: la generación manual es posible, pero Linux carece de un sistema automatizado para verificar los niveles de acceso de los usuarios antes de otorgar permisos. Estas grandes organizaciones han desarrollado sistemas internos para confirmar los permisos de los usuarios y crear certificados SSH. Si bien estas soluciones son patentadas, servicios como EZSSH ofrecen una funcionalidad similar. EZSSH autentica a los usuarios a través de Entra ID, cumple con sus políticas de acceso condicional y verifica las ACL de políticas híbridas o RBAC de Azure para detectar puntos SSH que no sean de Azure. Luego genera un certificado SSH de corta duración para el acceso del usuario, que caduca después de la sesión, evitando así un posible uso indebido.

Reflexiones finales sobre la implementación de métodos de autenticación resistentes al phishing en su organización

Esta guía demuestra que, si bien la transición a un marco totalmente antiphishing en Entra implica varios componentes, ciertamente se puede lograr con una planificación detallada. Una vez que cambie a la autenticación antiphishing, es probable que los antiguos métodos convencionales le resulten menos atractivos. Hemos estado operando bajo un modelo que no permite phishing durante más de tres años y los resultados han sido excepcionales. Para saber cómo su organización puede implementar de forma segura y rápida la autenticación antiphishing, no dude en programar una consulta GRATUITA con uno de nuestros ex expertos en identidad de Microsoft.

También te Puede Interesar