Yönetici ayrıcalıklarını bölümlere ayırmak için katman modeliTier model for partitioning administrative privileges

Bu makalede, yüksek ayrıcalıklı etkinlikleri yüksek riskli bölgelerden ayrı tutarak ayrıcalık yükseltmesine karşı koruma sağlamayı hedefleyen bir güvenlik modeli açıklanır.This article describes a security model intended to protect against elevation of privilege by segregating high-privilege activities from high-risk zones. Bu model, en iyi yöntemlere ve güvenlik ilkelerine bağlı kaldığı gibi, iyi bir kullanıcı deneyimi de sağlar.This model provides a good user experience while still adhering to best practices and security principles.

Active Directory ormanlarında ayrıcalığı yükseltmeElevation of Privilege in Active Directory forests

Windows Server Active Directory (AD) ormanları üzerinde kalıcı yönetim ayrıcalıkları verilmiş olan kullanıcı, hizmet veya uygulama hesapları, kuruluşun misyonu ve işleri üzerinde ciddi bir risk oluşturur.Users, services, or applications accounts that are granted permanent administrative privileges to Windows Server Active Directory (AD) forests introduce a significant amount of risk to the organization’s mission and business. Bu hesaplar genellikle saldırganlar tarafından hedeflenir çünkü tehlikede olmaları durumunda saldırgan, etki alanındaki diğer sunuculara veya uygulamalara bağlanma haklarına sahiptir.These accounts are often targeted by attackers because if they are compromised, the attacker has rights to connect to other servers or applications in the domain.

Katman modeli, yönettikleri kaynaklar temelinde yöneticiler arasında ayrımlar oluşturur.The tier model creates divisions between administrators based on what resources they manage. Kullanıcı iş istasyonları üzerinde denetimi olan yöneticiler, uygulamaları denetleyen veya kurumsal kimlikleri yönetenlerden ayrılır.Admins with control over user workstations are separated from those that control applications, or manage enterprise identities. Ayrıcalıklı erişimin güvenliğini sağlama başvuru malzemesinde, bu model hakkında bilgi edinebilirsiniz.Learn about this model in the Securing privileged access reference material.

Oturum açma kısıtlamalarıyla kimlik bilgilerinin açıklanmasını sınırlandırmaRestricting credential exposure with logon restrictions

Yönetim hesaplarında kimlik bilgilerinin çalınma riskini azalmak için, normal olarak saldırganlara açıklanmasını sınırlandıracak şekilde yönetim uygulamalarını yeniden şekillendirmek gerekir.Reducing credential theft risk for administrative accounts typically requires reshaping administrative practices to limit exposure to attackers. İlk adım olarak, kuruluşlara şunları yapmaları önerilir:As a first step, organizations are advised to:

  • Yönetim kimlik bilgilerinin gösterildiği konakların sayısını sınırlandırma.Limit the number of hosts on which administrative credentials are exposed.
  • Rol ayrıcalıklarını gereken en alt düzeyde sınırlandırma.Limit role privileges to the minimum required.
  • Yönetim görevlerinin, standart kullanıcı etkinlikleri (örneğin, e-posta ve web’e göz atma) için kullanılan konaklarda gerçekleştirilmediğinden emin olma.Ensure administrative tasks are not performed on hosts used for standard user activities (for example, email and web browsing).

Sonraki adım, oturum açma kısıtlamalarını uygulamak ve katman modeli gereksinimlerine uyacak şekilde işlemleri ve uygulamaları etkinleştirmektir.The next step is to implement logon restrictions and enable processes and practices to adhere to the tier model requirements. İdeal olan, kimlik bilgilerinin gösterilmesinin de her katman içinde rol için gereken en düşük ayrıcalığa indirilmesidir.Ideally, credential exposure should also be reduced to the least privilege required for the role within each tier.

Üst düzeyde ayrıcalıklı hesapların daha düşük güvenlikli kaynaklara erişmediğinden emin olmak için, oturum açma kısıtlamaları zorunlu tutulmalıdır.Logon restrictions should be enforced to ensure that highly privileged accounts do not have access to less secure resources. Örneğin:For example:

  • Etki alanı yöneticileri (katman 0), kurumsal sunucularda (katman 1) ve standart kullanıcı iş istasyonlarında (katman 2) oturum açamaz.Domain admins (tier 0) cannot log on to enterprise servers (tier 1) and standard user workstations (tier 2).
  • Sunucu yöneticileri (katman 1), standart kullanıcı iş istasyonlarında (katman 2) oturum açamaz.Server administrators (tier 1) cannot log on to standard user workstations (tier 2).

Not

Sunucu yöneticileri, etki alanı yöneticisi grubuna üye olmamalıdır.Server administrators should not be in to the domain admin group. Hem etki alanı denetleyicilerini hem de kurumsal sunucuları yönetme sorumluluklarını üstlenen personele ayrı hesaplar verilmelidir.Personnel with responsibilities for managing both domain controllers and enterprise servers should be given separate accounts.

Oturum açma kısıtlamalarını zorunlu tutmak için şunlar kullanılabilir:Logon restrictions can be enforced with:

  • Grup İlkesi Oturum Açma Hakları Kısıtlamaları:Group Policy Logon Rights Restrictions, including:
    • Bu bilgisayara ağ üzerinden erişime izin vermeDeny access to this computer from the network
    • Toplu iş olarak oturum açmayı reddetDeny logon as a batch job
    • Hizmet olarak oturum açmayı reddetDeny logon as a service
    • Yerel olarak oturum açmayı reddetDeny logon locally
    • Uzak Masaüstü ayarlarını aracılığıyla oturum açmayı reddetDeny logon through Remote Desktop settings
  • Windows Server 2012 veya üstü kullanılıyorsa, kimlik doğrulama ilkeleri ve silolarıAuthentication policies and silos, if using Windows Server 2012 or later
  • Hesap belirlenmiş bir yönetim ormanındaysa, seçime bağlı kimlik doğrulamasıSelective authentication, if the account is in a dedicated admin forest

Sonraki adımlarNext steps

  • Sonraki makalede (Savunma ortamını planlama), yönetim hesaplarını oluşturmak üzere Microsoft Identity Manager için belirtilmiş bir yönetim ormanının nasıl eklendiği açıklanır.The next article, Planning a bastion environment, describes how to add a dedicated administrative forest for Microsoft Identity Manager to establish the administrative accounts.
  • Ayrıcalıklı erişim iş istasyonları , Internet saldırıları ve tehdit vektörlerinden korunan hassas görevler için adanmış bir işletim sistemi sağlar.Priviledged Access workstations provide a dedicated operating system for sensitive tasks that is protected from Internet attacks and threat vectors.