Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'aggiunta di un ambiente di bastione con una foresta amministrativa dedicata ad Active Directory consente alle organizzazioni di gestire account amministrativi, workstation e gruppi in un ambiente con controlli di sicurezza più robusti rispetto all'ambiente di produzione esistente.
Nota
L'approccio PAM con un ambiente bastion fornito da MIM è destinato a essere usato in un'architettura personalizzata per ambienti isolati in cui l'accesso a Internet non è disponibile, dove questa configurazione è richiesta dalla normativa o in ambienti isolati ad alto impatto, come laboratori di ricerca offline e tecnologie operative disconnesse o controllo e ambienti di acquisizione dei dati. Se Active Directory fa parte di un ambiente connesso a Internet, vedere proteggere l'accesso con privilegi per altre informazioni su dove iniziare.
Questa architettura abilita i controlli che non sono possibili o facilmente configurati in una singola architettura della foresta. Ciò include gli account di provisioning come utenti senza privilegi standard nella foresta amministrativa con privilegi elevati nell'ambiente di produzione, consentendo una maggiore imposizione tecnica della governance. Questa architettura consente anche l'uso della funzionalità di autenticazione selettiva di un trust come mezzo per limitare gli accessi (e l'esposizione delle credenziali) solo agli host autorizzati. In situazioni in cui si desidera un livello di garanzia più elevato per la foresta di produzione senza incorrere nei costi e nella complessità di una ricostruzione completa, una foresta amministrativa può offrire un ambiente che incrementa la sicurezza dell'ambiente di produzione.
È possibile usare tecniche aggiuntive oltre alla foresta amministrativa dedicata. Questi includono la limitazione della posizione in cui vengono esposte le credenziali amministrative, limitando i privilegi di ruolo degli utenti in tale foresta e assicurando che le attività amministrative non vengano eseguite sugli host usati per le attività utente standard (ad esempio, posta elettronica e esplorazione Web).
Una foresta amministrativa dedicata è una foresta Active Directory a dominio singolo standard usata per la gestione di Active Directory. Un vantaggio per l'uso di foreste e domini amministrativi è che possono avere più misure di sicurezza rispetto alle foreste di produzione a causa dei casi d'uso limitati. Inoltre, poiché questa foresta è separata e non si fida delle foreste esistenti dell'organizzazione, una compromissione della sicurezza in un'altra foresta non si estenderebbe a questa foresta dedicata.
La progettazione di una foresta amministrativa presenta le considerazioni seguenti:
Il valore di una foresta amministrativa è il livello elevato di garanzia di sicurezza e la superficie di attacco ridotta. La foresta può ospitare funzioni e applicazioni di gestione aggiuntive, ma ogni aumento dell'ambito aumenterà la superficie di attacco della foresta e delle relative risorse. L'obiettivo è limitare le funzioni della foresta per mantenere minima la superficie di attacco.
In base al modello livello di partizionamento dei privilegi amministrativi, gli account in una foresta amministrativa dedicata devono trovarsi in un singolo livello, in genere il livello 0 o il livello 1. Se una foresta è di livello 1, è consigliabile limitarla a un ambito specifico di applicazione (ad esempio, app finanziarie) o alla community degli utenti (ad esempio, fornitori IT in outsourcing).
La foresta di produzione CORP dovrebbe fidarsi della foresta amministrativa PRIV, ma non viceversa. Questo trust può essere un trust di dominio o un trust di foresta. Il dominio della foresta di amministrazione non ha bisogno di fidarsi dei domini gestiti e delle foreste per gestire Active Directory, sebbene altre applicazioni possano richiedere una relazione di trust bidirezionale, la convalida della sicurezza e il test.
L'autenticazione selettiva deve essere usata per garantire che gli account nella foresta di amministrazione usino solo gli host di produzione appropriati. Per mantenere i controller di dominio e delegare i diritti in Active Directory, in genere è necessario concedere il diritto "Accesso consentito" per i controller di dominio agli account amministratore di livello 0 designati nella foresta di amministrazione. Per altre informazioni, vedere Configurazione delle impostazioni di autenticazione selettiva .
Per garantire che l'ambiente bastion non sia interessato da eventi imprevisti di sicurezza esistenti o futuri in Active Directory aziendale, è consigliabile usare le linee guida seguenti per la preparazione dei sistemi per l'ambiente bastion:
I server Windows non devono essere aggiunti a un dominio o sfruttare la distribuzione di software o impostazioni dall'ambiente esistente.
L'ambiente bastion deve contenere i propri Servizi di dominio Active Directory, fornendo Kerberos e LDAP, DNS, servizi di sincronizzazione oraria, all'ambiente bastion.
MIM non deve usare una farm di database SQL nell'ambiente esistente. SQL Server deve essere distribuito in server dedicati nell'ambiente bastion.
L'ambiente bastion richiede Microsoft Identity Manager 2016, in particolare il servizio MIM e i componenti PAM devono essere distribuiti.
Il software di backup e i supporti per l'ambiente bastion devono essere mantenuti separati da quello dei sistemi nelle foreste esistenti, in modo che un amministratore nella foresta esistente non possa sottrarre un backup dell'ambiente bastion.
Gli utenti che gestiscono i server dell'ambiente bastion devono accedere dalle workstation che non sono accessibili agli amministratori nell'ambiente esistente, in modo che le credenziali per l'ambiente bastion non vengano perse.
Poiché l'amministrazione delle applicazioni verrà passata all'ambiente bastion, tenere conto di come fornire una disponibilità sufficiente per soddisfare i requisiti di tali applicazioni. Le tecniche includono:
Distribuire Servizi di dominio Active Directory in più computer nell'ambiente bastion. Almeno due sono necessarie per garantire l'autenticazione continua, anche se un server viene temporaneamente riavviato per la manutenzione pianificata. Potrebbero essere necessari computer aggiuntivi per un carico maggiore o per gestire risorse e amministratori basati su più aree geografiche.
Preparare gli account break-glass nella foresta esistente e nella foresta amministrativa dedicata, a scopo di emergenza.
Distribuire SQL Server e il servizio MIM in più computer nell'ambiente bastion.
Mantenere una copia di backup di ACTIVE Directory e SQL per ogni modifica apportata agli utenti o alle definizioni di ruolo nella foresta amministrativa dedicata.
La foresta amministrativa deve essere configurata per garantire i privilegi minimi, in base ai requisiti per l'amministrazione di Active Directory.
Gli account nella foresta di amministrazione utilizzati per gestire l'ambiente di produzione non dovrebbero ricevere privilegi amministrativi nella foresta di amministrazione stessa, nei domini in essa contenuti o nelle workstation.
I privilegi amministrativi sulla foresta di amministrazione stessa devono essere strettamente controllati tramite un processo offline per ridurre l'opportunità per un attaccante o un utente malintenzionato di cancellare i registri di audit. Ciò consente anche di garantire che il personale con account amministratore di produzione non possa ridurre le restrizioni relative agli account e aumentare il rischio per l'organizzazione.
La foresta amministrativa deve seguire le configurazioni di Microsoft Security Compliance Manager (SCM) per il dominio, incluse le configurazioni complesse per i protocolli di autenticazione.
Quando si crea l'ambiente bastion, prima di installare Microsoft Identity Manager, identificare e creare gli account che verranno usati per l'amministrazione all'interno di questo ambiente. Questo includerà:
Gli account break glass devono essere in grado di accedere solo ai controller di dominio nell'ambiente bastion.
Gli amministratori "Red Card" effettuano il provisioning di altri account ed eseguono la manutenzione non pianificata. A questi account non viene fornito alcun accesso a foreste o sistemi esistenti all'esterno dell'ambiente bastion. Le credenziali, ad esempio una smart card, devono essere protette fisicamente e l'uso di questi account deve essere registrato.
Account di servizio necessari per Microsoft Identity Manager, SQL Server e altro software.
Tutti gli host, inclusi controller di dominio, server e workstation aggiunti alla foresta amministrativa devono avere i sistemi operativi e i Service Pack più recenti installati e aggiornati.
Le applicazioni necessarie per l'esecuzione dell'amministrazione devono essere preinstallate nelle workstation in modo che gli account che li usano non debbano trovarsi nel gruppo administrators locale per installarle. La manutenzione del controller di dominio può in genere essere eseguita con RDP e strumenti di amministrazione remota del server.
Gli host della foresta di amministrazione devono essere aggiornati automaticamente con gli aggiornamenti della sicurezza. Anche se ciò può comportare il rischio di interrompere le operazioni di manutenzione del controller di dominio, offre una mitigazione significativa del rischio di sicurezza di vulnerabilità senza patch.
Il rischio di un sistema o di una workstation deve essere misurato in base all'attività di rischio più elevata che viene eseguita su di essa, ad esempio esplorazione Internet, invio e ricezione di posta elettronica o l'uso di altre applicazioni che elaborano contenuti sconosciuti o non attendibili.
Gli host amministrativi includono i computer seguenti:
Desktop in cui le credenziali dell'amministratore vengono digitate o immesse fisicamente.
Server jump amministrativi in cui vengono eseguiti sessioni e strumenti amministrativi.
Tutti gli host in cui vengono eseguite azioni amministrative, incluse quelle che usano un desktop utente standard che esegue un client RDP per amministrare in remoto server e applicazioni.
I server che ospitano applicazioni che devono essere amministrate e non sono accessibili tramite RDP con la modalità di amministrazione con restrizioni o la comunicazione remota di Windows PowerShell.
Anche se scomode, è possibile che siano necessarie workstation con protezione avanzata separate dedicate agli utenti con credenziali amministrative ad alto impatto. È importante fornire a un host un livello di sicurezza uguale o superiore al livello dei privilegi assegnati alle credenziali. È consigliabile incorporare le misure seguenti per una protezione aggiuntiva:
Verificare che tutti i supporti del build siano puliti per mitigare il rischio di malware installato in un'immagine master o iniettato in un file di installazione durante il download o l'archiviazione.
Le baseline di sicurezza devono essere usate come configurazioni di avvio. Microsoft Security Compliance Manager (SCM) consente di configurare le baseline negli host amministrativi.
Avvio protetto per attenuare gli attacchi o il malware che tenta di caricare codice non firmato nel processo di avvio.
Restrizione software per garantire che solo il software amministrativo autorizzato venga eseguito negli host amministrativi. I clienti possono usare AppLocker per questa attività con un elenco approvato di applicazioni autorizzate, per impedire l'esecuzione di software dannoso e applicazioni non supportate.
Crittografia completa del volume per ridurre i rischi di perdita fisica dei computer, come i portatili amministrativi utilizzati in remoto.
Restrizioni USB per la protezione contro l'infezione fisica.
Isolamento della rete per la protezione da attacchi di rete e azioni di amministrazione accidentali. I firewall host devono bloccare tutte le connessioni in ingresso ad eccezione di quelle richieste in modo esplicito e bloccare tutti gli accessi Internet in uscita non necessari.
Antimalware per la protezione da minacce e malware noti.
Mitigazioni degli exploit per contrastare le minacce e gli exploit sconosciuti, incluso l'Enhanced Mitigation Experience Toolkit (EMET).
Analisi della superficie di attacco per impedire l'introduzione di nuovi vettori di attacco a Windows durante l'installazione di un nuovo software. Strumenti come Attack Surface Analyzer (ASA) consentono di valutare le impostazioni di configurazione in un host e identificare i vettori di attacco introdotti da modifiche software o di configurazione.
I privilegi amministrativi non devono essere assegnati agli utenti nel computer locale.
Modalità RestrictedAdmin per le sessioni RDP in uscita, tranne quando richiesto dal ruolo. Per altre informazioni, vedere Novità di Servizi Desktop remoto in Windows Server .
Alcune di queste misure potrebbero sembrare estreme, ma le rivelazioni pubbliche negli ultimi anni hanno illustrato le significative capacità che gli avversari esperti possiedono per compromettere gli obiettivi.
MIM usa i cmdlet di PowerShell per stabilire un trust tra i domini di Active Directory esistenti e la foresta amministrativa dedicata nell'ambiente bastion. Dopo aver distribuito l'ambiente bastion e prima che tutti gli utenti o i gruppi vengano convertiti in JIT, i New-PAMTrust cmdlet e New-PAMDomainConfiguration aggiorneranno le relazioni di trust del dominio e creeranno gli artefatti necessari per AD e MIM.
Quando la topologia di Active Directory esistente viene modificata, i Test-PAMTrustcmdlet , Test-PAMDomainConfigurationRemove-PAMTrust e Remove-PAMDomainConfiguration possono essere usati per aggiornare le relazioni di trust.
Il New-PAMTrust cmdlet deve essere eseguito una sola volta per ogni foresta esistente. Viene richiamato nel computer del servizio MIM nel dominio amministrativo. I parametri di questo comando sono il nome di dominio del dominio principale della foresta esistente e le credenziali di un amministratore di tale dominio.
New-PAMTrust -SourceForest "contoso.local" -Credentials (get-credential)
Dopo aver stabilito l'attendibilità, configurare ogni dominio per abilitare la gestione dall'ambiente bastion, come descritto nella sezione successiva.
Esistono sette requisiti per abilitare la gestione per un dominio esistente.
Deve essere presente un gruppo nel dominio esistente, il cui nome è il nome di dominio NetBIOS seguito da tre segni di dollaro, ad esempio CONTOSO$$$. L'ambito del gruppo deve essere locale del dominio e il tipo di gruppo deve essere Sicurezza. Questa operazione è necessaria per la creazione di gruppi nella foresta amministrativa dedicata con lo stesso identificatore di sicurezza dei gruppi in questo dominio. Creare questo gruppo con il comando di PowerShell seguente, eseguito da un amministratore del dominio esistente ed eseguito in una workstation aggiunta al dominio esistente:
New-ADGroup -name 'CONTOSO$$$' -GroupCategory Security -GroupScope DomainLocal -SamAccountName 'CONTOSO$$$'
Le impostazioni dei criteri di gruppo nel controller di dominio per la verifica devono includere sia la verifica dei successi che degli errori per la gestione degli account e l'accesso al servizio directory. Questa operazione può essere eseguita con la console di gestione di Criteri di gruppo, eseguita da un amministratore del dominio esistente ed eseguita in una workstation aggiunta al dominio esistente:
Passare a Start>Strumenti di amministrazione>Gestione Criteri di gruppo.
Passare a Foresta: contoso.local>Domini>contoso.local>Controller di dominio>Criterio controller di dominio predefiniti. Verrà visualizzato un messaggio informativo.
Fare clic con il pulsante destro del mouse su Criteri controller di dominio predefiniti e scegliere Modifica. Verrà visualizzata una nuova finestra.
Nella finestra Editor Gestione Criteri di Gruppo, sotto l'albero Criteri Controller di Dominio Predefiniti, passare a Configurazione computer >Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri locali>Criteri di controllo.
Nel riquadro dei dettagli, fai clic con il tasto destro del mouse su Gestione audit account e seleziona Proprietà. Selezionare Definisci queste impostazioni dei criteri, inserire una casella di controllo in Operazione riuscita, inserire una casella di controllo in Errore, fare clic su Applica e OK.
Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su Verifica accesso al servizio directory e selezionare Proprietà. Selezionare Definisci queste impostazioni dei criteri, inserire una casella di controllo in Operazione riuscita, inserire una casella di controllo in Errore, fare clic su Applica e OK.
Chiudi la finestra dell'Editor di Gestione dei Criteri di Gruppo e la finestra della Gestione dei Criteri di Gruppo. Applicare quindi le impostazioni di controllo avviando una finestra di PowerShell e digitando:
gpupdate /force /target:computer
Il messaggio "L'aggiornamento della politica del computer è stato completato con successo." dovrebbe apparire dopo alcuni minuti.
I controller di dominio devono consentire all'autorità di sicurezza locale (LSA) le connessioni RPC su TCP/IP provenienti dall'ambiente bastion. Nelle versioni precedenti di Windows Server, il supporto TCP/IP in LSA deve essere abilitato nel Registro di sistema:
New-ItemProperty -Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa -Name TcpipClientSupport -PropertyType DWORD -Value 1
Il New-PAMDomainConfiguration cmdlet deve essere eseguito nel computer del servizio MIM nel dominio amministrativo. I parametri di questo comando sono il nome di dominio del dominio esistente e le credenziali di un amministratore di tale dominio.
New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials (get-credential)
Gli account nella foresta bastion utilizzati per stabilire ruoli, come gli amministratori che usano i cmdlet New-PAMUser e New-PAMGroup, nonché l'account utilizzato dal servizio di monitoraggio MIM, necessitano di permessi di lettura in quel dominio.
La procedura seguente abilita l'accesso in lettura per l'utente PRIV\Administrator al dominio Contoso all'interno del controller di dominio CORPDC :
Assicurarsi di aver eseguito l'accesso a CORPDC come amministratore di dominio Contoso, ad esempio Contoso\Administrator.
Avvia Utenti e Computer di Active Directory.
Fare clic con il pulsante destro del mouse sul dominio contoso.local e scegliere Delega controllo.
Nella scheda Utenti e gruppi selezionati fare clic su Aggiungi.
Nel popup Seleziona utenti, computer o gruppi fare clic su Posizioni e modificare il percorso in priv.contoso.local. Nel nome dell'oggetto digitare Domain Admins e fare clic su Controlla nomi. Quando viene visualizzata una finestra popup, per il nome utente digitare priv\administrator e la password.
Dopo Domain Admins, digitare ; MIMMonitor. Dopo che i nomi Domain Admins e MIMMonitor sono sottolineati, fare clic su OK, quindi fare clic su Avanti.
Nell'elenco delle attività comuni selezionare Leggi tutte le informazioni utente, quindi fare clic su Avanti e Fine.
Chiudi Utenti e Computer di Active Directory.
Se l'obiettivo del progetto di gestione degli accessi con privilegi è ridurre il numero di account con privilegi di amministratore di dominio assegnati in modo permanente al dominio, è necessario che nel dominio sia presente un account break glass , nel caso in cui si verifichi un problema successivo con la relazione di trust. Gli account per l'accesso di emergenza alla foresta di produzione devono esistere in ogni dominio e devono essere in grado di accedere solo ai controller di dominio. Per le organizzazioni con più siti, potrebbero essere necessari conti utente aggiuntivi per l'autonomia operativa.
Esaminare le autorizzazioni per l'oggetto AdminSDHolder nel contenitore di sistema in tale dominio. L'oggetto AdminSDHolder ha un elenco di controllo di accesso (ACL) univoco, usato per controllare le autorizzazioni delle entità di sicurezza che sono membri di gruppi di Active Directory con privilegi predefiniti. Si noti se sono state apportate modifiche alle autorizzazioni predefinite che potrebbero influire sugli utenti con privilegi amministrativi nel dominio, poiché tali autorizzazioni non verranno applicate agli utenti il cui account si trova nell'ambiente bastion.
Il passaggio successivo consiste nel definire i ruoli PAM, associando gli utenti e i gruppi a cui devono avere accesso. Questi utenti e gruppi saranno generalmente un sottoinsieme degli utenti e gruppi del livello identificato come gestito nell'ambiente bastion. Per altre informazioni, vedere Definizione dei ruoli per Privileged Access Management.