Seguro que muchos de vosotros tenéis plataformar equipos nuevos, los cuales vienen de distintos fabricantes (DELL, HP, LENOVO, etc..) y con software preinstalado. Dicho software, el cual no necesitamos, no lo vamos a utilizar o simplemente no lo queremos. Entre el software más comunes están las siguientes:

• Versión de Office Home
• Aplicaciones del propio fabricante
• Antivirus (versiones trial)
• Etc..

Muchos de nosotros ya tenemos nuestra propia maqueta, en la cual ya tenemos todo preinstalado y la cual desplegamos en todos nuestros equipos. Pero claro, ahora con la llega del teletrabajo, la movilidad por bandera, etc… muchas veces los equipos se compran a los distintos fabricante (incluso por Amazon) y se entregan ya directamente al usuario final. Por lo que, resulta más complicado enviar la maqueta y que el usuario final pueda desplegarla, etc.. además que no es tarea del usuario final. Dicho esto, lo que necesitamos es que el usuario pueda provisionar el equipo sin intervención de IT, desde la unión del equipo al dominio (en este caso será AzureAD) hasta que se instalen todas las aplicaciones corporativas.

Una de las principales preocupaciones que tenemos como administradores de infraestructuras, es la de gestionar cuantos administradores hay en la organización. Desde los súper administradores (Administradores de Dominio (ADDS), Administradores Globales (Azure) hasta los administradores locales de los equipos de nuestros usuarios. No importa si el equipo está a un dominio ADDS o AzureAD, siempre debemos evitar que los usuarios finales nunca sean administradores, ni locales ni por supuesto a otro nivel (ADDS o AzureAD). Para ello, siempre hemos tenido varias formas de mantener controlados los grupos de seguridad de los Administradores en un entorno ADDS con diferentes GPO:

• Grupos Restringidos: Descripción de grupos restringidos de directivas de grupo – Windows Server | Microsoft Docs
• Preferencias: GPO: Securizando Administradores Locales en un Dominio – Blog Santiago Buitrago (santiagobuitragoreis.com)

Al final, lo que buscamos es evitar que nadie que no tenga que ser administrador lo sea por “equivocación”. Para esto, las GPO son una excelente opción para que nadie añada manualmente usuarios y/o grupos de usuarios a los grupos de administradores en  nuestra infraestructura. Hasta aquí, todo sencillo, pero ahora con la llegada de la unión de nuestros equipos a AzureAD (Azure ADJoin: + info What is an Azure AD joined device? | Microsoft Docs) debemos hacer lo mismo, mantener el control sobre las membresías de los usuarios en los grupos con derechos administrativos.

Con el auge del teletrabajo, cada día tenemos más usuarios teletrabajando y conectándose remotamente para acceder a los datos corporativos. Cada día para el equipo de IT se vuelve un reto más complejo el securizar dichos accesos, aunque ya tenemos y utilizamos múltiples configuraciones de seguridad:

• VPN
• MFA
• Azure Virtual Desktop  / Citrix, etc…

Casi todo va asociado a cifrar el tráfico de red (VPN, TLS), asegurar la identidad del usuario que se conecta (MFA) u ofrecer un sistemas de acceso remoto a entornos con sesiones completas de nuestros usuarios (AVD, Citrix). Hasta aquí, todo correcto, pero… ¿Qué ocurre con la seguridad de las sesiones de usuarios? Al fin y al cabo, los usuarios utilizan diferentes herramientas/aplicaciones las cuales también debemos preocuparnos por proteger. Además, claramente, de que los usuarios tengan acceso única y exclusivamente a la información en función de su rol dentro de cada empresa y no más allá de sus límites. Desde acceso a carpetas de red hasta aplicaciones de negocio, las cuales, muchas de ellas no tienen soporte para funcionar adecuadamente en entornos WAN (por seguridad o rendimiento) y nos vemos obligados a ejecutarlas localmente en las sesiones remotas.

Hoy me gustaría ver algunas configuraciones las cuales podemos aplicar para tratar de minimizar el riesgo en nuestros AVD, en donde tendremos a nuestros usuarios conectados y debemos tratar de proteger sus sesiones. La idea es aplicar diferentes configuraciones:

• Red: aplicar NSG a la subred donde tengamos nuestros AVD evitando accesos a nivel de red innecesarios, tanto a nivel de ADDS como de acceso a otros servicios/servidores de nuestro entorno de Azure.
• Aplicaciones: definiremos la protección de aplicaciones mediante AppLocker a nivel de firma y ubicación de los ejecutables, evitando que los usuarios puedan hacer ejecución de de aplicaciones no permitidas.

La idea es que los usuarios puedan iniciar sesión en nuestros AVD, que solo tengan tráfico de red expresamente definido en nuestros NSG a nivel de subred, evitando accesos de red innecesarios. Además, evitar que puedan ejecutar aplicaciones que no sean explícitamente permitidas. Por último, una configuración de GPO que permita definir un entorno de escritorio simplificado y blindando ciertos accesos por parte de los usuarios a la modificación  de su sesión.

Una de las novedades “más esperadas” por los departamento de IT, los cuales utilizamos Intune en nuestro día a día, es la integración nativa de una herramienta de soporte remoto. Pues bien, MSFT ha liberado un versión preliminar de Ayuda Remota (11/25/2021), lo que nos permite conectarnos de forma segura a nuestros usuarios y ofrecer soporte en línea.

Durante las sesión remota podemos ver la sesión del usuario que nos ha solicitado soporte, tomar el control de la sesión en modo control total y algunas acciones adicionales. De momento, no tiene una cobertura 100% como otras herramientas del mercado al estilo TeamViewer, AnyDesk, etc… pero algo que me gusta mucho, es la gestión de identidades para su funcionamiento: Azure Active Directory (Azure AD).

Para poder utilizarlo, debemos cumplir los siguientes requisitos:

• Licencia de Intune
• Instalación de la aplicación de Ayuda Remota.
• Windows 10 u 11