АдминистрированиеAdministration

Администрирование — это практика мониторинга, обслуживания и эксплуатации систем информационных технологий (IT) для удовлетворения уровней обслуживания, необходимых для бизнеса.Administration is the practice of monitoring, maintaining, and operating Information Technology (IT) systems to meet service levels that the business requires. Администрирование предоставляет некоторые из самых важных угроз безопасности, поскольку для выполнения этих задач требуется привилегированный доступ к очень широкому набору этих систем и приложений.Administration introduces some of the highest impact security risks because performing these tasks requires privileged access to a very broad set of these systems and applications. Злоумышленники узнают, что получение доступа к учетной записи с правами администратора может получить доступ к большинству или ко всем данным, которые они будут использовать, что делает безопасность администрирования одной из наиболее важных областей безопасности.Attackers know that gaining access to an account with administrative privileges can get them access to most or all of the data they would target, making the security of administration one of the most critical security areas.

В качестве примера Корпорация Майкрософт вносит значительные инвестиции в защиту и обучение администраторов для наших облачных систем и ИТ.As an example, Microsoft makes significant investments in protection and training of administrators for our cloud systems and IT systems:

Снимок экрана с автоматически созданным описанием сотового телефона

Рекомендуемая базовая стратегия корпорации Майкрософт для прав администратора — использование доступных элементов управления для снижения рискаMicrosoft’s recommended core strategy for administrative privileges is to use the available controls to reduce risk

Уменьшение степени риска (область и время) — Принцип наименьших привилегий лучше всего подходит для современных элементов управления, предоставляющих привилегии по запросу.Reduce risk exposure (scope and time) – The principle of least privilege is best accomplished with modern controls that provide privileges on demand. Это поможет ограничить риск, ограничивая привилегии администратора следующим образом.This help to limit risk by limiting administrative privileges exposure by:

  • Область — только достаточный доступ (JEA) предоставляет только необходимые привилегии для административной операции (а также наличие прямых и немедленных привилегий для многих или всех систем за раз, что почти никогда не требуется).ScopeJust Enough Access (JEA) provides only the required privileges for the administrative operation required (vs. having direct and immediate privileges to many or all systems at a time, which is almost never required).

  • ВремяJIT -подходы обеспечивают требуемые привилегированные требования по мере необходимости.TimeJust in Time (JIT) approaches provided the required privileged as they are needed.

  • Устранение оставшихся рисков . Используйте сочетание профилактических и выявляющий элементов управления, чтобы снизить риски, такие как изоляция учетных записей администраторов от наиболее распространенных рисков фишинга и общий обзор веб-страниц, упрощение и Оптимизация рабочего процесса, повышение надежности решений для проверки подлинности и определение аномалий на основе нормального базового поведения, которое можно заблокировать или исследовать.Mitigate the remaining risks – Use a combination of preventive and detective controls to reduce risks such as isolating administrator accounts from the most common risks phishing and general web browsing, simplifying and optimizing their workflow, increasing assurance of authentication decisions, and identifying anomalies from normal baseline behavior that can be blocked or investigated.

Корпорация Майкрософт соработала и задокументирована рекомендации по защите учетных записей администраторов и опубликованных приоритетных планов для защиты привилегированного доступа, которые можно использовать в качестве ссылок для определения приоритетов для учетных записей с привилегированным доступом.Microsoft has captured and documented best practices for protecting administrative accounts and published prioritized roadmaps for protecting privileged access that can be used as references for prioritizing mitigations for accounts with privileged access.

Минимальное число администраторов критических последствийMinimize number of critical impact admins

Предоставление минимального количества учетных записей привилегий, которые могут оказать важное влияние на бизнесGrant the fewest number of accounts to privileges that can have a critical business impact

Каждая учетная запись администратора представляет потенциальную контактную зону, на которую может нацелиться злоумышленник, поэтому минимизация количества учетных записей с этой привилегией позволяет ограничить общий риск организации.Each admin account represents potential attack surface that an attacker can target, so minimizing the number of accounts with that privilege helps limit the overall organizational risk. Опыт учила, что членство в этих привилегированных группах растет со временем, так как пользователи меняют роли, если членство в ней активно не ограничено и не управляется.Experience has taught us that membership of these privileged groups grows naturally over time as people change roles if membership not actively limited and managed.

Мы рекомендуем использовать подход, который уменьшает риск уязвимой зоны, обеспечивая непрерывность бизнес-процессов в случае, если что-то происходит с администратором:We recommend an approach that reduces this attack surface risk while ensuring business continuity in case something happens to an administrator:

  • Назначьте привилегированной группе по крайней мере две учетные записи для обеспечения непрерывности бизнес-процессовAssign at least two accounts to the privileged group for business continuity

  • Если требуется две или более учетных записей, предоставьте обоснование для каждого члена, включая исходные дваWhen two or more accounts are required, provide justification for each member including the original two

  • Регулярное изучение & по обоснованиям членства для каждого члена группыRegularly review membership & justification for each group member

Управляемые учетные записи для администраторовManaged accounts for admins

Убедитесь, что все администраторы критических последствий в управляются корпоративным каталогом для соблюдения политик организации.Ensure all critical impact admins in are managed by enterprise directory to follow organizational policy enforcement.

Учетные записи потребителей, такие как учетные записи Майкрософт, такие как @ Hotmail.com, @ live.com, @ Outlook.com, не предлагают достаточную видимость и контроль безопасности для обеспечения соблюдения политик организации и соблюдения нормативных требований.Consumer accounts such as Microsoft accounts like @Hotmail.com, @live.com, @outlook.com, don’t offer sufficient security visibility and control to ensure the organization’s policies and any regulatory requirements are being followed. Так как развертывания Azure часто запускаются небольшими и неформально, прежде чем они будут расти в клиентах, управляемых предприятием, некоторые учетные записи потребителей остаются в виде административных учетных записей, например, в случае с исходными руководителями Azure, созданием слепых точек и потенциальными рискамиBecause Azure deployments often start small and informally before growing into enterprise-managed tenants, some consumer accounts remain as administrative accounts long afterward for example, original Azure project managers, creating blind spots, and potential risks.

Отдельные учетные записи для администраторовSeparate accounts for admins

Убедитесь, что все администраторы критических последствий имеют отдельную учетную запись для административных задач (и учетную запись, которую они используют для электронной почты, веб-обзора и других задач повышения производительности).Ensure all critical impact admins have a separate account for administrative tasks (vs the account they use for email, web browsing, and other productivity tasks).

Фишингы и атаки через веб-браузер представляют наиболее распространенные направления атак для взлома учетных записей, включая учетные записи администраторов.Phishing and web browser attacks represent the most common attack vectors to compromise accounts, including administrative accounts.

Создайте отдельную учетную запись администратора для всех пользователей, имеющих роль, которая требует наличия критических прав.Create a separate administrative account for all users that have a role requiring critical privileges. Для этих административных учетных записей следует блокировать средства повышения производительности, такие как электронная почта Office 365 (удаление лицензии).For these administrative accounts, block productivity tools like Office 365 email (remove license). Если это возможно, заблокируйте произвольный просмотр веб-страниц (с помощью прокси-сервера или элементов управления приложения), разрешив исключения для обзора портал Azure и других сайтов, необходимых для административных задач.If possible, block arbitrary web browsing (with proxy and/or application controls) while allowing exceptions for browsing to the Azure portal and other sites required for administrative tasks.

Нет фиксированных привилегий доступа/JITNo standing access / Just in Time privileges

Старайтесь не предоставлять постоянный «фиксированный» доступ ко всем критически важным учетным записям.Avoid providing permanent “standing” access for any critical impact accounts

Постоянные привилегии увеличивают бизнес-риск, увеличивая время, в течение которого злоумышленник может повредить учетную запись.Permanent privileges increase business risk by increasing the time an attacker can use the account to do damage. Временные привилегии позволяют злоумышленникам, нацеленным на учетную запись, работать в течение ограниченного времени, если администратор уже использует эту учетную запись или инициирует повышение привилегий (что повышает вероятность обнаружения и удаления в среде).Temporary privileges force attackers targeting an account to either work within the limited times the admin is already using the account or to initiate privilege elevation (which increases their chance of being detected and removed from the environment).

Права на предоставление прав требуются только при необходимости с помощью одного из следующих методов:Grant privileges required only as required using one of these methods:

  • JIT- Включите Azure AD Privileged Identity Management (PIM) или стороннее решение, чтобы требовать от рабочего процесса утверждения разрешения на получение прав для важных учетных записей.Just in Time - Enable Azure AD Privileged Identity Management (PIM) or a third party solution to require following an approval workflow to obtain privileges for critical impact accounts

  • Прозрачное стекло — Для редко используемых учетных записей выполните процедуру аварийного доступа, чтобы получить доступ к учетным записям.Break glass – For rarely used accounts, follow an emergency access process to gain access to the accounts. Это предпочтительно для привилегий, которые не требуют постоянного использования в работе, например членов учетных записей глобального администратора.This is preferred for privileges that have little need for regular operational usage like members of global admin accounts.

Аварийный доступ или учетные записи с эффектом "прервать"Emergency access or ‘Break Glass’ accounts

Убедитесь, что у вас есть механизм для получения административного доступа в случае аварии.Ensure you have a mechanism for obtaining administrative access in case of an emergency

В редких случаях иногда возникает ситуация, когда все обычные средства административного доступа недоступны.While rare, sometimes extreme circumstances arise where all normal means of administrative access are unavailable.

Рекомендуется выполнить инструкции, описанные в статье Управление административными учетными записями в Azure AD и обеспечить тщательный мониторинг этих учетных записей.We recommend following the instructions at Managing emergency access administrative accounts in Azure AD and ensure that security operations monitor these accounts carefully.

Безопасность рабочей станции администратораAdmin workstation security

Убедитесь, что администраторы критических последствий используют рабочую станцию с повышенной защитой и мониторингом.Ensure critical impact admins use a workstation with elevated security protections and monitoring

Направления атак, в которых используется просмотр и электронная почта, такие как фишинг, являются недорогими и распространенными.Attack vectors that use browsing and email like phishing are cheap and common. Изоляция администраторов критических последствий от этих рисков значительно снижает риск возникновения серьезных рисков, в которых одна из этих учетных записей скомпрометирована и используется для материализации бизнеса или миссии.Isolating critical impact admins from these risks will significantly lower your risk of a major incident where one of these accounts is compromised and used to materially damage your business or mission.

Выберите уровень безопасности рабочей станции администратора в зависимости от доступных вариантов.https://aka.ms/securedworkstationChoose level of admin workstation security based on the options available at https://aka.ms/securedworkstation

  • Высокозащищенное устройство повышения производительности (Рабочая станция повышенной безопасности или Специальная рабочая станция)Highly Secure Productivity Device (Enhanced Security Workstation or Specialized Workstation)
    Вы можете начать это место безопасности для администраторов критических последствий, предоставив им более высокий уровень безопасности рабочей станции, которая по-прежнему позволяет выполнять общие задачи обзора и повышения производительности.You can start this security journey for critical impact admins by providing them with a higher security workstation that still allows for general browsing and productivity tasks. Использование этого как промежуточного шага позволяет упростить переход на полностью изолированные рабочие станции как для администраторов критических последствий, так и для ИТ-специалистов, поддерживающих этих пользователей и их рабочие станции.Using this as an interim step helps ease the transition to fully isolated workstations for both the critical impact admins as well as the IT staff supporting these users and their workstations.

  • Рабочая станция привилегированного доступа (Специализированная рабочая станция или защищенная рабочая станция)Privileged Access Workstation (Specialized Workstation or Secured Workstation)
    Эти конфигурации представляют собой идеальное состояние безопасности для администраторов критических последствий, так как они сильно ограничивают доступ к направлениям атак с фишингом, браузером и производительностью приложений.These configurations represent the ideal security state for critical impact admins as they heavily restrict access to phishing, browser, and productivity application attack vectors. Эти рабочие станции не разрешают общий просмотр в Интернете, разрешают доступ только через браузер к портал Azure и другим административным сайтам.These workstations don’t allow general internet browsing, only allow browser access to Azure portal and other administrative sites.

Критические зависимости администратора о критическом влиянии — учетная запись или рабочая станцияCritical impact admin dependencies – Account/Workstation

Тщательно выбирайте локальные зависимости безопасности для учетных записей критических последствий и рабочих станций.Carefully choose the on-premises security dependencies for critical impact accounts and their workstations

Чтобы избежать риска от основного инцидента в локальной среде, чтобы стать серьезной угрозой для облачных ресурсов, необходимо устранить или свести к минимальному снижению степени контроля над тем, что локальные ресурсы имеют критически важные для них учетные записи в облаке.To contain the risk from a major incident on-premises spilling over to become a major compromise of cloud assets, you must eliminate or minimize the means of control that on premises resources have to critical impact accounts in the cloud. Например, злоумышленники, которые подвергают локальный Active Directory, могут получить доступ к облачным ресурсам на основе этих учетных записей, таким как ресурсы в Azure, Amazon Web Services (AWS), ServiceNow и т. д., и нарушать их безопасность.As an example, attackers who compromise the on premises Active Directory can access and compromise cloud-based assets that rely on those accounts like resources in Azure, Amazon Web Services (AWS), ServiceNow, and so on. Злоумышленники также могут использовать рабочие станции, присоединенные к локальным доменам, чтобы получить доступ к учетным записям и службам, управляемым ими.Attackers can also use workstations joined to those on premises domains to gain access to accounts and services managed from them.

Выберите уровень изоляции от локальных средств управления, которые также называются зависимостями безопасности для учетных записей критических последствий.Choose the level of isolation from on premises means of control also known as security dependencies for critical impact accounts

  • Учетные записи пользователей — выберите место размещения учетных записей критических последствий.User Accounts – Choose where to host the critical impact accounts

  • Рабочие станции — выберите, как вы будете управлять рабочими станциями, используемыми критическими учетными записями администраторов, и обеспечивать их безопасность:Workstations – Choose how you will manage and secure the workstations used by critical admin accounts:

    • Собственное облачное управление & безопасность (рекомендуется). присоединение рабочих станций к Azure AD & управление ими и их исправление с помощью Intune или других облачных служб.Native Cloud Management & Security (Recommended) - Join workstations to Azure AD & Manage/Patch them with Intune or other cloud services. Защита и мониторинг с помощью Microsoft Defender ATP или другой облачной службы, не управляемой локальными учетными записями.Protect and Monitor with Windows Microsoft Defender ATP or another cloud service not managed by on premises based accounts.

    • Управление с помощью существующих систем. присоединение к существующему домену AD & использование существующего управления и безопасности.Manage with Existing Systems - Join existing AD domain & leverage existing management/security.

Это связано с тем, что не синхронизовать локальные учетные записи администраторов с поставщиками удостоверений в облаке с руководством по облачным поставщикам удостоверений в разделе "Администрирование", который уменьшает риск свертывания из облачных ресурсов в локальные ресурсы.This is related to the Don’t synchronize on-premises admin accounts to cloud identity providers to cloud identity providers guidance in the administration section that mitigates the inverse risk of pivoting from cloud assets to on-premises assets

Антипарольная или многофакторная проверка подлинности для администраторовPasswordless Or multi-factor authentication for admins

Требовать от всех критических административных последствий использовать проверку подлинности с паролем или многофакторную проверку подлинности (MFA).Require all critical impact admins to use passwordless authentication or multi-factor authentication (MFA).

Методы атаки изменились до того момента, когда только пароли не могут надежно защитить учетную запись.Attack methods have evolved to the point where passwords alone cannot reliably protect an account. Это хорошо задокументировано в сеансе Microsoft Ignite.This is well documented in a Microsoft Ignite Session.

Учетные записи администратора и все критические учетные записи должны использовать один из следующих методов проверки подлинности.Administrative accounts and all critical accounts should use one of the following methods of authentication. Эти возможности перечислены в порядке предпочтения, что повышает стоимость и сложность атак (наиболее надежный и предпочтительный вариант) с целью снижения затрат на атаку.These capabilities are listed in preference order by highest cost/difficulty to attack (strongest/preferred options) to lowest cost/difficult to attack:

Обратите внимание, что SMS с текстовым сообщением, основанным на MFA, стал очень недорогым для обхода, поэтому мы рекомендуем не полагаться на него.Note that SMS Text Message based MFA has become very inexpensive for attackers to bypass, so we recommend you avoid relying on it. Этот параметр по-прежнему надежнее, чем только пароли, но намного более слабее, чем другие параметры MFA.This option is still stronger than passwords alone, but is much weaker than other MFA options

Применение условного доступа для администраторов — нулевое довериеEnforce conditional access for admins - Zero Trust

Проверка подлинности для всех администраторов и других критически важных учетных записей должна включать в себя измерение и применение ключевых атрибутов безопасности для поддержки стратегии нулевого доверия.Authentication for all admins and other critical impact accounts should include measurement and enforcement of key security attributes to support a Zero Trust strategy.

Злоумышленники, которые подвергают учетные записи администратора Azure, могут привести к значительным вредам.Attackers compromising Azure Admin accounts can cause significant harm. Условный доступ может значительно снизить этот риск за счет применения санации безопасности перед предоставлением доступа к управлению Azure.Conditional Access can significantly reduce that risk by enforcing security hygiene before allowing access to Azure management.

Настройка политики условного доступа для управления Azure , которая соответствует требованиям вашей организации к аппетит и эксплуатационным потребностям.Configure Conditional Access policy for Azure management that meets your organization’s risk appetite and operational needs.

  • Требовать многофакторную проверку подлинности и (или) подключение из назначенной рабочей сетиRequire Multifactor Authentication and/or connection from designated work network

  • Требовать целостность устройств с помощью ATP в защитнике Майкрософт (strong гарантия)Require Device integrity with Microsoft Defender ATP (Strong Assurance)

Избегайте детализированных и настраиваемых разрешенийAvoid granular and custom permissions

Избегайте разрешений, которые специально ссылаются на отдельные ресурсы или пользователейAvoid permissions that specifically reference individual resources or users

Определенные разрешения создают ненужные сложности и путаницу, так как они не приносят намерения к новым похожим ресурсам.Specific permissions create unneeded complexity and confusion as they don’t carry the intention to new similar resources. Затем он накапливается в сложной устаревшей конфигурации, которую трудно обслуживать или изменять, не заботясь о том, что негативно влияет на безопасность и гибкость решения.This then accumulates into a complex legacy configuration that is difficult to maintain or change without fear of “breaking something” – negatively impacting both security and solution agility.

Вместо назначения конкретных разрешений для конкретного ресурса используйте либоInstead of assigning specific resource-specific permissions, use either

  • Группы управления для разрешений в масштабах предприятияManagement Groups for enterprise-wide permissions

  • Группы ресурсов для разрешений в рамках подписокResource groups for permissions within subscriptions

Вместо предоставления разрешений для конкретных пользователей назначьте доступ к группам в Azure AD.Instead of granting permissions to specific users, assign access to groups in Azure AD. Если подходящая группа не существует, поработайте с группой идентификации, чтобы создать ее.If there isn’t an appropriate group, work with the identity team to create one. Это позволяет добавлять и удалять членов групп извне в Azure и обеспечивать актуальность разрешений, а также позволяет использовать группу для других целей, таких как списки рассылки.This allows you to add and remove group members externally to Azure and ensure permissions are current, while also allowing the group to be used for other purposes such as mailing lists.

Использование встроенных ролейUse built-in roles

По возможности используйте встроенные роли для назначения разрешений.Use built-in roles for assigning permissions where possible.

Настройка приводит к усложнению, что повышает путаницу и делает автоматизацию более сложной, сложной и ненадежной.Customization leads to complexity that increases confusion and makes automation more complex, challenging, and fragile. Все эти факторы негативно влияют на безопасность.These factors all negatively impact security

Рекомендуется оценить встроенные роли , предназначенные для использования в большинстве обычных сценариев.We recommend that you evaluate the built-in roles designed to cover most normal scenarios. Пользовательские роли являются мощным и иногда полезной возможностью, но они должны быть зарезервированы для случаев, когда встроенные роли не работают.Custom roles are a powerful and sometimes useful capability, but they should be reserved for cases when built in roles won’t work.

Создание управления жизненным циклом для учетных записей критических последствийEstablish lifecycle management for critical impact accounts

Убедитесь, что у вас есть процесс отключения или удаления учетных записей администратора, когда сотрудники отдела администрирования оставляют организацию (или не оставляйте прав администратора).Ensure you have a process for disabling or deleting administrative accounts when admin personnel leave the organization (or leave administrative positions)

Дополнительные сведения см. в разделе регулярная проверка критического доступа .See Regularly review critical access for more details.

Моделирование атак для учетных записей критических последствийAttack simulation for critical impact accounts

Регулярно имитируйте атаки от пользователей с правами администратора, используя текущие методы атаки, чтобы проинструктировать их и повысить эффективность.Regularly simulate attacks against administrative users with current attack techniques to educate and empower them.

Люди являются важной частью вашей защиты, особенно сотрудников, имеющих доступ к учетным записям с критическим влиянием.People are a critical part of your defense, especially your personnel with access to critical impact accounts. Гарантировать, что эти пользователи (и в идеале все пользователи) получат знания и навыки, чтобы избежать и противозаконных атаках снизить общий риск организации.Ensuring these users (and ideally all users) have the knowledge and skills to avoid and resist attacks will reduce your overall organizational risk.

Вы можете использовать возможности моделирования атак Office 365 или любое число сторонних предложений.You can use Office 365 Attack Simulation capabilities or any number of third party offerings.

Дальнейшие действияNext steps

Дополнительные рекомендации по безопасности от корпорации Майкрософт см. в документации по безопасности Майкрософт.For additional security guidance from Microsoft, see Microsoft security documentation.