定義 Privileged Access Management 的角色
使用 Privileged Access Management,您可以在需要 Just-In-Time 存取時,將使用者指派給他們可以啟用的特殊權限角色。 這些角色為手動定義,並於防禦環境中建立。 本文會逐步引導您完成下列程序:決定哪些角色要透過 PAM 管理,以及如何以適當的權限和限制定義它們。
重要
本文中的模型僅適用于使用 MIM PAM 的隔離 Active Directory 環境。 若為混合式環境,請改為參閱 企業存取模型中的指引。
定義 Privileged Access Management 角色最直接的方法是將所有資訊編譯在試算表中。 列出角色中的角色,使用資料行識別控管需求及權限。
控管需求隨現有的身分識別和存取原則或合規性需求而有所不同。 識別每個角色的參數可能包括:
- 角色的擁有者。
- 可能具備該角色的候選使用者
- 應該與角色使用相關聯的驗證、核准或通知控制項。
角色權限視受管理的應用程式而定。 本文使用 Active Directory 作為範例應用程式,將權限分成兩個類別:
自己管理 Active Directory 服務所需的權限 (例如,設定複寫拓撲)
管理 Active Directory 中保留的資料所需的權限 (例如,建立使用者和群組)
識別角色
先從識別可能使用 PAM 管理的所有角色開始。 在試算表中,每個潛在的角色都有自己的資料列。
若要尋找適當的角色,請考慮管理範圍中的每個應用程式︰
- 是第 0 層、第 1 層或第 2 層的應用程式嗎?
- 影響應用程式機密性、完整性或可用性的特殊權限為何?
- 應用程式是否相依於其他的系統元件? 例如,它是否相依于資料庫、網路、安全性基礎結構、虛擬化或裝載平臺?
決定如何分組這些應用程式考量。 您希望角色有清楚的界限,只提供足以在應用程式內完成一般系統管理工作的權限。
您一定要為最基本的權限指派設計角色。 這可以根據使用者的目前 (或計劃) 組織責任,而且包括使用者的責任所需的權限。 它也可能包括可簡化作業,但不會產生風險的權限。
界定權限以包含角色的其他考量如下:
多少個人正在使用特定的角色? 如果沒有至少 2 個人,則可能定義太窄未能發揮作用,或您已定義特定人員的責任。
一個人需具備多少角色? 使用者能夠選取適合其工作的角色?
使用者族群以及他們與應用程式的互動方式是否與權限存取管理相容?
是否可能隔離系統管理和稽核,讓具備系統管理角色的使用者無法清除其動作的稽核記錄?
建立角色控管需求
當您識別候選角色時,請開始填寫試算表。 針對組織相關需求建立資料行。 要考慮的某些需求包括︰
誰是負責進一步定義角色、選擇權限,以及維護角色控管設定的角色擁有者?
將會執行角色責任或工作的角色持有者 (使用者) 是誰?
何種存取方法 (在下一節中討論) 適合於角色持有者?
當使用者啟用其角色時,是否需要由角色擁有者手動核准?
當使用者啟用其角色時,是否需要通知?
是否應使用此角色在 SIEM 系統中產生警示或通知,以供追蹤?
是否必須限制啟用角色的使用者只能夠登入需有存取權才能執行角色責任的電腦,以及有足夠的主機驗證才能保護權限/認證以免遭不當使用的電腦?
是否需要提供專用的系統管理工作站給角色持有者?
哪些應用程式權限 (請參閱以下的 AD 清單) 與此角色相關聯?
選取存取方法
特殊權限存取管理系統中可能會有多個角色被指派相同的權限。 如果不同的使用者社群有不同的存取控管需求,就會發生這種情況。 例如,組織可以為其全職員工套用不同於其他組織外包 IT 員工的原則。
在某些情況下,使用者可能會永久指派給某一個角色。 在此情況下,這些使用者便不需要要求或啟動角色指派。 永久指派案例的範例包括:
現有樹系中受管理的服務帳戶
現有樹系中的使用者帳戶,且具有在 PAM 之外管理的認證。 這有可能是「急用」帳戶。 急用帳戶需要如「網域 / DC 維護」角色,才能修正信任和 DC 健全狀況之類的問題。 作為「中斷玻璃」帳戶,會以實體安全的密碼永久指派角色)
系統管理樹系中使用密碼驗證的使用者帳戶。 這可能是需要永久全天候系統管理權限的使用者,而且這些使用者可能會從不支援強式驗證的裝置登入。
系統管理樹系中的使用者帳戶,其具有智慧卡或虛擬智慧卡 (例如,具有極少數維護工作所需之離線智慧卡的帳戶)
委派 Active Directory 權限
建立新網域時,Windows Server 會自動建立預設群組,例如 "Domain Admins"。 這些群組會簡化開始使用,而且適合小型組織。 較大的組織或需要進一步隔離系統管理權限的組織,應該清空那些群組,並以提供精確權限的群組取而代之。
Domain Admins 群組的一項限制是它不能有來自外部網域的成員。 另一項限制是它會授與三種不同功能的權限︰
- 自行管理 Active Directory 服務
- 管理保留在 Active Directory 中的資料
- 允許遠端登入加入網域的電腦。
建立僅提供必要權限的新安全性群組,以取代類似 Domain Admins 這類的預設群組。 然後,您應該使用 MIM 來動態提供具有這些群組成員資格的系統管理員帳戶。
服務管理許可權
下表提供與要納入角色以供管理 AD 相關的權限範例。
角色 | 描述 |
---|---|
網域/DC 維護 | Domain\Administrators 群組的成員資格,能夠針對網域控制站作業系統進行疑難排解及變更。 例如,在樹系中將新的網域控制站升級至現有網域,以及 AD 角色委派等作業。 |
管理虛擬 DC | 使用虛擬化管理軟體來管理網域控制站 (DC) 虛擬機器 (VM)。 透過管理工具中所有虛擬機器的完整控制或角色型存取控制 (RBAC) 功能,可以授與此特殊權限。 |
擴充結構描述 | 管理結構描述,包括新增新物件定義、變更結構描述物件的權限,以及變更物件類型的結構描述預設權限。 |
備份 Active Directory 資料庫 | 製作整個 Active Directory 資料庫的備份複本,包括所有交託給 DC 和網域的機密資料。 |
管理信任和功能等級 | 建立和刪除外部網域和樹系信任關係。 |
管理網站、子網路和複寫 | 管理 Active Directory 複寫拓撲物件 (包括修改網站、子網路和網站連結物件),以及起始複寫作業。 |
管理 GPO | 建立、刪除和修改整個網域的群組原則物件 |
管理區域 | 在 Active Directory 中建立、刪除及修改 DNS 區域和物件 |
修改第 0 層 OU | 在 Active Directory 中修改第 0 層 OU 和內含物件 |
資料管理權限
針對管理或使用 AD 中資料的角色,下表提供這些角色應包含權限的範例。
角色 | 描述 |
---|---|
修改第 1 層管理 OU | 修改 Active Directory 中包含第 1 層系統管理物件的 OU |
修改第 2 層管理 OU | 修改 Active Directory 中包含第 2 層系統管理物件的 OU |
帳戶管理:建立/刪除/移動 | 修改標準使用者帳戶 |
帳戶管理:重設/解除鎖定 | 重設密碼和解除鎖定帳戶 |
安全性群組:建立/修改 | 在 Active Directory 中建立和修改安全性群組 |
安全性群組:刪除 | 在 Active Directory 中刪除安全性群組 |
GPO 管理 | 管理網域/樹系中不會影響第 0 層伺服器的所有 GPO |
加入電腦/本機系統管理員 | 所有工作站的本機系統管理權限 |
加入伺服器/本機系統管理員 | 所有伺服器的本機系統管理權限 |
範例角色定義
角色定義的選擇取決於所管理的伺服器層。 另外也視受管理的應用程式而定。 應用程式 (像是 Exchange) 或協力廠商企業產品 (例如 SAP) 通常會自備額外的角色定義,以便進行委派的系統管理。
下列各節提供典型企業案例的範例。
第 0 層 - 系統管理樹系
適用於防禦環境帳戶的角色可能包括:
- 系統管理樹系的緊急存取權
- "Red Card" 管理員:身為系統管理樹系之系統管理員的使用者
- 身為生產樹系之系統管理員的使用者
- 被委派生產樹系中應用程式的有限系統管理權限的使用者
第 0 層 - 企業生產樹系
適用於管理第 0 層生產樹系帳戶和資源的角色包括:
- 生產樹系的緊急存取權
- 群組原則管理員
- SMS 管理員
- PKI 管理員
- AD 拓撲和複寫管理員
- 第 0 層伺服器的虛擬化管理員
- 儲存體管理員
- 第 0 層伺服器的反惡意程式碼管理員
- 第 0 層 SCCM 的 SCCM 管理員
- 第0層的 System Center Operations Manager 系統管理員 Operations Manager
- 第 0 層的備份管理員
- 已連接到第 0 層主機之頻外和基礎板管理控制器的使用者 (適用於 KVM 或熄燈管理)
第 1 層
可供管理和備份第 1 層伺服器的角色包括:
- 伺服器維護
- 第 1 層伺服器的虛擬化管理員
- 安全性掃描程式帳戶
- 第 1 層伺服器的反惡意程式碼管理員
- 第 1 層 SCCM 的 SCCM 管理員
- 第1層的 System Center Operations Manager 系統管理員 Operations Manager
- 第 1 層伺服器的備份管理員
- 已連接到第 1 層主機之頻外和基礎板管理控制器的使用者 (適用於 KVM 或熄燈管理)
此外,可供管理第 1 層企業應用程式的角色包括:
- AGPM 管理員
- Exchange 管理員
- 商務用 Skype 管理員
- SharePoint 伺服器陣列管理員
- 雲端服務 (例如公司網站或公用 DNS) 的管理員
- HCM、財務或法務系統的管理員
第 2 層
適用於非系統管理使用者和電腦管理的角色包括:
- 帳戶管理員
- 技術支援
- 安全性群組管理員
- 工作站技術支援