Nivåmodell för partitionering av administratörsbehörighetTier model for partitioning administrative privileges

I den här artikeln beskrivs en säkerhetsmodell som är avsedd att skydda mot rättighetsutökning genom att skilja uppgifter med hög behörighetsnivå från riskzoner.This article describes a security model intended to protect against elevation of privilege by segregating high-privilege activities from high-risk zones. Den här modellen ger en bra användarupplevelse och följer metodtips och säkerhetsprinciper.This model provides a good user experience while still adhering to best practices and security principles.

Utöka privilegier i Active Directory-skogarElevation of Privilege in Active Directory forests

Användare, tjänster och programkonton som beviljas permanent administratörsbehörighet för skogar i Windows Server Active Directory (AD) medför betydande risker för organisationens mål och verksamhet.Users, services, or applications accounts that are granted permanent administrative privileges to Windows Server Active Directory (AD) forests introduce a significant amount of risk to the organization’s mission and business. Dessa konton är ofta mål för angripare eftersom om ger angriparen har behörighet att ansluta till andra servrar och program i domänen.These accounts are often targeted by attackers because if they are compromised, the attacker has rights to connect to other servers or applications in the domain.

Med nivåmodellen delas administratörer upp utifrån vilka resurser de hanterar.The tier model creates divisions between administrators based on what resources they manage. Administratörer med kontroll över användararbetsstationer separeras från de som styr program eller hanterar företagsidentiteter.Admins with control over user workstations are separated from those that control applications, or manage enterprise identities. Läs mer om den här modellen i referensmaterialet för att skydda privilegierad åtkomst.Learn about this model in the Securing privileged access reference material.

Begränsa exponeringen av autentiseringsuppgifter med inloggningsbegränsningarRestricting credential exposure with logon restrictions

Vanligen måste man omforma de administrativa metoderna för att minska risken för attacker och minska risken för stöld av autentiseringsuppgifter för administratörskonton.Reducing credential theft risk for administrative accounts typically requires reshaping administrative practices to limit exposure to attackers. Som ett första steg bör organisationer:As a first step, organizations are advised to:

  • Begränsa antalet värdar på vilka administrativa autentiseringsuppgifter exponeras.Limit the number of hosts on which administrative credentials are exposed.
  • Begränsa rollprivilegier till den lägsta nivå som krävs.Limit role privileges to the minimum required.
  • Se till att administrativa uppgifter inte utförs på värdar som används för standardanvändares aktiviteter (till exempel e-postanvändning och webbsurfande).Ensure administrative tasks are not performed on hosts used for standard user activities (for example, email and web browsing).

Nästa steg är att implementera inloggningsbegränsningar och aktivera processer och metoder för att uppfylla kraven för nivåmodellen.The next step is to implement logon restrictions and enable processes and practices to adhere to the tier model requirements. Helst bör exponering av autentiseringsuppgifter också reduceras till det lägsta privilegium som krävs för rollen inom varje nivå.Ideally, credential exposure should also be reduced to the least privilege required for the role within each tier.

Inloggningsbegränsningar bör tillämpas för att säkerställa att konton med höga privilegier inte har åtkomst till mindre säkra resurser.Logon restrictions should be enforced to ensure that highly privileged accounts do not have access to less secure resources. Exempel:For example:

  • Domänadministratörer (nivå 0) kan inte logga in på företagsservrar (nivå 1) och standardanvändares arbetsstationer (nivå 2).Domain admins (tier 0) cannot log on to enterprise servers (tier 1) and standard user workstations (tier 2).
  • Serveradministratörer (nivå 1) kan inte logga in på standardanvändare arbetsstationer (nivå 2).Server administrators (tier 1) cannot log on to standard user workstations (tier 2).
Anteckning

Serveradministratörer bör inte ingå i gruppen för domänadministratörer.Server administrators should not be in to the domain admin group. Medarbetare som har ansvar för hantering av både domänkontrollanter och företagsservrar bör tilldelas separata konton.Personnel with responsibilities for managing both domain controllers and enterprise servers should be given separate accounts.

Inloggningsbegränsningar kan tillämpas med:Logon restrictions can be enforced with:

  • Grupprincipbegränsningar för inloggningsrättigheter, bland annat:Group Policy Logon Rights Restrictions, including:
    • Neka tillgång till den här datorn från nätverketDeny access to this computer from the network
    • Neka inloggning som batchjobbDeny logon as a batch job
    • Neka att logga in som en tjänstDeny logon as a service
    • Neka lokal inloggningDeny logon locally
    • Neka inloggning via inställningar för fjärrskrivbordDeny logon through Remote Desktop settings
  • Autentiseringsprinciper och -silon, om du använder Windows Server 2012 eller senareAuthentication policies and silos, if using Windows Server 2012 or later
  • Selektiv autentisering om kontot är i en dedikerad administrativ skogSelective authentication, if the account is in a dedicated admin forest

Nästa stegNext steps

  • I nästa artikel Planera en skyddsmiljö får du veta hur du lägger till en dedikerad administrativ skog för Microsoft Identity Manager för att upprätta administratörskonton.The next article, Planning a bastion environment, describes how to add a dedicated administrative forest for Microsoft Identity Manager to establish the administrative accounts.
  • Priviledged åtkomst arbetsstationer innehåller ett dedikerat operativsystem känsliga som skyddas från Internet-attacker och hotvektorer.Priviledged Access workstations provide a dedicated operating system for sensitive tasks that is protected from Internet attacks and threat vectors.