Обеспечение безопасности привилегированного доступа

Область применения: Windows Server 2016

Защита привилегированного доступа — критически важный первый шаг для защиты бизнес-ресурсов в современных организациях. Безопасность большинства или всех бизнес-ресурсов компании зависит от целостности привилегированных учетных записей которых администрируются ИТ-систем. Злоумышленники часто пытаются скомпрометировать эти учетные записи и другие компоненты привилегированного доступа, чтобы быстро получить доступ к целевым данным и системам с помощью атак кражи учетных данных, как Pass--Hash и Pass--Ticket.

Защиты административного доступа от определил, что злоумышленников необходима комплексная стратегия изолирования этих систем от рисков. На этом рисунке показаны три этапа, необходимые для разделения и защиты администрирования в этой стратегии.

Схема из трех этапов, необходимых для разделения и защиты администрирования в соответствии с данной стратегией

Описание этапов реализации стратегии:

  • план на 2 – 4 недели: быстро снизить количество самых распространенных атак;

  • план на 1 – 3 месяца: обеспечить видимость и контроль действий администратора;

  • план на 6 месяцев: продолжить разработку средств защиты для повышения уровня безопасности

Мы советуем следовать этой стратегии, для обеспечения безопасности привилегированного доступа от атак злоумышленников. Вы можете изменить эту стратегию с учетом возможностей и потребностей вашей организации.

Примечание

Защита привилегированного доступа требуется множество элементов, в том числе технических (Защита узлов, Защита учетных записей, управление удостоверениями, т. д.), а также изменение процедур, методов администрирования и расширение навыков.

Почему важно защиты привилегированного доступа

В большинстве компаний безопасность большинства или всех бизнес-ресурсов зависит от целостности привилегированных учетных записей которых администрируются ИТ-систем. Злоумышленники предпринимают попытки скомпрометировать привилегированный доступ к системам, таким как Active Directory, чтобы быстро получить доступ ко всем организации целевыми данными.

В традиционных методах защиты шла в качестве основного периметра безопасности используются точки входящего и исходящего трафика сети организации, но эффективность таких методов сетевой безопасности значительно снизилась по двум причинам:

  • Организации размещают данные и ресурсы за пределами обычных сетевых границ — на корпоративных мобильных компьютеров, устройств, таких как мобильные телефоны и планшеты, облачных служб и ЛИЧНЫХ устройствах.

  • Злоумышленники электронную постоянно получают доступ к рабочим станциям в пределах сети через фишинга и других атак веб-сайтов и электронной почты.

Естественной заменой для периметра сетевой безопасности в современных компаниях со сложной структурой является элементы управления проверки подлинности и авторизации на уровне удостоверений организации. Привилегированные учетные записи администраторов позволяют эффективно контролировать этот новый «периметр безопасности», крайне важно для защиты привилегированного доступа:

Схема, показывающая уровень удостоверений организации

Злоумышленник, получивший контроль над учетной записью администратора могут использовать эти полномочия для выполнения действий в ущерб целевой организации, как показано ниже:

Схема, показывающая, как злоумышленник, получивший контроль над учетной записью администратора может использовать эти полномочия для выполнения действий в ущерб целевой организации

Дополнительные сведения о типах атак, которые часто приводят к злоумышленники контролировать учетные записи администраторов, посетите веб-сайт Pass The Hash для информативные технические документы, видеоматериалы и многое другое.

На этом рисунке показан отдельный «канал» для администрирования, который устанавливает стратегии изоляции задач с привилегированным доступом от задач обычного пользователя повышенным риском, таких как веб-страниц и доступ к электронной почте.

На диаграмме показан отдельный «канал» для администрирования, стратегии изоляции задач с привилегированным доступом от задач обычного пользователя повышенным риском, таких как веб-страниц и доступ к электронной почте

Так как злоумышленник может получить контроль над привилегированными учетными записями с помощью различных методов, снижения этого риска необходима целостная и тщательная Техническая методика, описанная в этой стратегии. Эта стратегия будет изолировать и усиливать безопасность элементы в вашей среде, разрешающие привилегированный доступ путем применения средств предотвращения атак в каждой области, указанной в столбце на этом рисунке:

Таблица, показывающая столбцы атаки и защиты

Стратегия обеспечения безопасности привилегированного доступа

Эта стратегия предназначена для эффективного использования технологии, которые уже могут быть развернуты, воспользоваться преимуществами возможностей текущих и будущих технологий, а также интеграции любых сторонних средств безопасности стороны, которые уже развернуты.

Стратегия, рекомендуемая корпорацией Майкрософт, разбита на три этапа:

  • план на 2 – 4 недели — быстро снизить количество самых распространенных атак

  • план на 1 – 3 месяца — обеспечить видимость и контроль действий администратора

  • план на 6 месяцев, — продолжить разработку средств защиты для повышения уровня безопасности

Каждый этап данной стратегии предназначен для повышает затраты и увеличивает их сложность для злоумышленников на атаки для привилегированного доступа к локальным и облачным ресурсам. Эта стратегия более высокий приоритет для планирования наиболее эффективным и быстрый реализаций, исходя из нашего опыта защиты от подобных атак и внедрения решения.

Примечание

Продолжительность этапов стратегии приблизительная. она основаны на наш опыт показывает с реализациями клиента. Она будет зависеть в вашей организации в зависимости от сложности среды и процессов управления изменениями.

Безопасности привилегированного доступа: Этап 1

Первый этап стратегии ориентирован на снижение риска самых распространенных атак с целью кражи учетных данных и их неправомерного использования. Первый этап реализовать в течение примерно 2 – 4 недель, изображенный на этой схеме:

Рисунок, демонстрирующий, что этап 1 предназначен для реализации в течение примерно 2 – 4 недель

Первый этап стратегии обеспечения безопасности привилегированного доступа включает следующие компоненты:

1. Создание отдельной учетной записи для выполнения задач администрирования

Чтобы помочь отделить риски Интернета (фишинговые атаки, просмотр веб-страниц) с правами администратора, создать специальную учетную запись для всех сотрудников с правами администратора. Дополнительные сведения об этом включается в инструкциях привилегированным ДОСТУПОМ, опубликованных здесь.

2. привилегированного доступа станции с привилегированным доступом. этап 1: Active Directory Администраторы

Чтобы помочь отделить риски Интернета (фишинговые атаки, просмотр веб-страниц) с правами администратора домена, создайте отдельный привилегированный доступ станции с привилегированным доступом для сотрудников с правами администратора AD. Это первый шаг программы привилегированным ДОСТУПОМ и первый этап рекомендаций, опубликованных здесь.

3. уникальные пароли локальных администраторов для рабочих станций

4. уникальные пароли локальных администраторов для серверов

Чтобы снизить риск злоумышленник крадет хэш пароля учетной записи локального администратора в локальной базе данных SAM и последующего использования для атаки на другие компьютеры, необходимо использовать средство LAPS, чтобы настроить случайные уникальные пароли для каждой рабочей станции и сервера и зарегистрировать их в Active Directory. Вы можете получить локальное решение пароль администратора для использования на рабочих станциях и серверах здесь.

Дополнительные рекомендации для работы в среде с LAPS и привилегированным доступом можно найти здесь.

Безопасности привилегированного доступа: Этап 2

Второй этап основывается на защитных мерах, применяемых на этапе 1 и реализовать в течение приблизительно 1 – 3 месяцев. На этой схеме показаны шаги этого этапа.

Схема, показывающая шаги второго этапа

1. привилегированным ДОСТУПОМ этапы 2 и 3: все администраторы и дополнительное Усиление защиты

Чтобы отделить риски internet от всех привилегированных учетных записей администратора, продолжайте с привилегированным ДОСТУПОМ, для работы на этапе 1 и Внедрите специальные рабочие станции для всех сотрудников с привилегированным доступом. Это относится ко 2 и 3 этапам рекомендаций, опубликованных здесь.

2. ограниченные по времени привилегии (нет постоянных администраторов)

Чтобы уменьшить количество случаев предоставления привилегий и улучшить прозрачность их использования, предоставляйте права доступа по требованию (JIT) с помощью соответствующего решения, например тех, что ниже:

3. многофакторной на повышение прав ограниченные по времени

Чтобы повысить уровень надежности проверки подлинности администратора, необходимо выполнять многофакторную проверку подлинности перед предоставлением прав. Это можно сделать с помощью MIM PAM и Azure AD Privileged IDENTITY Management, с помощью многофакторной идентификации Azure (MFA).

4. just Enough Administration (JEA) для обслуживания контроллера домена

Чтобы уменьшить количество учетных записей с правами администратора домена и связанных факторов риска, используйте функцию Just Enough Administration (JEA) в PowerShell для выполнения общих задач обслуживания на контроллерах домена. Технология JEA позволяет определенным пользователям выполнять определенные административные задачи на серверах (например, контроллеры доменов) без предоставления им прав администратора. Скачайте это руководство на TechNet.

5. Уменьшение уязвимости домена и контроллеров домена

Чтобы уменьшить возможности для злоумышленников получить контроль над лесом, следует ограничить методами, в которых злоумышленник может получить контроль над контроллерами доменов и объекты в доступ в домене. Рекомендации по снижению рисков здесь.

6. обнаружение атак

Чтобы повысить видимость кражи active учетных данных и удостоверения атак, могли быстро реагировать на события и связанные с безопасностью, развертывание и настройка Microsoft Advanced Threat Analytics (ATA).

Перед установкой ATA убедитесь, что у вас есть процесс в среде реализована процедура обработки основных проблем безопасности, которые может обнаружить ATA.

  • Дополнительные сведения о настройке процесса реагирования на события см. в разделе отвечает на инциденты безопасности ИТ и разделе «реагирование на подозрительные действия» и «Восстановление после сбоя» документа Mitigating Pass--Hash and Other Credential Theft, версии 2.

  • Дополнительные сведения о подготовке процесса первоначальной репликации для созданных ATA, события и развертывания ATA с служб Майкрософт, обратитесь к представителю корпорации Майкрософт, перейдя на этой странице.

  • Доступ к на этой странице Дополнительные сведения об исследовании и восстановлении после инцидентов с служб Майкрософт

  • Чтобы реализовать ATA, следуйте в руководстве по развертыванию здесь.

Безопасности привилегированного доступа: Этап 3

Первый этап 3 основывается на защитных мерах, применяемых на этапах 1 и 2 для дальнейшего усиления защиты во всех областях. На этой схеме наглядно показан третий этап.

Схема, показывающая Третий этап

Эти возможности будет основываться на защитных мерах, применяемых на предыдущих этапах и защиты более превентивной защиты.

1. обновление ролей и модель делегирования

Чтобы снизить риск нарушения безопасности, следует внести изменения во всех аспектах ролей и модели делегирования для совместимости с правилами уровневой модели, создать административные роли облачной службы и повысить удобство администрирования ключевой принцип. Эта модель должна использовать возможности решений JIT и JEA в более ранних этапах, а также технологию автоматизации задач развертывания для достижения этих целей.

2. смарт-карты или паспорта для всех администраторов

Чтобы повысить уровень надежности и удобство проверки подлинности администратора, следует использовать строгую проверку подлинности для всех учетных записей администраторов, размещенных в Azure Active Directory и в Windows Server Active Directory (включая федеративные учетные записи службы cloud).

3. административный лес для администраторов Active Directory

Чтобы обеспечить надежную защиту для администраторов Active Directory, необходимо настройте среду, безопасность которой не зависит от рабочей Active Directory и которая изолирована от атак со стороны всех, кроме самых надежных систем в рабочей среде. Дополнительные сведения об архитектуре ESAE на этой странице.

4. политика целостности кода для контроллеров домена (Server 2016)

Для несанкционированных программ на контроллерах домена от атак злоумышленников и случайных административных ошибок необходимо настройте целостность кода Windows Server 2016 для ядра (драйверов) и режим пользователя (приложения), чтобы разрешить только авторизованных исполняемых файлов для запуска на компьютере.

5. экранированные виртуальные машины для виртуальных контроллеров домена (структура Hyper-V Server 2016)

Чтобы защитить виртуальные контроллеры домена от атак, использующих недостаток физической безопасности виртуальной машины, используйте новую возможность Server 2016 Hyper-V для предотвращения кражи секретов Active Directory из виртуальных контроллеров домена. Это решение позволяет зашифровать виртуальные машины 2 поколения для защиты данных от проверки, кражи и подмены администраторами хранилища и сети виртуальной Машины, а также для усиления защиты доступа к виртуальной машине от атак администраторов узла Hyper-V.

Дальнейшие действия

Эта стратегия обеспечит надежную защиту привилегированного доступа от атак, в настоящее время известен и доступен злоумышленниками. К сожалению угрозы безопасности постоянно будет развиваться и shift, поэтому мы советуем рассматривать обеспечение безопасности как непрерывный процесс, направленный на повышение затрат и уменьшение частоты успешных атак вашей среды злоумышленников.

Защита привилегированного доступа — критически важный первый шаг для защиты бизнес-ресурсов в современных организациях, но это не единственная часть программы полный безопасности, такие элементы, как политики, операции, информационная безопасность, серверов, приложений, компьютеров, устройств, облачная структура и другие компоненты обеспечивают, охватывающей безопасности.

Дополнительные сведения о создании комплексной стратегии защиты см. раздел «обязанности клиента и стратегия» Microsoft Cloud Security для корпоративных архитекторов документе здесь.

Дополнительные сведения о привлечением служб Майкрософт для помощи на любом из этих разделов обратитесь к представителю корпорации Майкрософт или посетите на этой странице.

Представление о Premier: решении Pass--Hash и других видов кражи учетных данных

Microsoft Advanced Threat Analytics

Защита извлеченных учетных данных домена с помощью Credential Guard

Общие сведения о Guard устройств

Защита ценных ресурсов с рабочих станций безопасного администрирования

Режим изолированного пользователя в Windows 10 с Dave Probert (Channel 9)

Изолированные процессы пользовательского режима и функций в Windows 10 с игре Габриэль (Channel 9)

Дополнительные процессы и функции в режиме изолированного пользователя Windows 10 с Dave Probert (Channel 9)

Устранения риска кражи учетных данных с помощью режима изолированного пользователя Windows 10 (Channel 9)

Включение проверки Strict KDC в Windows Kerberos

Новые возможности проверки подлинности Kerberos для Windows Server 2012

Контроль механизма проверки подлинности для AD DS в Windows Server 2008 R2: пошаговое руководство

Доверенный платформенный модуль