Configuración de Microsoft Intune para Confianza cero: dispositivos seguros (versión preliminar)

La protección de puntos de conexión es una parte fundamental de una estrategia de Confianza cero. Estas recomendaciones Intune ayudan a proteger el perímetro de red y los dispositivos a través de controles basados en directivas que aplican el cifrado, restringen el acceso no autorizado y reducen la exposición a vulnerabilidades. Mediante la aplicación de directivas de configuración y seguridad entre plataformas, estas comprobaciones se alinean con la Iniciativa de futuro seguro de Microsoft y refuerzan la posición de seguridad general de su organización.

recomendaciones de seguridad de Confianza cero

Las credenciales de administrador local en Windows están protegidas por Windows LAPS

Sin aplicar directivas de solución de contraseñas de administrador local (LAPS), los actores de amenazas que obtienen acceso a los puntos de conexión pueden aprovechar las contraseñas de administrador local estáticas o débiles para escalar los privilegios, moverse lateralmente y establecer la persistencia. La cadena de ataques normalmente comienza con el compromiso del dispositivo(a través de phishing, malware o acceso físico), seguido de intentos de recopilar credenciales de administrador local. Sin LAPS, los atacantes pueden reutilizar las credenciales en peligro en varios dispositivos, lo que aumenta el riesgo de escalamiento de privilegios y riesgo para todo el dominio.

La aplicación de Windows LAPS en todos los dispositivos Windows corporativos garantiza contraseñas de administrador local únicas y rotadas periódicamente. Esto interrumpe la cadena de ataque en las fases de acceso a credenciales y movimiento lateral, lo que reduce significativamente el riesgo de peligro generalizado.

Acción de corrección

Use Intune para aplicar directivas LAPS de Windows que giran contraseñas de administrador local seguras y únicas, y que las respaldan de forma segura:

• Implementación de la directiva LAPS de Windows con Microsoft Intune

Para más información, vea:

• Referencia de configuración de directivas laps de Windows
• Más información sobre Intune compatibilidad con Windows LAPS

Las credenciales de administrador local en macOS están protegidas durante la inscripción por macOS LAPS

Sin aplicar directivas LAPS de macOS durante la inscripción automatizada de dispositivos (ADE), los actores de amenazas pueden aprovechar las contraseñas de administrador local estáticas o reutilizadas para escalar los privilegios, moverse lateralmente y establecer la persistencia. Los dispositivos aprovisionados sin credenciales aleatorias son vulnerables a la recopilación y reutilización de credenciales en varios puntos de conexión, lo que aumenta el riesgo de peligro para todo el dominio.

La aplicación de la LAPS de macOS garantiza que cada dispositivo se aprovisiona con una contraseña de administrador local única y cifrada administrada por Intune. Esto interrumpe la cadena de ataques en las fases de acceso a credenciales y movimiento lateral, lo que reduce significativamente el riesgo de peligro generalizado y se alinea con Confianza cero principios de higiene de credenciales y privilegios mínimos.

Acción de corrección

Use Intune para configurar perfiles de ADE de macOS que aprovisionan una cuenta de administrador local con una contraseña aleatoria y cifrada, y que permiten la rotación segura:

• Configuración de LAPS de macOS en Microsoft Intune
• Rotación de la contraseña de administrador local (macOS)

Para más información, vea:

• Guía de configuración de macOS ADE

El uso de la cuenta local en Windows está restringido para reducir el acceso no autorizado

Sin una directiva de usuarios y grupos locales correctamente configurada y asignada en Intune, los actores de amenazas pueden aprovechar las cuentas locales no administradas o mal configuradas en dispositivos Windows. Esto puede dar lugar a una escalación de privilegios no autorizada, persistencia y movimiento lateral dentro del entorno. Si las cuentas de administrador local no están controladas, los atacantes pueden crear cuentas ocultas o elevar privilegios, omitiendo los controles de cumplimiento y seguridad. Esta brecha aumenta el riesgo de filtración de datos, implementación de ransomware y incumplimiento normativo.

Asegurarse de que las directivas de usuarios y grupos locales se aplican en dispositivos Windows administrados, mediante perfiles de protección de cuentas, es fundamental para mantener una flota de dispositivos segura y compatible.

Acción de corrección

Configure e implemente un perfil de pertenencia a grupos de usuarios local desde Intune directiva de protección de cuentas para restringir y administrar el uso de cuentas locales en dispositivos Windows:

• Creación de una directiva de protección de cuentas para la seguridad de los puntos de conexión en Intune
• Asignación de directivas en Intune

Los datos en Windows están protegidos por el cifrado de BitLocker

Sin una directiva de BitLocker configurada y asignada correctamente en Intune, los actores de amenazas pueden aprovechar los dispositivos Windows sin cifrar para obtener acceso no autorizado a datos corporativos confidenciales. Los dispositivos que no tienen cifrado forzado son vulnerables a ataques físicos, como la eliminación de disco o el arranque desde medios externos, lo que permite a los atacantes omitir los controles de seguridad del sistema operativo. Estos ataques pueden dar lugar a la filtración de datos, el robo de credenciales y un mayor movimiento lateral dentro del entorno.

La aplicación de BitLocker en dispositivos Windows administrados es fundamental para el cumplimiento de las normativas de protección de datos y para reducir el riesgo de vulneraciones de datos.

Acción de corrección

Use Intune para aplicar el cifrado de BitLocker y supervisar el cumplimiento en todos los dispositivos Windows administrados:

• Crear una directiva de BitLocker para dispositivos Windows en Intune
• Asignación de directivas en Intune
• Supervisión del cifrado de dispositivos con Intune

El cifrado de FileVault protege los datos en dispositivos macOS

Sin las directivas de cifrado de FileVault configuradas y asignadas correctamente en Intune, los actores de amenazas pueden aprovechar el acceso físico a dispositivos macOS no administrados o mal configurados para extraer datos corporativos confidenciales. Los dispositivos sin cifrar permiten a los atacantes omitir la seguridad de nivel de sistema operativo mediante el arranque desde medios externos o la eliminación de la unidad de almacenamiento. Estos ataques pueden exponer credenciales, certificados y tokens de autenticación almacenados en caché, lo que permite la escalación de privilegios y el movimiento lateral. Además, los dispositivos sin cifrar socavan el cumplimiento de las regulaciones de protección de datos y aumentan el riesgo de daños reputacionales y sanciones financieras en caso de incumplimiento.

La aplicación del cifrado de FileVault protege los datos en reposo en dispositivos macOS, incluso si se pierden o roban. Interrumpe la recolección de credenciales y el movimiento lateral, admite el cumplimiento normativo y se alinea con Confianza cero principios de confianza del dispositivo.

Acción de corrección

Use Intune para aplicar el cifrado de FileVault y supervisar el cumplimiento en todos los dispositivos macOS administrados:

• Creación de una directiva de cifrado de disco de FileVault para macOS en Intune
• Asignación de directivas en Intune
• Supervisión del cifrado de dispositivos con Intune

La autenticación en Windows usa Windows Hello para empresas

Si las directivas para Windows Hello para empresas (WHfB) no están configuradas y asignadas a todos los usuarios y dispositivos, los actores de amenazas pueden aprovechar mecanismos de autenticación débiles(como contraseñas) para obtener acceso no autorizado. Esto puede provocar el robo de credenciales, la elevación de privilegios y el movimiento lateral dentro del entorno. Sin una autenticación fuerte basada en directivas como WHfB, los atacantes pueden poner en peligro dispositivos y cuentas, lo que aumenta el riesgo de un impacto generalizado.

La aplicación de WHfB interrumpe esta cadena de ataques al requerir una autenticación multifactor segura, lo que ayuda a reducir el riesgo de ataques basados en credenciales y acceso no autorizado.

Acción de corrección

Implemente Windows Hello para empresas en Intune para aplicar la autenticación multifactor segura:

• Configure una directiva de Windows Hello para empresas para todo el inquilino que se aplique en el momento en que un dispositivo se inscribe con Intune.
• Después de la inscripción, configure perfiles de protección de cuentas y asigne diferentes configuraciones para Windows Hello para empresas a distintos grupos de usuarios y dispositivos.

Las reglas de reducción de superficie expuesta a ataques se aplican a los dispositivos Windows para evitar la explotación de componentes vulnerables del sistema.

Si Intune perfiles para las reglas de reducción de superficie expuesta a ataques (ASR) no están configurados y asignados correctamente a dispositivos Windows, los actores de amenazas pueden aprovechar los puntos de conexión no protegidos para ejecutar scripts ofuscados e invocar llamadas API win32 desde macros de Office. Estas técnicas se usan normalmente en las campañas de suplantación de identidad y la entrega de malware, lo que permite a los atacantes omitir las defensas antivirus tradicionales y obtener acceso inicial. Una vez dentro, los atacantes escalan los privilegios, establecen la persistencia y se mueven lateralmente a través de la red. Sin la aplicación de ASR, los dispositivos siguen siendo vulnerables a ataques basados en scripts y abuso de macros, lo que socava la eficacia de Microsoft Defender y expone datos confidenciales a la filtración. Esta brecha en endpoint protection aumenta la probabilidad de que se ponga en peligro correctamente y reduce la capacidad de la organización para contener y responder a las amenazas.

La aplicación de reglas de ASR ayuda a bloquear técnicas comunes de ataque, como la ejecución basada en scripts y el abuso de macros, lo que reduce el riesgo de peligro inicial y admite Confianza cero mediante la protección de las defensas de puntos de conexión.

Acción de corrección

Usa Intune para implementar perfiles de reglas de reducción de superficie expuesta a ataques para dispositivos Windows con el fin de bloquear comportamientos de alto riesgo y reforzar la protección contra puntos de conexión:

• Configuración de perfiles de Intune para reglas de reducción de superficie expuesta a ataques
• Asignación de directivas en Intune

Para más información, vea:

• Referencia de reglas de reducción de superficie expuesta a ataques en la documentación de Microsoft Defender.

las directivas de Antivirus de Defender protegen los dispositivos Windows del malware

Si las directivas de Microsoft Defender Antivirus no están configuradas y asignadas correctamente en Intune, los actores de amenazas pueden aprovechar los puntos de conexión no protegidos para ejecutar malware, deshabilitar las protecciones antivirus y conservarlas en el entorno. Sin directivas antivirus aplicadas, los dispositivos funcionan con definiciones obsoletas, protección en tiempo real deshabilitada o programaciones de examen mal configuradas. Estas brechas permiten a los atacantes omitir la detección, escalar privilegios y moverse lateralmente a través de la red. La ausencia de aplicación del antivirus socava el cumplimiento de los dispositivos, aumenta la exposición a amenazas de día cero y puede dar lugar a un incumplimiento normativo. Los atacantes aprovechan estas debilidades para mantener la persistencia y evitar la detección, especialmente en entornos que carecen de aplicación centralizada de directivas.

La aplicación de directivas de Antivirus de Defender garantiza una protección coherente contra el malware, admite la detección de amenazas en tiempo real y se alinea con Confianza cero manteniendo una posición de punto de conexión segura y compatible.

Acción de corrección

Configure y asigne directivas de Intune para Microsoft Defender Antivirus con el fin de aplicar la protección en tiempo real, mantener definiciones actualizadas y reducir la exposición al malware:

• Configuración de directivas de Intune para administrar Microsoft Defender Antivirus
• Asignación de directivas en Intune

Antivirus de Defender directivas protegen los dispositivos macOS de malware

Si Microsoft Defender directivas antivirus no están configuradas y asignadas correctamente a dispositivos macOS en Intune, los atacantes pueden aprovechar los puntos de conexión no protegidos para ejecutar malware, deshabilitar las protecciones antivirus y conservar en el entorno. Sin directivas aplicadas, los dispositivos ejecutan definiciones obsoletas, carecen de protección en tiempo real o tienen programaciones de examen mal configuradas, lo que aumenta el riesgo de amenazas no detectadas y escalación de privilegios. Esto permite el movimiento lateral a través de la red, la recopilación de credenciales y la filtración de datos. La ausencia de aplicación del antivirus socava el cumplimiento de los dispositivos, aumenta la exposición de los puntos de conexión a amenazas de día cero y puede dar lugar a un incumplimiento normativo. Los atacantes usan estas brechas para mantener la persistencia y evitar la detección, especialmente en entornos sin aplicación centralizada de directivas.

La aplicación de directivas de Antivirus de Defender garantiza que los dispositivos macOS estén protegidos de forma coherente contra malware, admita la detección de amenazas en tiempo real y se alinee con Confianza cero manteniendo una posición de punto de conexión segura y compatible.

Acción de corrección

Use Intune para configurar y asignar directivas de antivirus de Microsoft Defender para dispositivos macOS con el fin de aplicar la protección en tiempo real, mantener definiciones actualizadas y reducir la exposición al malware:

• Configuración de directivas de Intune para administrar Microsoft Defender Antivirus
• Asignación de directivas en Intune

Las directivas de Firewall de Windows protegen contra el acceso no autorizado a la red

Si las directivas de Firewall de Windows no están configuradas y asignadas, los actores de amenazas pueden aprovechar los puntos de conexión no protegidos para obtener acceso no autorizado, moverse lateralmente y escalar privilegios dentro del entorno. Sin reglas de firewall aplicadas, los atacantes pueden omitir la segmentación de red, filtrar datos o implementar malware, lo que aumenta el riesgo de un riesgo generalizado.

La aplicación de directivas de Firewall de Windows garantiza una aplicación coherente de los controles de tráfico entrante y saliente, lo que reduce la exposición al acceso no autorizado y admite Confianza cero a través de la segmentación de red y la protección del nivel de dispositivo.

Acción de corrección

Configure y asigne directivas de firewall para Windows en Intune para bloquear el tráfico no autorizado y aplicar protecciones de red coherentes en todos los dispositivos administrados:

• Configurar directivas de firewall para dispositivos Windows. Intune usa dos perfiles complementarios para administrar la configuración del firewall:
  • Firewall de Windows : use este perfil para configurar el comportamiento general del firewall en función del tipo de red.
  • Reglas de Firewall de Windows : use este perfil para definir reglas de tráfico para aplicaciones, puertos o direcciones IP, adaptadas a grupos o cargas de trabajo específicos. Este perfil de Intune también admite el uso de grupos de configuración reutilizables para ayudar a simplificar la administración de la configuración común que se usa para diferentes instancias de perfil.
• Asignación de directivas en Intune

Para más información, vea:

• Configuración de Firewall de Windows disponible

Las directivas de firewall de macOS protegen contra el acceso no autorizado a la red

Sin una directiva de firewall administrada de forma centralizada, los dispositivos macOS pueden basarse en la configuración predeterminada o modificada por el usuario, que a menudo no cumple los estándares de seguridad corporativos. Esto expone los dispositivos a conexiones entrantes no solicitadas, lo que permite a los actores de amenazas aprovechar las vulnerabilidades, establecer el tráfico de comando y control saliente (C2) para la filtración de datos y moverse lateralmente dentro de la red, lo que escala significativamente el ámbito y el impacto de una infracción.

La aplicación de directivas de firewall de macOS garantiza un control coherente sobre el tráfico entrante y saliente, lo que reduce la exposición al acceso no autorizado y admite Confianza cero a través de la protección de nivel de dispositivo y la segmentación de red.

Acción de corrección

Configure y asigne perfiles de firewall de macOS en Intune para bloquear el tráfico no autorizado y aplicar protecciones de red coherentes en todos los dispositivos macOS administrados:

• Configuración del firewall integrado en dispositivos macOS
• Asignación de directivas en Intune

Para más información, vea:

• Configuración de firewall de macOS disponible

se aplican directivas de Windows Update para reducir el riesgo de vulnerabilidades no extendidas

Si las directivas de Windows Update no se aplican en todos los dispositivos Windows corporativos, los actores de amenazas pueden aprovechar las vulnerabilidades no extendidas para obtener acceso no autorizado, escalar privilegios y moverse lateralmente dentro del entorno. La cadena de ataques a menudo comienza con el compromiso del dispositivo a través de phishing, malware o explotación de vulnerabilidades conocidas, y va seguido de intentos de omitir los controles de seguridad. Sin las directivas de actualización aplicadas, los atacantes aprovechan el software obsoleto para persistir en el entorno, lo que aumenta el riesgo de escalamiento de privilegios y riesgo para todo el dominio.

La aplicación de directivas de Windows Update garantiza la aplicación de revisiones oportunas de los errores de seguridad, lo que interrumpe la persistencia del atacante y reduce el riesgo de un riesgo generalizado.

Acción de corrección

Comience con Administrar actualizaciones de software de Windows en Intune para comprender los tipos de directivas de Windows Update disponibles y cómo configurarlas.

Intune incluye el siguiente tipo de directiva de Actualización de Windows:

• Directiva de actualizaciones de calidad de - Windowspara instalar las actualizaciones mensuales normales para Windows.
• Acelerar la directiva - de actualizacionespara instalar rápidamente revisiones de seguridad críticas.
• Directiva de actualizaciones de características
• Directiva de anillos de actualización - para administrar cómo y cuándo los dispositivos instalan actualizaciones de características y calidad.
• Actualizaciones de controladores de - Windowspara actualizar los componentes de hardware.

Las líneas base de seguridad se aplican a los dispositivos Windows para reforzar la posición de seguridad

Sin las líneas base de seguridad Intune configuradas y asignadas correctamente para Windows, los dispositivos siguen siendo vulnerables a una amplia gama de vectores de ataque que los actores de amenazas aprovechan para obtener persistencia y escalar privilegios. Los adversarios aprovechan las configuraciones predeterminadas de Windows que carecen de una configuración de seguridad protegida para realizar el movimiento lateral mediante técnicas como el volcado de credenciales, la elevación de privilegios a través de vulnerabilidades no extendidas y la explotación de mecanismos de autenticación débiles. En ausencia de líneas base de seguridad aplicadas, los actores de amenazas pueden omitir los controles de seguridad críticos, mantener la persistencia mediante modificaciones del Registro y filtrar datos confidenciales a través de canales no supervisados. Si no se implementa una estrategia de defensa en profundidad, los dispositivos son más fáciles de aprovechar a medida que los atacantes progresan a través de la cadena de ataques,desde el acceso inicial a la filtración de datos, en última instancia, pone en peligro la posición de seguridad de la organización y aumenta el riesgo de infracciones de cumplimiento.

La aplicación de líneas base de seguridad garantiza que los dispositivos Windows estén configurados con una configuración protegida, reduciendo la superficie expuesta a ataques, aplicando la defensa en profundidad y admitiendo Confianza cero mediante la estandarización de los controles de seguridad en todo el entorno.

Acción de corrección

Configure y asigne Intune líneas base de seguridad a dispositivos Windows para aplicar la configuración de seguridad estandarizada y supervisar el cumplimiento:

• Implementación de líneas base de seguridad para ayudar a proteger dispositivos Windows
• Supervisión del cumplimiento de la línea de base de seguridad

Se aplican directivas de actualización para macOS para reducir el riesgo de vulnerabilidades no extendidas

Si las directivas de actualización de macOS no están configuradas y asignadas correctamente, los actores de amenazas pueden aprovechar las vulnerabilidades no extendidas en dispositivos macOS dentro de la organización. Sin las directivas de actualización aplicadas, los dispositivos permanecen en versiones de software obsoletas, lo que aumenta la superficie expuesta a ataques para la escalación de privilegios, la ejecución remota de código o las técnicas de persistencia. Los actores de amenazas pueden aprovechar estas debilidades para obtener acceso inicial, escalar privilegios y moverse lateralmente dentro del entorno. Si existen directivas pero no están asignadas a grupos de dispositivos, los puntos de conexión permanecen desprotegidos y las brechas de cumplimiento no se detectan. Esto puede dar lugar a un riesgo generalizado, a la filtración de datos y a una interrupción operativa.

La aplicación de directivas de actualización de macOS garantiza que los dispositivos reciban revisiones oportunas, lo que reduce el riesgo de explotación y admite Confianza cero manteniendo una flota de dispositivos segura y compatible.

Acción de corrección

Configure y asigne directivas de actualización de macOS en Intune para aplicar revisiones oportunas y reducir el riesgo de vulnerabilidades no parcheadas:

• Administración de actualizaciones de software de macOS en Intune

Las directivas de actualización para iOS/iPadOS se aplican para reducir el riesgo de vulnerabilidades no extendidas

Si las directivas de actualización de iOS no están configuradas y asignadas, los actores de amenazas pueden aprovechar las vulnerabilidades no extendidas en sistemas operativos obsoletos en dispositivos administrados. La ausencia de directivas de actualización aplicadas permite a los atacantes usar vulnerabilidades de seguridad conocidas para obtener acceso inicial, escalar privilegios y moverse lateralmente dentro del entorno. Sin actualizaciones oportunas, los dispositivos siguen siendo susceptibles a vulnerabilidades de seguridad que Apple ya ha abordado, lo que permite que los actores de amenazas omitan los controles de seguridad, implementen malware o exfiltren datos confidenciales. Esta cadena de ataques comienza con el compromiso del dispositivo a través de una vulnerabilidad sin revisiones, seguida de persistencia y posible vulneración de datos que afecta tanto a la seguridad de la organización como a la posición de cumplimiento.

La aplicación de directivas de actualización interrumpe esta cadena al garantizar que los dispositivos estén protegidos de forma coherente frente a amenazas conocidas.

Acción de corrección

Configure y asigne directivas de actualización de iOS/iPadOS en Intune para aplicar revisiones oportunas y reducir el riesgo de vulnerabilidades no parcheadas:

• Administrar las actualizaciones de software de iOS/iPadOS en Intune
• Asignación de directivas en Intune

Contenido relacionado

• Guía de implementación para Microsoft Intune
• Proteger datos y dispositivos con Microsoft Intune
• Configuración de Microsoft Entra para aumentar la seguridad (versión preliminar)
• Configuración de Microsoft Intune para aumentar la seguridad (versión preliminar)