NESABAMEDIA.COM – Microsoft ha creado una especie de ventana de tiempo donde los socios, sin permiso, pueden crear nuevos roles para ellos mismos, como parte de su implementación de clientes de Active Directory. Esto puede parecer una política extraña, pero Microsoft tiene razones para ello.
Tenga en cuenta que los ciberdelincuentes suelen tener la idea de que atacar a un proveedor de servicios de TI es la mejor manera de encontrar muchos otros objetivos, gracias a la base de datos de usuarios del proveedor de servicios. Esto ha ocurrido anteriormente en ataques de ConnectWise, SolarWinds, Kaseya y otros proveedores que brindan servicios de TI y software.
Microsoft vio sabiamente este hecho, que sus socios podrían ser el mismo objetivo, y encontró una debilidad en la concesión de privilegios de administrador o privilegios de administrador delegado (DAP) otorgados por los socios para gestionar las compras de software de sus clientes.
Esta mejora proporcionada por Microsoft es parte de los Privilegios de Administración Delegados Granulares (GDAP), que, como su nombre indica, todavía permite a los socios administrar a sus clientes, pero ofrece un mejor control y sigue el principio de Confianza Cero, por lo que los socios están limitados a realizando determinadas acciones.
“GDAP permite a los socios solicitar y a los clientes aceptar roles específicos de Azure Active Directory, lo que permite a los socios realizar actividades con derechos de administrador, pero en nombre de los clientes”, dijo Microsoft.
Microsoft está muy interesado en este GDAP, y ayer 30 de junio anunciaron una notificación como la siguiente:
“A partir del 25 de julio, Microsoft proporcionará una herramienta que permitirá a los socios con privilegios de administrador delegados establecer conexiones GDAP con roles de Azure Active Directory, sin la aprobación del cliente”.
El motivo de Microsoft en este caso es muy simple: quiere que los socios adopten GDAP para que las interacciones con los clientes sean mucho más seguras.
Sin embargo, el socio no conservará este derecho de acceso para cambiar la plataforma del cliente por un período perpetuo. Esta herramienta solo funcionará hasta el 31 de octubre de 2022, después del cual el cliente deberá aprobar nuevamente la creación de una nueva conexión GDAP.
Sin embargo, durante los 98 días que transcurren desde el debut de la herramienta hasta el final de su vida útil, los socios pueden crear roles GDAP sin la intervención del cliente. microsoft proporcionará más información sobre esta herramienta el 11 de julio.
