Implementazione di host amministrativi protetti

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Gli host amministrativi protetti sono workstation o server configurati in modo specifico per la creazione di piattaforme sicure da cui gli account con privilegi possono eseguire attività amministrative in Active Directory o in controller di dominio, sistemi aggiunti a un dominio e applicazioni in esecuzione nei sistemi aggiunti a un dominio. In questo caso, gli "account con privilegi" sono non solo agli account membri dei gruppi con privilegi più elevati in Active Directory, ma tutti gli account con diritti delegati e autorizzazioni che consentono l'esecuzione di attività amministrative.

Questi account possono essere account dell'help desk che sono in grado di reimpostare le password per la maggior parte degli utenti in un dominio, account usati per amministrare record e zone DNS o account usati per la gestione della configurazione. Gli host amministrativi protetti sono dedicati alle funzionalità amministrative e non eseguono software come applicazioni di posta elettronica, Web browser o software di produttività, ad esempio Microsoft Office.

Anche se gli account e i gruppi "con privilegi più elevati" devono essere di conseguenza quelli protetti più rigorosamente, ciò non elimina la necessità di proteggere gli account e i gruppi a cui sono stati concessi privilegi superiori a quelli degli account di utenti standard.

Un host amministrativo protetto può essere una workstation dedicata usata solo per le attività amministrative, un server membro che esegue il ruolo del server Gateway Desktop remoto e a cui gli utenti IT si connettono per eseguire l'amministrazione degli host di destinazione o un server che esegue il ruolo Hyper-V e fornisce una macchina virtuale unica per ogni utente IT da usare per le attività amministrative. In molti ambienti è possibile implementare combinazioni di tutti e tre gli approcci.

L'implementazione di host amministrativi protetti richiede una pianificazione e una configurazione coerenti con le dimensioni dell'organizzazione, le procedure amministrative, la propensione al rischio e il budget. Le considerazioni e le opzioni per l'implementazione di host amministrativi protetti sono disponibili qui per consentire lo sviluppo di una strategia amministrativa adatta per l'organizzazione.

Principi per la creazione di host amministrativi protetti

Per proteggere efficacemente i sistemi dagli attacchi, è necessario tenere presenti alcuni principi generali:

  1. Non è mai consigliabile amministrare un sistema attendibile (ovvero un server sicuro, ad esempio un controller di dominio) da un host meno attendibile (ovvero una workstation non protetta allo stesso livello dei sistemi che gestisce).

  2. Non è consigliabile basarsi su un singolo fattore di autenticazione quando si eseguono attività con privilegi; vale a dire che le combinazioni di nome utente e password non devono essere considerate autenticazioni accettabili perché è rappresentato solo un singolo fattore (un elemento noto all'utente). Prendere in considerazione la posizione in cui le credenziali vengono generate e memorizzate nella cache o archiviate negli scenari amministrativi.

  3. Anche se la maggior parte degli attacchi nel panorama attuale delle minacce sfrutta malware e intrusioni dannosi, non omettere la sicurezza fisica durante la progettazione e l'implementazione di host amministrativi protetti.

Configurazione dell'account

Anche se l'organizzazione non usa attualmente le smart card, è consigliabile implementarle per gli account con privilegi e per gli host amministrativi protetti. Gli host amministrativi devono essere configurati per richiedere l'accesso tramite smart card per tutti gli account modificando l'impostazione seguente in un oggetto Criteri di gruppo collegato alle unità organizzative che contengono gli host amministrativi:

Configurazione computer\Criteri\Impostazioni di Windows\Criteri locali\Opzioni di sicurezza\Accesso interattivo: Richiedi smart card

Questa impostazione richiederà che tutti gli accessi interattivi usino una smart card, indipendentemente dalla configurazione in un singolo account in Active Directory.

È anche consigliabile configurare host amministrativi protetti per consentire l'accesso solo da account autorizzati. Questa operazione può essere eseguita in:

Configurazione computer\Criteri\Impostazioni di Windows\Criteri locali\Impostazioni protezione\Criteri locali\Assegnazione diritti utente

Ciò concede diritti di accesso interattivi (e, ove appropriato, Servizi Desktop remoto) solo agli utenti autorizzati dell'host amministrativo protetto.

Sicurezza fisica

Affinché gli host amministrativi siano considerati attendibili, devono essere configurati e protetti allo stesso livello dei sistemi che gestiscono. La maggior parte delle raccomandazioni fornite in Protezione dei controller di dominio dagli attacchi è applicabile anche agli host usati per amministrare i controller di dominio e il database di Active Directory Domain Services. Una delle difficoltà legate all'implementazione dei sistemi amministrativi sicuri nella maggior parte degli ambienti è che la sicurezza fisica può essere più difficile da implementare perché questi computer spesso si trovano in aree non sicure come i server ospitati nei data center, ad esempio i desktop degli utenti amministratori.

La sicurezza fisica include il controllo dell'accesso fisico agli host amministrativi. In un'organizzazione di piccole dimensioni, questo può significare che si mantiene una workstation amministrativa dedicata che è bloccata in un ufficio o nel cassetto di una scrivania quando non è in uso. Oppure può significare che quando è necessario eseguire l'amministrazione di Active Directory o dei controller di dominio, si accede direttamente al controller di dominio.

Nelle organizzazioni di medie dimensioni, è possibile considerare l'implementazione di "jump server" amministrativi sicuri che si trovano in una posizione protetta in un ufficio e vengono usati quando è necessaria la gestione di Active Directory o del controller di dominio. È anche possibile implementare workstation amministrative bloccate in posizioni sicure quando non sono in uso, con o senza jump server.

Nelle organizzazioni di grandi dimensioni è possibile distribuire jump server ospitati nel data center che forniscono un accesso rigorosamente controllato ad Active Directory, controller di dominio, file server, server di stampa o server applicazioni. È molto probabile che l'implementazione di un'architettura di jump server includa una combinazione di workstation e server sicuri in ambienti di grandi dimensioni.

Indipendentemente dalle dimensioni dell'organizzazione e dalla progettazione degli host amministrativi, è consigliabile proteggere i computer fisici da accessi non autorizzati o furti e usare Crittografia unità BitLocker per crittografare e proteggere le unità negli host amministrativi. Implementando BitLocker negli host amministrativi, anche se un host viene rubato o i relativi dischi vengono rimossi, è possibile assicurarsi che i dati nell'unità non siano accessibili agli utenti non autorizzati.

Versioni e configurazione del sistema operativo

Tutti gli host amministrativi, che si tratti di server o workstation, devono eseguire il sistema operativo più recente in uso nell'organizzazione per i motivi descritti in precedenza in questo documento. Eseguendo i sistemi operativi correnti, il personale amministrativo trae vantaggio dalle nuove funzionalità di sicurezza, dal supporto completo del fornitore e dalle funzionalità aggiuntive introdotte nel sistema operativo. Inoltre, quando si valuta un nuovo sistema operativo, distribuendolo prima negli host amministrativi, l'utente dovrà acquisire familiarità con le nuove funzionalità, le impostazioni e i meccanismi di gestione offerti, che possono essere successivamente sfruttati nella pianificazione di una distribuzione più ampia del sistema operativo. Per allora, gli utenti più preparati dell'organizzazione saranno anche gli utenti che hanno familiarità con il nuovo sistema operativo e meglio adatti a supportarlo.

Configurazione guidata impostazioni di sicurezza Microsoft

Se si implementano i jump server come parte della strategia dell'host amministrativo, è consigliabile usare la Configurazione guidata impostazioni di sicurezza predefinita per configurare le impostazioni del servizio, del Registro di sistema, del controllo e del firewall per ridurre la superficie di attacco del server. Dopo che le impostazioni di configurazione della Configurazione guidata impostazioni di sicurezza sono state raccolte e configurate, possono essere convertite in un oggetto Criteri di gruppo usato per applicare una configurazione di base coerente in tutti i jump server. È possibile modificare ulteriormente l'oggetto Criteri di gruppo per implementare impostazioni di sicurezza specifiche per i jump server e combinare tutte le impostazioni con impostazioni di base aggiuntive estratte da Microsoft Security Compliance Manager.

Microsoft Security Compliance Manager

Microsoft Security Compliance Manager è uno strumento disponibile gratuitamente che integra le configurazioni di sicurezza consigliate da Microsoft, in base alla versione del sistema operativo e alla configurazione del ruolo, e le raccoglie in un unico strumento e in un'unica interfaccia utente che possono essere usati per creare e configurare le impostazioni di protezione di base per i controller di dominio. I modelli di Microsoft Security Compliance Manager possono essere combinati con le impostazioni della Configurazione guidata impostazioni di sicurezza per produrre linee di base di configurazione complete per i jump server distribuiti e applicati dagli oggetti Criteri di gruppo distribuiti nelle unità organizzative in cui si trovano i jump server in Active Directory.

Nota

A partire da questo articolo, Microsoft Security Compliance Manager non include impostazioni specifiche per i jump server o altri host amministrativi protetti, ma Security Compliance Manager (SCM) può comunque essere usato per creare linee di base iniziali per gli host amministrativi. Per proteggere adeguatamente gli host, tuttavia, è necessario applicare impostazioni di sicurezza aggiuntive appropriate per workstation e server altamente protetti.

AppLocker

Gli host amministrativi e le macchine virtuali devono essere configurati con script, strumenti e applicazioni tramite AppLocker o un software di restrizioni per le applicazioni di terze parti. Tutte le applicazioni amministrative o le utilità che non rispettano le impostazioni di sicurezza devono essere aggiornate o sostituite con strumenti conformi alle procedure di sviluppo e amministrazione sicure. Quando sono necessari strumenti nuovi o aggiuntivi in un host amministrativo, le applicazioni e le utilità devono essere testate accuratamente e, se gli strumenti sono adatti alla distribuzione negli host amministrativi, è possibile aggiungerli ai sistemi.

Restrizioni RDP

Anche se la configurazione specifica varia a seconda dell'architettura dei sistemi amministrativi, è necessario includere restrizioni relative agli account e ai computer che possono essere usati per stabilire connessioni RDP (Remote Desktop Protocol) verso sistemi gestiti, ad esempio l'uso di jump server Gateway Desktop remoto per controllare l'accesso ai controller di dominio e ad altri sistemi gestiti da parte di utenti e sistemi autorizzati.

È consigliabile consentire gli accessi interattivi da parte degli utenti autorizzati e rimuovere o persino bloccare altri tipi di accesso non necessari per l'accesso al server.

Gestione di patch e configurazioni

Le organizzazioni più piccole possono basarsi su offerte come Windows Update o Windows Server Update Services (WSUS) per gestire la distribuzione degli aggiornamenti nei sistemi Windows, mentre le organizzazioni più grandi possono implementare software aziendali di gestione delle patch e delle configurazioni, ad esempio Microsoft Endpoint Configuration Manager. Indipendentemente dai meccanismi usati per distribuire gli aggiornamenti agli utenti generici di server e workstation, è consigliabile prendere in considerazione distribuzioni separate per sistemi altamente sicuri, ad esempio controller di dominio, autorità di certificazione e host amministrativi. Separando questi sistemi dall'infrastruttura di gestione generale, se i software di gestione o gli account del servizio vengono compromessi, la compromissione non può essere facilmente estesa ai sistemi più sicuri nell'infrastruttura.

Anche se non è consigliabile implementare processi di aggiornamento manuali per i sistemi sicuri, è consigliabile configurare un'infrastruttura separata per il loro aggiornamento. Anche in organizzazioni molto grandi, questa infrastruttura può in genere essere implementata tramite server WSUS dedicati e oggetti Criteri di gruppo per sistemi protetti.

Blocco dell'accesso a Internet

Gli host amministrativi non devono essere autorizzati ad accedere a Internet, né devono essere in grado di esplorare la rete Intranet di un'organizzazione. I Web browser e le applicazioni simili non devono essere consentiti negli host amministrativi. È possibile bloccare l'accesso a Internet per gli host sicuri tramite una combinazione di impostazioni del firewall perimetrale, configurazione WFAS e configurazione proxy "black hole" negli host sicuri. È anche possibile usare l'elenco elementi consentiti delle applicazioni per impedire l'uso di Web browser negli host amministrativi.

Virtualizzazione

Se possibile, prendere in considerazione l'implementazione di macchine virtuali come host amministrativi. Usando la virtualizzazione, è possibile creare sistemi amministrativi per utente archiviati e gestiti centralmente e che possono essere facilmente arrestati quando non sono in uso, assicurandosi che le credenziali non siano attive nei sistemi amministrativi. È anche possibile richiedere che gli host amministrativi virtuali vengano reimpostati su uno snapshot iniziale dopo ogni uso, assicurandosi che le macchine virtuali rimangano intatte. Altre informazioni sulle opzioni per la virtualizzazione degli host amministrativi sono disponibili nella sezione seguente.

Approcci di esempio per l'implementazione degli host amministrativi protetti

Indipendentemente dal modo in cui si progetta e si distribuisce l'infrastruttura dell'host amministrativo, tenere presenti le linee guida fornite prima in "Principi per la creazione di host amministrativi protetti" in questo argomento. Ognuno degli approcci descritti qui fornisce informazioni generali su come separare i sistemi "amministrativi" e di "produttività" usati dal personale IT. I sistemi di produttività sono computer usati dagli amministratori IT per controllare la posta elettronica, esplorare Internet e usare software di produttività generici, ad esempio Microsoft Office. I sistemi amministrativi sono computer con protezione avanzata e dedicati all'uso per l'amministrazione quotidiana di un ambiente IT.

Il modo più semplice per implementare gli host amministrativi protetti consiste nel fornire al personale IT workstation protette da cui è possibile eseguire attività amministrative. Nell'implementazione delle sole workstation, ogni workstation amministrativa viene usata per avviare strumenti di gestione e connessioni RDP per gestire i server e altre infrastrutture. Le implementazioni delle sole workstation possono essere efficaci nelle organizzazioni più piccole, anche se infrastrutture più grandi e complesse possono trarre vantaggio da una progettazione distribuita per gli host amministrativi in cui vengono usati server e workstation amministrativi dedicati, come descritto in "Implementazione di workstation amministrative e jump server sicuri" più avanti in questo argomento.

Implementazione di workstation fisiche separate

Un modo per implementare gli host amministrativi consiste nel rilasciare a ogni utente IT due workstation. Una workstation viene usata con un account utente "normale" per eseguire attività quali il controllo della posta elettronica e l'uso delle applicazioni di produttività, mentre la seconda workstation è dedicata esclusivamente alle funzioni amministrative.

Per la workstation di produttività, al personale IT possono essere assegnati account utente normali anziché usare account con privilegi per accedere a computer non protetti. La workstation amministrativa deve essere configurata con una configurazione rigorosamente controllata e il personale IT deve usare un account diverso per accedere alla workstation amministrativa.

Se sono state implementate le smart card, le workstation amministrative devono essere configurate per richiedere l'accesso tramite smart card e al personale IT devono essere assegnati account separati per l'uso amministrativo, configurati anche per richiedere smart card per l'accesso interattivo. L'host amministrativo deve essere sottoposto a protezione avanzata come descritto in precedenza e solo gli utenti IT designati devono poter accedere in locale alla workstation amministrativa.

Vantaggi

Implementando sistemi fisici separati, è possibile assicurarsi che ogni computer sia configurato in modo appropriato per il proprio ruolo e che gli utenti IT non possano esporre inavvertitamente al rischio i sistemi amministrativi.

Svantaggi

  • L'implementazione di computer fisici separati aumenta i costi hardware.

  • L'accesso a un computer fisico con credenziali usate per amministrare i sistemi remoti memorizza le credenziali nella cache della memoria.

  • Se le workstation amministrative non vengono archiviate in modo sicuro, potrebbero essere soggette a compromissioni tramite meccanismi quali keystroke logger di hardware fisico o altri attacchi fisici.

Implementazione di una workstation fisica sicura con una workstation di produttività virtualizzata

In questo approccio, agli utenti IT viene assegnata una workstation amministrativa protetta da cui possono eseguire funzioni amministrative quotidiane, usando Strumenti di amministrazione remota del server o connessioni RDP ai server nel loro ambito di responsabilità. Quando gli utenti IT devono eseguire attività di produttività, possono connettersi tramite RDP a una workstation di produttività remota in esecuzione come macchina virtuale. Le credenziali separate devono essere usate per ogni workstation e devono essere implementati controlli come le smart card.

Vantaggi

  • Le workstation amministrative e le workstation di produttività sono separate.

  • Il personale IT che usa workstation sicure per connettersi alle workstation di produttività può usare credenziali e smart card separate e le credenziali con privilegi non vengono depositate nel computer meno sicuro.

Svantaggi

  • L'implementazione della soluzione richiede operazioni di progettazione e implementazione e opzioni di virtualizzazione solide.

  • Se le workstation fisiche non vengono archiviate in modo sicuro, possono essere soggette ad attacchi fisici che compromettono l'hardware o il sistema operativo e li rendono soggetti all'intercettazione delle comunicazioni.

Implementazione di una singola workstation sicura con connessioni a macchine virtuali di "produttività" e "amministrative"separate

In questo approccio è possibile rilasciare agli utenti IT una singola workstation fisica che è bloccata, come descritto in precedenza, e in cui gli utenti IT non dispongono dell'accesso con privilegi. È possibile fornire connessioni Servizi Desktop remoto alle macchine virtuali ospitate in server dedicati, fornendo al personale IT una macchina virtuale che esegue applicazioni per la posta elettronica e altre applicazioni di produttività e una seconda macchina virtuale configurata come host amministrativo dedicato dell'utente.

È necessario richiedere una smart card o un altro accesso a più fattori per le macchine virtuali, usando account separati diversi dall'account usato per accedere al computer fisico. Dopo che un utente IT accede a un computer fisico, può usare la smart card di produttività per connettersi al computer di produttività remoto e un account e una smart card separati per connettersi al computer amministrativo remoto.

Vantaggi

  • Gli utenti IT possono usare una singola workstation fisica.

  • Richiedendo account separati per gli host virtuali e usando le connessioni Servizi Desktop remoto alle macchine virtuali, le credenziali degli utenti IT non vengono memorizzate nella cache della memoria nel computer locale.

  • L'host fisico può essere protetto allo stesso livello degli host amministrativi, riducendo la probabilità di compromissione del computer locale.

  • Nei casi in cui la macchina virtuale di produttività di un utente IT o la sua macchina virtuale amministrativa può essere stata compromessa, la macchina virtuale può essere facilmente reimpostata su uno stato "valido noto".

  • Se il computer fisico è compromesso, non verranno memorizzate nella cache della memoria le credenziali con privilegi e l'uso di smart card può impedire la compromissione delle credenziali da parte di keystroke logger.

Svantaggi

  • L'implementazione della soluzione richiede operazioni di progettazione e implementazione e opzioni di virtualizzazione solide.

  • Se le workstation fisiche non vengono archiviate in modo sicuro, possono essere soggette ad attacchi fisici che compromettono l'hardware o il sistema operativo e li rendono soggetti all'intercettazione delle comunicazioni.

Implementazione di workstation amministrative e jump server sicuri

In alternativa alla protezione delle workstation amministrative o in combinazione con essa, è possibile implementare jump server sicuri e gli utenti amministratori possono connettersi ai jump server usando RDP e smart card per eseguire attività amministrative.

I jump server devono essere configurati per eseguire il ruolo Gateway Desktop remoto per consentire di implementare restrizioni sulle connessioni al jump server e ai server di destinazione che verranno gestite da esso. Se possibile, è necessario installare anche il ruolo Hyper-V e creare desktop personali virtuali o altre macchine virtuali per utente per consentire agli utenti amministratori di usarli per le attività nei jump server.

Assegnando a ciascun utente amministratore una macchina virtuale nel jump server, si fornisce la sicurezza fisica per le workstation amministrative e gli utenti amministratori possono reimpostare o arrestare le macchine virtuali quando non sono in uso. Se non si preferisce installare il ruolo Hyper-V e il ruolo Gateway Desktop remoto nello stesso host amministrativo, è possibile installarli in computer separati.

Laddove possibile, gli strumenti di amministrazione remota devono essere usati per gestire i server. La funzionalità Strumenti di amministrazione remota del server deve essere installata nelle macchine virtuali degli utenti (o nel jump server se non si implementano macchine virtuali per utente per l'amministrazione) e il personale amministrativo deve connettersi tramite RDP alle proprie macchine virtuali per eseguire le attività amministrative.

Nei casi in cui un utente amministratore deve connettersi tramite RDP a un server di destinazione per gestirlo direttamente, il Gateway Desktop remoto deve essere configurato per consentire la connessione solo se vengono usati utente e computer appropriati per stabilire la connessione al server di destinazione. L'esecuzione di Strumenti di amministrazione remota del server (o simili) deve essere vietata nei sistemi che non sono sistemi di gestione designati, ad esempio workstation per utilizzo generico e server membri che non sono jump server.

Vantaggi

  • La creazione di jump server consente di eseguire il mapping di server specifici a "zone" (raccolte di sistemi con requisiti di configurazione, connessione e sicurezza simili) nella rete e di richiedere che l'amministrazione di ogni zona venga realizzata dal personale amministrativo che si connette da host amministrativi protetti a un server di "zona" designato.

  • Eseguendo il mapping dei jump server alle zone, è possibile implementare controlli granulari per le proprietà di connessione e i requisiti di configurazione e identificare facilmente i tentativi di connessione da sistemi non autorizzati.

  • Implementando le macchine virtuali per amministratore nei jump server, si applica l'arresto e la reimpostazione delle macchine virtuali a uno stato originario noto al termine delle attività amministrative. Applicando l'arresto (o il riavvio) delle macchine virtuali quando vengono completate le attività amministrative, le macchine virtuali non possono essere mirate da utenti malintenzionati, né sono possibili attacchi di furto di credenziali perché le credenziali memorizzate nella cache non vengono mantenute oltre un riavvio.

Svantaggi

  • I server dedicati sono necessari per i jump server, sia fisici che virtuali.

  • L'implementazione di jump server designati e workstation amministrative richiede un'attenta pianificazione e configurazione che esegue il mapping a qualsiasi zona di sicurezza configurata nell'ambiente.