Защита привилегированного доступаSecuring privileged access

Область применения. Windows ServerApplies To: Windows Server

Обеспечение безопасности привилегированного доступа — это критически важный первый шаг для защиты бизнес-ресурсов в современных организациях.Securing privileged access is a critical first step to establishing security assurances for business assets in a modern organization. Безопасность большинства или всех бизнес-ресурсов в ИТ-организации зависит от целостности привилегированных учетных записей, используемый для администрирования, управления и разработки.The security of most or all business assets in an IT organization depends on the integrity of the privileged accounts used to administer, manage, and develop. Эти учетные записи и другие компоненты привилегированного доступа для получения доступа к данным и системам с помощью атак кражи учетных данных, как злоумышленники часто совершают Pass--Hash и Pass--Ticket.Cyber-attackers often target these accounts and other elements of privileged access to gain access to data and systems using credential theft attacks like Pass-the-Hash and Pass-the-Ticket.

Защита привилегированного доступа от атак злоумышленников требует полного и продуманного подхода изолирования этих систем от рисков.Protecting privileged access against determined adversaries requires you to take a complete and thoughtful approach to isolate these systems from risks.

Что такое привилегированных учетных записей?What are privileged accounts?

Прежде чем говорить о том, как для их защиты позволяет определять привилегированных учетных записей.Before we talk about how to secure them lets define privileged accounts.

Привилегированные учетные записи, как администраторы доменных служб Active Directory имеют прямой или косвенный доступ к большинство или все ресурсы в ИТ-организации, делая компрометации этих учетных записей угрозу сложной бизнес-логикой.Privileged Accounts like administrators of Active Directory Domain Services have direct or indirect access to most or all assets in an IT organization, making a compromise of these accounts a significant business risk.

Почему защита привилегированного доступа важен?Why securing privileged access is important?

Злоумышленники сосредоточиться на привилегированный доступ к системам, как Active Directory (AD) чтобы быстро получить доступ ко всем организациям целевыми данными.Cyber-attackers focus on privileged access to systems like Active Directory (AD) to rapidly gain access to all of an organizations targeted data. В традиционных методах защиты сосредоточиться на сети и брандмауэры как основной периметр безопасности, но эффективность сетевой безопасности значительно снизилась по двум причинам:Traditional security approaches have focused on the network and firewalls as the primary security perimeter, but the effectiveness of network security has been significantly diminished by two trends:

  • Организации размещают данные и ресурсы за пределами обычных сетевых границ — на корпоративных мобильных ПК, устройств, таких как мобильные телефоны и планшеты, облачные службы и приносить собственные устройства (BYOD)Organizations are hosting data and resources outside the traditional network boundary on mobile enterprise PCs, devices like mobile phones and tablets, cloud services, and bring your own devices (BYOD)
  • Злоумышленники постоянно получают доступ к рабочим станциям в пределах сети с помощью фишинга, атак через электронную почту и других атак через Интернет.Adversaries have demonstrated a consistent and ongoing ability to obtain access on workstations inside the network boundary through phishing and other web and email attacks.

Эти факторы требующий построение периметр безопасности современной проверки подлинности и авторизации идентификаторов элементов управления в дополнение к стратегии традиционные сети периметра.These factors necessitate building a modern security perimeter out of authentication and authorization identity controls in addition to the traditional network perimeter strategy. Периметр безопасности определяется как согласованный набор элементов управления между ресурсами и угрозы для их.A security perimeter here is defined as a consistent set of controls between assets and the threats to them. Привилегированные учетные записи являются эффективно контролировать этот новый периметр безопасности, поэтому крайне важно защитить привилегированный доступ.Privileged accounts are effectively in control of this new security perimeter so it's critical to protect privileged access.

Схема, показывающая уровень удостоверений организации

Злоумышленник, получивший контроль над учетной записью администратора может использовать эти полномочия, чтобы увеличить их влияние в целевой организации, как показано ниже:An attacker that gains control of an administrative account can use those privileges to increase their impact in the target organization as depicted below:

Схема, демонстрирующая, как злоумышленник, получивший контроль над учетной записью администратора, может использовать эти полномочия для выполнения действий в ущерб целевой организации

На рисунке ниже показано два пути:The illustration below depicts two paths:

  • Выполняются контура «blue», где учетная запись обычного пользователя используется для непривилегированного доступа к ресурсам, как электронная почта и просмотра веб-страниц и повседневной работы.A "blue" path where a standard user account is used for non-privileged access to resources like email and web browsing and day to day work are completed.

    Примечание

    Синие элементы, описанные далее указывают широкий защиты окружающей среды, которых выходит за рамки учетные записи администраторов.Blue path items described later on indicate broad environmental protections that extend beyond the administrative accounts.

  • «Red» путь, где происходит привилегированного доступа на устройстве с усиленной защитой для снижения риска фишинг и другие атаки веб-приложений и электронной почты.A "red" path where privileged access occurs on a hardened device to reduce the risk of phishing and other web and email attacks.

Схема, показывающая отдельные «path» для администрирования, которые характеризуются для изоляции задач с привилегированным доступом от задач обычного пользователя высоким уровнем риска, такие как веб-страниц и доступ к электронной почте

Стратегии обеспечения безопасности привилегированного доступаSecuring privileged access roadmap

Эта стратегия предназначена для эффективного использования технологий Майкрософт, которые вы уже развернули, воспользуйтесь преимуществами облачных технологий повышения безопасности и интегрировать любое сторонних средств безопасности, уже были разработаны.The roadmap is designed to maximize the use of Microsoft technologies that you already have deployed, take advantage of cloud technologies to enhance security, and integrate any 3rd party security tools you may already have deployed.

Стратегия развития корпорацией Майкрософт разбит на этапы 3:The roadmap of Microsoft recommendations is broken into 3 phases:

В рамках стратегии в первую очередь необходимо запланировать реализацию самых быстрых и эффективных методов. Мы выбрали их, исходя из нашего опыта защиты от подобных атак и внедрения соответствующих решений.The roadmap is prioritized to schedule the most effective and the quickest implementations first based on our experiences with these attacks and solution implementation.

Мы советуем следовать этой стратегии, чтобы защитить привилегированные учетные данные от атак злоумышленников.Microsoft recommends you follow this roadmap to secure privileged access against determined adversaries. Вы можете изменить эту стратегию с учетом возможностей и потребностей вашей организации.You may adjust this roadmap to accommodate your existing capabilities and specific requirements in your organizations.

Примечание

Для защиты привилегированного доступа требуется множество средств, в том числе технических (защита узлов, защита учетных записей, управление удостоверениями и т. д.), а также изменение процедур, методов администрирования и расширение навыков.Securing privileged access requires a broad range of elements including technical components (host defenses, account protections, identity management, etc.) as well as changes to process, and administrative practices and knowledge. Продолжительность этапов стратегии приблизительная. Она основана на опыте реализации этой стратегии нашими клиентами.The timelines for the roadmap are approximate and are based on our experience with customer implementations. В вашей организации она будет зависеть от сложности среды и процессов управления изменениями.The duration will vary in your organization depending on the complexity of your environment and your change management processes.

Этап 1. Быстрый wins с минимальной сложностиPhase 1: Quick wins with minimal operational complexity

Этап 1 стратегии ориентирован на снижение риска наиболее часто используемых методов атак кражи учетных данных и о нарушении.Phase 1 of the roadmap is focused on quickly mitigating the most frequently used attack techniques of credential theft and abuse. Этап 1 должен быть реализован примерно через 30 дней, изображенный на этой схеме:Phase 1 is designed to be implemented in approximately 30 days and is depicted in this diagram:

Схема этапа 1: 1.

1. Отдельные учетные записи1. Separate accounts

Чтобы помочь отделить Интернет-риски (фишинговые атаки, просмотр веб-страниц) с правами доступа к учетным записям, необходимо создать выделенную учетную запись для всех сотрудников с привилегированным доступом.To help separate internet risks (phishing attacks, web browsing) from privileged access accounts, create a dedicated account for all personnel with privileged access. Администраторы должны не работа в Интернете, проверку их по электронной почте и выполнения производительность ежедневных задач с высоким уровнем привилегий учетной.Administrators should not be browsing the web, checking their email, and doing day to day productivity tasks with highly privileged accounts. Дополнительные сведения об этом можно найти в разделе отдельные учетные записи администраторов ссылку документа.More information on this can be found in the section Separate administrative accounts of the reference document.

Следуйте указаниям в статье управление учетные записи аварийного доступа в Azure AD Создание по крайней мере два аварийного доступа учетных записей, с правами администратора, назначенные окончательно, в обоих в локальной AD и Azure AD сред .Follow the guidance in the article Manage emergency access accounts in Azure AD to create at least two emergency access accounts, with permanently assigned administrator rights, in both your on-premises AD and Azure AD environments. Эти учетные записи предназначены только для использования при традиционных администратора учетных записей не могут для выполнения требуемой задачи таких, как и в случае аварии.These accounts are only for use when traditional administrator accounts are unable to perform a required task such as in a the case of a disaster.

2. JIT-пароли локальных администраторов времени2. Just in time local admin passwords

Чтобы снизить риск атаки злоумышленника украсть хэш пароля учетной записи локального администратора в локальной базе данных SAM и злоумышленники атаки на другие компьютеры, организациям следует убедитесь, что каждый компьютер имеет пароль локального администратора.To mitigate the risk of an adversary stealing a local administrator account password hash from the local SAM database and abusing it to attack other computers, organizations should ensure every machine has a unique local administrator password. Средство локального администратора Password Solution (LAPS) можно настроить случайные уникальные пароли для каждой рабочей станции и сервера сохраните их в Active Directory (AD) защищен ACL.The Local Administrator Password Solution (LAPS) tool can configure unique random passwords on each workstation and server store them in Active Directory (AD) protected by an ACL. Только авторизованных пользователей может считывать или запросить Сброс эти пароли учетной записи локального администратора.Only eligible authorized users can read or request the reset of these local administrator account passwords. Вы можете получить LAPS для использования на рабочих станциях и серверах из центра загрузки Майкрософт.You can obtain the LAPS for use on workstations and servers from the Microsoft Download Center.

Дополнительные рекомендации для работы в среде с LAPS и привилегированным доступом можно найти в разделе рабочие стандарты на основании принципа чистоты источника.Additional guidance for operating an environment with LAPS and PAWs can be found in the section Operational standards based on clean source principle.

3. Административных рабочих станций3. Administrative workstations

В качестве меры безопасности начальной для этих пользователей с Azure Active Directory и права администратора в локальном Active Directory, убедитесь, они используют устройства Windows 10, настроенные с помощью стандарты высокий уровень безопасности Windows 10 устройств.As an initial security measure for those users with Azure Active Directory and traditional on-premises Active Directory administrative privileges, ensure they are using Windows 10 devices configured with the Standards for a highly secure Windows 10 device.

4. Обнаружение атак удостоверений4. Identity attack detection

Azure Дополнительно Threat Protection (ATP) — это решение безопасности на основе облака, которое определяет, обнаруживает и помогает исследовать дополнительных угроз, скомпрометированных удостоверений и вредоносных внутренних действий, направленных на вашей локальной Active Каталог среды.Azure Advanced Threat Protection (ATP) is a cloud-based security solution that identifies, detects, and helps you investigate advanced threats, compromised identities, and malicious insider actions directed at your on-premises Active Directory environment.

Этап 2. Значительные улучшения добавочноеPhase 2: Significant incremental improvements

Этап 2 основан на работы, выполняемой на этапе 1 и позволяет выполнить приблизительно 90 дней.Phase 2 builds on the work done in phase 1 and is designed to be completed in approximately 90 days. На этой схеме показаны шаги этого этапа.The steps of this stage are depicted in this diagram:

Схема этапа 2: 1.

1. Требуется Windows Hello для бизнеса и многофакторной проверки Подлинности1. Require Windows Hello for Business and MFA

Администраторы могут использовать преимущества простоты использования, связанные с Windows Hello для бизнеса.Administrators can benefit from the ease of use associated with Windows Hello for Business. "Администраторы" можно заменить их сложные пароли строгого двухфакторной проверки подлинности на своих компьютерах.Admins can replace their complex passwords with strong two-factor authentication on their PCs. Злоумышленник должен обладать как устройство и биометрические сведения или ПИН-код, это гораздо сложнее получить доступ без ведома сотрудника.An attacker must have both the device and the biometric info or PIN, it’s much more difficult to gain access without the employee’s knowledge. Дополнительные сведения о Windows Hello для бизнеса и путь для развертывания можно найти в статье Windows Hello для бизнеса ОбзорMore details about Windows Hello for Business and the path to roll out can be found in the article Windows Hello for Business Overview

Включите многофакторную идентификацию (MFA) для учетных записей администратора в Azure AD с помощью Azure MFA.Enable multi-factor authentication (MFA) for your administrator accounts in Azure AD using Azure MFA. В минимальное enable базовая политика условного доступа для защиты Дополнительные сведения о многофакторной идентификации Azure можно найти в статье развертывание облачной многофакторной идентификации AzureAt minimum enable the baseline protection conditional access policy more information about Azure Multi-Factor Authentication can be found in the article Deploy cloud-based Azure Multi-Factor Authentication

2. Развертывание с привилегированным ДОСТУПОМ для всех владельцев учетной записи доступа привилегированными пользователями2. Deploy PAW to all privileged identity access account holders

Продолжить процесс отделения привилегированных учетных записей от угроз, обнаруженных в электронной почты, просмотра веб-страниц и других обычных задач, следует реализовать выделенный доступа рабочих станций с ПРИВИЛЕГИРОВАННЫМ доступом для всех сотрудников с привилегированным доступом для вашего информационным системам организации.Continuing the process of separating privileged accounts from threats found in email, web browsing, and other non-administrative tasks, you should implement dedicated Privileged Access Workstations (PAW) for all personnel with privileged access to your organization's information systems. Дополнительные рекомендации по развертыванию с привилегированным ДОСТУПОМ можно найти в статье рабочих станций с привилегированным доступом.Additional guidance for PAW deployment can be found in the article Privileged Access Workstations.

3. JIT-привилегии времени3. Just in time privileges

Чтобы уменьшить продолжительность действия привилегий и повысить прозрачность их использования, предоставляйте права доступа время (JIT), с помощью соответствующего решения те из них ниже или другие сторонние решения:To lower the exposure time of privileges and increase visibility into their use, provide privileges just in time (JIT) using an appropriate solution such as the ones below or other third-party solutions:

4. Включение Credential Guard в Защитнике Windows4. Enable Windows Defender Credential Guard

Включение Credential Guard позволяет защитить хэши паролей NTLM, предоставления билетов Kerberos и учетные данные, хранящиеся в приложениях, как учетные данные домена.Enabling Credential Guard helps to protect NTLM password hashes, Kerberos Ticket Granting Tickets, and credentials stored by applications as domain credentials. Эта возможность помогает предотвратить атаки кражи учетных данных, например Pass--Hash или Pass--Ticket путем увеличения сложности сведение в среде с использованием украденных учетных данных.This capability helps to prevent credential theft attacks, such as Pass-the-Hash or Pass-The-Ticket by increasing the difficulty of pivoting in the environment using stolen credentials. Сведения о принципах Credential Guard и способы развертывания можно найти в статье защита извлеченных учетных данных домена с помощью Credential Guard в Защитнике Windows.Information on how Credential Guard works and how to deploy can be found in the article Protect derived domain credentials with Windows Defender Credential Guard.

5. Утерянные учетные данные отчетов5. Leaked credentials reporting

«Каждый день, корпорация Майкрософт анализирует более 6.5 триллиона сигналов, чтобы выявлять новые угрозы и защитить клиентов» - корпорации Майкрософт с номерами"Every day, Microsoft analyzes over 6.5 trillion signals in order to identify emerging threats and protect customers" - Microsoft By the Numbers

Включение защиты идентификации Microsoft Azure AD создать отчет для пользователей с украденными учетными данными, таким образом, чтобы их можно устранить.Enable Microsoft Azure AD Identity Protection to report on users with leaked credentials so that you can remediate them. Защита идентификации Azure AD можно использовать, чтобы помочь вашей организации защитить от угроз, облачных и гибридных средах.Azure AD Identity Protection can be leveraged to help your organization protect cloud and hybrid environments from threats.

6. Azure ATP бокового смещения пути движения6. Azure ATP Lateral Movement Paths

Убедитесь, привилегий доступа к учетной записи, владельцы при использовании их с привилегированным ДОСТУПОМ для администрирования, только для того, чтобы скомпрометированных непривилегированным учетным записям не удается получить доступ к привилегированной учетной записи с помощью атак кражи учетных данных, например Pass--Hash или Pass--Ticket.Ensure privileged access account holders are using their PAW for administration only so that a compromised non-privileged accounts cannot gain access to a privileged account via credential theft attacks, such as Pass-the-Hash or Pass-The-Ticket. Azure ATP боковом пути движения (LMPs) предоставляет простой для понимания отчеты для идентификации, где привилегированных учетных записей может быть открыт для атак.Azure ATP Lateral Movement Paths (LMPs) provides easy to understand reporting to identify where privileged accounts may be open to compromise.

Этап 3. Улучшения безопасности и sustainmentPhase 3: Security improvement and sustainment

Этап 3 стратегии основывается на шагах, предпринятых в этапы 1 и 2 для укрепление системы безопасности.Phase 3 of the roadmap builds on the steps taken in Phases 1 and 2 to strengthen your security posture. На этой схеме наглядно показан этап 3:Phase 3 is depicted visually in this diagram:

Этап 3. 1.

Этих возможностей создаст на шаги из предыдущих этапов и переместите в повышения уровня защиты.These capabilities will build on the steps from previous phases and move your defenses into a more proactive posture. На этом этапе имеет нет определенного графика и может занять больше времени для реализации на основе вашей отдельной организации.This phase has no specific timeline and may take longer to implement based on your individual organization.

1. Просмотрите в управления доступом на основе ролей1. Review role-based access control

С помощью трех многоуровневой модели, описанной в статье модель разделения администрирования Active Directoryпросмотрите и обеспечить нижнего уровня администраторы не имеют административный доступ к ресурсами более высокого уровня (членство в группах, списки управления доступом учетные записи пользователей и т. д...).Using the three tiered model outlined in the article Active Directory administrative tier model, review and ensure lower tier administrators do not have administrative access to higher tier resources (Group memberships, ACLs on user accounts, etc...).

2. Сокращение возможных направлений атаки2. Reduce attack surfaces

Повысить уровень защиты рабочих нагрузок удостоверений, включая домены, контроллеры домена, служб федерации Active Directory и Azure AD Connect в качестве ущерба для других систем может привести к компрометации других систем в вашей организации.Harden your identity workloads including Domains, Domain Controllers, ADFS, and Azure AD Connect as compromising one of these systems could result in compromise of other systems in your organization. Статей значительно снизить уязвимость Active Directory и пять шагов к обеспечению безопасности для поддержки инфраструктуры идентификации рекомендации по защите локальных и гибридных средах удостоверений.The articles Reducing the Active Directory Attack Surface and Five steps to securing your identity infrastructure provide guidance for securing your on-premises and hybrid identity environments.

3. Интеграция журналов с SIEM3. Integrate logs with SIEM

Интеграция ведения журнала в централизованное средство SIEM может помочь вашей организации, для анализа, обнаружения и реагирования на события безопасности.Integrating logging into a centralized SIEM tool can help your organization to analyze, detect, and respond to security events. Статьи мониторинг Active Directory для знаки нарушения и приложение L: События для мониторинга рекомендации о событиях, которые необходимо отслеживать в вашей среде.The articles Monitoring Active Directory for Signs of Compromise and Appendix L: Events to Monitor provide guidance on events that should be monitored in your environment.

Это является частью за его пределами планирование, так как статистическая обработка, создание и Настройка предупреждений в безопасности информации и управления событиями (SIEM) требует опытных аналитиков (в отличие от Azure ATP в план, в течение 30 дней, который включает в себя за пределы поле создания оповещений)This is part of the beyond plan because aggregating, creating, and tuning alerts in a security information and event management (SIEM) requires skilled analysts (unlike Azure ATP in the 30 day plan which includes out of the box alerting)

4. Утерянные учетные данные - Force сброса пароля4. Leaked credentials - Force password reset

По-прежнему повысить уровень безопасности за счет включения защиты идентификации Azure AD для автоматически принудительного сброса пароля при подозрении на компрометации паролей.Continue to enhance your security posture by enabling Azure AD Identity Protection to automatically force password resets when passwords are suspected of compromise. Инструкции см. в статье использовать события риска для триггера многофакторной проверки подлинности и изменения паролей объясняет, как это сделать с помощью политики условного доступа.The guidance found in the article Use risk events to trigger Multi-Factor Authentication and password changes explains how to enable this using a conditional access policy.

Дальнейшие действияAm I done?

Короткий ответ — нет.The short answer is no.

Никогда не заканчивается, поэтому они не могут вы плохих парней.The bad guys never stop, so neither can you. Эта схема может помочь вашей организации защиты от известных угроз, как злоумышленники будут постоянно развиваться- and -shift.This roadmap can help your organization protect against currently known threats as attackers will constantly evolve and shift. Мы рекомендуем рассматривать безопасность как непрерывный процесс, направленный на повышение затрат и уменьшение частоты успешных затратности атак вашей среды.We recommend you view security as an ongoing process focused on raising the cost and reducing the success rate of adversaries targeting your environment.

Хотя это не единственная часть программы безопасности вашей организации, обеспечение безопасности привилегированного доступа является критически важным компонентом стратегии обеспечения безопасности.While it is not the only part of your organization's security program securing privileged access is a critical component of your security strategy.