Förbättrad säkerhetsadministrationsmiljö

  • Artikel
  • 2 minuter för att läsa

Arkitekturen ENHANCED Security Admin Environment (ITA) (kallas ofta röd skog, administratörsskog eller härdad skog) är en metod för att tillhandahålla en säker miljö för Windows Server Active Directory-administratörer (AD).

Microsofts rekommendation om att använda det här arkitekturmönstret har ersatts av den moderna behörighetsstrategin och den snabba moderniseringsplan (RAMP) som den rekommenderade standard metoden för att skydda privilegierade användare. TIDE:s härdade administrativa skogsmönster (lokala eller molnbaserade) anses nu vara en anpassad konfiguration som endast passar för undantagsfall som anges nedan.

Vad händer om jag redan har SÅ HÄR?

För kunder som redan har distribuerat den här arkitekturen för att förbättra säkerheten och/eller förenkla hanteringen av flera skogar är det brådskande att dra tillbaka eller ersätta en SÅDÄR-implementering av SÅ SNART den drivs som tänkt. Precis som för alla företagssystem bör du underhålla programvaran i den genom att tillämpa säkerhetsuppdateringar och se till att programvaran håller sig inom supportlivscykeln.

Microsoft rekommenderar även organisationer med SÅ HÄRDAD/härdade skogar att använda den moderna behörighetsstrategin med hjälp av DEN snabb ramp-vägledningen (Ramp). Det här kompletterar en befintlig SÅDD-implementering och ger lämplig säkerhet för roller som inte redan skyddas av DEN HÄR GRUPPEN, inklusive globala Azure AD-administratörer, känsliga affärsanvändare och vanliga företagsanvändare. Mer information finns i artikeln Skydda säkerhetsnivåer för privilegierad åtkomst.

Varför ska jag ändra rekommendationen?

När TIDE ursprungligen skapades för 10 år sedan var fokus på lokala miljöer med AD som lokal identitetsleverantör. SÅ härdade skogsimplementeringar fokuserar på att skydda Windows Server Active Directory administratörer.

Microsoft rekommenderar de nya molnbaserade lösningarna eftersom de kan distribueras snabbare för att skydda en bredare omfattning av administrativa och affärskänsliga roller och system.

Med strategi för privilegierad åtkomst får du skydd och övervakning för ett mycket större antal känsliga användare, samtidigt som du tillhandahåller stegvisa, lägre kostnader för att snabbt skapa säkerhetsgranskningar.

Även om det fortfarande är giltigt för specifika användningsfall är SÅ härdade skogsimplementeringar AV ARTE mer kostsamt och svårare att använda, och de kräver mer driftstöd jämfört med den nyare molnbaserade lösningen (på grund av arkitekturens komplexa natur). MENHET-implementeringar är utformade för att endast Windows Server Active Directory administratörer. Den molnbaserade behörighetsstrategin ger skydd och övervakning för en mycket större uppsättning känsliga användare, samtidigt som du tillhandahåller stegvisa, lägre kostnader för att snabbt skapa säkerhetsgranskningar.

Vilka är giltiga USEE-användningsfall?

Även om det inte är en rekommendation för mainstream så är det här arkitekturmönstret giltigt i ett begränsat antal scenarier.

I dessa undantagsfall måste organisationen acceptera lösningens ökade tekniska komplexitet och driftkostnader. Organisationen måste ha ett avancerat säkerhetsprogram för att mäta risker, övervaka risker och tillämpa en enhetlig driftdator för användningen och underhållet av SÅ SÄTT-implementeringen av TIDE.

Exempelscenarier omfattar:

  • Isolerade lokala miljöer – där molntjänster inte är tillgängliga, t.ex. forskningssnabb offline, kritisk infrastruktur eller verktyg, ot-miljöer (frånkopplad driftsteknik), till exempel SCADA (Övervakande kontroll- och datainsamlingsmiljöer) /ICS (Industrial Control Systems) och kunder inom den offentliga sektorn som helt tar till sig lokal teknik.
  • Högreglerade miljöer – bransch- eller myndighetsreglering kan specifikt kräva en konfiguration av en administrativ skog.
  • Högnivåsäkerhetsgranskning har förordnats – organisationer med låg risk som är redo att acceptera lösningens komplexitet och driftkostnader.

Obs!

Även om Microsoft i de flesta organisationer inte längre rekommenderar en isolerad härdad skogsmodell för de flesta organisationer har Microsoft fortfarande en liknande arkitektur internt (och tillhörande supportprocesser och personal) på grund av de extremsäkerhetskrav som finns för att tillhandahålla betrodda molntjänster till organisationer runt om i världen.

Nästa steg

Granska vägledningen för strategi för privilegierad åtkomst och snabb moderniseringsplan (RAMP) för att tillhandahålla säkra miljöer för behöriga användare.