管理

  • 项目

管理是指监控、维护和操作信息技术 (IT) 系统,以满足业务所需服务级别的做法。 此部分介绍了几个影响最大的安全风险,原因在于执行这些任务需要对大量相关系统和应用程序具有特权访问权限。 攻击者知道,借助管理权限获取帐户的访问权限后,他们便可访问其所需的大部分或全部数据,这使安全管理成为最关键的安全领域之一。

例如,Microsoft 对云系统和 IT 系统管理员的保护和培训进行了大量投资:

A screenshot of a cell phone Description automatically generated

Microsoft 在管理权限方面推荐的核心策略是借助可用控制措施降低风险

减少风险暴露(范围和时间)- 最低权限原则最好通过按需提供权限的新式控制措施实现。 这样做有助于通过以下方式限制管理权限:

  • 范围 - Just Enough Access (JEA) 只为所需管理操作提供必要权限(与同时拥有多个或所有系统的直接和间接权限(这几乎没有必要)相比)。

  • 时间 - Just in Time (JIT) 方法可提供用户需要的权限。

  • 缓解剩余风险 - 结合使用预防控制和侦探控制来降低风险,如将管理员帐户与最常见的风险(网络钓鱼和常规 Web 浏览)隔离、精简并优化工作流、不断提高身份验证决策保障,以及识别正常基线行为中可以阻止或调查的异常情况。

Microsoft 已获得并记录了用于保护管理帐户的最佳做法,并发布了用于保护特权访问的重点工作路线图,这些内容可在确定具有特权访问权限的帐户的缓解措施优先级时用作参考。

最大程度减少严重影响管理员数量

向最少数量的帐户授予可能产生严重业务影响的权限

每个管理员帐户代表攻击者可能攻击的一个潜在攻击面,因此,将具有该权限的帐户数量降到最低有助于限制组织面临的整体风险。 经验告诉我们,若不主动限制并管理,这些权限组的成员资格会随人员角色的改变而自然提升。

建议采取一种方法来降低这种攻击面风险,同时在某个管理员遇到攻击时确保业务连续性:

  • 至少向权限组分配两个帐户,以确保业务连续性

  • 如需两个或更多帐户,请提供每个成员的入选理由(包括最初两位成员)

  • 定期评审每位组员的成员资格和入选理由

管理员的托管帐户

确保通过企业目录管理所有严重影响管理员,以遵循组织政策强制执行方案。

Microsoft 帐户(如 @Hotmail.com、@live.com、@outlook.com)等使用者帐户不会提供足够的安全可见性和控制性,无法确保遵循组织政策和任何法规要求。 由于 Azure 部署通常始于小规模的非正式部署,之后扩展为企业托管租户,因此,某些使用者帐户在很长时间后仍然是管理帐户,例如最初的 Azure 项目经理,这样一来便产生盲点并带来潜在风险。

管理员的单独帐户

确保所有严重影响管理员拥有单独的管理任务(与他们用于发送电子邮件、浏览网络和执行其他生产力任务的帐户相比)帐户。

网络钓鱼和 Web 浏览器攻击是最常见的攻击途径,会危害包括管理帐户在内的帐户。

为拥有需要关键权限的角色的所有用户创建单独的管理帐户。 对于这些管理帐户,拦截 Office 365 电子邮件等生产力工具(删除许可证)。 如果可以,请拦截任意 Web 浏览操作(借助代理和/或应用程序控件),同时允许浏览 Azure 门户和管理任务所需的其他站点的例外情况。

无现有访问权限/Just in Time 权限

避免为各个关键影响帐户提供永久性“持续”访问权限

永久权限可以延长攻击者使用帐户进行破坏的时间,进而提高业务风险。 而临时特权迫使攻击者锁定某个帐户,在管理员已经使用该帐户的有限时间内工作或发起特权升级(这样做会增加攻击者在环境中被检测到并被删除的几率)。

仅在需要使用以下任意一种方法时授予必要权限:

  • Just in Time - 启用 Microsoft Entra Privileged Identity Management (PIM) 或第三方解决方案,以要求遵守审批工作流,进而获取严重影响帐户权限

  • Break Glass - 对于很少使用的帐户而言,请遵循紧急访问流程来获取帐户的访问权限。 对于几乎无需常规操作的权限(如全局管理员帐户成员),优先选用这种方法。

紧急访问权限或“Break Glass”帐户

确保制定了可在发生紧急情况时获取管理权限的机制

虽然极少发生紧急情况,但有时仍会出现极端情况,而此时,所有常规管理访问权限均无法使用。

建议遵循在 Microsoft Entra ID 中管理紧急访问管理帐户中的说明,并确保安全运营中心会仔细监视这些帐户。

管理员工作站安全

确保严重影响管理员可以使用安全保护和监视性能更高的工作站

使用浏览操作和电子邮件(如网络钓鱼)的攻击途径不仅成本低廉,而且屡见不鲜。 将严重影响管理员与此类风险隔离开来,将会显著降低发生严重事件(在此类严重事件中,某个严重影响管理员帐户会在遭到入侵后被用来极大损坏你的业务或任务)的风险。

根据 https://aka.ms/securedworkstation 中提供的选项选择管理员工作站安全级别

  • 高度安全的生产力设备(安全性能提升的工作站或专用工作站)
    你可以通过向用户提供仍然允许其执行常规浏览和生产力任务、但安全性更高的工作站,让严重影响管理员开启安全旅程。 以此作为临时步骤有助于严重影响管理员和支持这些用户及其工作站的 IT 人员轻松过渡到完全隔离的工作站。

  • 特权访问工作站(专用工作站或受保护的工作站)
    这些配置代表严重影响管理员的理想安全状态,因为他们可以在很大程度上限制网络钓鱼、浏览器和生产力应用程序攻击途径的访问权限。 这些工作站不支持常规 Internet 浏览,只允许通过浏览器访问 Azure 门户和其他管理站点。

严重影响管理员依赖项 - 帐户/工作站

为严重影响帐户及其工作站认真选择本地安全依赖项

为了控制重大事件本地溢出成为主要云资产危害的风险,你必须消除或尽量减少本地资源对云中帐户产生重大影响的控制手段。 例如,危害本地 Active Directory 的攻击者可以访问并破坏依赖此类帐户的基于云的资产,如 Azure、Amazon Web Services (AWS)、ServiceNow 等中的资源。 攻击者还可以使用已加入到本地域的工作站,来获取通过这些工作站管理的帐户和服务的访问权限。

选择与本地控制手段(亦称严重影响帐户的安全依赖项)的隔离级别

  • 用户帐户 - 选择严重影响帐户的托管位置

    • 本机 Microsoft Entra 帐户 -*创建未与本地 Active Directory 同步的本机 Microsoft Entra 帐户

    • 从本地 Active Directory 执行同步(不建议使用)- 利用本地 Active Directory 中托管的现有帐户。

  • 工作站 - 选择如何管理和保护严重管理员帐户使用的工作站:

    • 本机云管理和安全性 (建议) - 将工作站加入 Microsoft Entra ID,并使用 Intune 或其他云服务对其进行管理/修补。 使用 Windows Microsoft Defender ATP 或其他不是通过基于本地的帐户管理的云服务进行保护和监视。

    • 使用现有系统进行管理 - 加入现有 AD 域并利用现有管理/安全体系。

面向管理员的无密码或多重身份验证

要求所有严重影响管理员使用无密码身份验证或多重身份验证 (MFA)。

攻击方法现已演变为仅密码无法可靠地保护帐户。 这一点在 Microsoft Ignite 会议中进行了详细说明。

管理帐户和所有关键帐户均应使用以下身份验证方法之一。 以下功能按照最高攻击成本/难度(最强/首选选项)至最低攻击成本/难度的优先顺序排列:

  • 无密码(例如 Windows Hello)
    https://aka.ms/HelloForBusiness

  • 无密码(Authenticator 应用程序)
    </azure/active-directory/authentication/howto-authentication-phone-sign-in>

  • 多重身份验证
    </azure/active-directory/authentication/howto-mfa-userstates>

请注意,基于短信的 MFA 对于攻击者而言只需十分低廉的价格便可绕过,因此我们建议你避免依赖这种方法。 但此方法的安全程度仍然高于仅使用密码,但远低于其他 MFA 方法

强制实施管理员条件访问 - 零信任

所有管理员和其他严重影响帐户的身份验证均应包括关键安全属性度量和强制执行,以便支持零信任策略。

危害 Azure 管理员帐户的攻击者可能会造成重大损害。 而条件访问可以通过在允许访问 Azure 管理之前强制执行安全措施,从而显著降低风险。

配置可以满足组织的风险胃纳和运营需求的 Azure 管理条件访问策略

  • 要求进行多重身份验证和/或从指定的工作网络连接

  • 要求设备与 Microsoft DEFENDER ATP 集成(有力保障)

避免具体和自定义权限

避免专门引用个别资源或用户的权限

由于特定权限不会带着相同意图使用相似的新资源,因此会造成不必要的复杂性和混乱。 然后,这些权限会累积到难以维护或更改的复杂旧式配置,但不会对安全和解决方案灵活性产生负面影响。

请勿分配特定于资源的具体权限,而是使用以下任一方法

  • 企业范围权限的管理组

  • 订阅中的权限资源组

请勿向特定用户授予权限,而是将访问权限分配给 Microsoft Entra ID 中的组。 如果没有合适的组,请与标识团队共同创建一个组。 如此一来,你便可以在 Azure 以外添加和删除组成员,并且可以确保权限是最新的,同时还允许将该组用于邮件列表等其他目的。

使用内置角色

如果可以,请使用内置角色分配权限。

自定义会带来复杂性,从而增加混乱,并使自动化更复杂、更具挑战性、更脆弱。 这些因素均可对安全性产生负面影响

建议你评估旨在驾驭最常见情境的内置角色自定义角色是一种功能强大且有时很有用的功能,但只能在内置角色不起作用时使用。

为严重影响帐户建立生命周期管理

确保制定了在管理人员离职(或离任管理职位)时禁用或删除管理帐户的流程

有关详细信息,请参阅使用访问评审管理用户和来宾的访问权限

严重影响帐户的攻击模拟

定期使用当前的攻击技巧模拟针对管理用户的攻击,以为管理用户提供培训和帮助。

人员是防御的关键环节,尤其是有权访问严重影响帐户的人员。 确保这些用户(理想情况下,所有用户)掌握了避免和抵御攻击的知识和技能,从而降低组织面临的整体风险。

你可以使用 Office 365 攻击模拟功能或任意数量的第三方产品/服务。

后续步骤

有关 Microsoft 的其他安全指导,请参阅 Microsoft 安全文档