Nivåmodell för partitionering av administratörsbehörighet

  • Artikel

I den här artikeln beskrivs en säkerhetsmodell som är avsedd att skydda mot rättighetsutökning genom att skilja uppgifter med hög behörighetsnivå från riskzoner.

Viktigt

Modellen i den här artikeln är endast avsedd för isolerade Active Directory-miljöer som använder MIM PAM. För hybridmiljöer, se i stället vägledningen i företagsåtkomstmodellen.

Utöka privilegier i Active Directory-skogar

Användare, tjänster och programkonton som beviljas permanent administratörsbehörighet för skogar i Windows Server Active Directory (AD) medför betydande risker för organisationens mål och verksamhet. Dessa konton är ofta mål för angripare eftersom angriparen har behörighet att ansluta till andra servrar eller program i domänen om de komprometteras.

Med nivåmodellen delas administratörer upp utifrån vilka resurser de hanterar. Administratörer med kontroll över användararbetsstationer separeras från de som styr program eller hanterar företagsidentiteter.

Begränsa exponeringen av autentiseringsuppgifter med inloggningsbegränsningar

Vanligen måste man omforma de administrativa metoderna för att minska risken för attacker och minska risken för stöld av autentiseringsuppgifter för administratörskonton. Som ett första steg bör organisationer:

  • Begränsa antalet värdar på vilka administrativa autentiseringsuppgifter exponeras.
  • Begränsa rollprivilegier till den lägsta nivå som krävs.
  • Se till att administrativa uppgifter inte utförs på värdar som används för standardanvändares aktiviteter (till exempel e-postanvändning och webbsurfande).

Nästa steg är att implementera inloggningsbegränsningar och aktivera processer och metoder för att uppfylla kraven för nivåmodellen. Helst bör exponering av autentiseringsuppgifter också reduceras till det lägsta privilegium som krävs för rollen inom varje nivå.

Inloggningsbegränsningar bör tillämpas för att säkerställa att konton med höga privilegier inte har åtkomst till mindre säkra resurser. Till exempel:

  • Domänadministratörer (nivå 0) kan inte logga in på företagsservrar (nivå 1) och standardanvändares arbetsstationer (nivå 2).
  • Serveradministratörer (nivå 1) kan inte logga in på standardanvändare arbetsstationer (nivå 2).

Anteckning

Serveradministratörer bör inte ingå i gruppen för domänadministratörer. Medarbetare som har ansvar för hantering av både domänkontrollanter och företagsservrar bör tilldelas separata konton.

Inloggningsbegränsningar kan tillämpas med:

  • Grupprincipbegränsningar för inloggningsrättigheter, bland annat:
    • Neka åtkomst till den här datorn från nätverket
    • Neka inloggning som batchjobb
    • Neka att logga in som en tjänst
    • Neka lokal inloggning
    • Neka inloggning via inställningar för fjärrskrivbord
  • Autentiseringsprinciper och -silon, om du använder Windows Server 2012 eller senare
  • Selektiv autentisering om kontot är i en dedikerad administrativ skog

Nästa steg

  • I nästa artikel Planera en skyddsmiljö får du veta hur du lägger till en dedikerad administrativ skog för Microsoft Identity Manager för att upprätta administratörskonton.
  • Att skydda enheter ger ett dedikerat operativsystem för känsliga uppgifter som skyddas mot Internetattacker och hotvektorer.