Seguridad

Día 10: Revisa la configuración de tu Azure !!!

  Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1Día 2Día 3Día 4 Día 5Día 6Día 7Día 8, Día 9?

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido… Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco 🙂 para mejorar la seguridad de vuestros tenant Azure.

Quieres acceder a algunas lecciones gratuitas del curso para verlo?
Aquí las tienes:
 https://buff.ly/3vEEQQz

Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 10

En esta ocasión, vamos a profundizar un poco más en el aspecto de como se vinculan los dipositivos en Azure, y que implicaciones de seguridad tiene. Para empezar, vamos a definir los tipos de estado de vinculación que tienen los devices ( teléfonos, tablets, pc, etc)

Esta aproximación es necesaria para trabajar con el famoso Zero Trust. Conocer el dispositivo es mucho más efectivo de… el pc está en la lan o en la wan. No es que sea más efectivo, sino que me permite más granularidad a la hora de controlar los permisos. Ejemplo sencillo, si estás en un pc corporativo te deja hacer EQUIS pero sino, te dejo hacer menos…

La manera más sencilla es tomar nuestro equipo unido al dominio y unirlo al dominio Azure. Aquí tenéis el procedimiento para hacerlo manualmente. Lo denominamos Hybrid ya que el equipo pertenece vinculado a ambos ámbitos, el cloud y el onpremise. Podemos usar una GPO para que todos nuestros dispositivos en el dominio local se registren en Azure, con la siguiente diretiva: Computer Configuration/Policies/Administrative Templates/Windows Components/Device Registration
Otra opción es Azure AD ( Microsoft Entra) join. Es unir el dispositivo directamente a Azure, sin pasar por el escenario empresarial del dominio on-premise. Suele ser utilizaro para empresas pure-cloud. Si, que no tienen On premise…
La tercera opción es tener el dispositivo Registered. Usado para escenarios en los que queremos controlar el dispositivo, pero quizás es del empleado ( BYOD)
En las dos opciones tipo join, es importante conocer el detalle de como se produce la autenticación y el proceso de registro a nivel de seguridad. Como se generan certificados que permitan la “confianza” entre entornos, y como se generan claves o tokens para ser usados en la auth.
Estos procesos son los que posteriormente intentaremos explotar cuando encontramos estos dispositivos, como es el caso de robar un PRT ( Primary Refresh Token) de un equipo joined y como transformarlo en un Access token que podamos usar en otro equipo… Estas cosas son las que vemos en profundidad en el curso… Seguimos…
Registered
Registered
Joined
Hybrid Joined
Ahora vamos con la configuración que queremos tratar en este post. esto era una pequeña introducción. Queremos comprobar aquí, como dejamos que nuestros usuarios registren dispositivos. Imagina un escenario en el que alguien compromete una cuenta, y envía correos desde fuera de la organización. Puede que exista un MFA para el uso de Outlook “fuera” de la empresa. Este usuario puede registrar en Azure ( gracias a las credenciales que tiene de Office… son las mismas !!! ) su equipo de trabajo y así trabajar desde un dispositivo joined, que quizás tenga una configuración más relajada para el MFA ( o más bien vamos a empezar a hablar bien, Acceso Condicional. Entiendes el “pollo” ?
Podemos ver la opción de unir o registrar. Como indica al tip, no implica a procesos automáticos como GPO y autopilot, ya que no trabajan con el contexto de usuario.
El siguiente setting, por supuesto, si permites unir dominios, habilitar el MFA para este tarea. 
Ten en cuenta otra cosa, estas configuraciones son independientes a que uses Intune o no.




Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.
Y en paralelo, ya sabes que tenemos dos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y otro Online en donde tienes 3 días en los que obligarte a atender a las clases, aunque en ambos cursos deberás hacer muchas prácticas, yo calculo que unos 10 días a raticos.
El curso “no va de esto”, algunas cosas sí. Estos consejos de momento son BÁSICOS, y el curso es de nivel ALTO, tenlo en cuenta.
Como novedad para este año, si haces los ejercicios propuestos para la certificación y son correctos ( se revisan) obtendrás un certificado real, en papel. De esta manera distinguimos entre diploma de asistencia y diploma de certificación.
Como siempre, gracias por leerme !!!

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.