= Necesita asesoramiento sobre cómo proteger la red =
Hola compañeros redditores. Por favor, dame todos y cada uno de los consejos francos.
Me han dado un nuevo desafío, un nuevo rol, un nuevo entorno. Y después de algunas "actividades maliciosas por parte de malos actores"recientes, la seguridad es primordial.
Qué es
Entonces tienen un pequeño centro de datos virtual, alojado fuera del sitio. Servidor de aplicaciones empresariales, servidor de archivos AD y DFS, infraestructura citrix, algunos servidores de escritorio citrix. Los usuarios inician sesión en los escritorios de Citrix, ejecutan su M365 y aplicaciones comerciales, hacen su trabajo. Los anfitriones de colo se encargan de las copias de seguridad periódicas, la protección de EP, ayudan con las tareas administrativas, etc.
Los usuarios tienen cuentas de MS365 para correo electrónico y aplicaciones. La mayoría de los datos todavía están en el FS, pero algunos de ellos han comenzado a moverse a Teams/SP/OneDrive. No hay vínculo entre el colo AD y las cuentas de MS365.
Los escritorios en las distintas oficinas son un desastre. En su mayoría son Windows 10, pero no hay AD. Básicamente, son asterminales de configuración, y todos inician sesión en la configuración de Citrix a través de Chrome. AV es una combinación de Trend (la mayoría) y Windows Defender.
**Qué pasó**
Los malos entraron, se metieron, causaron un tiempo de inactividad. Me llamaron en ese momento. Al trabajar con los anfitriones, pudimos restaurar las máquinas y los datos de las copias de seguridad, volver a estar en funcionamiento, lecciones aprendidas.
**Lo que hemos hecho**
Desde entonces, hemos compensado las malas prácticas anteriores. Todos los servidores fueron parcheados a la corriente. Las contraseñas se vieron obligadas a cambiar, en curso. 2FA se está implementando para todos los usuarios tan rápido como podemos administrar. El número de tipos de administrador de cuentas se redujo considerablemente. IPS en el cortafuegos. Políticas de protección agresivas. Idealmente, estamos haciendo todo lo razonable para proteger "el centro de datos".
**Qué necesitamos hacer**
Una vez que hayamos asegurado un perímetro alrededor del colo DC (100% 2FA), deseo desesperadamente asegurar los escritorios. No tenemos infraestructura para DC en el sitio, ni una WAN de sitio a sitio. Necesito un consejo aquí.
¿Puedo usar cuentas de MS365 existentes como una especie de "AD en la nube"? Sé que podemos usar cuentas de MS para iniciar sesión en una PC con Windows 10; únala a nuestro dominio MS365 por falta de un término mejor, pero no tengo idea de lo que eso nos da. ¿Qué tipo de control, visibilidad? ¿Políticas?
¿Existe un recurso más sólido para esto (Azure AD y, de ser así, pros y contras? ¿Coste?
¿Sugerencias sobre cómo lidiar con estos diferentes gatos (PC) de la manera más rápida y efectiva? ¿Le gustaría poder eliminar, monitorear, forzar algunas políticas básicas, agregar/eliminar/aplicar software y configuraciones desde una consola?
Sugerencias sobre un paquete AV. La mitad de lo que leo dice que Defender está bien. La otra mitad parece estar en desacuerdo e insiste en que necesitamos algo de terceros. Estoy bastante seguro de que no hay una "Consola de defensa"disponible.
Dada la situación general, ¿qué recomendaría cualquiera, todos? ¡Gracias por los comentarios constructivos!
Supongo que estas cuentas de MS365 están todas en el mismo inquilino y tiene un Azure AD que ya está administrando.
Este hilo puede ayudar con algunas de sus preguntas: https://www.reddit.com/r/Office365/comments/jjf8j9/azure_ad_microsoft_intune_to_replace_onprem_ad/
Pero básicamente quiero que lo que quieras mirar sea inTune. Esto puede aplicar políticas (como GPO) a su flota desde el portal.
Defender está bien para un AV, pero Microsoft Defender for Endpoints (Aka ATP) es lo que desea para las capas adicionales de seguridad.
httpsdocs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection
¿Sabes cómo se produjo la ruptura? Descubrir eso debería ser parte de la protección del medio ambiente. Verifique la Alerta CISA (AA20-275A) Potencial de respuesta cibernética de China al aumento de las tensiones entre EE. UU. y China para conocer las vulnerabilidades específicas de Citrix que utilizan actores maliciosos patrocinados por el estado y otros como un ejemplo de cómo aprender cómo sucedió algo para tomar medidas para prevenirlo
¿Cuál es su presupuesto en general para este ejercicio?
== Acerca de la comunidad ==
miembros
En línea
Reddit
