Ulepszone środowisko Administracja zabezpieczeń

  • Artykuł

Architektura środowiska ESAE (Enhanced Security Administracja Environment) (często nazywana czerwonym lasem, lasem administracyjnym lub lasem ze wzmocnionymi zabezpieczeniami) to starsze podejście do zapewnienia bezpiecznego środowiska dla tożsamości administratora usługi Active Directory (AD) systemu Windows Server.

Zalecenie firmy Microsoft dotyczące używania tego wzorca architektury zostało zastąpione przez nowoczesną strategię dostępu uprzywilejowanego i wskazówki dotyczące planu szybkiej modernizacji (RAMP) jako domyślne zalecane podejście do zabezpieczania uprzywilejowanych użytkowników. Te wskazówki mają uwzględniać dostosowanie szerszej strategii w celu przejścia do architektury Zero Trust. Biorąc pod uwagę te zmodernizowane strategie, architektura lasu administracyjnego ze wzmocnionymi zabezpieczeniami ESAE (lokalna lub oparta na chmurze) jest obecnie uważana za niestandardową konfigurację odpowiednią tylko dla przypadków wyjątków.

Scenariusze dalszego używania

Mimo że nie jest to już zalecana architektura, ESAE (lub poszczególne składniki tam) nadal mogą być prawidłowe w ograniczonym zestawie wykluczonych scenariuszy. Zazwyczaj te środowiska lokalne są izolowane, gdy usługi w chmurze mogą być niedostępne. Ten scenariusz może obejmować infrastrukturę krytyczną lub inne odłączone środowiska technologii operacyjnej (OT). Należy jednak zauważyć, że segmenty systemów kontroli przemysłowej/kontroli nadzoru i kontroli danych (ICS/SCADA) środowiska nie korzystają zwykle z własnego wdrożenia usługi Active Directory.

Jeśli Twoja organizacja znajduje się w jednym z tych scenariuszy, utrzymanie obecnie wdrożonej architektury ESAE w całości może być nadal prawidłowe. Należy jednak zrozumieć, że organizacja ponosi dodatkowe ryzyko ze względu na zwiększoną złożoność techniczną i koszty operacyjne utrzymania ESAE. Firma Microsoft zaleca, aby każda organizacja nadal korzystała z ESAE lub innych starszych mechanizmów kontroli zabezpieczeń tożsamości, stosuje dodatkową rygor do monitorowania, identyfikowania i ograniczania wszelkich powiązanych zagrożeń.

Uwaga

Chociaż firma Microsoft nie zaleca już izolowanego modelu lasu ze wzmocnionymi zabezpieczeniami dla większości scenariuszy w większości organizacji, firma Microsoft nadal obsługuje podobną architekturę wewnętrznie (i skojarzone procesy pomocy technicznej i personel) ze względu na ekstremalne wymagania dotyczące zabezpieczeń zapewniające zaufane usługi w chmurze organizacjom na całym świecie.

Wskazówki dotyczące istniejących wdrożeń

W przypadku klientów, którzy już wdrożyli tę architekturę w celu zwiększenia bezpieczeństwa i/lub uproszczenia zarządzania wieloma lasami, nie ma pilności, aby wycofać lub zastąpić implementację ESAE, jeśli jest ona obsługiwana zgodnie z założeniami i jest przeznaczona. Podobnie jak w przypadku wszystkich systemów przedsiębiorstwa, należy utrzymywać w nim oprogramowanie, stosując aktualizacje zabezpieczeń i zapewniając, że oprogramowanie znajduje się w cyklu wsparcia technicznego.

Firma Microsoft zaleca również organizacjom z lasami ESAE /ze wzmocnionymi zabezpieczeniami nowoczesnej strategii dostępu uprzywilejowanego, korzystając ze wskazówek dotyczących planu szybkiej modernizacji (RAMP). Te wskazówki uzupełniają istniejącą implementację ESAE i zapewniają odpowiednie zabezpieczenia dla ról, które nie są jeszcze chronione przez ESAE, w tym microsoft Entra Global Administracja istrators, wrażliwych użytkowników biznesowych i standardowych użytkowników przedsiębiorstwa. Aby uzyskać więcej informacji, zobacz artykuł Zabezpieczanie poziomów zabezpieczeń dostępu uprzywilejowanego.

Kiedy ESAE został pierwotnie zaprojektowany ponad 10 lat temu, skupiono się na środowiskach lokalnych z usługą Active Directory (AD) służącą jako lokalny dostawca tożsamości. To starsze podejście opiera się na technikach segmentacji makr w celu osiągnięcia najniższych uprawnień i nie uwzględnia odpowiednio środowisk hybrydowych ani opartych na chmurze. Ponadto implementacje esaE i wzmocnione lasy koncentrują się tylko na ochronie lokalnych administratorów usługi Active Directory systemu Windows Server (tożsamości) i nie uwzględniają precyzyjnych mechanizmów kontroli tożsamości i innych technik zawartych w pozostałych filarach nowoczesnej architektury Zero-Trust. Firma Microsoft zaktualizowała swoje zalecenie do rozwiązań opartych na chmurze, ponieważ można je wdrożyć szybciej, aby chronić szerszy zakres ról i systemów administracyjnych i wrażliwych na działalność firmy. Ponadto są one mniej złożone, skalowalne i wymagają mniej inwestycji kapitałowych w utrzymanie.

Uwaga

Mimo że ESAE nie jest już zalecana w całości, firma Microsoft zdaje sobie sprawę, że wiele zawartych w niej składników jest zdefiniowanych jako dobra higiena cybernetyczna (np. dedykowane stacje robocze dostępu uprzywilejowanego). Wycofanie ESAE nie jest przeznaczone do wypychania organizacji do porzucenia dobrych praktyk w zakresie higieny cybernetycznej, tylko w celu wzmocnienia zaktualizowanych strategii architektury w celu ochrony uprzywilejowanych tożsamości.

Przykłady dobrych praktyk w zakresie higieny cybernetycznej w ESAE, które mają zastosowanie do większości organizacji

  • Używanie stacji roboczych z dostępem uprzywilejowanym (PAW) dla wszystkich działań administracyjnych
  • Wymuszanie uwierzytelniania wieloskładnikowego opartego na tokenach lub wieloskładnikowego na potrzeby poświadczeń administracyjnych, nawet jeśli nie jest szeroko używane w całym środowisku
  • Wymuszanie Administracja modelu Administracja istracyjnego przy użyciu regularnej oceny członkostwa w grupie/roli (wymuszane przez silne zasady organizacyjne)

Najlepsze rozwiązanie dotyczące zabezpieczania lokalnej usługi AD

Zgodnie z opisem w scenariuszach dotyczących ciągłego używania mogą wystąpić sytuacje, w których migracja do chmury nie jest osiągalna (częściowo lub w całości) ze względu na różne okoliczności. W przypadku tych organizacji, jeśli nie mają jeszcze istniejącej architektury ESAE, firma Microsoft zaleca zmniejszenie obszaru ataków lokalnej usługi AD poprzez zwiększenie rygoru zabezpieczeń dla usługi Active Directory i tożsamości uprzywilejowanych. Chociaż nie jest to wyczerpująca lista, należy wziąć pod uwagę następujące zalecenia o wysokim priorytcie.

  • Użyj podejścia warstwowego implementujące model administracyjny o najniższych uprawnieniach:
    • Wymuszanie bezwzględnych minimalnych uprawnień.
    • Odnajdywanie, przeglądanie i przeprowadzanie inspekcji tożsamości uprzywilejowanych (silne powiązanie z zasadami organizacyjnymi).
      • Nadmierne przyznanie uprawnień jest jednym z najbardziej zidentyfikowanych problemów w ocenianych środowiskach.
    • Uwierzytelnianie wieloskładnikowe dla kont administracyjnych (nawet jeśli nie jest szeroko używane w całym środowisku).
    • Role uprzywilejowane oparte na czasie (zmniejszanie nadmiernych kont, wzmacnianie procesów zatwierdzania).
    • Włącz i skonfiguruj wszystkie dostępne inspekcje dla tożsamości uprzywilejowanych (powiadom o włączeniu/wyłączeniu, zresetowaniu hasła, innych modyfikacjach).
  • Użyj stacji roboczych z dostępem uprzywilejowanym (PAW):
    • Nie należy administrować stacjami roboczymi z dostępem uprzywilejowanym z mniej zaufanego hosta.
    • Użyj uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do stacji roboczych z dostępem uprzywilejowanym.
    • Nie zapomnij o zabezpieczeniach fizycznych.
    • Zawsze upewnij się, że stacje robocze z dostępem uprzywilejowanym korzystają z najnowszych i/lub aktualnie obsługiwanych systemów operacyjnych.
  • Omówienie ścieżek ataków i kont o wysokim ryzyku/ aplikacji:
    • Określanie priorytetów monitorowania tożsamości i systemów, które stanowią największe ryzyko (cele związane z szansą sprzedaży/dużym wpływem).
    • Eliminowanie ponownego użycia haseł, w tym między granicami systemu operacyjnego (wspólna technika przenoszenia bocznego).
    • Wymuszanie zasad ograniczania działań, które zwiększają ryzyko (przeglądanie internetu z zabezpieczonych stacji roboczych, kont administratorów lokalnych w wielu systemach itp.).
    • Zmniejszenie liczby aplikacji w usłudze Active Directory/kontrolerach domeny (każda dodana aplikacja jest dodatkową powierzchnią ataków).
      • Eliminowanie niepotrzebnych aplikacji.
      • Przenieś aplikacje nadal potrzebne do innych obciążeń poza /DC, jeśli to możliwe.
  • Niezmienna kopia zapasowa usługi Active Directory:
    • Krytyczny składnik odzyskiwania po infekcji oprogramowaniem wymuszającym okup.
    • Regularny harmonogram tworzenia kopii zapasowych.
    • Przechowywane w lokalizacji opartej na chmurze lub poza lokacją dyktowane przez plan odzyskiwania po awarii.
  • Przeprowadzanie oceny zabezpieczeń usługi Active Directory:
    • Subskrypcja platformy Azure jest wymagana do wyświetlania wyników (dostosowany pulpit nawigacyjny usługi Log Analytics).
    • Oferty obsługiwane przez inżynierów na żądanie lub inżyniera firmy Microsoft.
    • Zweryfikuj/zidentyfikuj wskazówki z oceny.
    • Firma Microsoft zaleca przeprowadzanie ocen co roku.

Aby uzyskać kompleksowe wskazówki dotyczące tych zaleceń, zapoznaj się z najlepszymi rozwiązaniami dotyczącymi zabezpieczania usługi Active Directory.

Rekomendacje uzupełniające

Firma Microsoft uznaje, że niektóre jednostki mogą nie być w stanie w pełni wdrożyć architektury zerowej zaufania opartej na chmurze z powodu różnych ograniczeń. Niektóre z tych ograniczeń zostały wymienione w poprzedniej sekcji. Zamiast pełnego wdrożenia organizacje mogą rozwiązać problem z ryzykiem i poczynić postępy w kierunku zerowego zaufania przy zachowaniu starszego sprzętu lub architektury w środowisku. Oprócz wymienionych wcześniej wskazówek następujące możliwości mogą pomóc w wzmocnieniu bezpieczeństwa środowiska i służyć jako punkt wyjścia do przyjęcia architektury Zero-Trust.

Microsoft Defender for Identity (MDI)

Usługa Microsoft Defender for Identity (MDI) (formalnie Azure Advanced Threat Protection lub ATP) stanowi podstawę architektury zero-trust firmy Microsoft i koncentruje się na filarze tożsamości. To rozwiązanie oparte na chmurze używa sygnałów zarówno z lokalnej usługi AD, jak i identyfikatora Entra firmy Microsoft, aby identyfikować, wykrywać i badać zagrożenia związane z tożsamościami. MdI monitoruje te sygnały w celu zidentyfikowania nietypowego i złośliwego zachowania użytkowników i jednostek. W szczególności mdI ułatwia wizualizowanie ścieżki ruchu bocznego osoby atakującej, podkreślając, w jaki sposób dane konta mogą być używane w przypadku naruszenia zabezpieczeń. Funkcje analizy behawioralnej i punktu odniesienia użytkownika mdI są kluczowymi elementami określania nietypowej aktywności w środowisku usługi AD.

Uwaga

Mimo że rozwiązanie MDI zbiera sygnały z lokalnej usługi AD, wymaga połączenia opartego na chmurze.

Microsoft Defender for Internet of Things (D4IoT)

Oprócz innych wskazówek opisanych w tym dokumencie organizacje działające w jednym z wymienionych powyżej scenariuszy mogą wdrożyć usługę Microsoft Defender dla IoT (D4IoT). To rozwiązanie zawiera pasywny czujnik sieci (wirtualny lub fizyczny), który umożliwia odnajdywanie zasobów, zarządzanie spisem i analizę zachowań opartych na ryzyku dla środowisk Internetu rzeczy (IoT) i technologii operacyjnej (OT). Można go wdrożyć w lokalnych środowiskach połączonych z powietrzem lub w chmurze i ma możliwość przeprowadzania głębokiej inspekcji pakietów na ponad 100 protokołów sieciowych ICS/OT.

Następne kroki

Zapoznaj się z następującymi artykułami:

  1. Strategia dostępu uprzywilejowanego
  2. Plan szybkiej modernizacji zabezpieczeń (RAMP)
  3. Najlepsze rozwiązania dotyczące zabezpieczania usługi Active Directory