Улучшенная среда администрирования безопасностиEnhanced Security Admin Environment

Архитектура расширенной среды администрирования безопасности (ЕСАЕ) (часто называемая красным лесом, административным лесом или защищенным лесом) — это подход к обеспечению безопасной среды для администраторов Windows Server Active Directory (AD).The Enhanced Security Admin Environment (ESAE) architecture (often referred to as red forest, admin forest, or hardened forest) is an approach to provide a secure environment for Windows Server Active Directory (AD) administrators.

Рекомендация корпорации Майкрософт по использованию этого шаблона архитектуры была заменена стратегией современных привилегированных прав доступа и быстрым модернизации плана (пандус) в качестве рекомендуемого подхода по умолчанию для защиты привилегированных пользователей.Microsoft’s recommendation to use this architectural pattern has been replaced by the modern privileged access strategy and rapid modernization plan (RAMP) guidance as the default recommended approach for securing privileged users. Шаблон административного леса ЕСАЕ с усиленной защитой (локально или на основе облака) считается пользовательской конфигурацией, которая подходит только для случаев исключений, перечисленных ниже.The ESAE hardened administrative forest pattern (on-prem or cloud-based) is now considered a custom configuration suitable only for exception cases listed below.

Что делать, если у меня уже есть ЕСАЕ?What if I already have ESAE?

Для клиентов, которые уже развернули эту архитектуру для повышения безопасности и/или упрощения управления несколькими лесами, нет необходимости в отмене или замене реализации ЕСАЕ, если она работает как спроектированная и предполагаемая.For customers that have already deployed this architecture to enhance security and/or simplify multi-forest management, there is no urgency to retire or replace an ESAE implementation if it's being operated as designed and intended. Как и в случае любых корпоративных систем, вы должны поддерживать программное обеспечение в ней, применяя обновления безопасности и гарантируя, что программное обеспечение находится в течение жизненного цикла поддержкиAs with any enterprise systems, you should maintain the software in it by applying security updates and ensuring software is within support lifecycle.

Корпорация Майкрософт также рекомендует организациям с ЕСАЕ/усиленными лесами применять стратегию современного привилегированного доступа с помощью руководства по быстрому модернизации плана (пандус) .Microsoft also recommends organizations with ESAE / hardened forests adopt the modern privileged access strategy using the rapid modernization plan (RAMP) guidance. Это дополняет существующую реализацию ЕСАЕ и обеспечивает соответствующую безопасность для ролей, еще не защищенных с помощью ЕСАЕ, включая глобальных администраторов Azure AD, пользователей с конфиденциальными бизнес-пользователями и стандартных корпоративных пользователей.This complements an existing ESAE implementation and provides appropriate security for roles not already protected by ESAE including Azure AD Global Administrators, sensitive business users, and standard enterprise users. Дополнительные сведения см. в статье Защита уровней безопасности привилегированного доступа.For more information, see the article Securing privileged access security levels.

Зачем изменять рекомендацию?Why change the recommendation?

Когда ЕСАЕ изначально разрабатывался 10 лет назад, основное внимание было уделено локальным средам с AD в качестве местного поставщика удостоверений.When ESAE was originally designed 10 years ago, the focus was on on-premise environments with AD as the local identity provider. Реализация ЕСАЕ/усиленного леса сосредоточена на защите администраторов Windows Server Active Directory.ESAE / hardened forest implementations focus on protecting Windows Server Active Directory administrators.

Корпорация Майкрософт рекомендует использовать новые облачные решения, так как их можно развернуть быстрее, чтобы защитить более широкие возможности административных и бизнес-ролей и систем.Microsoft recommends the new cloud-based solutions because they can be deployed more quickly to protect a broader scope of administrative and business-sensitive roles and systems.

Стратегия привилегированного доступа обеспечивает защиту и мониторинг гораздо большего количества конфиденциальных пользователей, предоставляя добавочные более низкие затраты для быстрого создания гарантий безопасности.The privileged access strategy provides protections and monitoring for a much larger set of sensitive users, while providing incremental lower-cost steps to rapidly build security assurances.

Хотя это и допустимо для конкретных случаев использования, ЕСАЕ зафиксированные реализации леса являются более дорогостоящими и труднее в использовании, что требует больше оперативной поддержки по сравнению с новым облачным решением (из-за сложного характера этой архитектуры).While still valid for specific use cases, ESAE hardened forest implementations are more costly and more difficult to use, requiring more operational support compared to the newer cloud-based solution (due to the complex nature of that architecture). Реализации ЕСАЕ предназначены для защиты только администраторов Windows Server Active Directory.ESAE implementations are designed to protect only Windows Server Active Directory administrators. Стратегия привилегированного доступана основе облачных служб   обеспечивает защиту и мониторинг гораздо большего количества конфиденциальных пользователей, предоставляя добавочные более низкие меры для быстрого создания гарантий безопасности.The cloud based privileged access strategy provides protections and monitoring for a much larger set of sensitive users, while providing incremental lower-cost steps to rapidly build security assurances.

Каковы допустимые варианты использования ЕСАЕ?What are the valid ESAE use cases?

Хотя это не основная рекомендация, этот шаблон архитектуры является допустимым в ограниченном наборе сценариев.While not a mainstream recommendation, this architectural pattern is valid in a limited set of scenarios.

В этих сценариях исключения Организация должна принять повышенную техническую сложность и эксплуатационные расходы на решение.In these exception cases, the organization must accept the increased technical complexity and operational costs of the solution. Организация должна иметь сложную программу обеспечения безопасности для измерения рисков, мониторинга рисков и применения устойчивых рабочих средств для использования и обслуживания реализации ЕСАЕ.The organization must have a sophisticated security program to measure risk, monitor risk, and apply consistent operational rigor to the usage and maintenance of the ESAE implementation.

Примеры сценариев:Example scenarios include:

  • Изолированные локальные среды — там, где облачные службы недоступны, такие как автономные лабораторные лаборатории, критическая инфраструктура или служебные программы, отключенные операционные технологии, такие как контроль управления и получение данных (СКАДА)/промышленные контрольные системы (ICS), и клиенты государственного сектора, полностью зависящие от локальной технологии.Isolated on-premises environments - where cloud services are unavailable such as offline research laboratories, critical infrastructure or utilities, disconnected operational technology (OT) environments such as Supervisory control and data acquisition (SCADA) / Industrial Control Systems (ICS), and public sector customers that are fully reliant on on-premises technology.
  • Высокорегулируемые среды — регламентированные или государственные органы могут специально требовать настройки административного леса.Highly regulated environments – industry or government regulation may specifically require an administrative forest configuration.
  • Высокий уровень безопасности гарантирует , что организации имеют низкую отказоустойчивость, которые готовы принять повышенную сложность и эксплуатационные затраты на решение.High level security assurance is mandated - organizations with low risk tolerance that are willing to accept the increased complexity and operational cost of the solution.

Примечание

Хотя корпорация Майкрософт больше не рекомендует использовать изолированную модель безопасных лесов для большинства сценариев в большинстве организаций, корпорация Майкрософт по-прежнему работает с внутренней архитектурой (а также с соответствующими процессами поддержки и персоналом) в связи с требованиями безопасности для предоставления доверенных облачных служб организациям по всему миру.While Microsoft no longer recommends an isolated hardened forest model for most scenarios at most organizations, Microsoft still operates a similar architecture internally (and associated support processes and personnel) because of the extreme security requirements for providing trusted cloud services to organizations around the globe.

Дальнейшие действияNext steps

Ознакомьтесь с рекомендациями по стратегии привилегированного доступа и быстрой модернизации плана (пандус) , чтобы обеспечить безопасность сред для привилегированных пользователей.Review the privileged access strategy and rapid modernization plan (RAMP) guidance for providing secure environments for privileged users.