Active Directory Domain Services 的 Privileged Access Management。

Privileged Access Management (PAM) 可協助組織限制現有的 Active Directory 環境內的特殊權限存取。

PAM 步驟︰準備、保護、操作、監視 - 圖表

透過聚焦於準備、保護及監視環境的循環,Privileged Access Management 得以達成以下兩項目標:

  • 個別維護不受惡意攻擊的防禦環境,重建被入侵 Active Directory 環境的控制。
  • 隔離使用特殊權限的帳戶,以降低這些認證遭竊的風險。

注意

PAM 是使用 Microsoft Identity Manager (MIM) 實作之特殊權限身分識別管理 (PIM) 的執行個體。

PAM 有助於解決哪些問題?

現今企業真正的顧慮是 Active Directory 環境內資源存取的問題。 特別煩人的是關於安全性弱點、未經授權的特殊權限提升和其他類型未經授權的存取,包括 pass-the-hash (傳遞密碼雜湊)、pass-the-ticket (傳遞票證)、魚叉式網路釣魚和 Kerberos 洩露等消息。

現在,攻擊者要取得網域系統管理員帳戶認證太過容易,並且事後很難探索到這些攻擊。 PAM 的目標是減少惡意使用者取得存取權的機會,同時提高您對環境的控制和認知。

PAM 讓攻擊者更難以滲入網路及取得特殊權限帳戶的存取權。 PAM 加入對特殊權限群組的保護,可跨許多加入網域的電腦和在這些電腦上的應用程式控制存取。 它也加入更多監視功能、更多的可見性和更多更細緻的控制,讓組織能夠查看誰是他們的特殊權限系統管理員,以及他們在做什麼。 對於環境中系統管理帳戶的使用方式,PAM 為組織提供更多見解。

如何設定 PAM?

PAM 以 Just-In-Time 系統管理原則組建,其與 Just Enough Administration (JEA) 相關。 JEA 是一項 Windows PowerShell 工具組,定義了一組命令用來執行特殊權限的活動和端點,在其中系統管理員可以取得授權來執行這些命令。 在 JEA 中,系統管理員決定有特定權限的使用者可以執行特定工作。 每次有資格的使用者需要執行該項工作時,他們就啟用該權限。 權限會在指定的時間週期後過期,如此,惡意的使用者就無法取得存取權。

PAM 設定與作業具有四個步驟。

  1. 準備:找出您現有的樹系中具有顯著權限的群組。 重新建立這些群組,但防禦樹系中沒有成員。

  2. 保護:設定使用者要求 Just-in-Time 管理時的生命週期和驗證保護,例如 Multi-Factor Authentication (MFA)。 MFA 有助於防止來自惡意軟體或後續認證竊取的程式設計攻擊。

  3. 作業:符合驗證需求並核准要求之後,會暫時將使用者帳戶加入防禦樹系中的特殊權限群組。 在預先設定的時間內,系統管理員將擁有所有的特殊權限,以及指派給該群組的存取權限。 過了這段時間,帳戶就會從群組中移除。

  4. 監視:PAM 加入特殊權限存取要求的稽核、警示和報告。 您可以檢閱特殊權限存取記錄,並查看執行活動的人員。 您可以決定活動是否有效,並輕鬆地找出未經授權的活動,例如在原始樹系中嘗試直接將使用者加入特殊權限群組。 這個步驟不僅對找出惡意軟體很重要,對於追蹤「內部」攻擊者也很重要。

PAM 如何運作?

PAM 是以 AD DS 的新功能為基礎,特別是網域帳戶驗證與授權,以及 Microsoft Identity Manager 中的新功能。 PAM 將特殊權限帳戶從現有的 Active Directory 環境中隔出。 需要使用特殊權限帳戶時,就必須先要求,然後等待核准。 核准之後,特殊權限帳戶會提供透過新防禦樹系 (而不是使用者或應用程式目前的樹系) 中的外部主體群組取得權限。 使用防禦樹系可提供組織更大控制權,例如當使用者可以是特殊權限的群組的成員,以及使用者需要的驗證方式。

Active Directory、MIM 服務和此解決方案的其他部分也可以部署在高可用性組態。

下列範例會示範 PIM 更詳細的運作方式。

PIM 流程和參與者 - 圖表

防禦樹系發出限時的群組成員資格,如此可產生限時的票證授權票證 (TGT)。 如果應用程式和服務位於信任防禦樹系的樹系中,以 Kerberos 為基礎的應用程式或服務就會遵守並實施這些 TGT。

日常規律的使用者帳戶不需要移至新的樹系。 電腦、應用程式和其群組也是如此。 它們會保持在目前現有的樹系中。 考慮對這些網路安全性問題有顧慮,但沒有立即計劃將伺服器基礎結構升級到新版的 Windows Server 的組織範例。 該組織仍可使用 MIM 和新的防禦樹系來運用這項結合的解決方案,並可以對現有資源的存取有更好的控制權。

PAM 提供下列優點:

  • 隔離/約制特殊權限︰使用者不保留處理非特殊權限工作帳戶的特殊權限,例如檢查電子郵件或瀏覽網際網路。 使用者必須要求權限。 核准或拒絕要求,以 PAM 系統管理員定義的 MIM 原則為準。 在核准要求之後,特殊權限存取才可供使用。

  • 加強並提升效能:這些是新的驗證和授權挑戰,可協助您管理不同系統管理帳戶的生命週期。 使用者可以要求提高系統管理帳戶的權限,而該要求會透過 MIM 工作流程。

  • 額外的記錄功能:配合內建的 MIM 工作流程,還有 PAM 的額外記錄功能,可識別要求、其授權方式,以及在核准之後發生的任何事件。

  • 可自訂工作流程:可以針對不同的案例設定 MIM 工作流程,而且可以根據提出要求之使用者或要求的角色的參數,使用多個工作流程。

使用者如何要求特殊權限存取?

使用者有數種方式可以提交要求,包括︰

  • MIM 服務的 Web 服務 API
  • REST 端點
  • Windows PowerShell (New-PAMRequest)

有哪些工作流程和監視選項可供使用?

例如,假設使用者在設定 PIM 之前是系統管理群組的成員。 隨著 PIM 的設定,會從系統管理群組移除使用者,並在 MIM 中建立原則。 原則會指定如果該使用者要求系統管理權限並透過 MFA 驗證,會核准要求並且將使用者的個別帳戶加入至防禦樹系中的特殊權限群組。

假設核准要求之後,動作工作流程會直接與防禦樹系 Active Directory 通訊,以將使用者放在群組中。 例如,當 Jen 要求管理 HR 資料庫,Jen 的系統管理帳戶會在數秒內被加入至防禦樹系中的特殊權限群組。 她於該群組的系統管理帳戶成員資格在時限後到期。 對於 Windows Server Technical Preview,該成員資格會與 Active Directory 相關聯達限定的時間;對於在防禦樹系中的 Windows Server 2012 R2,該時間限制是由 MIM 實施。

注意

當您將新成員加入至群組時,變更必須複寫到防禦樹系中的其他網域控制站 (DC)。 複寫延遲可能會影響使用者存取資源的能力。 如需複寫延遲的詳細資訊,請參閱 How Active Directory Replication Topology WorksActive Directory (複寫拓撲的運作方式)。 相較之下,安全性帳戶管理員 (SAM) 會即時評估到期的連結。 雖然加入群組成員需要由接收存取要求的 DC 進行複寫,但移除群組成員則是由任何 DC 立即評估。

此工作流程專供這些系統管理帳戶使用。 僅偶爾需要特殊權限群組存取的系統管理員 (或甚至是指令碼) 可以精確地要求該存取。 MIM 會記錄 Active Directory 的要求和變更,您可以在事件檢視器中檢視它們,或將資料傳送至企業監視解決方案,例如 System Center 2012 - Operations Manager 稽核收集服務 (ACS) 或其他協力廠商工具。