Eliminar derechos de administrador local con ManageEngine Application Control Plus

Las organizaciones son muy conscientes de la importancia de establecer el principio de privilegio mínimo (POLP –Principle Of Least Privilege-) en el panorama de seguridad actual. Sin embargo, siguen siendo reacios a aceptarlo. La vacilación se debe a la gran cantidad de complejidades que resulta de este concepto de seguridad.

Lograr el equilibrio adecuado entre seguridad y productividad se vuelve crucial, y las organizaciones a menudo necesitan hacer malabarismos entre múltiples herramientas externas para lograrlo. La función Endpoint Privilege Management de ManageEngine Application Control Plus garantiza que las empresas se enfrenten a cero fallas con POLP, ya que incluye todas las capacidades necesarias.

Hay dos aspectos que son clave para establecer el mínimo privilegio:

  • Fortalecer la seguridad

    Esta es la eliminación de los derechos de administrador innecesarios y el mantenimiento de las personas autorizadas como usuarios estándar a menos que sea absolutamente necesario.

  • Mantener la productividad

    Esto proporciona un medio alternativo para permitir que los usuarios estándar ejecuten tareas fuera de las normales sin elevar toda su cuenta o comprometer las credenciales de administrador.

Para obtener más información sobre los derechos de administrador antes de descubrir formas de minimizar su presencia, diríjase a la sección de consultas comunes que se muestra a continuación.

¿Cómo eliminar los derechos de administrador local usando Application Control Plus?

En Application Control Plus, la función Endpoint Privilege Management le permite eliminar de forma centralizada todas las cuentas de administrador que considere innecesarias y elevar solo los privilegios específicos de la aplicación cuando sea necesario. Se ahorra la molestia de usar múltiples herramientas para establecer POLP. A continuación, le mostramos cómo puede aprovechar la opción Eliminar derechos de administrador para eliminar una gran parte de su superficie de ataque:

  • Descubrir

    Identificar las brechas en su red es crucial. Con una gran cantidad de puntos finales, es prácticamente imposible que los administradores rastreen manualmente todas las cuentas de administrador locales creadas en ellos. La pestaña Resumen de derechos de administrador muestra la lista de cuentas de administrador local que corresponden a los equipos detectados. Al hacer clic en Recuento, se muestran los detalles de las cuentas.

  • Analizar

    Una vez que tengamos una cuenta detallada de la distribución de derechos, el administrador del sistema deberá analizarlos para calificarlos. Es mejor mantener la distribución de derechos lo más mínima posible.

  • Remediar

    Para minimizar los errores que los administradores pueden encontrar durante la implementación de políticas, la corrección se ha dividido en dos partes:

    1. Política de exclusión

      Las políticas para retener determinadas cuentas de administrador a nivel mundial se pueden crear desde la pestaña Política de exclusión. Estas cuentas de administrador se conservan en todas las computadoras en las que están presentes. El administrador del sistema puede optar por retener solo su cuenta, la cuenta de administrador integrada o cualquier otra cuenta, según sus necesidades.

      Dashboard para Eliminar derechos de administrador - Política de exclusión

    2. Eliminar administradores locales

      Una vez finalizada la política de exclusión, el administrador del sistema puede eliminar las cuentas innecesarias restantes de forma manual o automática. Al marcar la casilla Habilitar eliminación automática, se eliminarán inmediatamente todas las demás cuentas de administrador de los grupos de computadoras seleccionados.

      Para eliminar manualmente estas cuentas, vuelva a la pestaña Resumen de derechos de administrador, seleccione las computadoras que desea modificar y haga clic en el botón Eliminar administradores locales. Se eliminarán todas las cuentas de administrador local en las computadoras especificadas, excepto las que se conservan mediante la política de exclusión, si corresponde.

      Dashboard para Eliminar derechos de administrador - Eliminar administradores locales

Una vez que se eliminan todas las cuentas de administrador local innecesarias, el administrador del sistema puede proceder a crear una lista de aplicaciones privilegiadas. Luego, esta lista puede asociarse con grupos personalizados de dispositivos de usuarios que luego permitirán a usuarios seleccionados ejecutar estas aplicaciones como administradores, incluso si solo se les otorgan privilegios de usuario estándar.

Beneficios de eliminar los derechos de administrador local

Administrar los derechos de administrador local eliminando cuentas innecesarias de las computadoras puede ser lo mejor para la seguridad de su red. Este es el por qué:

  • Los sitios web de phishing y los correos electrónicos dirigidos a los usuarios son abundantes. Los usuarios suelen ser víctimas de estos ataques y acaban instalando virus accidentalmente en sus propios dispositivos. Al eliminar los privilegios de administrador local, las organizaciones pueden reducir estos riesgos de malware, ya que los usuarios estándar no tienen el privilegio de instalar la mayoría de software o programas maliciosos.
  • Los atacantes que de alguna manera obtienen acceso a una máquina con una cuenta de administrador local pueden usarla como punto de partida para moverse lateralmente a través del dominio, haciendo que toda la red sea vulnerable. Esto se puede evitar eliminando las cuentas privilegiadas que no son necesarias.
  • Los usuarios más bajos en la jerarquía pueden carecer de habilidades técnicas y pueden causar estragos en las configuraciones y ajustes de su máquina. Las configuraciones incorrectas de los dispositivos pueden afectar el funcionamiento normal y también exponerlos a vulnerabilidades fácilmente explotables. Eliminar los derechos de administrador es una forma eficaz de evitarlo.
  • La mayoría de las vulnerabilidades que surgen en las aplicaciones necesitan privilegios de nivel de administrador para ser explotadas. Según un estudio, ejecutar Windows con una cuenta sin derechos administrativos mitiga el 98 por ciento de las vulnerabilidades críticas que afectan al sistema operativo Windows.

Otras características estelares de esta solución incluyen la lista blanca de aplicaciones, la lista negra de aplicaciones, el regulador de flexibilidad, y el acceso justo a tiempo. Estos fueron desarrollados para satisfacer las necesidades de seguridad de sus aplicaciones. Pruébelos todos en una versión de prueba gratuita de 30 días de Application Control Plus.

Preguntas frecuentes

¿Qué son las cuentas de administrador local?

Las cuentas de usuario en las computadoras se pueden clasificar como cuentas de usuario estándar y cuentas de usuario de administrador local. Las cuentas de administrador local permiten a los usuarios realizar actividades de administración en sus computadoras locales, mientras que las cuentas de usuario estándar otorgan privilegios de administración mínimos o nulos.

Estas son algunas de las capacidades que poseen las cuentas de administrador local:

  • Instalar y desinstalar cualquier software
  • Agregar o quitar dispositivos como impresoras
  • Crear, eliminar o modificar archivos, carpetas y otras configuraciones de la computadora
  • Crear cuentas para otros usuarios en la computadora

 

¿Qué son las cuentas de administrador integradas?

Las máquinas con Windows vienen con cuentas de administrador integradas. Se pueden utilizar para configurar inicialmente otras cuentas de administrador local y de usuario estándar. Estas cuentas también tienen privilegios similares a la cuenta de administrador local. Sin embargo, a diferencia de las cuentas de administrador local, nunca se pueden eliminar de la máquina, solo deshabilitarlas.

 

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas