Ulepszone środowisko administracyjne zabezpieczeńEnhanced Security Admin Environment

Architektura ESAE (Enhanced Security admin Environment) (często określana jako Las Red, Las administratora lub las z ograniczeniami) jest podejściem do zapewnienia bezpiecznego środowiska dla administratorów systemu Windows Server Active Directory (AD).The Enhanced Security Admin Environment (ESAE) architecture (often referred to as red forest, admin forest, or hardened forest) is an approach to provide a secure environment for Windows Server Active Directory (AD) administrators.

Zalecenie firmy Microsoft dotyczące korzystania z tego wzorca architektury zostało zastąpione przez nowoczesne strategie dostępu uprzywilejowanego i szybkie unowocześnienie planu (pochylni) jako domyślne zalecane podejście do zabezpieczania uprzywilejowanych użytkowników.Microsoft’s recommendation to use this architectural pattern has been replaced by the modern privileged access strategy and rapid modernization plan (RAMP) guidance as the default recommended approach for securing privileged users. Wzorzec lasu administracyjnego "ESAE" (Premium lub oparty na chmurze) jest teraz traktowany jako Konfiguracja niestandardowa, która jest odpowiednia tylko dla przypadków wyjątków wymienionych poniżej.The ESAE hardened administrative forest pattern (on-prem or cloud-based) is now considered a custom configuration suitable only for exception cases listed below.

Co zrobić, jeśli mam już ESAE?What if I already have ESAE?

W przypadku klientów, którzy już wdrożyły tę architekturę w celu zwiększenia bezpieczeństwa i/lub uproszczenia zarządzania przez wiele lasów, nie ma pilności, aby wycofać lub zastąpić implementację ESAE, jeśli jest ona obsługiwana zgodnie z założeniami i zaplanowanymi.For customers that have already deployed this architecture to enhance security and/or simplify multi-forest management, there is no urgency to retire or replace an ESAE implementation if it's being operated as designed and intended. Podobnie jak w przypadku każdego systemu przedsiębiorstwa należy zachować w nim oprogramowanie, stosując aktualizacje zabezpieczeń i upewniając się, że oprogramowanie jest w ramach cyklu pomocy technicznej.As with any enterprise systems, you should maintain the software in it by applying security updates and ensuring software is within support lifecycle.

Firma Microsoft zaleca również organizacjom, w których ESAE/lasy z ograniczeniami stosują nowoczesne strategię dostępu uprzywilejowanego , przy użyciu wskazówek planu szybkiego unowocześnienia (pochylni) .Microsoft also recommends organizations with ESAE / hardened forests adopt the modern privileged access strategy using the rapid modernization plan (RAMP) guidance. To uzupełnienie istniejącej implementacji ESAE i zapewnia odpowiednie zabezpieczenia dla ról, które nie są już chronione przez ESAE, w tym administratorów globalnych usługi Azure AD, wrażliwych użytkowników firmowych i standardowych użytkowników przedsiębiorstwa.This complements an existing ESAE implementation and provides appropriate security for roles not already protected by ESAE including Azure AD Global Administrators, sensitive business users, and standard enterprise users. Aby uzyskać więcej informacji, zobacz artykuł Zabezpieczanie uprzywilejowanego dostępu poziomów zabezpieczeń.For more information, see the article Securing privileged access security levels.

Dlaczego warto zmienić rekomendacje?Why change the recommendation?

Gdy ESAE pierwotnie zaprojektowano 10 lat temu, fokus znajdował się w środowiskach lokalnych z usługą AD jako lokalnym dostawcą tożsamości.When ESAE was originally designed 10 years ago, the focus was on on-premise environments with AD as the local identity provider. Implementacje ESAE/zaostrzonych lasów skupiają się na ochronie administratorów Active Directory systemu Windows Server.ESAE / hardened forest implementations focus on protecting Windows Server Active Directory administrators.

Firma Microsoft zaleca nowe rozwiązania oparte na chmurze, ponieważ mogą być wdrażane szybciej w celu ochrony szerszego zakresu administracyjnych i kontekstowych ról i systemów.Microsoft recommends the new cloud-based solutions because they can be deployed more quickly to protect a broader scope of administrative and business-sensitive roles and systems.

Strategia uprzywilejowanego dostępu zapewnia ochronę i monitorowanie dla znacznie większego zestawu poufnych użytkowników, a jednocześnie oferuje przyrostowe kroki obniżające poziom zabezpieczeń.The privileged access strategy provides protections and monitoring for a much larger set of sensitive users, while providing incremental lower-cost steps to rapidly build security assurances.

Mimo że jest to prawidłowe dla konkretnych przypadków użycia, implementacje ESAE z zaostrzonymi zabezpieczeniami są droższe i trudniejsze do użycia, co wymaga większego wsparcia operacyjnego w porównaniu z nowszym rozwiązaniem w chmurze (ze względu na skomplikowany charakter tej architektury).While still valid for specific use cases, ESAE hardened forest implementations are more costly and more difficult to use, requiring more operational support compared to the newer cloud-based solution (due to the complex nature of that architecture). Implementacje ESAE są przeznaczone do ochrony tylko administratorów Active Directory systemu Windows Server.ESAE implementations are designed to protect only Windows Server Active Directory administrators. Strategia uprzywilejowanego dostępuopartego na chmurze   zapewnia ochronę i monitorowanie znacznie większego zestawu wrażliwych użytkowników, a jednocześnie zapewnia przyrostowe kroki obniżające poziom zabezpieczeń.The cloud based privileged access strategy provides protections and monitoring for a much larger set of sensitive users, while providing incremental lower-cost steps to rapidly build security assurances.

Jakie są poprawne przypadki użycia ESAE?What are the valid ESAE use cases?

Chociaż nie jest to podstawowe zalecenie, ten wzorzec architektury jest prawidłowy w ograniczonym zestawie scenariuszy.While not a mainstream recommendation, this architectural pattern is valid in a limited set of scenarios.

W tych przypadkach wyjątkowo organizacja musi zaakceptować zwiększoną złożoność techniczną i koszty operacyjne rozwiązania.In these exception cases, the organization must accept the increased technical complexity and operational costs of the solution. Organizacja musi dysponować zaawansowanym programem zabezpieczeń, aby mierzyć ryzyko, monitorować ryzyko i stosować spójną podchodź operacyjną do użycia i konserwacji implementacji ESAE.The organization must have a sophisticated security program to measure risk, monitor risk, and apply consistent operational rigor to the usage and maintenance of the ESAE implementation.

Przykładowe scenariusze obejmują:Example scenarios include:

  • Izolowane środowiska lokalne — w przypadku niedostępności usług w chmurze, takich jak laboratoria badawcze w trybie offline, infrastruktura krytyczna lub narzędzia, rozłączone środowiska operacyjne (OT), takie jak kontrola nadzoru i pozyskiwanie danych (SCADA), systemy kontroli przemysłowe i klienci sektora publicznego, które są w pełni oparte na technologii lokalnej.Isolated on-premises environments - where cloud services are unavailable such as offline research laboratories, critical infrastructure or utilities, disconnected operational technology (OT) environments such as Supervisory control and data acquisition (SCADA) / Industrial Control Systems (ICS), and public sector customers that are fully reliant on on-premises technology.
  • Wysoce regulowane środowiska — regulacje branżowe lub rządowe mogą wymagać konfiguracji lasu administracyjnego.Highly regulated environments – industry or government regulation may specifically require an administrative forest configuration.
  • Gwarancja bezpieczeństwa wysokiego poziomu jest przypuszczalna w organizacjach z tolerancją niskiego ryzyka, które są skłonne do zaakceptowania zwiększonej złożoności i kosztów operacyjnych rozwiązania.High level security assurance is mandated - organizations with low risk tolerance that are willing to accept the increased complexity and operational cost of the solution.

Uwaga

Firma Microsoft nie zaleca już izolowanego modelu lasu z ograniczoną funkcjonalnością dla większości scenariuszy w większości organizacji, jednak firma Microsoft nadal zarządza podobną architekturą (i związanymi z nimi procesami i personelem pomocy technicznej) ze względu na wymagania dotyczące bezpieczeństwa w zakresie udostępniania zaufanych usług w chmurze organizacjom na całym świecie.While Microsoft no longer recommends an isolated hardened forest model for most scenarios at most organizations, Microsoft still operates a similar architecture internally (and associated support processes and personnel) because of the extreme security requirements for providing trusted cloud services to organizations around the globe.

Następne krokiNext steps

Zapoznaj się z strategią uprzywilejowanego dostępu i wskazówki dotyczące planu szybkiej modernizacji dotyczące dostarczania bezpiecznych środowisk dla uprzywilejowanych użytkowników.Review the privileged access strategy and rapid modernization plan (RAMP) guidance for providing secure environments for privileged users.