Active Directory Etki Alanı Hizmetleri için Privileged Access ManagementPrivileged Access Management for Active Directory Domain Services

Privileged Access Management (PAM), kuruluşların mevcut Active Directory ortamında ayrıcalıklı erişimi kısıtlamasına yardımcı olan bir çözümdür.Privileged Access Management (PAM) is a solution that helps organizations restrict privileged access within an existing Active Directory environment.

Privileged Access Management iki amacı gerçekleştirir:Privileged Access Management accomplishes two goals:

  • Güvenliği aşılmış bir Active Directory ortamında, kötü amaçlı saldırılardan etkilenmediği bilinen ayrı bir savunma ortamı bulundurmak yoluyla denetimi yeniden ele geçirme.Re-establish control over a compromised Active Directory environment by maintaining a separate bastion environment that is known to be unaffected by malicious attacks.
  • Ayrıcalıklı hesapların çalınma riskini azaltmak için bu hesapların kullanımını yalıtma.Isolate the use of privileged accounts to reduce the risk of those credentials being stolen.

Not

PAM, Microsoft Identity Manager (MIM) kullanılarak gerçekleştirilen bir Privileged Identity Management (PIM) örneğidir.PAM is an instance of Privileged Identity Management (PIM) that is implemented using Microsoft Identity Manager (MIM).

PAM hangi sorunları çözmeye yardımcı olur?What problems does PAM help solve?

Kuruluşları bugün gerçekten kaygılandıran konu, Active Directory ortamındaki kaynak erişimidir.A real concern for enterprises today is resource access within an Active Directory environment. Özellikle rahatlığı:Particularly troubling are:

  • 'Teki.Vulnerabilities.
  • Yetkisiz ayrıcalık yürüyen istekleri.Unauthorized privilege escalations.
  • Karma değer geçişi.Pass-the-hash.
  • Anahtar geçişi.Pass-the-ticket.
  • zıpkınla kimlik avı.spear phishing.
  • Kerberos ile mücadele.Kerberos compromises.
  • Diğer saldırılar.Other attacks.

Bugün, saldırganların Domain Admins hesabı kimlik bilgilerini ele geçirmesi fazlasıyla kolay ve olaydan sonra bu saldırıları keşfetmek fazlasıyla zordur.Today, it’s too easy for attackers to obtain Domain Admins account credentials, and it’s too hard to discover these attacks after the fact. PAM’nin hedefi, kötü amaçlı kullanıcıların erişim kazanma fırsatlarını azaltırken, ortam üzerindeki denetiminizi ve farkındalığınızı da artırmaktır.The goal of PAM is to reduce opportunities for malicious users to get access, while increasing your control and awareness of the environment.

PAM, saldırganların ağa sızmasını ve ayrıcalıklı hesap erişimi almasını zorlaştırır.PAM makes it harder for attackers to penetrate a network and obtain privileged account access. PAM, etki alanına katılan bir dizi bilgisayarda ve söz konusu bilgisayarlardaki uygulamalarda erişimi denetleyen ayrıcalıklı gruplara koruma ekler.PAM adds protection to privileged groups that control access across a range of domain-joined computers and applications on those computers. Ayrıca, daha fazla izleme, daha fazla görünürlük ve daha ayrıntılı denetimler de ekler.It also adds more monitoring, more visibility, and more fine-grained controls. Bu, kuruluşların ayrıcalıklı yöneticilerinin kim olduğunu ve neler yaptığını görmesini sağlar.This allows organizations to see who their privileged administrators are and what are they doing. PAM kuruluşlara ortamda yönetim hesaplarının nasıl kullanıldığı konusunda daha fazla bilgi sağlar.PAM gives organizations more insight into how administrative accounts are used in the environment.

PAM ayarlamaSetting up PAM

PAM, tam yetecek kadar yönetim (JEA) ile ilgili olan tam zamanında yönetim ilkesi üzerine kurulur.PAM builds on the principle of just-in-time administration, which relates to just enough administration (JEA). JEA, ayrıcalıklı etkinlikleri gerçekleştirmek için bir dizi komut tanımlayan bir Windows PowerShell araç setidir.JEA is a Windows PowerShell toolkit that defines a set of commands for performing privileged activities. Yöneticilerin komutları çalıştırmak için yetkilendirme gerçekleştirebilecekleri bir uç noktasıdır.It is an endpoint where administrators can get authorization to run commands. JEA içinde, belirli bir ayrıcalığa sahip olan kullanıcıların belirli bir görevi gerçekleştirebileceğine yönetici karar verir.In JEA, an administrator decides that users with a certain privilege can perform a certain task. Uygun bir kullanıcının bu görevi her gerçekleştirmesi gerektiğinde, bu izin etkinleştirilir.Every time an eligible user needs to perform that task, they enable that permission. Belirli bir zaman sonra izinlerin süresi dolar; böylelikle kötü niyetli bir kullanıcı erişimi çalamaz.The permissions expire after a specified time period, so that a malicious user can't steal the access.

PAM kurulumu ve çalıştırılması dört adımdan oluşur.PAM setup and operation has four steps.

PAM adımları: hazırlama, koruma, çalıştırma, izleme - diyagram

  1. Hazırlama: Mevcut ormanınızdaki hangi grupların önemli ayrıcalıklara sahip olduğunu belirleyin.Prepare: Identify which groups in your existing forest have significant privileges. Savunma ormanında üyeleri olmadan bu grupları yeniden oluşturun.Recreate these groups without members in the bastion forest.
  2. Koruma: Kullanıcıların tam zamanında yönetim isteğinde bulundukları zamanlar için, yaşam döngüsü ve kimlik doğrulama koruması (Multi-Factor Authentication (MFA) gibi) ayarlayın.Protect: Set up lifecycle and authentication protection, such as Multi-Factor Authentication (MFA), for when users request just-in-time administration. MFA, kötü amaçlı yazılımlardan gelen veya kimlik bilgileri hırsızlığını takip eden programlama saldırılarını önlemeye yardımcı olur.MFA helps prevent programmatic attacks from malicious software or following credential theft.
  3. Çalıştırma: Kimlik doğrulama gereksinimleri karşılandıktan ve bir istek onaylandıktan sonra, savunma ormanındaki ayrıcalıklı gruba bir kullanıcı hesabı geçici olarak eklenir.Operate: After authentication requirements are met and a request is approved, a user account gets added temporarily to a privileged group in the bastion forest. Önceden ayarlanmış bir süre boyunca, yönetici bu gruba atanmış olan tüm ayrıcalıklara ve erişim izinlerine sahip olur.For a pre-set amount of time, the administrator has all privileges and access permissions that are assigned to that group. Söz konusu süre bitince, hesap gruptan kaldırılır.After that time, the account is removed from the group.
  4. İzleme: PAM ayrıcalıklı erişim isteklerine denetim, uyarılar ve raporlar ekler.Monitor: PAM adds auditing, alerts, and reports of privileged access requests. Ayrıcalıklı erişimin geçmişini gözden geçirebilir ve etkinliği kimin gerçekleştirdiğini görebilirsiniz.You can review the history of privileged access, and see who performed an activity. Etkinliğin geçerli olup olmadığına karar verebilir ve doğrudan özgün ormandaki ayrıcalıklı bir gruba kullanıcı ekleme girişimi gibi yetkisiz etkinlikleri kolayca tanımlayabilirsiniz.You can decide whether the activity is valid or not and easily identify unauthorized activity, such as an attempt to add a user directly to a privileged group in the original forest. Bu adım yalnızca kötü amaçlı yazılımları tanımlamak için değil, “şirket içinden” saldırganları izlemek için de önemlidir.This step is important not only to identify malicious software but also for tracking "inside" attackers.

PAM nasıl çalışır?How does PAM work?

PAM, AD DS’deki yeni özelliklere (özellikle de etki alanı hesabı kimlik doğrulaması ve yetkilendirmesiyle ilgili olanlara) ve Microsoft Identity Manager’daki yeni özelliklere dayanır.PAM is based on new capabilities in AD DS, particularly for domain account authentication and authorization, and new capabilities in Microsoft Identity Manager. PAM, ayrıcalıklı hesapları mevcut Active Directory ortamından ayırır.PAM separates privileged accounts from an existing Active Directory environment. Ayrıcalıklı bir hesabın kullanılması gerektiğinde, önce istekte bulunulması ve ardından onaylanması gerekir.When a privileged account needs to be used, it first needs to be requested, and then approved. Onay sonrasında, kullanıcı veya uygulamanın geçerli ormanı yerine yeni bir savunma ormanındaki yabancı sorumlu grubu üzerinden ayrıcalıklı hesaba izin verilir.After approval, the privileged account is given permission via a foreign principal group in a new bastion forest rather than in the current forest of the user or application. Savunma ormanının kullanılması kuruluşa daha fazla denetim sağlar; örneğin, kullanıcının ne zaman ayrıcalıklı bir gruba üye olabileceği ve kullanıcının kimliğini nasıl doğrulaması gerektiği denetlenebilir.The use of a bastion forest gives the organization greater control, such as when a user can be a member of a privileged group, and how the user needs to authenticate.

Active Directory, MIM Hizmeti ve bu çözümün diğer bölümleri, bir yüksek kullanılabilirlik yapılandırmasında dağıtılabilir.Active Directory, the MIM Service, and other portions of this solution can also be deployed in a high availability configuration.

Aşağıdaki örnek, PIM’in nasıl çalıştığını daha ayrıntılı olarak gösterir.The following example shows how PIM works in more detail.

PIM işlemi ve katılımcıları - diyagram

Savunma ormanı zaman sınırlaması olan grup üyelikleri verir ve bunlar da zaman sınırlaması olan anahtar verme anahtarları (TGT) oluşturur.The bastion forest issues time-limited group memberships, which in turn produce time-limited ticket-granting tickets (TGTs). Kerberos tabanlı uygulamalar veya hizmetler, savunma ormanına güvenen etki alanlarında yer alıyorlarsa, bu TGT’lere uyabilir ve bunları zorunlu tutabilir.Kerberos-based applications or services can honor and enforce these TGTs, if the apps and services exist in forests that trust the bastion forest.

Gündelik kullanıcı hesaplarının yeni ormana taşınması gerekmez.Day-to-day user accounts do not need to move to a new forest. Aynı durum bilgisayarlar, uygulamalar ve onların grupları için de geçerlidir.The same is true with the computers, applications, and their groups. Bunlar, bugün bulundukları mevcut ormanda kalırlar.They stay where they are today in an existing forest. Bugün bu siber güvenlik sorunlarıyla ilgilenen ancak sunucu altyapısını Windows Server’ın bir sonraki sürümüne hemen yükseltmeyi planlamayan bir kuruluş örneğini düşünün.Consider the example of an organization that is concerned with these cybersecurity issues today, but has no immediate plans to upgrade the server infrastructure to the next version of Windows Server. Bu kuruluş, yine de MIM ve yeni savunma ormanını kullanarak bu birleşik çözümden yararlanabilir ve mevcut kaynaklarına erişimi daha iyi denetleyebilir.That organization can still take advantage of this combined solution by using MIM and a new bastion forest, and can better control access to existing resources.

PAM aşağıdaki avantajları sağlar:PAM offers the following advantages:

  • Yalıtım/ayrıcalıkların kapsamını belirleme: Kullanıcılar aynı zamanda e-postayı denetlemek veya İnternet’e göz atmak gibi ayrıcalıklı olmayan görevleri de yerine getirmek için kullanılan hesaplarda ayrıcalıkları korumaz.Isolation/scoping of privileges: Users do not hold privileges on accounts that are also used for non-privileged tasks like checking email or browsing the Internet. Kullanıcıların ayrıcalıkları istemesi gerekir.Users need to request privileges. İstekler, PAM yöneticisi tarafından tanımlanan MIM ilkeleri temelinde onaylanır veya reddedilir.Requests are approved or denied based on MIM policies defined by a PAM administrator. İstek onaylanana kadar, ayrıcalıklı erişim kullanılamaz.Until a request is approved, privileged access is not available.

  • Üst düzey sürüme yükseltme ve güçlü kimlik doğrulama: Bunlar, ayrı yönetim hesaplarının yaşam döngüsünü yönetmeye yardımcı olan yeni kimlik doğrulama ve yetkilendirme görevleridir.Step-up and proof-up: These are new authentication and authorization challenges to help manage the lifecycle of separate administrative accounts. Kullanıcı bir yönetim hesabının yükseltilmesini isteyebilir ve bu istek MIM iş akışları yoluyla ilerler.The user can request the elevation of an administrative account and that request goes through MIM workflows.

  • Ek günlük: Yerleşik MIM iş akışlarının yanı sıra, PAM için isteği, nasıl yetkilendirildiğini ve onay sonrası gerçekleşen olayları tanımlayan bir günlük daha vardır.Additional logging: Along with the built-in MIM workflows, there is additional logging for PAM that identifies the request, how it was authorized, and any events that occur after approval.

  • Özelleştirilebilir iş akışı: MIM iş akışları farklı senaryolar için yapılandırılabilir ve istekte bulunan kullanıcının ve istenen rollerin parametreleri temelinde birden çok iş akışı kullanılabilir.Customizable workflow: The MIM workflows can be configured for different scenarios, and multiple workflows can be used, based on the parameters of the requesting user or requested roles.

Kullanıcılar ayrıcalıklı erişimi nasıl ister?How do users request privileged access?

Kullanıcı çeşitli yollarla istek gönderebilir:There are a number of ways in which a user can submit a request, including:

  • MIM Hizmetleri Web Hizmetleri API’siThe MIM Services Web Services API
  • REST uç noktasıA REST endpoint
  • Windows PowerShell (New-PAMRequest)Windows PowerShell (New-PAMRequest)

Privileged Access Management cmdlet'leri hakkında ayrıntılı bilgi edinin.Get details about the Privileged Access Management cmdlets.

Hangi iş akışları ve izleme seçenekleri kullanılabilir?What workflows and monitoring options are available?

Örneğin, bir kullanıcının PIM kurulumundan önce bir yönetim grubuna üye olduğunu varsayalım.As an example, let’s say a user was a member of an administrative group before PIM is set up. PIM kurulumu kapsamında, kullanıcı yönetim grubundan kaldırılır ve MIM’de bir ilke oluşturulur.As part of PIM setup, the user is removed from the administrative group, and a policy is created in MIM. İlke, bu kullanıcı yönetim ayrıcalıkları istiyorsa ve MFA tarafından kimliği doğrulanmışsa, isteğin onaylanacağını ve savunma ormanındaki ayrıcalıklı gruba kullanıcı için ayrı bir hesap ekleneceğini belirtir.The policy specifies that if that user requests administrative privileges and is authenticated by MFA, the request is approved and a separate account for the user will be added to the privileged group in the bastion forest.

İsteğin onaylandığını varsayarsak, Eylem iş akışı kullanıcıyı bir gruba yerleştirmek için doğrudan savunma ormanı Active Directory’siyle iletişim kurar.Assuming the request is approved, the Action workflow communicates directly with bastion forest Active Directory to put a user in a group. Örneğin Jen İK veritabanını yönetmek isterse, birkaç saniye içinde savunma ormanındaki ayrıcalıklı gruba Jen için yönetim hesabı eklenir.For example, when Jen requests to administer the HR database, the administrative account for Jen is added to the privileged group in the bastion forest within seconds. Belirli bir zaman sınırına ulaşıldığında, Jen’in bu gruptaki yönetim hesabı üyeliğinin süresi dolar.Her administrative account’s membership in that group will expire after a time limit. Windows Server Technical Preview ile, bu üyelik Active Directory’de bir zaman sınırıyla ilişkilendirilir; Windows Server 2012 R2 ile, savunma ormanında bu zaman sınırı MIM tarafından zorunlu tutulur.With Windows Server Technical Preview, that membership is associated in Active Directory with a time limit; with Windows Server 2012 R2 in the bastion forest, that time limit is enforced by MIM.

Not

Gruba yeni üye eklediğinizde, değişikliğin savunma ormanındaki diğer etki alanı denetleyicilerine (DC) çoğaltılması gerekir.When you add a new member to a group, the change needs to replicate to other domain controllers (DCs) in the bastion forest. Çoğaltma gecikmesi, kullanıcıların kaynaklara erişme olanağını etkileyebilir.Replication latency can impact the ability for users to access resources. Çoğaltma gecikmesi hakkında daha fazla bilgi için bkz. Active Directory Çoğaltma Topolojisi Nasıl Çalışır.For more information about replication latency, see How Active Directory Replication Topology Works.

Buna karşılık, süresi dolmuş bir bağlantı Güvenlik Hesapları Yöneticisi (SAM) tarafından gerçek zamanlı olarak değerlendirilir.In contrast, an expired link is evaluated in real time by the Security Accounts Manager (SAM). Grup üyesi eklemesinin, erişim isteğini alan DC tarafından çoğaltılması gerekse de, grup üyesini kaldırma işlemi herhangi bir DC’de anında değerlendirilir.Even though the addition of a group member needs to be replicated by the DC that receives the access request, the removal of a group member is evaluated instantaneously on any DC.

Bu iş akışı, özel olarak bu yönetim hesaplarına yöneliktir.This workflow is specifically intended for these administrative accounts. Ayrıcalıklı gruplar için yalnızca arada sırada erişim ihtiyacı olan yöneticiler (hatta betikler bile), tam olarak bu erişim için istekte bulunabilir.Administrators (or even scripts) who need only occasional access for privileged groups, can precisely request that access. MIM, isteği ve Active Directory’deki değişiklikleri günlüğe alır ve bunları Olay Görüntüleyici’de görebilirsiniz ya da verileri System Center 2012 - Operations Manager Denetim Toplama Hizmetleri’ne (ACS) veya diğer üçüncü taraf araçlara gönderebilirsiniz.MIM logs the request and the changes in Active Directory, and you can view them in Event Viewer or send the data to enterprise monitoring solutions such as System Center 2012 - Operations Manager Audit Collection Services (ACS), or other third-party tools.

Sonraki adımlarNext steps