Skydda privilegierad åtkomstSecuring Privileged Access

Gäller för: WindowsServer 2016Applies To: Windows Server 2016

Att skydda privilegierad är åtkomst ett viktigt första steg för att upprätta säkerhetsgarantier för företagstillgångar i en modern organisation.Securing privileged access is a critical first step to establishing security assurances for business assets in a modern organization. Säkerheten för de flesta eller samtliga företagstillgångar i en organisation beror på integriteten hos de Privilegierade konton som administrerar och hanterar IT-system.The security of most or all business assets in an organization depends on the integrity of the privileged accounts that administer and manage IT systems. Cyberangripare riktar in sig på dessa konton och andra element för privilegierad åtkomst för att snabbt få tillgång till aktuella data och system med hjälp av försök att stjäla autentiseringsuppgifter som Pass-the-Hash och Pass-the-Ticket.Cyber-attackers are targeting these accounts and other elements of privileged access to rapidly gain access to targeted data and systems using credential theft attacks like Pass-the-Hash and Pass-the-Ticket.

Skydda administrativ åtkomst från envisa angripare krävs det lätt att ta med en fullständig och Intelligent metod för att isolera systemen från risker.Protecting administrative access against determined adversaries require you to take a complete and thoughtful approach to isolate these systems from risks. Den här bilden visar tre steg med rekommendationer för att avgränsa och skydda administration i den här översikten:This figure depicts the three stages of recommendations for separating and protecting administration in this roadmap:

Diagram över tre steg med rekommendationer för att avgränsa och skydda administration i den här översikten

Översikt över mål:Roadmap Objectives:

  • 2 – 4 veckorsplan: snabbt minimera de mest använda attackteknikerna2-4 week plan: quickly mitigate the most frequently used attack techniques

  • 1 – 3 månadersplan: skapa synlighet och kontroll av administratörsaktivitet1-3 month plan: build visibility and control of admin activity

  • 6 + månadersplan: fortsätta skapa försvar för en mer proaktiv säkerhetsposition6+ month plan: continue building defenses to a more proactive security posture

Microsoft rekommenderar att du följer den här översikten för att skydda privilegierad åtkomst från envisa angripare.Microsoft recommends you follow this roadmap to secure privileged access against determined adversaries. Du kan ändra den här översikten för att hantera dina befintliga funktioner och särskilda krav i ditt företag.You may adjust this roadmap to accommodate your existing capabilities and specific requirements in your organizations.

Anteckning

Skydda privilegierad krävs åtkomst ett bredare spektrum av element inklusive tekniska komponenter (värdförsvar, kontoskydd, Identitetshantering, etc.) samt ändringar för att behandla, och administrativ praxis och kunskaper.Securing privileged access requires a broad range of elements including technical components (host defenses, account protections, identity management, etc.) as well as changes to process, and administrative practices and knowledge.

Varför är säkra privilegierad åtkomst viktigt?Why is Securing Privileged Access important?

I de flesta organisationer beror säkerheten för de flesta eller samtliga företagstillgångar på integriteten hos de Privilegierade konton som administrerar och hanterar IT-system.In most organizations, the security of most or all business assets depends on the integrity of the privileged accounts that administer and manage IT systems. Cyberangripare fokuserar på privilegierad åtkomst till system som Active Directory för att snabbt få tillgång till en organisations alla inriktade data.Cyber-attackers are focusing on privileged access to systems like Active Directory to rapidly gain access to all of an organizations targeted data.

Traditionell säkerhet har fokuserat på att använda ingångs- och utgångspunkter punkter i ett organisationsnätverk som primär säkerhetsperimeter, men effektiviteten för nätverkssäkerhet har minskat avsevärt efter två trender:Traditional security approaches have focused on using the ingress and egress points of an organizations network as the primary security perimeter, but the effectiveness of network security has been significantly diminished by two trends:

  • Organisationer som är värd för data och resurser utanför den traditionella nätverkgränsen på företagets mobila datorer, enheter, till exempel mobiltelefoner och surfplattor, molntjänster och BYOD-enheterOrganizations are hosting data and resources outside the traditional network boundary on mobile enterprise PCs, devices like mobile phones and tablets, cloud services, and BYOD devices

  • Angripare har visat en konsekvent och pågående förmåga att få åtkomst till arbetsstationer inuti nätverksgränserna via nätfiske och andra webbplatser och e-attacker.Adversaries have demonstrated a consistent and ongoing ability to obtain access on workstations inside the network boundary through phishing and other web and email attacks.

Ersättningar för nätverkets säkerhetsperimeter i ett komplext modernt företag är autentisering och auktorisering kontrollerna i en organisations identitetslager.The natural replacement for the network security perimeter in a complex modern enterprise is the authentication and authorization controls in an organization's identity layer. Privilegierade administrativa konton har effektivt kontroll över den här nya ”säkerhetsperimeter” så det är viktigt att skydda privilegierad åtkomst:Privileged administrative accounts are effectively in control of this new "security perimeter" so it's critical to protect privileged access:

Diagram som visar en organisations identitetslager

En angripare som får kontroll över ett administratörskonto kan använda dessa privilegier för att nå sitt mål på bekostnad av målorganisationen såsom beskrivs nedan:An adversary that gains control of an administrative account can use those privileges to pursue their gain at the expense of the target organization as depicted below:

Diagram som visar hur en angripare som får kontroll över ett administratörskonto kan använda dessa privilegier för att nå sitt mål på bekostnad av målorganisationen

Mer information om vilka typer av angrepp som ofta leder till att angripare får kontroll över administrativa konton finns i webbplatsen Pass The Hash för informativa faktablad, videoklipp med mera.For more information on the types of attacks that commonly lead to attackers in control of administrative accounts, please visit the Pass The Hash web site for informative white papers, videos and more.

Den här bilden visar separat ”kanal” för administration som översikten upprättar för att isolera Privilegierade åtkomstaktiviteter från standardanvändare hög risk som webbsidor och komma åt e-post.This figure depicts the separate "channel" for administration that the roadmap establishes to isolate privileged access tasks from high risk standard user tasks like web browsing and accessing email.

Diagram över separat ”kanal” för administration som översikten upprättar för att isolera Privilegierade åtkomstaktiviteter från standardanvändaraktiviteter med hög risk som webbsidor och komma åt e-post

Eftersom angriparen kan få kontroll över privilegierad åtkomst med olika metoder, kräver minskad risk en heltäckande och detaljerad teknisk metod som beskrivs i den här översikten.Because the adversary can gain control of privileged access using a variety of methods, mitigating this risk requires a holistic and detailed technical approach as outlined in this roadmap. Översikten isolerar och skyddar element i din miljö som möjliggör privilegierad åtkomst genom att skapa åtgärder i varje område i försvarskolumnen i den här bilden:The roadmap will isolate and harden the elements in your environment that enable privileged access by building mitigations in each area of the defense column in this figure:

Tabell över attack-och skyddskolumner

Säkerhet privilegierad åtkomst översikt:Security privileged access roadmap

Översikten är utformad för att maximera användningen av tekniker som du kanske redan distribuerat, dra nytta av viktiga aktuella och kommande säkerhetstekniker och integrera eventuella 3 parters säkerhetsverktyg som du kanske redan har distribuerat.The roadmap is designed to maximize the use of technologies that you may already be deployed, take advantage of key current and upcoming security technologies, and integrate any 3rd party security tools you may already have deployed.

Översikten över Microsofts rekommendationer är uppdelad i steg 3:The roadmap of Microsoft recommendations is broken into 3 stages:

  • 2 – 4 veckorsplan – snabbt minimera de mest använda attackteknikerna2-4 week plan - Quickly mitigate the most frequently used attack techniques

  • 1 – 3 månadersplan – skapa synlighet och kontroll av administratörsaktivitet1-3 month plan - Build visibility and control of admin activity

  • 6 + månadersplan – fortsätta skapa försvar för en mer proaktiv säkerhetsposition6+ month plan - Continue building defenses to a more proactive security posture

Varje steg av översikten är utformat att öka kostnaderna och svårigheten för motståndare att angripa privilegierad åtkomst till din lokala tillgångar och molntillgångar.Each stage of the roadmap is designed to raise the cost and difficulty for adversaries to attack privileged access for your on-premises and cloud assets. Översikten har prioriteras om du vill schemalägga de mest effektiva och snabbaste implementeringarna först, baserat på våra upplevelser av dessa attacker och lösningsimplementering.The roadmap is prioritized to schedule the most effective and the quickest implementations first based on our experiences with these attacks and solution implementation.

Anteckning

Tidslinjerna för översikten är ungefärliga och baseras på vår erfarenhet av kundimplementeringar.The timelines for the roadmap are approximate and are based on our experience with customer implementations. Varaktighet varierar i din organisation beroende på hur komplex din miljö och procedurer för ändringshantering.The duration will vary in your organization depending on the complexity of your environment and your change management processes.

Säkerhet Säkerhetsöversikt över privilegierad åtkomst: Steg 1Security Privileged Access Roadmap: Stage 1

Steg 1 i översikten fokuserar på snabbt minimera de mest använda attackteknikerna av stöld av autentiseringsuppgifter och missbruk.Stage 1 of the roadmap is focused on quickly mitigating the most frequently used attack techniques of credential theft and abuse. Steg 1 är utformat för att kunna implementeras på cirka 2 – 4 veckor och illustreras i följande diagram:Stage 1 is designed to be implemented in approximately 2-4 weeks and is depicted in this diagram:

Bild som visar att steg 1 är utformat för att kunna implementeras på cirka 2 – 4 veckor

Steg 1 i översikten privilegierad åtkomst innehåller följande komponenter:Stage 1 of the Security Privileged Access roadmap includes these components:

1. Separat administratörskonto för administrativa uppgifter1. Separate Admin account for admin tasks

För att avgränsa internetrisker (nätfiskeattacker, webbsurfning) från administrativa privilegier, skapar du ett dedikerat konto för all personal med administrativa privilegier.To help separate internet risks (phishing attacks, web browsing) from administrative privileges, create a dedicated account for all personnel with administrative privileges. Ytterligare information om det här ingår i PAW-instruktionerna publicerade här.Additional guidance on this is included in the PAW instructions published here.

2. Privilegierad åtkomst arbetsstationer (Paw) fas 1: Active Directory-administratörer2. Privileged Access Workstations (PAWs) Phase 1: Active Directory admins

För att avgränsa internetrisker (nätfiskeattacker, webbsurfning) från administrativa domänprivilegier, skapar arbetsstationer för dedikerad privilegierad åtkomst (Paw) för personal med administrativa privilegier för AD.To help separate internet risks (phishing attacks, web browsing) from domain administrative privileges, create dedicated privileged access workstations (PAWs) for personnel with AD administrative privileges. Detta är det första steget i ett PAW-program och fas 1 i vägledningen publicerad här.This is the first step of a PAW program and is Phase 1 of the guidance published here.

3. Unika lösenord lokal administratör för arbetsstationer3. Unique Local Admin Passwords for Workstations

4. Unika lösenord lokal administratör för servrar4. Unique Local Admin Passwords for Servers

Om du vill minska risken för att en angripare stjäl ett lokalt administratörskontos hash för lösenord från den lokala SAM-databasen och använder det för angrepp på andra datorer, bör du använda verktyget VARV att konfigurera unika slumpmässiga lösenord på alla arbetsstationer och servrar och registrera dessa lösenord i Active Directory.To mitigate the risk of an adversary stealing a local administrator account password hash from the local SAM database and abusing it to attack other computers, you should use the LAPS tool to configure unique random passwords on each workstation and server and register those passwords in Active Directory. Du kan hämta den lokala administratörens Lösenordslösning för arbetsstationer och servrar här.You can obtain the Local Administrator Password Solution for use on workstations and servers here.

Mer information om operativsystem i en miljö med LAPS och Paw finns här.Additional guidance for operating an environment with LAPS and PAWs can be found here.

Säkerhet Säkerhetsöversikt över privilegierad åtkomst: Steg 2Security Privileged Access Roadmap: Stage 2

Steg 2 bygger på migreringar från steg 1 och är utformad för att kunna implementeras på cirka 1 – 3 månader.Stage 2 builds on the mitigations from Stage 1 and is designed to be implemented in approximately 1-3 months. Stegen i det här skedet illustreras i följande diagram:The steps of this stage are depicted in this diagram:

Diagram över stegen i steg 2

1. PAW-fas 2 och 3: alla administratörer och ytterligare härdning1. PAW Phases 2 and 3: all admins and additional hardening

Om du vill separera internetrisker från alla Privilegierade administrativa konton, fortsätter med den PAW som du startade i steg 1 och implementerar dedikerade arbetsstationer för all personal med privilegierad åtkomst.To separate internet risks from all privileged administrative accounts, continue with the PAW you started in stage 1 and implement dedicated workstations for all personnel with privileged access. Det här mappar till steg 2 och 3 av vägledningen publicerad här.This maps to Phase 2 and 3 of the guidance published here.

2. Tidsbundna privilegier (inga permanenta administratörer)2. Time-bound privileges (no permanent administrators)

Ange behörighet för att sänka exponeringstiden för privilegier och öka synlighet av deras användning, precis i tid (JIT) med en lämplig lösning såsom nedan:To lower the exposure time of privileges and increase visibility into their use, provide privileges just in time (JIT) using an appropriate solution such as the ones below:

3. Multifaktor för Tidsbundna privilegier3. Multi-factor for time-bound elevation

Om du vill öka säkerhetsnivån för administratörsautentisering, bör du kräva multifaktorautentisering innan privilegier beviljas.To increase the assurance level of administrator authentication, you should require multi-factor authentication before granting privileges. Detta kan åstadkommas med MIM PAM och Azure AD PIM med Azure multifaktorautentisering (MFA).This can be accomplished with MIM PAM and Azure AD PIM using Azure Multi-factor authentication (MFA).

4. Bara tillräckligt med Admin (JEA) för DC-Underhåll4. Just Enough Admin (JEA) for DC Maintenance

För att minska antalet konton med administrativa domänprivilegier och associerad riskexponering, använder du funktionen tillräckligt JEA (Just Administration) i PowerShell för att utföra vanliga underhållsåtgärder på domänkontrollanter.To reduce the quantity of accounts with domain administration privileges and associated risk exposure, use the Just Enough Administration (JEA) feature in PowerShell to perform common maintenance operations on domain controllers. JEA-tekniken tillåter vissa användare att utföra vissa administrativa uppgifter på servrar (till exempel domänkontrollanter) utan att ge dem administratörsbehörigheter.The JEA technology allows specific users to perform specific administrative tasks on servers (like Domain Controllers) without giving them administrator rights. Hämta den här vägledningen från TechNet.Download this guidance from TechNet.

5. Lägre attackyta på domän och domänkontrollanter5. Lower attack surface of Domain and DCs

För att minska möjligheter för angripare att ta kontroll över en skog, ska du minska de sökvägar som en angripare kan ta kontroll över domänkontrollanter eller objekten i kontroll över domänen.To reduce opportunities for adversaries to take control of a forest, you should reduce the pathways an attacker can take to gain control of Domain Controllers or objects in control of the domain. Följ råden för att minska denna risk publicerade här.Follow guidance to reduce this risk published here.

6. Identifiering av attack6. Attack Detection

Få en överblick över aktiva Stölder av autentiseringsuppgifter och identitet attacker så att du kan snabbt svara på händelser och innehåller skada, distribuera och konfigurera Microsoft Advanced Threat Analytics (ATA).To get visibility into active credential theft and identity attacks so that you can respond quickly to events and contain damage, deploy and configure Microsoft Advanced Threat Analytics (ATA).

Innan du installerar ATA, bör du kontrollera att du har en process för att hantera en större säkerhetsincident som ATA kan identifieras.Prior to installing ATA, you should ensure you have a process in place to handle a major security incident that ATA may detect.

  • Mer information om hur du skapar en process för incidenter finns svara på IT-säkerhetsincidenter och ”svara på misstänkt aktivitet” och ”återställa från en incident” i Mitigating Pass-the-Hash och stöld av andra autentiseringsuppgifter, version 2.For more information on setting up an incident response process, see Responding to IT Security Incidents and the "Respond to suspicious activity" and "Recover from a breach" sections of Mitigating Pass-the-Hash and Other Credential Theft, version 2.

  • Kontakta din Microsoft-representant för mer information om Microsoft-tjänster för att hjälpa till med att förbereda IR-processen för ATA-genererade händelser och distribuera ATA genom att öppna den här sidan.For more information on engaging Microsoft services to assist with preparing your IR process for ATA generated events and deploying ATA, contact your Microsoft representative by accessing this page.

  • Access den här sidan för mer information om Microsoft-tjänster för att hjälpa till med att undersöka och återställa från en incidentAccess this page for more information on engaging Microsoft services to assist with investigating and recovering from an incident

  • Implementera ATA genom att följa distributionsguiden här.To Implement ATA, follow the deployment guide available here.

Säkerhet Säkerhetsöversikt över privilegierad åtkomst: Steg 3Security Privileged Access Roadmap: Stage 3

Steg 3 i översikten bygger på åtgärder från steg 1 och 2 för att förstärka och lägga till åtgärder över spektrat.Stage 3 of the roadmap builds on the mitigations from Stages 1 and 2 to strengthen and add mitigations across the spectrum. Steg 3 visas visuellt i följande diagram:Stage 3 is depicted visually in this diagram:

Diagram över steg 3

Dessa funktioner kommer bygger på åtgärder från föregående steg och flyttar dina försvar till en mer proaktiv position.These capabilities will build on the mitigations from previous phases and move your defenses into a more proactive posture.

1. Modernisera roller och delegeringsmodell1. Modernize Roles and Delegation Model

Om du vill minska säkerhetsrisken bör ni om alla aspekter av dina roller och delegeringsmodellen till att vara kompatibel med reglerna för nivåmodellen, hantera administrativa roller för Molntjänsten och integrera administratörsanvändbarhet som en nyckelklient.To reduce security risk, you should redesign all aspects of your roles and delegation model to be compliant with the rules of the tier model, accommodate cloud service administrative roles, and incorporate administrator usability as a key tenet. Den här modellen bör använda de JIT- och JEA-funktionerna i tidigare steg samt uppgiftsautomatiseringsteknik att åstadkomma detta.This model should leverage the JIT and JEA capabilities deployed in the earlier stages as well as task automation technology to achieve these goals.

2. Smartkort eller Passport-autentisering för alla administratörer2. Smartcard or Passport Authentication for all admins

Om du vill öka säkerhetsnivån och användbarhet för administratörsautentisering, bör du kräva stark autentisering för alla administrativa konton som finns i Azure Active Directory och i din WindowsServer Active Directory (inklusive externa konton i en molnbaserad tjänst).To increase the assurance level and usability of administrator authentication, you should require strong authentication for all administrative accounts hosted in Azure Active Directory and in your Windows Server Active Directory (including accounts federated to a cloud service).

3. Admin-skog för Active Directory-administratörer3. Admin Forest for Active Directory administrators

Om du vill ange det starkaste skyddet för Active Directory-administratörer konfigurera en miljö som inte har säkerhetsberoenden på din produktions Active Directory och är isolerad från attacker från alla utom de mest betrodda systemen i din produktionsmiljö.To provide the strongest protection for Active Directory administrators, set up an environment that has no security dependencies on your production Active Directory and is isolated from attacks from all but the most trusted systems in your production environment. Mer information om ESAE-arkitektur finns den här sidan.For more information on the ESAE architecture visit this page.

4. Kodintegritetsprincip för domänkontrollanter (Server 2016)4. Code Integrity Policy for DCs (Server 2016)

Konfigurera WindowsServer 2016 Kodintegritet för kernel (drivrutiner) och användarläge (program) så att endast auktoriserade filer körs på datorn för att begränsa risken för att obehöriga program på domänkontrollanterna från angriparattacker och oavsiktliga administrativa fel.To limit the risk of unauthorized programs on your domain controllers from adversary attack operations and inadvertent administrative errors, configure Windows Server 2016 Code Integrity for kernel (drivers) and user mode (applications) to only allow authorized executables to run on the machine.

5. Avskärmade virtuella datorer för virtuella domänkontrollanter (Server 2016 Hyper-V infrastruktur)5. Shielded VMs for virtual DCs (Server 2016 Hyper-V Fabric)

Använd den här nya Server 2016 Hyper-V-funktionen för att skydda virtualiserade domänkontrollanter från angreppsmetoder som utnyttjar en virtuell dators förlust av fysisk säkerhet, för att förhindra stöld av Active Directory-hemligheter från virtuella domänkontrollanter.To protect virtualized domain controllers from attack vectors that exploit a virtual machine's inherent loss of physical security, use this new Server 2016 Hyper-V capability to help prevent the theft of Active Directory secrets from Virtual DCs. Med den här lösningen kan kryptera du Generation 2 virtuella datorer för att skydda virtuella datorns data mot inspektion, stöld och manipulering av administratörer för lagring och nätverk samt skydda åtkomsten till den virtuella datorn mot Hyper-V-värdadministratörer.Using this solution, you can encrypt Generation 2 VMs to protect the VM data against inspection, theft, and tampering by storage and network administrators as well as harden the access to the VM against Hyper-V host administrators attacks.

Är jag klar?Am I done?

Slutför den här översikten kommer du få privilegierad åtkomst starkt skydd för attacker som för närvarande är kända och tillgängliga för angripare idag.Completing this roadmap will gain you strong privileged access protections for the attacks that are currently known and available to adversaries today. Säkerhetshot kommer tyvärr hela tiden utvecklas och SKIFT, så vi rekommenderar att du ser säkerhet som en pågående process som fokuserar på att höja kostnaden och minska frekvensen av lyckade angrepp på din miljö.Unfortunately, security threats will constantly evolve and shift, so we recommend you view security as an ongoing process focused on raising the cost and reducing the success rate of adversaries targeting your environment.

Att skydda privilegierad åtkomst är ett viktigt första steg för att upprätta säkerhetsgarantier för företagstillgångar i en modern organisation, men det är inte den enda delen av ett fullständigt säkerhetsprogram vilket skulle inkludera element som princip, åtgärder, informationssäkerhet, servrar, program, datorer, enheter, moln och andra komponenter som ger de säkerhetsgarantier som du behöver.Securing privileged access is a critical first step to establishing security assurances for business assets in a modern organization, but it is not the only part of a complete security program that would include elements like policy, operations, information security, servers, applications, PCs, devices, cloud fabric, and other components provide the security assurances you require.

Mer information om hur du skapar en översikt för fullständig säkerhet finns i avsnittet ”kundens ansvarsområden och översikt” i Microsoft Cloud Security för företagsarkitekter dokumentet finns här.For more information on building a complete security roadmap, see the "Customer responsibilities and roadmap" section of the Microsoft Cloud Security for Enterprise Architects document available here.

Mer information om Microsoft-tjänster för att hjälpa till med något av dessa ämnen kontaktar du din Microsoft-representant eller går den här sidan.For more information on engaging Microsoft services to assist with any of these topics, contact your Microsoft representative or visit this page.

Taste of Premier: förhindra Pass-the-Hash och andra former av stöld av autentiseringsuppgifterTaste of Premier: How to Mitigate Pass-the-Hash and Other Forms of Credential Theft

Microsoft Advanced Threat AnalyticsMicrosoft Advanced Threat Analytics

Skydda härledda domänautentiseringsuppgifter med Credential GuardProtect derived domain credentials with Credential Guard

Översikt över Device GuardDevice Guard Overview

Skydda tillgångar med högt värde med säkra administrativa arbetsstationerProtecting high-value assets with secure admin workstations

Isolerat användarläge i Windows10 med Dave Probert (Channel 9)Isolated User Mode in Windows 10 with Dave Probert (Channel 9)

Isolerade processerna för Användarläget och funktioner i Windows10 med Logan Gabriel (Channel 9)Isolated User Mode Processes and Features in Windows 10 with Logan Gabriel (Channel 9)

Mer information om processer och funktioner i isolerat användarläge i Windows10 med Dave Probert (Channel 9)More on Processes and Features in Windows 10 Isolated User Mode with Dave Probert (Channel 9)

Förhindra stöld av autentiseringsuppgifter med hjälp av Windows10 isolerat användarläge (Channel 9)Mitigating Credential Theft using the Windows 10 Isolated User Mode (Channel 9)

Aktivera strikt KDC-validering i WindowsKerberosEnabling Strict KDC Validation in Windows Kerberos

Vad är nytt i Kerberos-autentisering för WindowsServer 2012What's New in Kerberos Authentication for Windows Server 2012

Autentiseringsmekanismskontroll för AD DS i Guide till Windows Server 2008 R2Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide

Trusted Platform ModuleTrusted Platform Module