Privileged Access Management per Servizi di dominio Active Directory

MIM Privileged Access Management (PAM) è una soluzione che consente alle organizzazioni di limitare l'accesso con privilegi all'interno di un ambiente Active Directory esistente e isolato.

Privileged Access Management ha due obiettivi principali:

  • Ristabilire il controllo in un ambiente Active Directory compromesso mantenendo un ambiente bastion separato che non sarà interessato da attacchi dannosi.
  • Isolare l'uso degli account con privilegi per ridurre il rischio di furto delle credenziali.

Nota

MIM PAM è distinto da Azure Active Directory Privileged Identity Management (PIM). MIM PAM è destinato agli ambienti active directory locali isolati. Azure AD PIM è un servizio in Azure AD che consente di gestire, controllare e monitorare l'accesso alle risorse in Azure AD, Azure e altri servizi Microsoft Online, ad esempio Microsoft 365 o Microsoft Intune. Per indicazioni sugli ambienti connessi a Internet locale e sugli ambienti ibridi, vedere Proteggere l'accesso con privilegi per altre informazioni.

Quali problemi MIM PAM aiutano a risolvere?

Oggi è troppo facile per gli utenti malintenzionati ottenere le credenziali dell'account Domain Admins ed è troppo difficile individuare questi attacchi dopo il fatto. L'obiettivo di PAM consiste nel ridurre le opportunità di accesso per gli utenti malintenzionati e aumentare il controllo e la consapevolezza dell'ambiente da parte dell'azienda.

PAM rende più difficile per gli autori di un attacco penetrare in una rete e ottenere l'accesso agli account con privilegi. PAM aggiunge la protezione ai gruppi con privilegi che controllano l'accesso per una gamma di computer appartenenti al dominio e per le applicazioni disponibili in tali computer. Aggiunge anche maggiore monitoraggio, maggiore visibilità e controlli più granulari. Ciò consente alle organizzazioni di vedere chi sono gli amministratori con privilegi e cosa stanno facendo. PAM offre alle organizzazioni informazioni più dettagliate sulla modalità d'uso degli account amministrativi nell'ambiente.

L'approccio PAM fornito da MIM è destinato a essere usato in un'architettura personalizzata per ambienti isolati in cui l'accesso a Internet non è disponibile, dove questa configurazione è richiesta dalla normativa o in ambienti isolati ad alto impatto, come laboratori di ricerca offline e tecnologie operative disconnesse o controllo di supervisione e ambienti di acquisizione dei dati. Se Active Directory fa parte di un ambiente connesso a Internet, vedere Proteggere l'accesso con privilegi per altre informazioni su dove iniziare.

Configurazione MIM PAM

PAM si basa sul principio dell'amministrazione JIT, che fa riferimento a Just Enough Administration (JEA). JEA è un toolkit di Windows PowerShell che definisce un set di comandi per l'esecuzione di attività con i privilegi. Si tratta di un endpoint in cui gli amministratori possono ottenere l'autorizzazione per eseguire i comandi. In JEA, un amministratore decide che gli utenti con privilegi specifici possono eseguire una determinata attività. Ogni volta che un utente idoneo deve eseguire tale attività, concedono l'autorizzazione. Le autorizzazioni scadono dopo un periodo di tempo specificato, in modo che un utente malintenzionato non possa rubare l'accesso.

Per l'installazione e il funzionamento di PAM sono previsti quattro passaggi.

PAM steps: prepare, protect, operate, monitor - diagram

  1. Preparazione: identificare i gruppi con privilegi significativi nella foresta esistente. Ricreare questi gruppi senza membri nella foresta bastion.
  2. Protezione: configurare la protezione del ciclo di vita e dell'autenticazione per quando gli utenti richiedono l'amministrazione just-in-time.
  3. Funzionamento: dopo aver soddisfatto i requisiti di autenticazione e aver approvato una richiesta, un account utente viene aggiunto temporaneamente a un gruppo con privilegi nella foresta bastion. Per un periodo di tempo preimpostato, l'amministratore ha tutti i privilegi e le autorizzazioni di accesso assegnati a tale gruppo. Trascorso il tempo definito, l'account viene rimosso dal gruppo.
  4. Monitoraggio: PAM aggiunge controllo, avvisi e report delle richieste di accesso con privilegi. È sempre possibile verificare la cronologia dell'accesso con privilegi e vedere chi ha eseguito una determinata attività. È possibile decidere se l'attività è valida o meno e identificare facilmente un'attività non autorizzata, ad esempio il tentativo di aggiungere un utente direttamente a un gruppo con privilegi nella foresta originale. Questo passaggio è importante non solo per identificare il software dannoso, ma anche per tenere traccia degli autori di attacchi "interni".

Come funziona MIM PAM?

PAM si basa su nuove funzionalità di Servizi di dominio Active Directory, in particolare per l'autenticazione e l'autorizzazione di account di dominio, e su nuove funzionalità di Microsoft Identity Manager. PAM consente di separare gli account con privilegi da un ambiente Active Directory esistente. Quando è necessario usare un account con privilegi, deve prima essere richiesto e quindi approvato. Dopo l'approvazione all'account con privilegi viene concessa l'autorizzazione tramite un gruppo principale esterno in una nuova foresta bastione, invece che nella foresta corrente dell'utente o dell'applicazione. L'uso di una foresta bastione offre all'organizzazione maggiore controllo, ad esempio quando un utente può essere membro di un gruppo con privilegi e come deve autenticarsi.

Anche Active Directory, il servizio MIM e altre parti di questa soluzione possono essere distribuiti in una configurazione a disponibilità elevata.

L'esempio seguente mostra il funzionamento di PIM più in dettaglio.

PIM process and participants - diagram

La foresta bastion rilascia criteri di appartenenza a gruppi con durata limitata, che a loro volta producono Ticket Granting Ticket (TGT) con durata limitata. I servizi o le applicazioni basate su Kerberos possono rispettare e applicare tali TGT, se i servizi e le app sono presenti nelle foreste che considerano attendibile la foresta bastion.

Gli account utente giornalieri non devono essere spostati in una nuova foresta. Ciò avviene anche per i computer, le applicazioni e i relativi gruppi. Rimangono dove sono attualmente in una foresta esistente. Si consideri l'esempio di un'organizzazione che è attualmente preoccupata per questi problemi riguardanti la sicurezza informatica, ma che non ha piani immediati di aggiornamento dell'infrastruttura server alla versione successiva di Windows Server. Questa organizzazione può comunque sfruttare il vantaggio offerto da questa soluzione combinata usando MIM e una nuova foresta bastione, in modo da controllare meglio l'accesso alle risorse esistenti.

PAM offre i vantaggi seguenti:

  • Isolamento/Definizione dell'ambito dei privilegi: gli utenti non dispongono di privilegi per gli account usati anche per attività senza privilegi, quali controllo della posta elettronica o esplorazione Internet. Gli utenti devono richiedere i privilegi. Le richieste vengono approvate o negate in base ai criteri MIM definiti da un amministratore di PAM. A meno che una richiesta sia approvata, l'accesso con privilegi non sarà disponibile.

  • Aggiornamento all'edizione superiore e prova: si tratta di nuovi test di autenticazione e autorizzazione per facilitare la gestione del ciclo di vita di account amministrativi distinti. L'utente può richiedere l'elevazione di un account amministrativo e tale richiesta viene inviata al flusso di lavoro di MIM.

  • Registrazione aggiuntiva: insieme ai flussi di lavoro predefiniti di MIM, esistono altre opzioni di registrazione per PAM che identificano la richiesta, come è stata autorizzata e gli eventi che si verificano dopo l'approvazione.

  • Flusso di lavoro personalizzabile: i flussi di lavoro MIM possono essere configurati per diversi scenari e si possono usare più flussi di lavoro, in base ai parametri dell'utente richiedente o dei ruoli richiesti.

In che modo gli utenti possono richiedere l'accesso con privilegi?

Esistono diversi modi in cui un utente può inviare una richiesta, tra cui:

  • API dei servizi Web di MIM
  • Endpoint REST
  • Windows PowerShell (New-PAMRequest)

Ottenere dettagli sui cmdlet di Privileged Access Management.

Quali flussi di lavoro e opzioni di monitoraggio sono disponibili?

Ad esempio, si supponga che un utente sia un membro di un gruppo amministrativo prima che PAM venga configurato. Nell'ambito della configurazione pam, l'utente viene rimosso dal gruppo amministrativo e viene creato un criterio in MIM. Il criterio specifica che se l'utente richiede privilegi amministrativi, la richiesta viene approvata e verrà aggiunto un account separato per l'utente al gruppo con privilegi nella foresta bastion.

Supponendo che la richiesta venga approvata, il flusso di lavoro azione comunica direttamente con la foresta Active Directory bastione per inserire un utente in un gruppo. Ad esempio, quando un utente chiede di amministrare il database delle risorse umane, entro pochi secondi il suo account amministrativo viene aggiunto al gruppo con privilegi nella foresta bastione. L'appartenenza dell'account amministrativo a tale gruppo scade dopo un limite di tempo. Con Windows Server 2016 o versioni successive, l'appartenenza è associata ad Active Directory con un limite di tempo.

Nota

Quando si aggiunge un nuovo membro a un gruppo, è necessario replicare la modifica in altri controller di dominio nella foresta bastione. La latenza di replica può influire sulla capacità per gli utenti di accedere alle risorse. Per altre informazioni sulla latenza di replica, vedere Funzionamento della topologia di replica di Active Directory.

Al contrario, un collegamento scaduto viene valutato in tempo reale da Gestione account di sicurezza (SAM). Anche se l'aggiunta di un membro del gruppo deve essere replicata dal controller di dominio che riceve la richiesta di accesso, la rimozione di un membro del gruppo viene valutata immediatamente in ogni controller di dominio.

Questo flusso di lavoro è concepito appositamente per questi account amministrativi. Gli amministratori (o gli script) che necessitano solo occasionalmente dell'accesso per gruppi con privilegi, possono richiedere esattamente questo accesso. MIM registra la richiesta e le modifiche in Active Directory, ed è possibile visualizzarle nel Visualizzatore eventi o inviare i dati alle soluzioni di monitoraggio aziendale, ad esempio System Center 2012, Operations Manager Audit Collection Services (ACS) o altri strumenti di terze parti.

Passaggi successivi