規劃防禦環境

將具有專用系統管理樹系的防禦環境新增至 Active Directory,可讓組織管理具有比現有生產環境更強之安全性控制的環境中的系統管理帳戶、工作站和群組。

注意

使用 MIM 所提供的防禦環境的 PAM 方法,是要用於隔離式環境的自訂架構,此環境中的網際網路存取無法使用、法規需要此設定,或是在具有高度影響的隔離環境中(例如離線研究實驗室和中斷連線的操作技術,或監督式控制和資料取得環境)。 如果您的 Active Directory 是連線到網際網路之環境的一部分,請參閱保護特殊許可權 存取 ,以取得有關從何處開始的詳細資訊。

此架構可讓您在單一樹系架構中無法或輕鬆地設定控制項。 此方法可讓您在系統管理樹系中,以非特殊權限的標準使用者身分 (其在生產環境中具有高度權限) 佈建帳戶,進而強制更高的技術性治理。 此架構也可使用信任的選擇性驗證功能,將登入 (和認證暴露) 限制為只有獲得授權的主機。 在生產樹系需要更高保證層級但不造成完全重建的成本與複雜度的情況下,系統管理樹系可以提供一個能提升生產環境保證層級的環境。

除了專用的系統管理樹系以外,還可使用其他技巧。 這些技巧包括限制系統管理認證公開的位置、限制該樹系中使用者的角色權限,以及確保不在標準使用者活動 (例如,電子郵件及網頁瀏覽) 所用的主機上執行系統管理工作。

最佳做法考量

專用系統管理樹系是用於 Active Directory 管理的標準單一網域 Active Directory 樹系。 使用系統管理樹系和網域的好處是,因為它們的限制使用案例,它們比生產環境樹系有更多的安全性措施。 再者,由於此樹系為個別獨立,不信任組織的現有樹系,所以當其他樹系受到安全性危害時,危害不會蔓延到此專用樹系。

系統管理樹系設計具有下列考量:

限定的範圍

系統管理樹系的價值在於提供高階安全性保證和減少受攻擊面。 此樹系可存放其他管理功能和應用程式,但每次加大範圍就會增加樹系與其資源的受攻擊面。 目標是限制樹系的功能,以將攻擊面縮減至最小。

根據磁碟分割系統管理權限的層模型,專用系統管理樹系中的帳戶應該位在單一層級,通常是第 0 層或第 1 層。 如果樹系位在第 1 層,請考慮將它限制在應用程式的特定範圍 (例如,財務應用程式) 或使用者社群 (例如,委外 IT 廠商)。

有限制的信任

生產環境的 CORP 樹系應該信任系統管理 PRIV 樹系,而不是反過來。 此信任可以是網域信任或樹系信任。 系統管理樹系網域不需要信任受管理的網域和樹系,即可管理 Active Directory,但是其他應用程式可能需要雙向信任關係、安全性驗證和測試。

選擇性驗證應用來確保系統管理樹系中的帳戶只能使用適當的生產主機。 若要在 Active Directory 中維護網域控制站和委派權限,通常需要將網域控制站的「允許登入」權限授予系統管理樹系中指定的第 0 層系統管理帳戶。 如需詳細資訊,請參閱設定選擇性驗證設定

維護邏輯隔離

為了確保防禦環境不受組織之 Active Directory 中現有或未來的安全性事件所影響,在為防禦環境準備系統時應使用下列指導方針:

  • Windows Server 不應該加入網域,或利用現有環境的軟體或設定散發。

  • 防禦環境必須包含自己的 Active Directory 網域服務,才能提供 Kerberos 及 LDAP、DNS 和時間服務給防禦環境。

  • MIM 不應使用現有環境中的 SQL 資料庫伺服器陣列。 SQL Server 應該部署在防禦環境的專用伺服器上。

  • 防禦環境需要 Microsoft Identity Manager 2016,尤其必須部署 MIM 服務和 PAM 元件。

  • 防禦環境的備份軟體和媒體必須與現有樹系中系統的備份軟體和媒體隔離,讓現有樹系中的系統管理員無法破壞防禦環境的備份。

  • 管理防禦環境伺服器的使用者必須從現有環境中的系統管理員無法存取的工作站登入,防禦環境的認證才不會外洩。

確保系統管理服務的可用性

由於應用程式系統管理工作會轉換至防禦環境,所以要考慮如何提供足夠的可用性來滿足這些應用程式的需求。 相關技巧包括:

  • 在防禦環境中的多部電腦上部署 Active Directory 網域服務。 至少需要兩部電腦才可確保持續不斷的驗證,即使有一部伺服器因為排程的維護而暫時重新啟動。 如需更高的負載,或管理位於多個地理區域的資源和系統管理員,則可能需要額外的電腦。

  • 針對緊急用途,在現有的樹系和專用系統管理員樹系中準備斷半透明帳戶。

  • 在防禦環境中的多部電腦上部署 SQL Server 和 MIM 服務。

  • 維護 AD 和 SQL 的備份複本以因應專用系統管理樹系中的使用者或角色定義的各項變更。

設定適當的 Active Directory 權限

應根據 Active Directory 系統管理的需求,將系統管理樹系設定為最小權限。

  • 系統管理樹系中用來管理生產環境的帳戶,不應獲得系統管理樹系、其中的網域或其中的工作站的系統管理權限。

  • 應藉由離線程序嚴格控制對於系統管理樹系本身的系統管理權限,以減少攻擊者或惡意內部人士清除稽核記錄檔的機會。 這也有助於確保具有生產系統管理帳戶的人員無法放鬆對於其帳戶的限制以及提高組織的風險。

  • 系統管理樹系應遵循網域的 Microsoft Security Compliance Manager (SCM) 設定,包括驗證通訊協定的強式設定。

建立防禦環境時,請在安裝 Microsoft Identity Manager 之前,識別並建立將在此環境中用於系統管理的帳戶。 這包括:

  • 急用帳戶 應只能夠登入防禦環境中的網域控制站。

  • 「紅牌」系統管理員 佈建其他帳戶和執行排程的維護。 這些帳戶無法存取防禦環境之外的現有樹系或系統。 認證(例如智慧卡)應該是實體安全的,而且應該記錄這些帳戶的使用。

  • Microsoft Identity Manager、SQL Server 及其他軟體需要的服務帳戶

強化主機

所有主機 (包括已加入系統管理樹系的網域控制站、伺服器和工作站) 應該安裝最新的作業系統及 Service Pack 並保持最新狀態。

  • 應該在工作站上預先安裝執行系統管理所需的應用程式,如此一來,使用這些應用程式的帳戶不需在本機 administrators 群組中即可安裝這些應用程式。 網域控制站維護通常透過 RDP 和遠端伺服器管理工具來執行。

  • 應利用安全性更新來自動更新系統管理樹系主機。 雖然這可能會產生中斷網域控制站維護作業的風險,但可大幅降低未修補弱點的安全性風險。

識別系統管理主機

應依照系統上執行的最高風險活動來測量系統或工作站的風險,例如瀏覽網際網路、傳送和接收電子郵件,或使用其他應用程式來處理未知或未受信任的內容。

系統管理主機包括下列電腦:

  • 實際用來輸入系統管理員認證的桌上型電腦。

  • 系統管理工作階段和工具執行所在的系統管理「跳躍伺服器」。

  • 系統管理動作執行所在的所有主機,包括使用執行 RDP 用戶端的標準使用者桌面以從遠端管理伺服器和應用程式的主機。

  • 裝載需要管理的應用程式的伺服器,而且無法使用採用「受限管理模式」的 RDP 或 Windows PowerShell 遠端執行功能存取這些伺服器。

部署專用的系統管理工作站

雖然不方便,但可能需要隔開專屬於高影響系統管理認證使用者的已強化工作站。 提供安全性層級等於或大於委託給憑證特殊權限層級的主機很重要。 請考慮可提供額外保護的下列量值︰

  • 驗證組建中的所有媒體是否乾淨,以緩和在下載或儲存期間安裝於主映像或插入安裝檔案的惡意程式碼。

  • 安全性基準應該做為啟動組態。 Microsoft Security Compliance Manager (SCM) 可協助設定系統管理主機的基準。

  • 安全開機可抵禦嘗試將未簽署的程式碼載入開機程序的攻擊者或惡意程式碼。

  • 軟體限制,以確保在系統管理主機上僅執行獲得授權的系統管理軟體。 客戶可以使用 AppLocker 進行這項工作,並搭配已授權的應用程式清單,以協助防止惡意軟體和不支援的應用程式執行。

  • 完整磁碟區加密可減輕實體電腦遺失,例如在遠端使用的系統管理膝上型電腦。

  • 防禦實體感染的 USB 限制

  • 網路隔離可防禦網路攻擊和不當的系統管理動作。 除了明確需要的連線之外,主機防火牆應該封鎖所有的連入連線,並封鎖所有不必要的輸出網際網路存取。

  • 反惡意程式碼用來防禦已知的威脅和惡意程式碼。

  • 利用緩和措施以抵禦不明的威脅和漏洞,包括 Enhanced Mitigation Experience Toolkit (EMET)。

  • 攻擊面分析可防止在安裝新軟體期間將新的攻擊媒介引進 Windows。 Attack Surface Analyzer (ASA) 一類的工具有助於評估主機上的組態設定,並找出因軟體或設定變更而引進的攻擊媒介。

  • 系統管理特殊權限不應該授予其本機電腦上的使用者。

  • 連出 RDP 工作階段的 RestrictedAdmin 模式,但角色要求時除外。 如需詳細資訊,請參閱 Windows Server 中遠端桌面服務的新功能

上述某些措施似乎很極端,但近幾年的公用揭露已說明熟練的敵手擁有危害目標的重要功能。

準備防禦環境要管理的現有網域

MIM 使用 PowerShell Cmdlet 在防禦環境中建立現有 AD 網域與專用系統管理樹系之間的信任。 在部署防禦環境之後,將任何使用者或群組轉換成 JIT 之前,New-PAMTrustNew-PAMDomainConfiguration Cmdlet 會更新網域信任關係,並建立 AD 與 MIM 所需的成品。

當現有的 Active Directory 拓撲變更時, Test-PAMTrustTest-PAMDomainConfigurationRemove-PAMTrustRemove-PAMDomainConfiguration Cmdlet 可用來更新信任關係。

建立每個樹系的信任

現有的每一個樹系都必須執行 New-PAMTrust Cmdlet 一次。 此 Cmdlet 會在系統管理網域中的 MIM 服務電腦上叫用。 此命令的參數包含現有樹系的最上層網域的網域名稱,以及該網域的系統管理員的認證。

New-PAMTrust -SourceForest "contoso.local" -Credentials (get-credential)

建立信任之後,設定每個網域以從防禦環境啟用管理 (如下一節所述)。

啟用每個網域的管理

啟用現有網域的管理有七項需求。

1. 本機網域上的安全性群組

現有網域中必須有一個群組,其名稱是 NetBIOS 網域名稱後面接著三個貨幣符號,例如 CONTOSO$$$。 群組範圍必須是網域本機,而群組類型必須是安全性。 對於要在專用系統管理樹系中使用與此網域中的群組相同的安全性識別碼來建立的群組,這是必要的。 使用下列 PowerShell 命令來建立此群組,由現有網域的系統管理員執行,並在加入現有網域的工作站上執行:

New-ADGroup -name 'CONTOSO$$$' -GroupCategory Security -GroupScope DomainLocal -SamAccountName 'CONTOSO$$$'

2. 成功和失敗的審核

網域控制站上用於稽核的群組原則設定必須包括成功與失敗稽核,以便於執行稽核帳戶管理與稽核目錄服務存取。 透過群組原則管理主控台,由現有網域的系統管理員在加入現有網域的工作站上執行,即可達成:

  1. 移至 [開始] [系統管理工具] [群組原則管理]

  2. 瀏覽至 [Forest: contoso.local (樹系: contoso.local)][網域][contoso.local][網域控制站][Default Domain Controllers Policy (預設網域控制站原則)]。 會出現參考訊息。

    預設網域控制站原則 - 螢幕擷取畫面

  3. 以滑鼠右鍵按一下 [Default Domain Controllers Policy (預設網域控制站原則)],然後選取 [編輯]。 會出現新視窗。

  4. 在 [群組原則管理編輯器] 視窗的 [Default Domain Controllers Policy (預設網域控制站原則)] 樹狀目錄下方,瀏覽至 [電腦設定][原則][Windows 設定][安全性設定][本機原則][稽核原則]

    群組原則管理編輯器 - 螢幕擷取畫面

  5. 在 [詳細資料] 窗格的 [稽核帳戶管理] 上按一下滑鼠右鍵,然後選取 [屬性]。 選取 [定義這些原則設定值]、將 [成功] 打勾、將 [失敗] 打勾、按一下 [套用] 和 [確定]

  6. [詳細資料] 窗格中,在 [稽核目錄服務存取] 上按一下滑鼠右鍵,然後選取 [屬性]。 選取 [定義這些原則設定值]、將 [成功] 打勾、將 [失敗] 打勾、按一下 [套用] 和 [確定]

    成功和失敗原則設定 - 螢幕擷取畫面

  7. 關閉 [群組原則管理編輯器] 視窗和 [群組原則管理] 視窗。 然後套用稽核設定,方法是啟動 PowerShell 視窗並輸入:

    gpupdate /force /target:computer
    

幾分鐘之後應該會出現「電腦原則更新已成功完成。」訊息 。

3. 允許連到本地安全機構的連接

網域控制站必須允許本機安全性授權 (LSA) 從防禦環境進行 RPC over TCP/IP 連線。 在舊版的 Windows Server 上,必須在登錄中啟用 LSA 的 TCP/IP 支援:

New-ItemProperty -Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa -Name TcpipClientSupport -PropertyType DWORD -Value 1

4. 建立 PAM 網域設定

New-PAMDomainConfiguration Cmdlet 會在系統管理網域中的 MIM 服務電腦上執行。 此命令的參數包含現有樹系的網域名稱,以及該網域系統管理員的認證。

 New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials (get-credential)

5. 授與帳戶的讀取權限

防禦樹系中用來建立角色 (使用 New-PAMUserNew-PAMGroup Cmdlet 的系統管理員) 的帳戶,以及 MIM 監視服務所用的帳戶都需要該網域的讀取權限。

下列步驟可讓使用者 PRIV\Administrator 讀取 CORPDC 網域控制站內的網域 Contoso

  1. 確定以 Contoso 網域系統管理員身分 (例如 Contoso\Administrator) 登入。

  2. 啟動 [Active Directory 使用者和電腦]。

  3. 以滑鼠右鍵按一下 contoso.local 網域,並選取 [委派控制項]

  4. 在 [選取的使用者及群組] 索引標籤上,按一下 [新增]

  5. 在 [Select Users, Computers, or Groups (選取使用者、電腦或群組)] 快顯視窗,按一下 [位置],並將位置變更為 priv.contoso.local。 在 物件名稱上,輸入 Domain Admins 並按一下 [檢查名稱] 。 出現快顯視窗時,為使用者名稱輸入 priv\administrator 和密碼。

  6. 在 Domain Admins 後面輸入 ; MIMMonitor。 在 Domain Admins 和 MIMMonitor 名稱加上底線後,按一下 [確定],然後按 [下一步]

  7. 在常見工作的清單中,選取 [讀取所有使用者資訊] ,然後按一下 [下一步] 及 [完成]

  8. 關閉 [Active Directory 使用者和電腦]。

6. 中斷玻璃帳戶

若授權之存取管理專案的目標,在降低具有永久指派給網域之網域系統管理員權限的帳戶數量,則網域中必須有急用帳戶,以免之後發生信任關係的問題。 緊急存取生產樹系的帳戶應存在於各網域中,而且只能夠登入網域控制站。 對有多個站台的組織,則可能需要其他的帳戶作為備援。

7. 在防禦環境中更新許可權

檢閱該網域系統容器中 AdminSDHolder 物件的權限。 AdminSDHolder 物件具有唯一的存取控制清單 (ACL),其用來控制身為內建特殊權限 Active Directory 群組成員之安全性主體的權限。 請注意,對預設權限所做的變更是否會影響網域中具有系統管理權限的使用者,因為這些權限不會套用到其帳戶位於防禦環境的使用者。

選取要納入的使用者和群組

下一個步驟是定義 PAM 角色,並將使用者與他們應可存取的群組建立關聯。 這些使用者和群組通常是在防禦環境中識別為受管理層的使用者和群組的子集。 如需詳細資訊,請參閱定義 Privileged Access Management 的角色