A rendszergazdai jogosultságok felosztásának rétegmodelljeTier model for partitioning administrative privileges

Ebben a cikkben egy olyan biztonsági modellel ismerkedhet meg, amely a jogok kiterjesztéséből adódó támadásokkal szembeni védelmet a magas szintű jogosultságokat igénylő tevékenységek és a nagy kockázatú zónák elkülönítésével biztosítja.This article describes a security model intended to protect against elevation of privilege by segregating high-privilege activities from high-risk zones. Ez a modell úgy tartja fenn a jó felhasználói élményt, hogy közben alkalmazza az ajánlott eljárásokat és biztonsági alapelveket.This model provides a good user experience while still adhering to best practices and security principles.

A jogok kiterjesztése az Active Directory-erdőkbenElevation of Privilege in Active Directory forests

A Windows Server Active Directory- (AD-) erdőkhöz állandó rendszergazdai jogosultságokkal rendelkező felhasználók, szolgáltatások és alkalmazások fiókjai komoly kockázatot jelentenek a szervezet céljaira és üzleti tevékenységeire nézve.Users, services, or applications accounts that are granted permanent administrative privileges to Windows Server Active Directory (AD) forests introduce a significant amount of risk to the organization’s mission and business. Ezek a fiókok gyakran válnak a támadók, mert ha sérül a biztonságuk, a támadó jogosultsága csatlakozni más kiszolgálóihoz vagy alkalmazásaihoz a tartományban.These accounts are often targeted by attackers because if they are compromised, the attacker has rights to connect to other servers or applications in the domain.

A rétegmodell annak alapján választja szét egymástól a rendszergazdákat, hogy milyen erőforrásokat kezelnek.The tier model creates divisions between administrators based on what resources they manage. A felhasználói munkaállomások felett irányítással rendelkező rendszergazdák elkülönülnek azoktól, akik alkalmazásokat vagy vállalati identitásokat kezelnek.Admins with control over user workstations are separated from those that control applications, or manage enterprise identities. A modellel kapcsolatos további tudnivalók a Securing privileged access reference material (A rendszerjogosultságú hozzáférés biztonságossá tételének referenciaanyagai) című témakörben olvashatók.Learn about this model in the Securing privileged access reference material.

Hitelesítő adatok veszélyeztetettségének korlátozása bejelentkezési korlátozásokkalRestricting credential exposure with logon restrictions

A rendszergazdai fiókokhoz tartozó hitelesítő adatok ellopásának kockázata általában a rendszergazdák munkamódszereinek átalakításával csökkenthető, ezáltal korlátozható a támadóknak való kiszolgáltatottság.Reducing credential theft risk for administrative accounts typically requires reshaping administrative practices to limit exposure to attackers. Első lépésként az alábbi intézkedéseket javasoljuk a szervezeteknek:As a first step, organizations are advised to:

  • Korlátozzák azoknak a gépeknek a számát, amelyeken elérhetők a rendszergazdai hitelesítő adatok.Limit the number of hosts on which administrative credentials are exposed.
  • Korlátozzák a szerepkörök jogosultságait a lehető legkevesebbre.Limit role privileges to the minimum required.
  • Semmiképpen ne végezzenek rendszergazdai feladatokat olyan gazdagépeken, amelyeket hagyományos felhasználói műveletekre (például levelezésre vagy böngészésre) használnak.Ensure administrative tasks are not performed on hosts used for standard user activities (for example, email and web browsing).

A következő lépés a bejelentkezési korlátozások megvalósítása, illetve a rétegmodell követelményeit kielégítő folyamatok és műveletek feltételeinek megteremtése.The next step is to implement logon restrictions and enable processes and practices to adhere to the tier model requirements. Ideális esetben a hitelesítő adatokhoz való hozzáférést is le kell csökkenteni az egyes rétegeken belül az adott szerepkörhöz szükséges legalacsonyabb jogosultsági szintre.Ideally, credential exposure should also be reduced to the least privilege required for the role within each tier.

Bejelentkezési korlátozásokat kell érvényesíteni annak érdekében, hogy a kiemelt jogosultságokkal rendelkező fiókok ne férjenek hozzá a kevésbé biztonságos erőforrásokhoz.Logon restrictions should be enforced to ensure that highly privileged accounts do not have access to less secure resources. Például:For example:

  • A tartományi rendszergazdák (0. szint) nem tudnak bejelentkezni a vállalati kiszolgálókra (1. szint) és a normál felhasználói munkaállomásokra (2. szint).Domain admins (tier 0) cannot log on to enterprise servers (tier 1) and standard user workstations (tier 2).
  • A kiszolgálói rendszergazdák (1. szint) nem tudnak bejelentkezni a normál felhasználói munkaállomásokra (2. szint).Server administrators (tier 1) cannot log on to standard user workstations (tier 2).

Megjegyzés

A kiszolgálói rendszergazdák ne tartozzanak a tartományi rendszergazdák csoportjához.Server administrators should not be in to the domain admin group. A tartományvezérlőkért és a vállalati kiszolgálókért felelő személyzetnek külön fiókokat kell biztosítani.Personnel with responsibilities for managing both domain controllers and enterprise servers should be given separate accounts.

A bejelentkezési korlátozásokat a következőkkel lehet érvényesíteni:Logon restrictions can be enforced with:

  • Csoportházirendek bejelentkezési jogmegadásának korlátozása, beleértve:Group Policy Logon Rights Restrictions, including:
    • A számítógép hálózati elérésének megtagadásaDeny access to this computer from the network
    • Kötegelt feladatként való bejelentkezés megtagadásaDeny logon as a batch job
    • Szolgáltatásként való bejelentkezés megtagadásaDeny logon as a service
    • Helyi bejelentkezés megtagadásaDeny logon locally
    • Távoli asztali beállításokkal való bejelentkezés megtagadásaDeny logon through Remote Desktop settings
  • Hitelesítési házirendek és silók alkalmazása Windows Server 2012 vagy újabb rendszer használata eseténAuthentication policies and silos, if using Windows Server 2012 or later
  • Szelektív hitelesítés használata, ha a fiók dedikált rendszergazdai erdőben találhatóSelective authentication, if the account is in a dedicated admin forest

További lépésekNext steps