Privileged Access Management för Active Directory Domain ServicesPrivileged Access Management for Active Directory Domain Services

Privileged Access Management (PAM) är en lösning som hjälper organisationer att begränsa privilegierad åtkomst i befintliga Active Directory-miljöer.Privileged Access Management (PAM) is a solution that helps organizations restrict privileged access within an existing Active Directory environment.

Med Privileged Access Management uppnår du två saker:Privileged Access Management accomplishes two goals:

  • Återupprätta kontroll över en komprometterad Active Directory-miljö genom att hantera en separat skyddsmiljö som inte påverkas inte av skadliga attacker.Re-establish control over a compromised Active Directory environment by maintaining a separate bastion environment that is known to be unaffected by malicious attacks.
  • Minska risken för att autentiseringsuppgifter stjäls genom att isolera användningen av privilegierade konton.Isolate the use of privileged accounts to reduce the risk of those credentials being stolen.
Anteckning

PAM är en instans av Privileged Identity Management (PIM) som implementeras med hjälp av Microsoft Identity Manager (MIM).PAM is an instance of Privileged Identity Management (PIM) that is implemented using Microsoft Identity Manager (MIM).

Vilka problem löser PAM?What problems does PAM help solve?

Idag är åtkomsten till resurser i en Active Directory-miljö är ett betydande problem för företag.A real concern for enterprises today is resource access within an Active Directory environment. Särskilt oroande är:Particularly troubling are:

  • Säkerhetsproblem.Vulnerabilities.
  • Obehöriga privilegieutökningar.Unauthorized privilege escalations.
  • Pass-the-hash.Pass-the-hash.
  • Pass-the-ticket.Pass-the-ticket.
  • spear nätfiske.spear phishing.
  • Kerberos-angrepp.Kerberos compromises.
  • Andra attacker.Other attacks.

Idag är det alldeles för enkelt för angripare att få tag i domänadministratörers autentiseringsuppgifter och alldeles för svårt att upptäcka angreppen efteråt.Today, it’s too easy for attackers to obtain Domain Admins account credentials, and it’s too hard to discover these attacks after the fact. Målet med PAM är att minska angriparnas tillfällen att ta sig in och att öka din kontroll och kunskap om miljön.The goal of PAM is to reduce opportunities for malicious users to get access, while increasing your control and awareness of the environment.

PAM gör det svårare för angripare att ta sig in i ett nätverk och få åtkomst till privilegierade konton.PAM makes it harder for attackers to penetrate a network and obtain privileged account access. PAM lägger till skydd till privilegierade grupper som kontrollerar åtkomsten på många olika domänanslutna datorer och program på dessa datorer.PAM adds protection to privileged groups that control access across a range of domain-joined computers and applications on those computers. Det ger också ökad övervakning, mer synlighet och mer detaljerade kontroller.It also adds more monitoring, more visibility, and more fine-grained controls. Detta gör att organisationer att se vilka deras Privilegierade administratörer är och vad de gör.This allows organizations to see who their privileged administrators are and what are they doing. Med PAM får organisationer större insyn i hur administratörskonton används i miljön.PAM gives organizations more insight into how administrative accounts are used in the environment.

Konfigurera PAMSetting up PAM

PAM bygger på principen för just-in-time-administration, som är relaterat till JEA (just enough administration).PAM builds on the principle of just-in-time administration, which relates to just enough administration (JEA). JEA är ett Windows PowerShell-verktyg som definierar en uppsättning kommandon för att utföra Privilegierade aktiviteter.JEA is a Windows PowerShell toolkit that defines a set of commands for performing privileged activities. Det är en slutpunkt där administratörer kan få behörighet att köra kommandon.It is an endpoint where administrators can get authorization to run commands. I JEA beslutar administratör att användare med en viss behörighet kan utföra en viss uppgift.In JEA, an administrator decides that users with a certain privilege can perform a certain task. Varje gång en behörig användare behöver utföra aktiviteten aktiveras behörigheten.Every time an eligible user needs to perform that task, they enable that permission. Behörigheten upphör efter en angiven tidsperiod, så att obehöriga användare inte kan få åtkomst.The permissions expire after a specified time period, so that a malicious user can't steal the access.

PAM-installationen och -driften består av fyra steg.PAM setup and operation has four steps.

PAM-stegen: förbereda, skydda, använda, övervaka – diagram

  1. Förbereda: identifiera vilka grupper i den befintliga skogen som har betydande behörighet.Prepare: Identify which groups in your existing forest have significant privileges. Återskapa dessa grupper utan medlemmar i skyddsskogen.Recreate these groups without members in the bastion forest.
  2. Skydda: Konfigurera livscykel- och autentiseringsskydd, till exempel Multi-Factor Authentication (MFA), för när användare begär just-in-time-administration.Protect: Set up lifecycle and authentication protection, such as Multi-Factor Authentication (MFA), for when users request just-in-time administration. MFA hjälper till att förhindrar programmässiga attacker från skadlig programvara och påföljande stölder av autentiseringsuppgifter.MFA helps prevent programmatic attacks from malicious software or following credential theft.
  3. Använda: när autentiseringskraven har uppfyllts och en begäran har godkänts, läggs ett användarkonto tillfälligt till i en privilegierad grupp i skyddsskogen.Operate: After authentication requirements are met and a request is approved, a user account gets added temporarily to a privileged group in the bastion forest. Under en förinställd tidsperiod har administratören alla privilegier och åtkomstbehörigheter som är tilldelade till gruppen.For a pre-set amount of time, the administrator has all privileges and access permissions that are assigned to that group. Därefter tas kontot bort från gruppen.After that time, the account is removed from the group.
  4. Övervaka: PAM lägger till granskningar, aviseringar och rapporter för begäran om privilegierad åtkomst.Monitor: PAM adds auditing, alerts, and reports of privileged access requests. Du kan granska historiken för privilegierad åtkomst och se vem som utfört uppgiften.You can review the history of privileged access, and see who performed an activity. Du kan bestämma om aktiviteten är giltig eller inte och enkelt identifiera obehörig aktivitet, som försök att lägga till användare direkt i en privilegierad grupp i den ursprungliga skogen.You can decide whether the activity is valid or not and easily identify unauthorized activity, such as an attempt to add a user directly to a privileged group in the original forest. Den här åtgärden är inte bara viktig för att upptäcka skadliga program utan också för att spåra interna angrepp.This step is important not only to identify malicious software but also for tracking "inside" attackers.

Hur fungerar PAM?How does PAM work?

PAM är baserat på nya funktionerna i AD DS, särskilt de för domänautentisering och -auktorisering, och nya funktioner i Microsoft Identity Manager.PAM is based on new capabilities in AD DS, particularly for domain account authentication and authorization, and new capabilities in Microsoft Identity Manager. Med PAM separeras behöriga konton från en befintlig Active Directory-miljö.PAM separates privileged accounts from an existing Active Directory environment. När ett privilegierat konto behöver användas, måste det först begäras och sedan godkännas.When a privileged account needs to be used, it first needs to be requested, and then approved. När det godkänts ges det privilegierade kontot behörighet via en extern huvudgrupp i en ny skyddsskog i stället för i användarens eller programmets aktuella skog.After approval, the privileged account is given permission via a foreign principal group in a new bastion forest rather than in the current forest of the user or application. Genom att använda en skyddsskog får organisationen större kontroll, till exempel över när en användare kan vara medlem i en privilegierad grupp och hur användaren måste autentiseras.The use of a bastion forest gives the organization greater control, such as when a user can be a member of a privileged group, and how the user needs to authenticate.

Active Directory, MIM-tjänsten och andra delar av den här lösningen kan också distribueras i en konfiguration med hög tillgänglighet.Active Directory, the MIM Service, and other portions of this solution can also be deployed in a high availability configuration.

I följande exempel visas hur PIM fungerar i detalj.The following example shows how PIM works in more detail.

PIM-process och deltagare – diagram

Skyddsskogen utfärdar tidsbegränsade gruppmedlemskap, vilka i sin tur utfärdar tidsbegränsade biljettbeviljande biljetter.The bastion forest issues time-limited group memberships, which in turn produce time-limited ticket-granting tickets (TGTs). Kerberos-baserade program och tjänster kan respektera och tillämpa dessa biljettbeviljande biljetter om apparna och tjänsterna finns i skogar som litar på skyddsskogen.Kerberos-based applications or services can honor and enforce these TGTs, if the apps and services exist in forests that trust the bastion forest.

Löpande användarkonton måste inte flyttas till en ny skog.Day-to-day user accounts do not need to move to a new forest. Det gäller också för datorer, program och deras grupper.The same is true with the computers, applications, and their groups. De förblir där de är i en befintlig skog.They stay where they are today in an existing forest. Studera exemplet med en organisation som är bekymrad över dagens cybersäkerhetsproblemen, men inte har några omedelbara planer på att uppgradera serverinfrastrukturen till nästa version av Windows Server.Consider the example of an organization that is concerned with these cybersecurity issues today, but has no immediate plans to upgrade the server infrastructure to the next version of Windows Server. Den organisationen kan fortfarande dra nytta av den här kombinerade lösningen genom att använda MIM och en ny skyddsskog, och får bättre kontroll över åtkomsten till befintliga resurser.That organization can still take advantage of this combined solution by using MIM and a new bastion forest, and can better control access to existing resources.

PAM ger följande fördelar:PAM offers the following advantages:

  • Isolera/ange omfång för behörigheter: användare har inte behörighet för konton som också används för icke-privilegierade uppgifter som e-post- och internetanvändning.Isolation/scoping of privileges: Users do not hold privileges on accounts that are also used for non-privileged tasks like checking email or browsing the Internet. Användarna måste begära behörighet.Users need to request privileges. Begäranden godkänns och nekas utifrån MIM-principer som definierats av en PAM-administratör.Requests are approved or denied based on MIM policies defined by a PAM administrator. Privilegierad åtkomst är inte tillgänglig förrän en begäran har godkänts.Until a request is approved, privileged access is not available.

  • Step-up och proof-up: Nya autentiserings- och auktoriseringsutmaningar för att hantera livscykeln för olika administratörskonton.Step-up and proof-up: These are new authentication and authorization challenges to help manage the lifecycle of separate administrative accounts. Användaren kan begära att ett administratörskonto utökas och den begäran går igenom MIM-arbetsflöden.The user can request the elevation of an administrative account and that request goes through MIM workflows.

  • Ytterligare loggning: förutom de inbyggda MIM-arbetsflödena finns det ytterligare loggning för PAM som identifierar begäran, hur den auktoriserades och eventuella händelser efter godkännandet.Additional logging: Along with the built-in MIM workflows, there is additional logging for PAM that identifies the request, how it was authorized, and any events that occur after approval.

  • Anpassningsbart arbetsflöde: MIM-arbetsflöden kan konfigureras för olika scenarier och flera olika arbetsflöden kan användas baserat på parametrarna för användaren eller begärda roller.Customizable workflow: The MIM workflows can be configured for different scenarios, and multiple workflows can be used, based on the parameters of the requesting user or requested roles.

Hur begär användare privilegierad åtkomst?How do users request privileged access?

Det finns några olika sätt en användare kan skicka en begäran på, bland annat via:There are a number of ways in which a user can submit a request, including:

  • API:t för MIM-tjänsternas webbtjänsterThe MIM Services Web Services API
  • En REST-slutpunktA REST endpoint
  • Windows PowerShell (New-PAMRequest)Windows PowerShell (New-PAMRequest)

Få information om cmdlets för privilegierad åtkomsthantering.Get details about the Privileged Access Management cmdlets.

Vilka arbetsflöden och övervakningsalternativ finns?What workflows and monitoring options are available?

Om vi till exempel antar att en användare var medlem av en administrativ grupp innan PIM konfigurerades.As an example, let’s say a user was a member of an administrative group before PIM is set up. Som en del av PIM-konfigurationen tas användaren bort från den administrativa gruppen och en princip skapas i MIM.As part of PIM setup, the user is removed from the administrative group, and a policy is created in MIM. Principen anger att om användaren begär administratörsbehörighet och autentiseras av MFA godkänns begäran och ett särskilt konto för användaren läggs till i den privilegierade gruppen i skyddsskogen.The policy specifies that if that user requests administrative privileges and is authenticated by MFA, the request is approved and a separate account for the user will be added to the privileged group in the bastion forest.

Förutsatt att begäran godkänns kommunicerar åtgärdsarbetsflödet direkt med skyddsskogens Active Directory för att placera användaren i en grupp.Assuming the request is approved, the Action workflow communicates directly with bastion forest Active Directory to put a user in a group. När Lisa till exempel begär att administrera HR-databasen, läggs Lisas administratörskonto till i den privilegierade gruppens skyddsskog inom några sekunder.For example, when Jen requests to administer the HR database, the administrative account for Jen is added to the privileged group in the bastion forest within seconds. Hennes administratörskontos medlemskap i gruppen går ut efter en begränsad tid.Her administrative account’s membership in that group will expire after a time limit. Med Windows Server Technical Preview associeras medlemskapet med en tidsgräns i Active Directory. Med Windows Server 2012 R2 i skyddsskogen tvingas tidsgränsen av MIM.With Windows Server Technical Preview, that membership is associated in Active Directory with a time limit; with Windows Server 2012 R2 in the bastion forest, that time limit is enforced by MIM.

Anteckning

När du lägger till en ny användare i en grupp måste ändringen replikeras till andra domänkontrollanter i skyddsskogen.When you add a new member to a group, the change needs to replicate to other domain controllers (DCs) in the bastion forest. Replikeringsfördröjning kan påverka möjligheten för användare att komma åt resurser.Replication latency can impact the ability for users to access resources. Mer information om replikeringsfördröjning finns i Så här fungerar replikeringstopologin i Active Directory.For more information about replication latency, see How Active Directory Replication Topology Works.

Som kontrast utvärderas utgångna länkar i realtid av Security Accounts Manager (SAM).In contrast, an expired link is evaluated in real time by the Security Accounts Manager (SAM). Även om tillägg av medlemmar måste replikeras av domänkontrollanten som tar emot åtkomstbegäran, utvärderas borttagning av medlemmar omedelbart på vilken domänkontrollant som helst.Even though the addition of a group member needs to be replicated by the DC that receives the access request, the removal of a group member is evaluated instantaneously on any DC.

Det här arbetsflödet är speciellt avsett för dessa administratörskonton.This workflow is specifically intended for these administrative accounts. Administratörer (och skript) som bara behöver tillfällig åtkomst för privilegierade grupper kan begära precis den åtkomsten.Administrators (or even scripts) who need only occasional access for privileged groups, can precisely request that access. MIM loggar begäran och ändringarna i Active Directory, och du kan visa dem i loggboken eller skicka data till företagets övervakningslösningar, till exempel System Center 2012 – gransknings- och insamlingstjänsten för Operations Manager och andra verktyg från tredje part.MIM logs the request and the changes in Active Directory, and you can view them in Event Viewer or send the data to enterprise monitoring solutions such as System Center 2012 - Operations Manager Audit Collection Services (ACS), or other third-party tools.

Nästa stegNext steps