管理

管理是监视、维护和操作信息技术 (IT) 系统,以满足业务所需的服务级别的做法。 管理引入了一些影响最大的安全风险,因为执行这些任务需要对一组非常广泛的系统和应用程序进行特权访问。 攻击者知道,获取对具有管理权限的帐户的访问权限可以让他们访问他们要针对的大多数或全部数据,从而使管理安全成为最关键的安全领域之一。

例如,Microsoft 在保护和培训云系统和 IT 系统的管理员方面进行了大量投资:

A screenshot of a cell phone Description automatically generated

Microsoft 建议的管理权限核心策略是使用可用的控件来降低风险

降低风险风险 (范围和时间) - 最小特权原则最好通过按需提供特权的新式控件来实现。 这有助于通过以下方法限制管理权限的暴露来限制风险:

  • 范围 (JEA) 仅为所需的管理操作提供所需的权限 (,而一次对许多系统或所有系统拥有直接和即时权限,这几乎不需要) 。

  • 时间恰时 (JIT) 方法根据需要提供所需的特权。

  • 缓解剩余风险 - 结合使用预防和检测控制来降低风险,例如将管理员帐户与最常见的风险网络钓鱼和常规 Web 浏览隔离开来,简化和优化其工作流,增加身份验证决策的保证,以及从可阻止或调查的正常基线行为中识别异常。

Microsoft 已捕获并记录了保护管理帐户的最佳做法,并发布了保护特权访问的优先级路线图,这些路线图可用作优先处理具有特权访问权限的帐户的缓解措施的参考。

最大程度地减少关键影响管理员的数量

向可能具有关键业务影响的权限授予最少的帐户数

每个管理员帐户都表示攻击者可以针对的潜在攻击面,因此,最大程度地减少具有该权限的帐户数有助于限制整个组织风险。 经验告诉我们,这些特权组的成员身份会随着时间推移而自然增长,因为如果成员身份不受主动限制和管理,人们会更改角色。

建议采用一种方法来降低此攻击面风险,同时确保业务连续性,以防管理员发生某种情况:

  • 为业务连续性向特权组分配至少两个帐户

  • 当需要两个或多个帐户时,请为每个成员(包括原始两个)提供理由

  • 定期查看每个组成员的成员身份 & 理由

管理员的托管帐户

确保企业目录管理所有关键影响管理员,以遵循组织策略执行。

使用者帐户(如 @Hotmail.com、@live.com、@outlook.com)无法提供足够的安全可见性和控制,以确保组织的政策和任何法规要求都得到遵守。 由于 Azure 部署通常在成长为企业托管租户之前以小型和非正式方式启动,因此,一些使用者帐户在很久之后仍保留为管理帐户,例如原始 Azure 项目经理、创建盲点和潜在风险。

单独的管理员帐户

确保所有关键影响管理员都有一个单独的帐户,用于管理任务 (与用于电子邮件、Web 浏览和其他工作效率任务的帐户) 。

网络钓鱼和 Web 浏览器攻击是破坏帐户(包括管理帐户)的最常见攻击向量。

为具有需要关键权限的角色的所有用户创建单独的管理帐户。 对于这些管理帐户,请阻止工作效率工具,例如Office 365电子邮件 (删除许可证) 。 如果可能,请使用代理和/或应用程序控件阻止任意 Web 浏览 () ,同时允许在浏览到管理任务所需的Azure 门户和其他站点时出现异常。

无常设访问权限/恰时权限

避免为任何关键影响帐户提供永久的“站立”访问权限

永久特权通过增加攻击者使用帐户造成损害的时间来增加业务风险。 临时特权强制攻击者以帐户为目标,以在管理员已使用帐户的有限时间内工作,或启动特权提升 (这增加了被检测到并从环境中删除) 的可能性。

仅根据需要使用以下方法之一授予所需的权限:

  • 恰时 -启用 Azure AD Privileged Identity Management (PIM) 或第三方解决方案,要求遵循审批工作流来获取关键影响帐户的权限

  • 碎玻璃 – 对于很少使用的帐户,请按照紧急访问过程获取对帐户的访问权限。 对于不需要常规操作使用(例如全局管理员帐户的成员)的特权,这是首选。

紧急访问或“破玻璃”帐户

确保在发生紧急情况时,你有一个获取管理访问权限的机制

虽然这种情况很少见,但有时会出现极端情况,因为所有正常的管理访问方式都不可用。

建议遵循有关 在 Azure AD 中管理紧急访问管理帐户的 说明,并确保安全操作仔细监视这些帐户。

管理工作站安全性

确保关键影响管理员将工作站与提升的安全保护和监视配合使用

使用浏览和电子邮件(如网络钓鱼)的攻击向量价格便宜且很常见。 将关键影响管理员与这些风险隔离将显著降低发生重大事件的风险,其中其中一个帐户遭到入侵,并用于对业务或任务造成重大损害。

根据可用的选项选择管理员工作站安全级别 https://aka.ms/securedworkstation

  • 高度安全的工作效率设备 (增强的安全工作站或专用工作站)
    你可以为关键影响管理员提供更高的安全工作站来开始此安全旅程,该工作站仍允许执行常规浏览和工作效率任务。 使用此临时步骤有助于简化对关键影响管理员以及支持这些用户及其工作站的 IT 员工的完全隔离工作站的转换。

  • 特权访问工作站 (专用工作站或安全工作站)
    这些配置表示关键影响管理员的理想安全状态,因为它们严重限制了对网络钓鱼、浏览器和生产力应用程序攻击向量的访问。 这些工作站不允许常规 Internet 浏览,只允许浏览器访问Azure 门户和其他管理站点。

严重影响管理员依赖项 - 帐户/工作站

仔细选择关键影响帐户及其工作站的本地安全依赖项

若要控制本地重大事件溢出的风险,以成为云资产的重大入侵,必须消除或最大程度地减少本地资源对云中帐户产生严重影响的控制手段。 例如,入侵本地 Active Directory 的攻击者可以访问和入侵依赖于这些帐户(如 Azure、Amazon Web Services (AWS) 、ServiceNow 等)的基于云的资产。 攻击者还可以使用加入到本地域中的工作站来获取对其管理的帐户和服务的访问权限。

从本地控制手段(也称为关键影响帐户的安全依赖项)中选择隔离级别

  • 用户帐户 - 选择托管关键影响帐户的位置

    • 本机 Azure AD 帐户 -*创建未与本地 Active Directory 同步的本机 Azure AD 帐户

    • 从本地 Active Directory (不建议同步,请参阅云标识提供者中没有本地管理员帐户 - 利用本地 Active Directory 中托管的现有帐户。

  • 工作站 - 选择如何管理和保护关键管理员帐户使用的工作站:

    • 本机云管理&安全 (建议的) - 将工作站加入到 Azure AD & 管理/使用Intune或其他云服务对其进行修补。 使用 Windows Microsoft Defender ATP 或其他不由基于本地帐户管理的云服务进行保护和监视。

    • 使用现有系统进行管理 - 联接现有 AD 域 & 可利用现有管理/安全性。

这与 云标识提供者中没有本地管理员帐户 与管理部分中的云标识提供者指南相关,该指南可缓解从云资产转向本地资产的反向风险

管理员的无密码或多重身份验证

要求所有关键影响管理员使用无密码身份验证或多重身份验证 (MFA) 。

攻击方法已演变为仅密码无法可靠地保护帐户。 Microsoft Ignite 会话中对此进行了详细记录。

管理帐户和所有关键帐户应使用以下身份验证方法之一。 这些功能按最高成本/难度按最高成本/难度列出, (最强/首选选项) 到最低成本/难以攻击:

  • 无密码 (,例如Windows Hello)
    https://aka.ms/HelloForBusiness

  • 无密码 (验证器应用)
    </azure/active-directory/authentication/howto-authentication-phone-sign-in>

  • 多重身份验证
    </azure/active-directory/authentication/howto-mfa-userstates>

请注意,基于短信的 MFA 对于攻击者来说已经变得非常便宜,因此建议你避免依赖它。 此选项仍然比密码更强,但比其他 MFA 选项要弱得多

强制管理员的条件访问 - 零信任

所有管理员和其他关键影响帐户的身份验证应包括衡量和强制实施关键安全属性,以支持零信任策略。

攻击者破坏 Azure 管理员帐户可能会造成重大损害。 条件访问可以通过在允许访问 Azure 管理之前强制实施安全卫生来显著降低此风险。

为满足组织风险偏好和运营需求的 Azure 管理配置条件访问 策略。

  • 需要来自指定工作网络的多重身份验证和/或连接

  • 使用 Microsoft Defender ATP 要求设备完整性 (强保证)

避免粒度和自定义权限

避免指定引用单个资源或用户的权限

特定权限会造成不必要的复杂性和混淆,因为它们不会将意向带入新的类似资源。 然后,这会累积到难以维护或更改的复杂旧配置中,而不必担心“中断某些内容”——对安全性和解决方案敏捷性都产生负面影响。

使用任一权限,而不是分配特定于资源的权限

  • 企业范围权限的管理组

  • 订阅中权限的资源组

将访问权限分配给 Azure AD 中的组,而不是向特定用户授予权限。 如果没有适当的组,请与标识团队合作创建一个组。 这允许你在外部向 Azure 添加和删除组成员,并确保权限是最新的,同时还允许将该组用于其他目的,例如邮寄列表。

使用内置角色

尽可能使用内置角色分配权限。

自定义会导致复杂性增加混淆,使自动化更加复杂、更具挑战性和脆弱性。 这些因素都对安全性产生了负面影响

建议评估旨在涵盖大多数正常方案 的内置角色自定义角色 是一种强大且有时有用的功能,但在内置角色不起作用的情况下,应保留这些角色。

为关键影响帐户建立生命周期管理

确保在管理员人员离开组织 (或离开管理职位时禁用或删除管理帐户的过程)

有关更多详细信息,请参阅 通过访问评审来管理用户和来宾用户的访问权限

关键影响帐户的攻击模拟

使用当前的攻击技术定期模拟针对管理用户的攻击,以教育和增强其功能。

人员是你防御的关键部分,尤其是有权访问关键影响帐户的人员。 确保这些用户 (,理想情况下,所有用户) 都具备避免和抵御攻击的知识和技能,将降低整体组织风险。

可以使用Office 365攻击模拟功能或任意数量的第三方产品/服务。

后续步骤

有关 Microsoft 的其他安全指南,请参阅 Microsoft 安全文档