Privileged Access Management voor Active Directory Domain ServicesPrivileged Access Management for Active Directory Domain Services

Privileged Access Management (PAM) is een oplossing waarmee organisaties bevoorrechte toegang in een bestaande Active Directory-omgeving kunnen beperken.Privileged Access Management (PAM) is a solution that helps organizations restrict privileged access within an existing Active Directory environment.

Met Privileged Access Management kunnen twee doelen worden behaald:Privileged Access Management accomplishes two goals:

  • De controle terugkrijgen over een aangetaste Active Directory-omgeving door een afzonderlijke bastionomgeving te behouden waarvan bekend is dat deze niet is beïnvloed door aanvallen.Re-establish control over a compromised Active Directory environment by maintaining a separate bastion environment that is known to be unaffected by malicious attacks.
  • Het gebruik van bevoorrechte accounts isoleren om het risico te verminderen dat deze referenties worden gestolen.Isolate the use of privileged accounts to reduce the risk of those credentials being stolen.

Notitie

PAM is een instantie van Privileged Identity Management (PIM) die is geïmplementeerd met Microsoft Identity Manager (MIM).PAM is an instance of Privileged Identity Management (PIM) that is implemented using Microsoft Identity Manager (MIM).

Welke problemen kunnen worden opgelost met PAM?What problems does PAM help solve?

Een echt aandachtspunt voor moderne ondernemingen is toegang tot resources in een Active Directory-omgeving.A real concern for enterprises today is resource access within an Active Directory environment. Problemen zijn vooral zorgwekkend zijn:Particularly troubling are:

  • Beveiligingsproblemen.Vulnerabilities.
  • Niet-geautoriseerde bevoegdheid escalaties.Unauthorized privilege escalations.
  • Pass-the-hash.Pass-the-hash.
  • Pass-the-ticket.Pass-the-ticket.
  • spear phishing.spear phishing.
  • Kerberos-inbreuk.Kerberos compromises.
  • Andere aanvallen.Other attacks.

Het is tegenwoordig te gemakkelijk voor aanvallers om de accountreferenties van Domeinbeheerders te achterhalen en het is te moeilijk om deze aanvallen achteraf te detecteren.Today, it’s too easy for attackers to obtain Domain Admins account credentials, and it’s too hard to discover these attacks after the fact. Het doel van PAM is om de mogelijkheden voor kwaadwillende gebruikers om toegang te krijgen te verminderen terwijl het beheer en het bewustzijn van de omgeving voor u worden vergroot.The goal of PAM is to reduce opportunities for malicious users to get access, while increasing your control and awareness of the environment.

Dankzij PAM is het moeilijker voor kwaadwillende personen om door te dringen tot een netwerk en bevoorrechte accounttoegang te verkrijgen.PAM makes it harder for attackers to penetrate a network and obtain privileged account access. Er wordt met PAM beveiliging toegevoegd aan bevoorrechte groepen waarmee de toegang wordt bepaald op verschillende computers die lid zijn van een domein en de toepassingen op deze computers.PAM adds protection to privileged groups that control access across a range of domain-joined computers and applications on those computers. Deze voegt ook meer controle, meer zichtbaarheid en specifieke besturingselementen toegevoegd.It also adds more monitoring, more visibility, and more fine-grained controls. Hierdoor kunnen organisaties om te zien wie de bevoorrechte beheerders zijn en wat ze doen.This allows organizations to see who their privileged administrators are and what are they doing. Dankzij PAM hebben organisaties meer inzicht in hoe beheerdersaccounts worden gebruikt in de omgeving.PAM gives organizations more insight into how administrative accounts are used in the environment.

Instellen van PAMSetting up PAM

PAM borduurt voort op het principe van Just-In-Time-beheer; Just Enough Administration (JEA).PAM builds on the principle of just-in-time administration, which relates to just enough administration (JEA). JEA is een Windows PowerShell-toolkit waarmee een reeks opdrachten voor het uitvoeren van bevoorrechte activiteiten definieert.JEA is a Windows PowerShell toolkit that defines a set of commands for performing privileged activities. Het is een eindpunt waar beheerders autorisatie kunnen verkrijgen voor opdrachten uitvoeren.It is an endpoint where administrators can get authorization to run commands. In JEA besluit een beheerder dat gebruikers met een bepaalde bevoegdheid een bepaalde taak kunnen uitvoeren.In JEA, an administrator decides that users with a certain privilege can perform a certain task. Elke keer dat een in aanmerking komende gebruiker deze taak moet uitvoeren, wordt deze machtiging ingeschakeld.Every time an eligible user needs to perform that task, they enable that permission. De machtigingen verlopen na een opgegeven periode, zodat een kwaadwillende gebruiker de toegang niet kan stelen.The permissions expire after a specified time period, so that a malicious user can't steal the access.

De installatie en het gebruik van PAM bestaat uit vier stappen.PAM setup and operation has four steps.

PAM-stappen: voorbereiden, beveiligen, werken, bewaken - diagram

  1. Voorbereiden: identificeer welke groepen in uw bestaande forest aanzienlijke bevoegdheden hebben.Prepare: Identify which groups in your existing forest have significant privileges. Maak deze groepen opnieuw zonder leden in het bastionforest.Recreate these groups without members in the bastion forest.
  2. Beveiligen: Stel levensduur- en verificatiebeveiliging, zoals Multi-Factor Authentication (MFA), in voor wanneer gebruikers Just-In-Time-beheer aanvragen.Protect: Set up lifecycle and authentication protection, such as Multi-Factor Authentication (MFA), for when users request just-in-time administration. MFA voorkomt programmatische aanvallen van schadelijke software of na de diefstal van referenties.MFA helps prevent programmatic attacks from malicious software or following credential theft.
  3. Werken: Nadat is voldaan aan de verificatievereisten en een aanvraag is goedgekeurd, wordt een gebruikersaccount tijdelijk toegevoegd aan een bevoorrechte groep in het bastionforest.Operate: After authentication requirements are met and a request is approved, a user account gets added temporarily to a privileged group in the bastion forest. De beheerder beschikt gedurende een vooraf ingestelde periode over alle bevoegdheden en toegangsmachtigingen die zijn toegewezen aan die groep.For a pre-set amount of time, the administrator has all privileges and access permissions that are assigned to that group. Na deze periode wordt het account verwijderd uit de groep.After that time, the account is removed from the group.
  4. Controleren: Er wordt met PAM functionaliteit toegevoegd voor controle, waarschuwingen en rapporten van aanvragen voor bevoorrechte toegang.Monitor: PAM adds auditing, alerts, and reports of privileged access requests. U kunt de geschiedenis van bevoorrechte toegang controleren en zien wie een activiteit heeft uitgevoerd.You can review the history of privileged access, and see who performed an activity. U kunt beslissen of de activiteit geldig is en eenvoudig onbevoegde activiteiten identificeren, zoals een poging tot het rechtstreeks toevoegen van een gebruiker aan een bevoorrechte groep in het oorspronkelijke forest.You can decide whether the activity is valid or not and easily identify unauthorized activity, such as an attempt to add a user directly to a privileged group in the original forest. Deze stap is niet alleen belangrijk voor het identificeren van schadelijke software, maar ook voor bijhouden van aanvallers van binnenuit.This step is important not only to identify malicious software but also for tracking "inside" attackers.

Hoe werkt PAM?How does PAM work?

PAM is gebaseerd op de nieuwe mogelijkheden in AD DS, met name voor domeinaccountverificatie en -autorisatie en de nieuwe functies in Microsoft Identity Manager.PAM is based on new capabilities in AD DS, particularly for domain account authentication and authorization, and new capabilities in Microsoft Identity Manager. Met PAM worden bevoorrechte accounts gescheiden van een bestaande Active Directory-omgeving.PAM separates privileged accounts from an existing Active Directory environment. Wanneer een bevoorrecht account moet worden gebruikt, moet dit eerst worden aangevraagd en vervolgens goedgekeurd.When a privileged account needs to be used, it first needs to be requested, and then approved. Na de goedkeuring, wordt aan het bevoorrechte account een machtiging verleend via een Foreign Principal Group in een nieuw bastionforest in plaats van in het huidige forest van de gebruiker of toepassing.After approval, the privileged account is given permission via a foreign principal group in a new bastion forest rather than in the current forest of the user or application. De organisatie heeft meer controle dankzij het gebruik van een bastionforest, zoals wanneer een gebruiker een lid kan zijn van een bevoorrechte groep en hoe de gebruiker moet worden geverifieerd.The use of a bastion forest gives the organization greater control, such as when a user can be a member of a privileged group, and how the user needs to authenticate.

Active Directory, de MIM-service en andere delen van deze oplossing kunnen ook worden geïmplementeerd in een maximaal beschikbare configuratie.Active Directory, the MIM Service, and other portions of this solution can also be deployed in a high availability configuration.

In het volgende voorbeeld wordt in detail uitgelegd hoe PIM werkt.The following example shows how PIM works in more detail.

PIM-proces en -deelnemers - diagram

Er worden met het bastionforest tijdelijke groepslidmaatschappen verleend, waarmee vervolgens tijdelijke tickets worden verleend (TGT’s).The bastion forest issues time-limited group memberships, which in turn produce time-limited ticket-granting tickets (TGTs). Kerberos-toepassingen of -services kunnen deze TGT's handhaven en afdwingen als de apps en services voorkomen in forests die het bastionforest vertrouwen.Kerberos-based applications or services can honor and enforce these TGTs, if the apps and services exist in forests that trust the bastion forest.

Dagelijkse gebruikersaccounts hoeven niet te worden verplaatst naar een nieuw forest.Day-to-day user accounts do not need to move to a new forest. Hetzelfde geldt voor de computers, toepassingen en de groepen.The same is true with the computers, applications, and their groups. Ze blijven waar ze zijn in een bestaand forest.They stay where they are today in an existing forest. Bekijk het voorbeeld van een organisatie die zich bezighoudt met deze cyberbeveiligingsproblemen, maar geen directe plannen heeft om de serverinfrastructuur te upgraden naar de volgende versie van Windows Server.Consider the example of an organization that is concerned with these cybersecurity issues today, but has no immediate plans to upgrade the server infrastructure to the next version of Windows Server. Deze organisatie kan nog steeds profiteren van deze gecombineerde oplossing met behulp van MIM en een nieuw bastionforest en de toegang tot bestaande resources beter beheren.That organization can still take advantage of this combined solution by using MIM and a new bastion forest, and can better control access to existing resources.

PAM biedt de volgende voordelen:PAM offers the following advantages:

  • Isolatie/bereik van bevoegdheden: Gebruikers hebben geen bevoegdheden voor accounts die ook voor onbevoegde taken worden gebruikt, zoals e-mail controleren of internet gebruiken.Isolation/scoping of privileges: Users do not hold privileges on accounts that are also used for non-privileged tasks like checking email or browsing the Internet. Gebruikers moeten bevoegdheden aanvragen.Users need to request privileges. Aanvragen worden goedgekeurd of geweigerd op basis van MIM-beleidsregels die zijn gedefinieerd door een PAM-beheerder.Requests are approved or denied based on MIM policies defined by a PAM administrator. Tot een aanvraag is goedgekeurd, is bevoorrechte toegang niet beschikbaar.Until a request is approved, privileged access is not available.

  • Meer bevoegdheden en verificatie: Dit zijn nieuwe verificatie- en autorisatie-uitdagingen voor het beheer van de levenscyclus van afzonderlijke beheerdersaccounts.Step-up and proof-up: These are new authentication and authorization challenges to help manage the lifecycle of separate administrative accounts. De gebruiker kan de uitbreiding van bevoegdheden voor een beheerdersaccount aanvragen en die aanvraag wordt verwerkt via de MIM-werkstroom.The user can request the elevation of an administrative account and that request goes through MIM workflows.

  • Aanvullende logboekregistratie: samen met de geïntegreerde MIM-werkstromen, is er extra logboekregistratie voor PAM waarmee de aanvraag wordt geïdentificeerd en alle gebeurtenissen die plaatsvinden na de goedkeuring.Additional logging: Along with the built-in MIM workflows, there is additional logging for PAM that identifies the request, how it was authorized, and any events that occur after approval.

  • Aanpasbare werkstroom: de MIM-werkstromen kunnen worden geconfigureerd voor verschillende scenario's en meerdere werkstromen kunnen worden gebruikt, op basis van de parameters van de aanvragende gebruiker of aangevraagde rollen.Customizable workflow: The MIM workflows can be configured for different scenarios, and multiple workflows can be used, based on the parameters of the requesting user or requested roles.

Hoe kunnen gebruikers bevoorrechte toegang aanvragen?How do users request privileged access?

Er zijn verschillende manieren waarop een gebruiker een aanvraag kan indienen, waaronder:There are a number of ways in which a user can submit a request, including:

  • De webservices-API voor de MIM-servicesThe MIM Services Web Services API
  • Een REST-eindpuntA REST endpoint
  • Windows PowerShell (New-PAMRequest)Windows PowerShell (New-PAMRequest)

Meer informatie over de Privileged Access Management-cmdlets.Get details about the Privileged Access Management cmdlets.

Welke werkstromen en controle-opties zijn beschikbaar?What workflows and monitoring options are available?

Stel dat een gebruiker lid was van een beheergroep voordat PIM werd ingesteld.As an example, let’s say a user was a member of an administrative group before PIM is set up. Als onderdeel van de PIM-installatie wordt de gebruiker verwijderd uit de beheerdersgroep en wordt er een beleid gemaakt in MIM.As part of PIM setup, the user is removed from the administrative group, and a policy is created in MIM. Het beleid bepaalt dat als die gebruiker beheerdersbevoegdheden aanvraagt en wordt geverifieerd met MFA, de aanvraag wordt goedgekeurd en een afzonderlijk account voor de gebruiker wordt toegevoegd aan de bevoorrechte groep in het bastionforest.The policy specifies that if that user requests administrative privileges and is authenticated by MFA, the request is approved and a separate account for the user will be added to the privileged group in the bastion forest.

Ervan uitgaande dat de aanvraag wordt goedgekeurd, communiceert de actiewerkstroom rechtstreeks met het bastionforest Active Directory om een gebruiker aan een groep toe te voegen.Assuming the request is approved, the Action workflow communicates directly with bastion forest Active Directory to put a user in a group. Wanneer Jen bijvoorbeeld een aanvraag indient voor het beheer van de HR-database, wordt het beheerdersaccount van Jen binnen enkele seconden toegevoegd aan de bevoorrechte groep in het bastionforest.For example, when Jen requests to administer the HR database, the administrative account for Jen is added to the privileged group in the bastion forest within seconds. Haar lidmaatschap van het beheerdersaccount in die groep verloopt na een bepaalde tijd.Her administrative account’s membership in that group will expire after a time limit. Met Windows Server Technical Preview wordt dat lidmaatschap gekoppeld in Active Directory met een tijdslimiet; met Windows Server 2012 R2 in het bastionforest wordt die termijn afgedwongen door MIM.With Windows Server Technical Preview, that membership is associated in Active Directory with a time limit; with Windows Server 2012 R2 in the bastion forest, that time limit is enforced by MIM.

Notitie

Wanneer u een nieuw lid toevoegt aan een groep, moet de wijziging worden gerepliceerd naar andere domeincontrollers (DC's) in het bastionforest.When you add a new member to a group, the change needs to replicate to other domain controllers (DCs) in the bastion forest. Replicatievertraging van invloed kan hebben op de mogelijkheid voor gebruikers om toegang krijgen tot resources.Replication latency can impact the ability for users to access resources. Zie Hoe werkt Active Directory-replicatietopologie voor meer informatie over replicatielatentie.For more information about replication latency, see How Active Directory Replication Topology Works.

Daarentegen wordt een verlopen koppeling in real-time geëvalueerd door de Security Accounts Manager (SAM).In contrast, an expired link is evaluated in real time by the Security Accounts Manager (SAM). Hoewel de toevoeging van een groepslid moet worden gerepliceerd door de domeincontroller die de toegangsaanvraag ontvangt, wordt het verwijderen van een groepslid direct geëvalueerd op een domeincontroller.Even though the addition of a group member needs to be replicated by the DC that receives the access request, the removal of a group member is evaluated instantaneously on any DC.

Deze werkstroom is specifiek bedoeld voor deze beheerdersaccounts.This workflow is specifically intended for these administrative accounts. Beheerders (of zelfs scripts) die alleen incidenteel toegang nodig hebben voor bevoorrechte groepen, kunnen die toegang nauwkeurig aanvragen.Administrators (or even scripts) who need only occasional access for privileged groups, can precisely request that access. De aanvraag en wijzigingen in Active Directory worden in het logboek vastgelegd met MIM. U kunt ze weergeven in Logboeken of de gegevens verzenden naar de bewakingsoplossingen van de onderneming zoals System Center 2012 - Operations Manager Audit Collection Services (ACS) of andere hulpprogramma's van derden.MIM logs the request and the changes in Active Directory, and you can view them in Event Viewer or send the data to enterprise monitoring solutions such as System Center 2012 - Operations Manager Audit Collection Services (ACS), or other third-party tools.

Volgende stappenNext steps