¿Ya eres cliente de NinjaOne? Inicia sesión para ver más guías y las últimas actualizaciones.

Guía de defensa de dispositivos finales: bloquear los dispositivos

Tema

Este artículo es una copia de la guía de buenas prácticas de NinjaOne de nuestro Centro de recursos de NinjaOne. Puede descargar el documento en formato PDF al final de esta página.

Entorno

Gestión de terminales de NinjaOne

Descripción

Índice

Seleccione un tema para obtener más información.

EDP_intro image.png

Por qué es importante el endurecimiento de los puntos finales

En esencia, el endurecimiento de los puntos finales es el concepto general de reforzar la seguridad a nivel de dispositivo. Dado que proteger sus puntos finales es fundamental para cualquier otra medida de seguridad que adopte, la inversión que realice en ello tendrá un retorno de la inversión mayor que casi cualquier otra cosa. Si no lo hace bien, todas las demás soluciones y medidas que adopte tendrán que ser mejores, funcionar mejor y tener menos lagunas.

Según el Informe de Defensa Digital 2022 de Microsoft, muchas organizaciones no están tomando las medidas básicas necesarias para respaldar un endurecimiento integral de los puntos finales. La siguiente Figura 1 ofrece algunos ejemplos de problemas clave que han estado afectando negativamente a la ciberresiliencia:

1.png
Figura 1: Problemas clave que afectan negativamente a la ciberresiliencia

Aunque las medidas de seguridad avanzadas son importantes, es fundamental recordar que los aspectos básicos aún necesitan mejorar. En el mismo informe, Microsoft descubrió que la seguridad básica protege contra el 98 % de los ataques. Al implementar buenas prácticas de seguridad, puede empezar a construir esas capas de seguridad y dar a los atacantes menos oportunidades de atacar.

La figura 2 destaca las recomendaciones técnicas de ciberseguridad de los principales gobiernos de habla inglesa para las pequeñas y medianas empresas. Las inversiones en este ámbito (muchas de las cuales son recomendaciones para el refuerzo de los dispositivos) aportan el mayor valor.

Figura 2: Recomendaciones técnicas de ciberseguridad (haga clic para ampliar)

Qué incluye el refuerzo de la seguridad de los dispositivos

El refuerzo de la seguridad de los dispositivos incluye cualquier cambio que se realice en un dispositivo para ayudar a mejorar su seguridad.

A continuación se muestran algunos ejemplos:

Fortalecimiento de dispositivosEjemplos
Protección del acceso a la cuenta
  • Habilita y aplica la autenticación multifactorial (MFA).
  • Elimine las cuentas innecesarias.
  • Cambie las cuentas de administrador predeterminadas.
  • Aplicar el principio de privilegios mínimos en todas las cuentas de usuario.
  • Impida que los usuarios finales instalen aplicaciones.
  • Aplicar contraseñas seguras.
Configuración del dispositivo
  • Habilitar el arranque seguro.
  • Desactivar el USB.
  • Cifra los discos.
  • Bloquee las llamadas de red desde aplicaciones (bloc de notas, wscript, cscript y similares).
  • Reducir la exposición de puertos.
  • Activar y ampliar el registro.
  • Desactivar protocolos inseguros como SMBv1, Telnet y HTTP.
  • Proteger con contraseña el BIOS/UEFI.
Gestión de software
  • Elimina las aplicaciones potencialmente maliciosas.
  • Elimine el software no compatible.
  • Implemente un antivirus o una solución de detección y respuesta en los puntos finales.
  • Implementar soluciones de gestión de contraseñas.
  • Activa el cortafuegos.
  • Elimina los ejecutables antiguos.
  • Impida que los usuarios finales instalen aplicaciones.
AuditoríaAuditar el refuerzo de la seguridad de los dispositivos.

Esta tabla no es una lista exhaustiva, sino un punto de partida para las organizaciones que buscan los siguientes pasos en su proceso de refuerzo de los puntos finales. No todas las actividades de refuerzo de dispositivos serán aplicables a todos los entornos, y muchas deben adaptarse a su propio entorno. Al mejorar la seguridad de los puntos finales, recuerde que los estándares de referencia cambian constantemente, por lo que los enfoques de seguridad deben evaluarse y actualizarse periódicamente.

También es importante señalar que hay una serie de medidas críticas que puede tomar para reforzar la seguridad de su organización, pero que no se incluyen en el refuerzo de los puntos finales, entre ellas:

  • Gestión de identidades y accesos
  • Soluciones de seguridad avanzadas (SIEM, antivirus avanzado y similares)
  • Formación en concienciación sobre seguridad para usuarios finales
  • Estrategia de red
  • Seguridad de las aplicaciones en la nube
  • Defensa contra amenazas móviles

Todas estas medidas son cruciales para garantizar la seguridad, pero no se centran específicamente en la seguridad a nivel de dispositivo.

Automatización del refuerzo de los puntos finales

Antes de ver algunos ejemplos de cómo las organizaciones pueden utilizar NinjaOne para reforzar y simplificar su enfoque del refuerzo de los puntos finales, hablemos un poco más sobre la automatización.

En general, la automatización de TI:

  • Reduce la posibilidad de error humano
  • Reduce el tiempo dedicado a tareas manuales
  • Reduce los costes
  • Estandariza la gestión de dispositivos y la prestación de servicios
  • Mejora la satisfacción de los empleados de TI
  • Mejora la experiencia del usuario final
  • Ayuda a garantizar el cumplimiento normativo

Al aprovechar las ventajas de la automatización, el proceso de refuerzo de los puntos finales se vuelve mucho más sencillo, eficiente y económico a largo plazo. Además, al configurar estos procesos para que se ejecuten automáticamente, las organizaciones pueden limitar más rápidamente la exposición a cualquier vulnerabilidad potencial.

Dentro de NinjaOne, diversos mecanismos ayudan a las organizaciones a ejecutar fácilmente un flujo de trabajo de TI automatizado. En la siguiente sección, mostraremos cinco ejemplos de cómo las organizaciones pueden utilizar las herramientas de automatización de NinjaOne para mejorar la seguridad de los dispositivos, entre los que se incluyen:

  • Automatizaciones programadas: cuando se desea tomar medidas contra los dispositivos de una política en un momento específico.
  • Tareas programadas: cuando se desea tomar medidas sobre los dispositivos de un grupo en un momento específico.
  • Condiciones de resultado de scripts: cuando se desea comprobar periódicamente la información sobre un dispositivo y tomar medidas en función de los resultados obtenidos.
  • Script activado por condiciones: cuando se desea responder inmediatamente a un cambio de estado en un dispositivo de l
    .
  • Script activado por campo personalizado: cuando necesitas información que NinjaOne no recopila de forma predeterminada, o para automatizaciones complejas o de varios pasos.

Documentación relacionada:

Añadir un script personalizado a NinjaOne

Dado que muchas automatizaciones requieren personalización para entornos individuales, los scripts personalizados son fundamentales para la automatización en NinjaOne. Por ello, es importante saber cómo añadir nuevos scripts a tu biblioteca de automatización dentro de la plataforma NinjaOne. Para añadir un nuevo script, tienes varias opciones. Puedes:

Probar todos los scripts a fondo antes de su implementación si NinjaOne no los ha lanzado oficialmente.

Cinco formas de automatizar el refuerzo de la seguridad de los dispositivos

Esta lista de métodos no es exhaustiva, pero ofrece una buena visión general de lo que puede hacer en NinjaOne para ayudar a automatizar y respaldar el refuerzo de la seguridad de los puntos finales.

Implementar configuraciones de seguridad de dispositivos durante la configuración del dispositivo

En este ejemplo, utilizaremos el mecanismo de tareas programadas para automatizar fuera de las políticas.

Al configurar dispositivos nuevos, puede utilizar herramientas integradas en las versiones recientes de Windows para mejorar la seguridad de los dispositivos. En este ejemplo, utilizaremos BitLocker, que se incluye en todas las estaciones de trabajo con Windows 10 y 11. Con NinjaOne, puede realizar un seguimiento nativo del estado de BitLocker, localizar dispositivos que tengan BitLocker desactivado y volver a activarlo mediante un script personalizado.

Si aún no ha añadido el script para activar BitLocker a la biblioteca de automatización de NinjaOne, siga las instrucciones de nuestro artículo NinjaOne Endpoint Management: Introducción a los scripts de automatización. A continuación, siga estos pasos:

  1. Abra Dispositivos en el menú de la barra lateral y haga clic en Más filtros. Seleccione Estado de BitLocker.
  2. Seleccione la casilla de verificación Desactivado.
  3. Cree un grupo «Guardar» para crear un grupo dinámico de dispositivos que tengan BitLocker desactivado. Para obtener instrucciones detalladas, consulte NinjaOne Endpoint Management: Guardar y cargar grupos de búsqueda.

Los grupos dinámicos siempre muestran información actualizada. A medida que active BitLocker en estos dispositivos, estos dejarán de formar parte de este grupo. A medida que incorpore nuevos endpoints que no tengan BitLocker activado, aparecerán automáticamente en este grupo. Probablemente desee añadir alguna corrección automatizada a este proceso; para ello, consulte nuestro artículo

Figura 3: Añadir un destino a una tarea programada

Otros ejemplos de uso de grupos dinámicos con automatizaciones programadas pueden incluir la desactivación de dispositivos de almacenamiento masivo o la configuración del UAC. Dentro de la biblioteca de plantillas de NinjaOne, encontrarás varias plantillas de automatización listas para usar.

Habilitar los cortafuegos de los dispositivos y bloquear las conexiones salientes

En el siguiente ejemplo, utilizaremos campos personalizados y condiciones de política para detectar el estado de un dispositivo y activar una automatización. Para saber cómo añadir un nuevo campo personalizado, consulta «Campos personalizados de NinjaOne: Introducción».

Para comprobar el estado del cortafuegos del dispositivo en NinjaOne, ofrecemos el siguiente campo personalizado y mecanismos de automatizaciones programadas. Puede utilizar los campos personalizados de diversas formas; en este método concreto, almacenarán la salida de un script de PowerShell:

  1. Vaya a AdministraciónDispositivosCampos personalizados del dispositivo.
  2. Haz clic en +Añadir campo personalizado y selecciona Texto.
  3. Introduzca «Estado del cortafuegos» en el campo Etiqueta.
  4. Configure la herencia y los detalles según sus preferencias.
  5. En la sección Permisos*, selecciona Lectura/Escritura en el menú desplegable Automatizaciones* y API*. Es posible que desees que el campo Acceso esté configurado en Solo lectura.
  6. Vaya a AdministraciónPolíticas y seleccione una política a la que desee añadir este campo personalizado. (Si no está familiarizado con la configuración de políticas, consulte NinjaOne: Catálogo de recursos).
  7. En la sección Condiciones, haz clic en Añadir una condición.
policy_condition_add condition.png
Figura 4: Añadir una condición a una política
  1. En el cuadro de diálogo Condición, haz clic en Seleccionar una condición y, a continuación, selecciona Condición de resultado de script en el menú desplegable Condición.
  2. Haga clic en Seleccionar script de evaluación y seleccione Cortafuegos - Estado de auditoría. Si aún no ha añadido el script personalizado, siga las instrucciones de NinjaOne Endpoint Management: Introducción a los scripts de automatización.
policy_condition_script result condition_select evaluation script.png
Figura 5: Añadir una condición a una política
  1. Haga clic en Aplicar. Haga clic en Añadir. Haga clic en Guardar.
  2. En la sección Condiciones, haz clic en Añadir una condición.
  3. Haga clic en Seleccionar una condición y elija Campos personalizados en el menú desplegable.
  4. Haga clic en Añadir junto a El valor del campo personalizado debe cumplir todas las condiciones para generar dos nuevos menús desplegables.
  5. En el primer menú desplegable, seleccione el campo personalizado «Estado del cortafuegos » que ha creado. En el segundo menú desplegable, seleccione «contiene». Escriba «false» en el campo de texto (esto buscará cortafuegos desactivados).
condition_custom field_firewall.png
Figura 6: Añadir la condición de campo personalizado para el estado del cortafuegos
  1. Haga clic en Aplicar y, a continuación, en Añadir en la sección Automatizaciones del cuadro de diálogo Condición. Busque y seleccione Set-WindowsFirewall para aplicarlo a la condición.
condition_add automation.png
Figura 7: Añadir una automatización a una condición

Uso de scripts personalizados con condiciones

Para mejorar la protección del cortafuegos, también puede añadir un script personalizado para bloquear las comunicaciones de red salientes.

Dentro de ese script personalizado, añade las aplicaciones a las que deseas bloquear el acceso a Internet. Por ejemplo, es poco probable que la calculadora de Windows o el Bloc de notas necesiten acceso a Internet (aunque pueden simularlo y utilizarse como vectores de ataque), por lo que puedes añadirlas a la lista de aplicaciones del propio script personalizado. Para este ejemplo, hemos utilizado este script de PowerShell «Block Outbound NetConns for win32» (enlace externo). Este recurso no es un script oficial de NinjaOne, ¡así que pruébalo exhaustivamente antes de utilizarlo!

Una vez que haya añadido el script a la biblioteca de automatización, puede añadirlo a la misma condición «Check Firewall » a la que añadió el script «Set-WindowsFirewall ».

Habilitar, expandir y analizar registros

En este ejemplo, activaremos una automatización durante la configuración del dispositivo para cambiar su configuración.

La configuración del dispositivo es tan buena como la información que se obtiene de él, y ahí es donde entran en juego los registros de eventos. Los registros te ayudan a comprender lo que está sucediendo en el dispositivo, y es posible que tengas que expandir ciertos registros para obtener una visión precisa del estado y la seguridad de tu entorno.

Antes de dar ningún paso adicional, le conviene añadir un nuevo script personalizado a su biblioteca específicamente para expandir esos registros de eventos. Puede utilizar nuestra carpeta

Figura 8: Configure la programación de la automatización para que se ejecute una vez de inmediato

Cuando haya elegido su programación preferida, añada su script personalizado «Expand Event Logging ». Desde allí, puede aplicar este script programado y se ejecutará inmediatamente.

Además de ampliar los registros, supervisar el visor de eventos con escalada de privilegios es otra forma de añadir una capa de seguridad a los endpoints: añada una nueva condición desde la pestaña «Condiciones» dentro de la política y elija «Evento de Windows» para añadir una fuente y los ID de evento específicos que desee supervisar. Cuando se active cualquiera de los ID de evento, se le alertará de cualquier cambio para un usuario concreto y podrá tomar medidas. No hay ninguna corrección específica en esta guía, pero tiene la opción de añadir correcciones a los pasos de automatización utilizando campos personalizados.

Crear una cuenta de administrador local y automatizar la rotación de contraseñas

En este ejemplo, activaremos una automatización al configurar el dispositivo y, a continuación, ejecutaremos una automatización periódica para cambiar una contraseña de administrador. Windows cuenta con una funcionalidad integrada que puede aprovechar en NinjaOne para facilitar la rotación y la protección de contraseñas. Cree un script personalizado para este fin, añádalo a una automatización programada en la política que haya elegido y, a continuación, configúrelo para que se ejecute según la programación deseada.

Para ello, vaya a AdministraciónDispositivos y añada un nuevo campo. En este nuevo campo, asígnele el mismo nombre que ha establecido en el script personalizado de rotación de contraseñas (localAdminPassword por defecto) y seleccione el tipoSecurefield en el menú desplegable.

Un campo personalizado de tipoSecurefield está diseñado específicamente para gestionar credenciales de forma segura; no es visible en texto sin formato, requiere autenticación multifactorial (MFA) para su visualización y está totalmente cifrado. NinjaOne ofrece auditorías para ver quién tiene acceso al campo personalizado de tipoSecurefield.

Una vez que haga clic en Crear, verá menús desplegables adicionales. Deberá configurar el menú desplegable Automatizaciones en Solo escritura y el menú desplegable Técnico en Solo lectura, ya que este script crea una cuenta de servicio, genera una cadena de caracteres alfanuméricos aleatoria como contraseña y la añade como un campo personalizado de tipoSecurefield. Una vez generada la contraseña, el script la volverá a escribir en el campo personalizado de tipoSecurefield. Esto significa que no tendrás contraseñas estandarizadas en todos los dispositivos y podrás acceder a cada dispositivo individualmente para ver la localAdminPassword desde la pestaña «Personalizado» del panel de control del dispositivo.

Detectar y eliminar software potencialmente malicioso

En este ejemplo, utilizaremos una condición de política para detectar un cambio de estado (software instalado) y activar una automatización para solucionar el problema.

Puede utilizar las herramientas de automatización de NinjaOne para detectar y eliminar fácilmente software malicioso o no deseado de los endpoints. Antes de crear la condición de detección de software, deberá añadir un script personalizado de desinstalación de aplicaciones a la biblioteca de automatización de NinjaOne. Puede utilizar nuestra carpeta Script Share u otros scripts proporcionados por la comunidad para este fin.

  1. Una vez añadido ese script personalizado, vaya a la política que desea actualizar y abra la pestaña «Condiciones ».
  2. Añada una nueva condición y seleccione «Software » en el menú desplegable «Condición ».
  3. Seleccione «Existe» en el menú desplegable «Presencia» que aparece y escriba el nombre del software que desea detectar en el campo «Nombres ». Si añade asteriscos a ambos lados del nombre del software, se incluirán todos los elementos que utilicen ese nombre en el título del software, no solo las coincidencias exactas.
  4. Haga clic en Aplicar y, a continuación, añada la automatización.

Para asegurarte de que estás solucionando completamente tus problemas, prueba y confirma que este script de PowerShell o desinstalador eliminará correctamente la aplicación antes de implementarla por completo.

Recursos

El refuerzo de los endpoints es esencial y, con la automatización adecuada, puede implementarlo y mantenerlo fácilmente. Si ha estado buscando una herramienta que le ayude a automatizar su flujo de trabajo de TI, acceda a una prueba gratuita de NinjaOne aquí:

https://www.ninjaone.com/freetrialform/

Hemos recopilado una lista de algunos marcos de seguridad que puede utilizar para proteger su red y sus dispositivos:

Glosario

La siguiente tabla ofrece definiciones de las siglas utilizadas a lo largo de este artículo. Para más definiciones, consulta NinjaOne.

TérminoDefinición
APIInterfaz de programación de aplicaciones
AVAntivirus
BIOSSistema básico de entrada/salida
EDRDetección y respuesta en puntos finales
HTTPProtocolo de transferencia de hipertexto
MFAAutenticación multifactorial
SIEMGestión de información y eventos de seguridad
SMBv1Bloque de mensajes del servidor (v1)
TelnetRed de teletipo
UACControl de cuentas de usuario
UEFIInterfaz de firmware extensible unificada
USBBus serie universal

FAQ

Próximos pasos