Обеспечение безопасности привилегированного доступаSecuring Privileged Access

Область применения: Windows Server 2016Applies To: Windows Server 2016

Защита привилегированного доступа — критически важный первый шаг для защиты бизнес-ресурсов в современных организациях.Securing privileged access is a critical first step to establishing security assurances for business assets in a modern organization. Безопасность большинства или всех бизнес-ресурсов компании зависит от целостности привилегированных учетных записей которых администрируются ИТ-систем.The security of most or all business assets in an organization depends on the integrity of the privileged accounts that administer and manage IT systems. Злоумышленники часто пытаются скомпрометировать эти учетные записи и другие компоненты привилегированного доступа, чтобы быстро получить доступ к целевым данным и системам с помощью атак кражи учетных данных, как Pass--Hash и Pass--Ticket.Cyber-attackers are targeting these accounts and other elements of privileged access to rapidly gain access to targeted data and systems using credential theft attacks like Pass-the-Hash and Pass-the-Ticket.

Защиты административного доступа от определил, что злоумышленников необходима комплексная стратегия изолирования этих систем от рисков.Protecting administrative access against determined adversaries require you to take a complete and thoughtful approach to isolate these systems from risks. На этом рисунке показаны три этапа, необходимые для разделения и защиты администрирования в этой стратегии.This figure depicts the three stages of recommendations for separating and protecting administration in this roadmap:

Схема из трех этапов, необходимых для разделения и защиты администрирования в соответствии с данной стратегией

Описание этапов реализации стратегии:Roadmap Objectives:

  • план на 2 – 4 недели: быстро снизить количество самых распространенных атак;2-4 week plan: quickly mitigate the most frequently used attack techniques

  • план на 1 – 3 месяца: обеспечить видимость и контроль действий администратора;1-3 month plan: build visibility and control of admin activity

  • план на 6 месяцев: продолжить разработку средств защиты для повышения уровня безопасности6+ month plan: continue building defenses to a more proactive security posture

Мы советуем следовать этой стратегии, для обеспечения безопасности привилегированного доступа от атак злоумышленников.Microsoft recommends you follow this roadmap to secure privileged access against determined adversaries. Вы можете изменить эту стратегию с учетом возможностей и потребностей вашей организации.You may adjust this roadmap to accommodate your existing capabilities and specific requirements in your organizations.

Примечание

Защита привилегированного доступа требуется множество элементов, в том числе технических (Защита узлов, Защита учетных записей, управление удостоверениями, т. д.), а также изменение процедур, методов администрирования и расширение навыков.Securing privileged access requires a broad range of elements including technical components (host defenses, account protections, identity management, etc.) as well as changes to process, and administrative practices and knowledge.

Почему важно защиты привилегированного доступаWhy is Securing Privileged Access important?

В большинстве компаний безопасность большинства или всех бизнес-ресурсов зависит от целостности привилегированных учетных записей которых администрируются ИТ-систем.In most organizations, the security of most or all business assets depends on the integrity of the privileged accounts that administer and manage IT systems. Злоумышленники предпринимают попытки скомпрометировать привилегированный доступ к системам, таким как Active Directory, чтобы быстро получить доступ ко всем организации целевыми данными.Cyber-attackers are focusing on privileged access to systems like Active Directory to rapidly gain access to all of an organizations targeted data.

В традиционных методах защиты шла в качестве основного периметра безопасности используются точки входящего и исходящего трафика сети организации, но эффективность таких методов сетевой безопасности значительно снизилась по двум причинам:Traditional security approaches have focused on using the ingress and egress points of an organizations network as the primary security perimeter, but the effectiveness of network security has been significantly diminished by two trends:

  • Организации размещают данные и ресурсы за пределами обычных сетевых границ — на корпоративных мобильных компьютеров, устройств, таких как мобильные телефоны и планшеты, облачных служб и ЛИЧНЫХ устройствах.Organizations are hosting data and resources outside the traditional network boundary on mobile enterprise PCs, devices like mobile phones and tablets, cloud services, and BYOD devices

  • Злоумышленники электронную постоянно получают доступ к рабочим станциям в пределах сети через фишинга и других атак веб-сайтов и электронной почты.Adversaries have demonstrated a consistent and ongoing ability to obtain access on workstations inside the network boundary through phishing and other web and email attacks.

Естественной заменой для периметра сетевой безопасности в современных компаниях со сложной структурой является элементы управления проверки подлинности и авторизации на уровне удостоверений организации.The natural replacement for the network security perimeter in a complex modern enterprise is the authentication and authorization controls in an organization's identity layer. Привилегированные учетные записи администраторов позволяют эффективно контролировать этот новый «периметр безопасности», крайне важно для защиты привилегированного доступа:Privileged administrative accounts are effectively in control of this new "security perimeter" so it's critical to protect privileged access:

Схема, показывающая уровень удостоверений организации

Злоумышленник, получивший контроль над учетной записью администратора могут использовать эти полномочия для выполнения действий в ущерб целевой организации, как показано ниже:An adversary that gains control of an administrative account can use those privileges to pursue their gain at the expense of the target organization as depicted below:

Схема, показывающая, как злоумышленник, получивший контроль над учетной записью администратора может использовать эти полномочия для выполнения действий в ущерб целевой организации

Дополнительные сведения о типах атак, которые часто приводят к злоумышленники контролировать учетные записи администраторов, посетите веб-сайт Pass The Hash для информативные технические документы, видеоматериалы и многое другое.For more information on the types of attacks that commonly lead to attackers in control of administrative accounts, please visit the Pass The Hash web site for informative white papers, videos and more.

На этом рисунке показан отдельный «канал» для администрирования, который устанавливает стратегии изоляции задач с привилегированным доступом от задач обычного пользователя повышенным риском, таких как веб-страниц и доступ к электронной почте.This figure depicts the separate "channel" for administration that the roadmap establishes to isolate privileged access tasks from high risk standard user tasks like web browsing and accessing email.

На диаграмме показан отдельный «канал» для администрирования, стратегии изоляции задач с привилегированным доступом от задач обычного пользователя повышенным риском, таких как веб-страниц и доступ к электронной почте

Так как злоумышленник может получить контроль над привилегированными учетными записями с помощью различных методов, снижения этого риска необходима целостная и тщательная Техническая методика, описанная в этой стратегии.Because the adversary can gain control of privileged access using a variety of methods, mitigating this risk requires a holistic and detailed technical approach as outlined in this roadmap. Эта стратегия будет изолировать и усиливать безопасность элементы в вашей среде, разрешающие привилегированный доступ путем применения средств предотвращения атак в каждой области, указанной в столбце на этом рисунке:The roadmap will isolate and harden the elements in your environment that enable privileged access by building mitigations in each area of the defense column in this figure:

Таблица, показывающая столбцы атаки и защиты

Стратегия обеспечения безопасности привилегированного доступаSecurity privileged access roadmap

Эта стратегия предназначена для эффективного использования технологии, которые уже могут быть развернуты, воспользоваться преимуществами возможностей текущих и будущих технологий, а также интеграции любых сторонних средств безопасности стороны, которые уже развернуты.The roadmap is designed to maximize the use of technologies that you may already be deployed, take advantage of key current and upcoming security technologies, and integrate any 3rd party security tools you may already have deployed.

Стратегия, рекомендуемая корпорацией Майкрософт, разбита на три этапа:The roadmap of Microsoft recommendations is broken into 3 stages:

  • план на 2 – 4 недели — быстро снизить количество самых распространенных атак2-4 week plan - Quickly mitigate the most frequently used attack techniques

  • план на 1 – 3 месяца — обеспечить видимость и контроль действий администратора1-3 month plan - Build visibility and control of admin activity

  • план на 6 месяцев, — продолжить разработку средств защиты для повышения уровня безопасности6+ month plan - Continue building defenses to a more proactive security posture

Каждый этап данной стратегии предназначен для повышает затраты и увеличивает их сложность для злоумышленников на атаки для привилегированного доступа к локальным и облачным ресурсам.Each stage of the roadmap is designed to raise the cost and difficulty for adversaries to attack privileged access for your on-premises and cloud assets. Эта стратегия более высокий приоритет для планирования наиболее эффективным и быстрый реализаций, исходя из нашего опыта защиты от подобных атак и внедрения решения.The roadmap is prioritized to schedule the most effective and the quickest implementations first based on our experiences with these attacks and solution implementation.

Примечание

Продолжительность этапов стратегии приблизительная. она основаны на наш опыт показывает с реализациями клиента.The timelines for the roadmap are approximate and are based on our experience with customer implementations. Она будет зависеть в вашей организации в зависимости от сложности среды и процессов управления изменениями.The duration will vary in your organization depending on the complexity of your environment and your change management processes.

Безопасности привилегированного доступа: Этап 1Security Privileged Access Roadmap: Stage 1

Первый этап стратегии ориентирован на снижение риска самых распространенных атак с целью кражи учетных данных и их неправомерного использования.Stage 1 of the roadmap is focused on quickly mitigating the most frequently used attack techniques of credential theft and abuse. Первый этап реализовать в течение примерно 2 – 4 недель, изображенный на этой схеме:Stage 1 is designed to be implemented in approximately 2-4 weeks and is depicted in this diagram:

Рисунок, демонстрирующий, что этап 1 предназначен для реализации в течение примерно 2 – 4 недель

Первый этап стратегии обеспечения безопасности привилегированного доступа включает следующие компоненты:Stage 1 of the Security Privileged Access roadmap includes these components:

1. Создание отдельной учетной записи для выполнения задач администрирования1. Separate Admin account for admin tasks

Чтобы помочь отделить риски Интернета (фишинговые атаки, просмотр веб-страниц) с правами администратора, создать специальную учетную запись для всех сотрудников с правами администратора.To help separate internet risks (phishing attacks, web browsing) from administrative privileges, create a dedicated account for all personnel with administrative privileges. Дополнительные сведения об этом включается в инструкциях привилегированным ДОСТУПОМ, опубликованных здесь.Additional guidance on this is included in the PAW instructions published here.

2. привилегированного доступа станции с привилегированным доступом. этап 1: Active Directory Администраторы2. Privileged Access Workstations (PAWs) Phase 1: Active Directory admins

Чтобы помочь отделить риски Интернета (фишинговые атаки, просмотр веб-страниц) с правами администратора домена, создайте отдельный привилегированный доступ станции с привилегированным доступом для сотрудников с правами администратора AD.To help separate internet risks (phishing attacks, web browsing) from domain administrative privileges, create dedicated privileged access workstations (PAWs) for personnel with AD administrative privileges. Это первый шаг программы привилегированным ДОСТУПОМ и первый этап рекомендаций, опубликованных здесь.This is the first step of a PAW program and is Phase 1 of the guidance published here.

3. уникальные пароли локальных администраторов для рабочих станций3. Unique Local Admin Passwords for Workstations

4. уникальные пароли локальных администраторов для серверов4. Unique Local Admin Passwords for Servers

Чтобы снизить риск злоумышленник крадет хэш пароля учетной записи локального администратора в локальной базе данных SAM и последующего использования для атаки на другие компьютеры, необходимо использовать средство LAPS, чтобы настроить случайные уникальные пароли для каждой рабочей станции и сервера и зарегистрировать их в Active Directory.To mitigate the risk of an adversary stealing a local administrator account password hash from the local SAM database and abusing it to attack other computers, you should use the LAPS tool to configure unique random passwords on each workstation and server and register those passwords in Active Directory. Вы можете получить локальное решение пароль администратора для использования на рабочих станциях и серверах здесь.You can obtain the Local Administrator Password Solution for use on workstations and servers here.

Дополнительные рекомендации для работы в среде с LAPS и привилегированным доступом можно найти здесь.Additional guidance for operating an environment with LAPS and PAWs can be found here.

Безопасности привилегированного доступа: Этап 2Security Privileged Access Roadmap: Stage 2

Второй этап основывается на защитных мерах, применяемых на этапе 1 и реализовать в течение приблизительно 1 – 3 месяцев.Stage 2 builds on the mitigations from Stage 1 and is designed to be implemented in approximately 1-3 months. На этой схеме показаны шаги этого этапа.The steps of this stage are depicted in this diagram:

Схема, показывающая шаги второго этапа

1. привилегированным ДОСТУПОМ этапы 2 и 3: все администраторы и дополнительное Усиление защиты1. PAW Phases 2 and 3: all admins and additional hardening

Чтобы отделить риски internet от всех привилегированных учетных записей администратора, продолжайте с привилегированным ДОСТУПОМ, для работы на этапе 1 и Внедрите специальные рабочие станции для всех сотрудников с привилегированным доступом.To separate internet risks from all privileged administrative accounts, continue with the PAW you started in stage 1 and implement dedicated workstations for all personnel with privileged access. Это относится ко 2 и 3 этапам рекомендаций, опубликованных здесь.This maps to Phase 2 and 3 of the guidance published here.

2. ограниченные по времени привилегии (нет постоянных администраторов)2. Time-bound privileges (no permanent administrators)

Чтобы уменьшить количество случаев предоставления привилегий и улучшить прозрачность их использования, предоставляйте права доступа по требованию (JIT) с помощью соответствующего решения, например тех, что ниже:To lower the exposure time of privileges and increase visibility into their use, provide privileges just in time (JIT) using an appropriate solution such as the ones below:

3. многофакторной на повышение прав ограниченные по времени3. Multi-factor for time-bound elevation

Чтобы повысить уровень надежности проверки подлинности администратора, необходимо выполнять многофакторную проверку подлинности перед предоставлением прав.To increase the assurance level of administrator authentication, you should require multi-factor authentication before granting privileges. Это можно сделать с помощью MIM PAM и Azure AD Privileged IDENTITY Management, с помощью многофакторной идентификации Azure (MFA).This can be accomplished with MIM PAM and Azure AD PIM using Azure Multi-factor authentication (MFA).

4. just Enough Administration (JEA) для обслуживания контроллера домена4. Just Enough Admin (JEA) for DC Maintenance

Чтобы уменьшить количество учетных записей с правами администратора домена и связанных факторов риска, используйте функцию Just Enough Administration (JEA) в PowerShell для выполнения общих задач обслуживания на контроллерах домена.To reduce the quantity of accounts with domain administration privileges and associated risk exposure, use the Just Enough Administration (JEA) feature in PowerShell to perform common maintenance operations on domain controllers. Технология JEA позволяет определенным пользователям выполнять определенные административные задачи на серверах (например, контроллеры доменов) без предоставления им прав администратора.The JEA technology allows specific users to perform specific administrative tasks on servers (like Domain Controllers) without giving them administrator rights. Скачайте это руководство на TechNet.Download this guidance from TechNet.

5. Уменьшение уязвимости домена и контроллеров домена5. Lower attack surface of Domain and DCs

Чтобы уменьшить возможности для злоумышленников получить контроль над лесом, следует ограничить методами, в которых злоумышленник может получить контроль над контроллерами доменов и объекты в доступ в домене.To reduce opportunities for adversaries to take control of a forest, you should reduce the pathways an attacker can take to gain control of Domain Controllers or objects in control of the domain. Рекомендации по снижению рисков здесь.Follow guidance to reduce this risk published here.

6. обнаружение атак6. Attack Detection

Чтобы повысить видимость кражи active учетных данных и удостоверения атак, могли быстро реагировать на события и связанные с безопасностью, развертывание и настройка Microsoft Advanced Threat Analytics (ATA).To get visibility into active credential theft and identity attacks so that you can respond quickly to events and contain damage, deploy and configure Microsoft Advanced Threat Analytics (ATA).

Перед установкой ATA убедитесь, что у вас есть процесс в среде реализована процедура обработки основных проблем безопасности, которые может обнаружить ATA.Prior to installing ATA, you should ensure you have a process in place to handle a major security incident that ATA may detect.

  • Дополнительные сведения о настройке процесса реагирования на события см. в разделе отвечает на инциденты безопасности ИТ и разделе «реагирование на подозрительные действия» и «Восстановление после сбоя» документа Mitigating Pass--Hash and Other Credential Theft, версии 2.For more information on setting up an incident response process, see Responding to IT Security Incidents and the "Respond to suspicious activity" and "Recover from a breach" sections of Mitigating Pass-the-Hash and Other Credential Theft, version 2.

  • Дополнительные сведения о подготовке процесса первоначальной репликации для созданных ATA, события и развертывания ATA с служб Майкрософт, обратитесь к представителю корпорации Майкрософт, перейдя на этой странице.For more information on engaging Microsoft services to assist with preparing your IR process for ATA generated events and deploying ATA, contact your Microsoft representative by accessing this page.

  • Доступ к на этой странице Дополнительные сведения об исследовании и восстановлении после инцидентов с служб МайкрософтAccess this page for more information on engaging Microsoft services to assist with investigating and recovering from an incident

  • Чтобы реализовать ATA, следуйте в руководстве по развертыванию здесь.To Implement ATA, follow the deployment guide available here.

Безопасности привилегированного доступа: Этап 3Security Privileged Access Roadmap: Stage 3

Первый этап 3 основывается на защитных мерах, применяемых на этапах 1 и 2 для дальнейшего усиления защиты во всех областях.Stage 3 of the roadmap builds on the mitigations from Stages 1 and 2 to strengthen and add mitigations across the spectrum. На этой схеме наглядно показан третий этап.Stage 3 is depicted visually in this diagram:

Схема, показывающая Третий этап

Эти возможности будет основываться на защитных мерах, применяемых на предыдущих этапах и защиты более превентивной защиты.These capabilities will build on the mitigations from previous phases and move your defenses into a more proactive posture.

1. обновление ролей и модель делегирования1. Modernize Roles and Delegation Model

Чтобы снизить риск нарушения безопасности, следует внести изменения во всех аспектах ролей и модели делегирования для совместимости с правилами уровневой модели, создать административные роли облачной службы и повысить удобство администрирования ключевой принцип.To reduce security risk, you should redesign all aspects of your roles and delegation model to be compliant with the rules of the tier model, accommodate cloud service administrative roles, and incorporate administrator usability as a key tenet. Эта модель должна использовать возможности решений JIT и JEA в более ранних этапах, а также технологию автоматизации задач развертывания для достижения этих целей.This model should leverage the JIT and JEA capabilities deployed in the earlier stages as well as task automation technology to achieve these goals.

2. смарт-карты или паспорта для всех администраторов2. Smartcard or Passport Authentication for all admins

Чтобы повысить уровень надежности и удобство проверки подлинности администратора, следует использовать строгую проверку подлинности для всех учетных записей администраторов, размещенных в Azure Active Directory и в Windows Server Active Directory (включая федеративные учетные записи службы cloud).To increase the assurance level and usability of administrator authentication, you should require strong authentication for all administrative accounts hosted in Azure Active Directory and in your Windows Server Active Directory (including accounts federated to a cloud service).

3. административный лес для администраторов Active Directory3. Admin Forest for Active Directory administrators

Чтобы обеспечить надежную защиту для администраторов Active Directory, необходимо настройте среду, безопасность которой не зависит от рабочей Active Directory и которая изолирована от атак со стороны всех, кроме самых надежных систем в рабочей среде.To provide the strongest protection for Active Directory administrators, set up an environment that has no security dependencies on your production Active Directory and is isolated from attacks from all but the most trusted systems in your production environment. Дополнительные сведения об архитектуре ESAE на этой странице.For more information on the ESAE architecture visit this page.

4. политика целостности кода для контроллеров домена (Server 2016)4. Code Integrity Policy for DCs (Server 2016)

Для несанкционированных программ на контроллерах домена от атак злоумышленников и случайных административных ошибок необходимо настройте целостность кода Windows Server 2016 для ядра (драйверов) и режим пользователя (приложения), чтобы разрешить только авторизованных исполняемых файлов для запуска на компьютере.To limit the risk of unauthorized programs on your domain controllers from adversary attack operations and inadvertent administrative errors, configure Windows Server 2016 Code Integrity for kernel (drivers) and user mode (applications) to only allow authorized executables to run on the machine.

5. экранированные виртуальные машины для виртуальных контроллеров домена (структура Hyper-V Server 2016)5. Shielded VMs for virtual DCs (Server 2016 Hyper-V Fabric)

Чтобы защитить виртуальные контроллеры домена от атак, использующих недостаток физической безопасности виртуальной машины, используйте новую возможность Server 2016 Hyper-V для предотвращения кражи секретов Active Directory из виртуальных контроллеров домена.To protect virtualized domain controllers from attack vectors that exploit a virtual machine's inherent loss of physical security, use this new Server 2016 Hyper-V capability to help prevent the theft of Active Directory secrets from Virtual DCs. Это решение позволяет зашифровать виртуальные машины 2 поколения для защиты данных от проверки, кражи и подмены администраторами хранилища и сети виртуальной Машины, а также для усиления защиты доступа к виртуальной машине от атак администраторов узла Hyper-V.Using this solution, you can encrypt Generation 2 VMs to protect the VM data against inspection, theft, and tampering by storage and network administrators as well as harden the access to the VM against Hyper-V host administrators attacks.

Дальнейшие действияAm I done?

Эта стратегия обеспечит надежную защиту привилегированного доступа от атак, в настоящее время известен и доступен злоумышленниками.Completing this roadmap will gain you strong privileged access protections for the attacks that are currently known and available to adversaries today. К сожалению угрозы безопасности постоянно будет развиваться и shift, поэтому мы советуем рассматривать обеспечение безопасности как непрерывный процесс, направленный на повышение затрат и уменьшение частоты успешных атак вашей среды злоумышленников.Unfortunately, security threats will constantly evolve and shift, so we recommend you view security as an ongoing process focused on raising the cost and reducing the success rate of adversaries targeting your environment.

Защита привилегированного доступа — критически важный первый шаг для защиты бизнес-ресурсов в современных организациях, но это не единственная часть программы полный безопасности, такие элементы, как политики, операции, информационная безопасность, серверов, приложений, компьютеров, устройств, облачная структура и другие компоненты обеспечивают, охватывающей безопасности.Securing privileged access is a critical first step to establishing security assurances for business assets in a modern organization, but it is not the only part of a complete security program that would include elements like policy, operations, information security, servers, applications, PCs, devices, cloud fabric, and other components provide the security assurances you require.

Дополнительные сведения о создании комплексной стратегии защиты см. раздел «обязанности клиента и стратегия» Microsoft Cloud Security для корпоративных архитекторов документе здесь.For more information on building a complete security roadmap, see the "Customer responsibilities and roadmap" section of the Microsoft Cloud Security for Enterprise Architects document available here.

Дополнительные сведения о привлечением служб Майкрософт для помощи на любом из этих разделов обратитесь к представителю корпорации Майкрософт или посетите на этой странице.For more information on engaging Microsoft services to assist with any of these topics, contact your Microsoft representative or visit this page.

Представление о Premier: решении Pass--Hash и других видов кражи учетных данныхTaste of Premier: How to Mitigate Pass-the-Hash and Other Forms of Credential Theft

Microsoft Advanced Threat AnalyticsMicrosoft Advanced Threat Analytics

Защита извлеченных учетных данных домена с помощью Credential GuardProtect derived domain credentials with Credential Guard

Общие сведения о Guard устройствDevice Guard Overview

Защита ценных ресурсов с рабочих станций безопасного администрированияProtecting high-value assets with secure admin workstations

Режим изолированного пользователя в Windows 10 с Dave Probert (Channel 9)Isolated User Mode in Windows 10 with Dave Probert (Channel 9)

Изолированные процессы пользовательского режима и функций в Windows 10 с игре Габриэль (Channel 9)Isolated User Mode Processes and Features in Windows 10 with Logan Gabriel (Channel 9)

Дополнительные процессы и функции в режиме изолированного пользователя Windows 10 с Dave Probert (Channel 9)More on Processes and Features in Windows 10 Isolated User Mode with Dave Probert (Channel 9)

Устранения риска кражи учетных данных с помощью режима изолированного пользователя Windows 10 (Channel 9)Mitigating Credential Theft using the Windows 10 Isolated User Mode (Channel 9)

Включение проверки Strict KDC в Windows KerberosEnabling Strict KDC Validation in Windows Kerberos

Новые возможности проверки подлинности Kerberos для Windows Server 2012What's New in Kerberos Authentication for Windows Server 2012

Контроль механизма проверки подлинности для AD DS в Windows Server 2008 R2: пошаговое руководствоAuthentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide

Доверенный платформенный модульTrusted Platform Module