Администрирование

Администрирование — это метод мониторинга, обслуживания и эксплуатации систем информационных технологий (ИТ) для удовлетворения требованиям уровней обслуживания, необходимых для бизнеса. Получение прав администратора злоумышленниками несет самую высокую опасность для безопасности системы, поскольку для выполнения этих задач требуется привилегированный доступ ко многим компонентам этих систем и приложений. Злоумышленники знают, что получение доступа к учетной записи с правами администратора позволяет также получить доступ к большинству или ко всем интересующим их данным, что делает защиту прав администратора одной из наиболее важных задач по безопасности.

В качестве примера корпорация Майкрософт вкладывает крупные инвестиции в защиту и обучение администраторов наших облачных систем и систем ИТ.

Рекомендуемая базовая стратегия корпорации Майкрософт для прав администратора — использование доступных элементов управления для снижения риска

Уменьшение степени риска (область и время). Стремление предоставить наименьшие привилегии для современных элементов управления, предоставляющих привилегии по запросу. Ограничивая привилегии администратора, можно ограничить риск следующим образом.

• Область. Доступ только в достаточном объеме (JEA) — для выполнения операции по администрированию предоставляются только необходимые привилегии (вместо предоставления прямых и важных привилегий для многих или всех систем одновременно, что почти никогда не требуется).

• Время. JIT-доступ (доступ только в определенный момент) — привилегии предоставляются только по мере необходимости.

• Устранение остаточных рисков. Используйте сочетание профилактических и выявляющих элементов управления для снижения рисков, таких как защита учетных записей администраторов от наиболее распространенных рисков фишинга и общего просмотра веб-страниц, упрощение и оптимизация рабочего процесса, повышение надежности решений для проверки подлинности и определение аномалий относительно нормального поведения с базовыми показателями, которое можно заблокировать или исследовать.

Корпорация Майкрософт наработала и задокументировала рекомендации по защите учетных записей администраторов и опубликованных приоритетных планов для защиты привилегированного доступа. Эти рекомендации можно использовать в качестве ссылок для определения приоритетов устранения рисков для учетных записей с привилегированным доступом.

• Защита плана привилегированного доступа (SPA) для администраторов локальных служб Active Directory

• Руководство по защите администраторов идентификатора Microsoft Entra

Минимальное количество администраторов критического влияния

Предоставьте наименьшему количеству учетных записей привилегии, которые могут иметь критическое влияние на коммерческую деятельность

Каждая учетная запись администратора представляет потенциальную цель для злоумышленника, поэтому сведение к минимуму количества учетных записей с привилегиями администратора позволяет ограничить общий риск для организации. Опыт показывает, что количество членов в этих привилегированных группах со временем растет, так как пользователи меняют роли, если членство в ней не оперативно, не ограничивается и не управляется.

Мы рекомендуем использовать подход, уменьшающий риск уязвимой зоны, обеспечивая непрерывность бизнес-процессов, если что-то происходит с администратором:

• Назначьте привилегированной группе по крайней мере две учетные записи для обеспечения непрерывности бизнес-процессов

• Если требуется две или более учетных записей, предоставьте обоснование для каждого члена, включая исходные два

• Регулярное изучение членства и обоснования по каждому члену группы

Управляемые учетные записи для администраторов

Убедитесь, что все администраторы критического влияния управляются корпоративным каталогом в соответствии с политикой организации.

Учетные записи потребителей, такие как учетные записи Майкрософт, такие как @Hotmail.com, @live.com, @outlook.com, не предлагают достаточной видимости безопасности и контроля, чтобы обеспечить соблюдение политик организации и любых нормативных требований. Поскольку развертывание Azure часто начинается с малого и неофициально, прежде чем оно будет преобразовано в клиенты, управляемые предприятием, некоторые учетные записи объект-получателя остаются административными учетными записями еще длительное время, например действительными менеджерами проектов Azure, создавая слепые зоны и потенциальные риски.

Отдельные учетные записи администраторов

Убедитесь, что все администраторы критического влияния имеют отдельную учетную запись для административных задач (а не учетную запись, которую они используют для электронной почты, веб-серфинга и других задач повышения производительности).

Фишинги и атаки через веб-браузер представляют наиболее распространенные векторы атаки для взлома обычных и административных учетных записей.

Создайте отдельную учетную запись администратора для всех пользователей, имеющих роль, которая требует наличия критических привилегий. Для этих административных учетных записей следует блокировать средства повышения производительности, такие как электронная почта Office 365 (удаление лицензии). Если это возможно, заблокируйте произвольный просмотр веб-страниц (с помощью прокси-сервера и (или) элементов управления приложениями), разрешив исключения для просмотра портала Azure и других сайтов, необходимых для административных задач.

Отсутствие постоянного доступа/JIT-привилегий

Старайтесь не предоставлять постоянный доступ ко всем учетным записям критического влияния

Постоянные привилегии повышают бизнес-риск, увеличивая время, в течение которого злоумышленник может взломать учетную запись. Временные привилегии позволяют злоумышленникам, взламывающим учетную запись, работать в течение ограниченного времени, если администратор уже использует эту учетную запись или инициирует повышение привилегий (что повышает вероятность обнаружения и удаления из среды).

Предоставьте привилегии, требуемые только по необходимости, с помощью одного из следующих методов:

• JIT. Включение microsoft Entra управление привилегированными пользователями (PIM) или стороннего решения, чтобы после рабочего процесса утверждения получить привилегии для критически важных учетных записей влияния

• Разбивание стекла — выполните процедуру аварийного доступа, чтобы получить доступ к редко используемым учетным записям. Это предпочтительно для привилегий, которые не требуют постоянного использования в работе, например членов учетных записей глобального администратора.

Аварийный доступ или учетные записи типа "разбивание стекла"

Убедитесь, что у вас есть механизм получения административного доступа при аварии

Иногда в редких случаях возникает ситуация, когда все обычные средства административного доступа недоступны.

Мы рекомендуем выполнить инструкции по управлению учетными записями администрирования аварийного доступа в идентификаторе Microsoft Entra и обеспечить тщательное отслеживание этих учетных записей.

Безопасность рабочей станции администратора

Убедитесь, что администраторы критического влияния работают на рабочей станции с повышенной защитой и мониторингом

Векторы атаки, в которых используется веб-серфинг и электронная почта, такие как фишинг, являются недорогими и распространенными. Изоляция администраторов критического влияния от этих рисков значительно снижает опасность возникновения серьезных рисков, в которых одна из этих учетных записей скомпрометирована и используется для нанесения материального ущерба вашему бизнесу или целям.

Выберите уровень безопасности рабочей станции администратора в зависимости от доступных вариантов https://aka.ms/securedworkstation

• Высокозащищенное устройство повышения производительности (рабочая станция повышенной безопасности или специальная рабочая станция)
  Вы можете начать этот путь безопасности для администраторов критического влияния, предоставив им рабочую станцию с более высоким уровнем безопасности, станция по-прежнему позволяет выполнять общие задачи веб-серфинга и повышения производительности. Если эти действия выполняются в качестве промежуточного этапа, это позволяет упростить переход на полностью изолированные рабочие станции как администраторов критического влияния, так и ИТ-специалистов, поддерживающих этих пользователей и их рабочие станции.

• Рабочая станция привилегированного доступа (специализированная рабочая станция или рабочая станция повышенной безопасности)
  Эти конфигурации представляют собой идеальное состояние безопасности для администраторов критического влияния, так как они в значительной степени ограничивают атаки на основе фишинга, веб-серфинга и производительных приложений. Эти рабочие станции не разрешают общий веб-серфинг в Интернете, разрешают доступ только через браузер к порталу Azure и другим административным сайтам.

Зависимости администратора критического влияния — учетная запись/рабочая станция

Тщательно выбирайте локальные зависимости безопасности для учетных записей критического влияния и их рабочих станций

Чтобы избежать риска от основного инцидента в локальной среде, который может стать серьезной угрозой для облачных ресурсов, необходимо устранить или свести к минимальному средства контроля, которые локальные ресурсы имеют для критического воздействия на учетные записи в облаке. Например, злоумышленники, которые взламывают локальную службу Active Directory, могут получить доступ к облачным ресурсам на основе этих учетных записей, таким как ресурсы в Azure, Amazon Web Services (AWS), ServiceNow и т. д. Злоумышленники также могут использовать рабочие станции, присоединенные к локальным доменам, чтобы получить доступ к учетным записям и службам, управляемым ими.

Выберите уровень изоляции от локальных средств управления, которые также называются зависимостями по безопасности для учетных записей критического влияния

• Учетные записи пользователей — выберите место размещения учетных записей критического влияния

  • Собственные учетные записи Microsoft Entra —*Создание собственных учетных записей Microsoft Entra, которые не синхронизированы с локальным active directory

  • Синхронизация из локальная служба Active Directory (не рекомендуется) — используйте существующие учетные записи, размещенные в локальном active directory.

• Рабочие станции — выберите способ управления рабочими станциями, используемыми учетными записями администраторов критического влияния, и обеспечьте их безопасность:

  • Управление собственным облаком и безопасность (рекомендуется) — присоединение рабочих станций к идентификатору Microsoft Entra ID и управление и исправление их с помощью Intune или других облачных служб. Выполните защиту и мониторинг с помощью Microsoft Defender ATP или другой облачной службы, не управляемой локальными учетными записями.

  • Выполните управление с помощью существующих систем — присоединитесь к существующему домену AD и используйте существующее управление/безопасность.

Проверка подлинности без пароля или многофакторная проверка подлинности для администраторов

Необходимо требовать от всех администраторов критического влияния, чтобы они использовали проверку подлинности с паролем или многофакторную проверку подлинности (MFA).

Методы атаки изменились, теперь только одни пароли не могут надежно защитить учетную запись. Это хорошо рассмотрено в статье Сеанс Microsoft Ignite.

Учетные записи администраторов и все учетные записи критического влияния должны использовать один из следующих методов проверки подлинности. Эти методы перечислены в порядке предпочтения по мере повышения стоимости/сложности атак (наиболее надежные и предпочтительные варианты) для снижения затрат/сложности на атаку:

• Без пароля (например, Windows Hello)
  https://aka.ms/HelloForBusiness

• Без пароля (приложение Authenticator)
  </azure/active-directory/authentication/howto-authentication-phone-sign-in>

• Многофакторная идентификация
  </azure/active-directory/authentication/howto-mfa-userstates>

Обратите внимание, что метод с текстовым сообщением SMS, основанным на MFA, стал недорогим для атакующих, поэтому мы рекомендуем не полагаться на него. Этот метод по-прежнему надежнее, чем только одни пароли, но намного слабее, чем другие методы MFA

Применение условного доступа для администраторов — тип "Никому не доверяй"

Проверка подлинности для всех администраторов и других учетных записей критического влияния должна включать в себя измерение и применение ключевых атрибутов безопасности для поддержки стратегии типа "Никому не доверяй".

Злоумышленники, которые взламывают учетные записи администратора Azure, могут нанести значительный вред. Условный доступ может значительно снизить этот риск за счет проверки безопасности перед предоставлением доступа к управлению Azure.

Настройте политику условного доступа для управления Azure в соответствии с требованиями вашей организации и эксплуатационными потребностями.

• Требуйте внедрения многофакторной проверки подлинности и (или) подключения из целевой рабочей сети

• Требуйте целостность данных для устройств с помощью Microsoft Defender ATP (строгая гарантия)

Избегайте детализированных и настраиваемых разрешений

Избегайте разрешений, которые специально ссылаются на отдельные ресурсы или пользователей

Определенные разрешения создают ненужные сложности и путаницу, так как не концентрируют внимание на новых похожих ресурсах. Затем все это накапливается в сложной устаревшей конфигурации, которую трудно обслуживать или изменять, что негативно влияет на безопасность и гибкость решения.

Вместо назначения конкретных разрешений, связанных с определенными ресурсами, используйте

• Группы управления для разрешений масштаба предприятия

• Группы ресурсов для разрешений в рамках подписок

Вместо предоставления разрешений определенным пользователям назначьте доступ к группам в идентификаторе Microsoft Entra. Если подходящая группа отсутствует, создайте группу идентификации. Это позволяет в Azure добавлять и удалять членов групп извне и поддерживать актуальность разрешений, а также использовать группу в других целях, таких как списки рассылки.

Используйте встроенные роли

По возможности для назначения разрешений используйте встроенные роли.

Настройка приводит к усложнению, что повышает путаницу и делает автоматизацию более сложной, трудной и ненадежной. Все эти факторы негативно влияют на безопасность

Рекомендуется оценить встроенные роли, предназначенные для использования в большинстве обычных сценариев. Пользовательские роли являются мощным и иногда полезным средством, но их следует использовать, когда встроенные роли не работают.

Создание управления жизненным циклом для учетных записей критического влияния

Убедитесь, что у вас есть возможность отключения или удаления учетных записей администратора, когда сотрудники отдела администрирования увольняются из организации (или уходят с должности администратора)

Дополнительные сведения см. в статье "Управление доступом пользователей и гостевых пользователей с помощью проверок доступа".

Моделирование атак для учетных записей критического влияния

Регулярно моделируйте атаки от пользователей с правами администратора, используя текущие методы атаки, чтобы проинструктировать пользователей и повысить эффективность их работы.

Люди являются важной частью вашей защиты, особенно сотрудники, имеющие доступ к учетным записям с критическим влиянием. Необходимо гарантировать, что эти пользователи (а в идеале все пользователи) получат знания и навыки и смогут избежать и противодействовать противозаконным атакам, что снизит общий риск организации.

Вы можете использовать возможности моделирования атак на Office 365 или любое количество сторонних предложений.

Следующие шаги

Дополнительные рекомендации по безопасности от Майкрософт см. в документации по безопасности Майкрософт.