Megosztás a következőn keresztül:

Privileged Access Management az Active Directory tartományi szolgáltatásokhoz

  • Cikk

A MIM Privileged Access Management (PAM) egy olyan megoldás, amely segít a szervezeteknek korlátozni a jogosultsági hozzáférést egy meglévő és izolált Active Directory-környezetben.

A Privileged Access Management két célt ér el:

  • Visszaszerzi a felügyeletet a sérült biztonságú Active Directory-környezetek fölött: különálló megerősített környezetet működtet, amelyet biztosan nem érintettek a rosszindulatú támadások.
  • Elszigeteli a rendszerjogosultságú fiókok használatát, hogy mérsékelje az ilyen hitelesítő adatok ellopásának kockázatát.

Megjegyzés

A MIM PAM által biztosított PAM-megközelítés nem ajánlott az internetkapcsolattal rendelkező környezetek új üzembe helyezéséhez. A MIM PAM olyan elkülönített AD-környezetek egyéni architektúrájában használható, ahol az internet-hozzáférés nem érhető el, ahol ezt a konfigurációt szabályozás írja elő, vagy olyan nagy hatást gyakorló elkülönített környezetekben, mint az offline kutatólaboratóriumok és a leválasztott működési technológia, illetve a felügyeleti vezérlési és adatszerzési környezetek. A MIM PAM különbözik a Microsoft Entra Privileged Identity Management -től (PIM). Microsoft Entra PIM egy olyan szolgáltatás, amely lehetővé teszi a Microsoft Entra ID, az Azure-ban és más Microsoft Online-szolgáltatásokban, például a Microsoft 365-ben vagy a Microsoft Intune-ben található erőforrásokhoz való hozzáférés kezelését, vezérlését és monitorozását. A helyszíni, internetkapcsolattal rendelkező környezetekkel és hibrid környezetekkel kapcsolatos útmutatásért tekintse meg a kiemelt hozzáférés biztonságossá tételéről szóló cikket.

Milyen problémák megoldásában segít a MIM PAM?

Ma a támadók számára túl egyszerű a tartományi rendszergazdák fiók hitelesítő adatainak beszerzése, és túl nehéz felderíteni ezeket a támadásokat a tény után. A PAM célja, hogy a rosszindulatú felhasználók kisebb eséllyel szerezhessenek hozzáférést, Ön pedig nagyobb mértékben kontrollálhassa és felügyelhesse környezetét.

A PAM megnehezíti a támadók számára, hogy behatoljanak a hálózatokra, és rendszerjogosultságú fiókot használjanak. A PAM további védelemmel óvja a rendszerjogosultságú csoportokat, amelyek szabályozzák a hozzáférést sok, a tartományhoz csatlakoztatott számítógéphez és rajtuk futó alkalmazáshoz. Emellett több monitorozást, nagyobb láthatóságot és részletesebb vezérlőket is biztosít. Ez lehetővé teszi a szervezetek számára, hogy lássák, kik a kiemelt rendszergazdák, és mit csinálnak. A PAM révén a szervezetek jobban tájékozódhatnak arról, hogy milyen műveletekre kerül sor a környezetükben a rendszergazdai fiókok használatával.

A MIM által biztosított PAM-megközelítést olyan elkülönített környezetek egyéni architektúrájában kívánjuk használni, ahol az internet-hozzáférés nem érhető el, ahol ezt a konfigurációt szabályozás írja elő, vagy olyan nagy hatást gyakorló elkülönített környezetekben, mint az offline kutatólaboratóriumok és a leválasztott üzemeltetési technológia, illetve a felügyeleti ellenőrzési és adatszerzési környezetek. Ha az Active Directory egy internetkapcsolattal rendelkező környezet része, a jogosultsági jogosultságú hozzáférés védelmével kapcsolatos további információkért olvassa el a kezdés helyét ismertető cikket.

A MIM PAM beállítása

A PAM a szükséges időben (just-in-time) történő felügyelet elvére épül, amely összefügg az éppen elég felügyelettel (just enough administration, JEA). A JEA egy Windows PowerShell eszközkészlet, amely parancskészletet határoz meg a kiemelt tevékenységek végrehajtásához. Ez egy végpont, ahol a rendszergazdák engedélyt kaphatnak a parancsok futtatására. A JEA-ban egy rendszergazda dönti el, hogy milyen jogosultságra van szükségük a felhasználóknak ahhoz, hogy elvégezzenek egy feladatot. Minden alkalommal, amikor egy jogosult felhasználónak el kell végeznie ezt a feladatot, aktiválják ezt az engedélyt. Meghatározott idő elteltével az engedélyek lejárnak, hogy egy rosszindulatú felhasználó el ne lophassa a hozzáférési jogosultságot.

A PAM üzembe helyezése és működtetése négy lépésből áll.

A PAM lépései: előkészítés, védelem, működtetés, figyelés – ábra

  1. Előkészítés: Azonosítsa azokat a csoportokat, amelyek magas jogosultságszinttel rendelkeznek a meglévő erdőn belül. Hozza létre ezeket a csoportokat tagok nélkül a megerősített erdőben.
  2. Védelem: Állítsa be az életciklus- és hitelesítési védelmet, ha a felhasználók igény szerinti felügyeletet igényelnek.
  3. Működtetés: Ha egy felhasználói fiók megfelel a hitelesítési követelményeknek, és jóváhagyják a kérését, átmenetileg bekerül a megerősített erdő rendszerjogosultságú csoportjába. Ezt követően a rendszergazda az előre megadott időtartamra rendelkezik minden olyan jogosultsággal és engedéllyel, amely hozzá van rendelve ehhez a csoporthoz. Ennek az időnek az elteltével a fiók törlődik a csoportból.
  4. Figyelés: A PAM segítségével naplózhatók a magas jogosultságszint iránti kérések, riasztások köthetők hozzájuk, valamint jelentések készíthetők róluk. Megtekinthető, hogy mikor fért hozzá valaki emelt szintű jogosultságokkal a rendszerhez, és ki végzett egy adott tevékenységet. Megállapítható, hogy a tevékenység megfelel-e a szabályoknak, és könnyen felismerhetők a jogosulatlan tevékenységek (ha például valaki megpróbál közvetlenül hozzáadni egy felhasználót az eredeti erdő valamelyik rendszerjogosultságú csoportjához). Ez a lépés nemcsak a kártékony szoftverek azonosítást segíti, hanem a „belső” támadók figyelését is.

Hogyan működik a MIM PAM?

A PAM az AD DS új képességein alapul, különösen a tartományi fiókok hitelesítésének és engedélyezésének új lehetőségein, valamint a Microsoft Identity Manager új funkcióin. A PAM leválasztja a rendszerjogosultságú fiókokat a meglévő Active Directory-környezettől. Ha egy rendszerjogosultságú fiókot kell használni, akkor ezt először kérelmezni kell, majd jóvá kell hagyni. A jóváhagyást követően a rendszerjogosultságú fiók nem a felhasználó vagy az alkalmazás aktuális erdejében kap engedélyt, hanem egy új megerősített erdő külső rendszercsoportjának tagjaként. A megerősített erdő használata szélesebb körű szabályozást tesz lehetővé a szervezet számára, például arra vonatkozóan, hogy mikor lehet egy felhasználó tagja egy rendszerjogosultságú fióknak, és hogy a felhasználónak hogyan kell hitelesítenie magát.

Az Active Directory, a MIM szolgáltatás és ennek a megoldásnak az egyéb részei magas rendelkezésre állású konfigurációban is üzembe helyezhetők.

A következő példa részletesebben bemutatja, hogy miképpen működik a PIM.

A PIM folyamata és résztvevői – ábra

A megerősített erdő korlátozott időre szóró csoporttagságokat oszt ki, amelyek pedig időben korlátozott jegymegadó jegyeket (TGT) állítanak elő. A Kerberos-alapú alkalmazások és szolgáltatások akkor fogadják el az ilyen TGT-ket, illetve tartatják be az engedélyeiket, ha az alkalmazások és szolgáltatások olyan erdőkben léteznek, amelyek megbíznak a megerősített erdőben.

A napi munka során használt felhasználói fiókoknak nem kell új erdőbe költözniük. Ugyanez igaz a számítógépekre, az alkalmazásokra és csoportjaikra. Ugyanott maradnak, ahol most is vannak, egy meglévő erdőben. Vegyünk például egy olyan szervezetet, amelyet aggasztanak napjaink említett számítógépes biztonsági problémái, de még nem tervezi, hogy rövidesen frissíti a kiszolgálói infrastruktúráját a Windows Server következő verziójára. Ez a szervezet ennek ellenére élhet ennek az egyesített megoldásnak az előnyeivel: ehhez az MIM-et és egy új megerősített erdőt kell használnia, aminek köszönhetően jobban tudja szabályozni a hozzáférést a meglévő erőforrásaihoz.

A PAM a következő előnyöket nyújtja:

  • A jogosultságok izolálása/hatókörének kezelése: A felhasználók nem rendelkeznek magas szintű jogosultságokkal olyan fiókokban, amelyeket hétköznapi feladatokra (például az e-mailjeik elolvasására vagy internetböngészésre) használnak. A felhasználóknak kérniük kell a magas szintű jogosultságokat. A kérések jóváhagyása és elutasítása a PAM-rendszergazda által definiált MIM-szabályzatok alapján történik. Mindaddig nem vehető igénybe rendszerjogosultságú hozzáférés, amíg nem engedélyezik a kérést.

  • Jogosultságemelés (step-up) és hitelesítésiszint-emelés (proof-up): Ezek új hitelesítési és engedélyezési kérések, amelyek a külön rendszergazdai fiókok életciklusának kezelését segítik. A felhasználó kérheti egy rendszergazdai fiók jogosultságainak megemelését. A kérés a MIM munkafolyamatain halad végig.

  • További naplózás: A MIN beépített munkafolyamatain kívül a PAM további naplózási műveleteket végez. Ezek azonosítják a kérést, az engedélyezését, illetve a jóváhagyás után esetleg bekövetkező eseményeket.

  • Testre szabható munkafolyamat: A MIM munkafolyamatai különböző helyzetek kezelésére konfigurálhatók, és többféle munkafolyamat is használható, a kérelmező felhasználó vagy a kért szerepkörök alapján.

Hogyan kérik a felhasználók a rendszerjogosultságú hozzáférést?

A felhasználók a következő felületeken küldhetik be a kéréseket:

  • A MIM szolgáltatások webszolgáltatási API-ja
  • REST-végpont
  • Windows PowerShell (New-PAMRequest)

Megismerheti az Emelt szintű hozzáférések felügyeletének parancsmagjai című témakör részleteit.

Milyen munkafolyamatok és figyelési lehetőségek érhetők el?

Tegyük fel például, hogy egy felhasználó egy rendszergazdai csoport tagja volt a PAM beállítása előtt. A PAM-beállítás részeként a rendszer eltávolítja a felhasználót a felügyeleti csoportból, és létrehoz egy szabályzatot a MIM-ben. A szabályzat azt határozza meg, hogy ha a felhasználó rendszergazdai jogosultságokat kér, a rendszer jóváhagyja a kérést, és egy külön fiókot ad hozzá a felhasználóhoz a megerősített erdő kiemelt csoportjához.

Ha a kérés jóváhagyást nyer, a munkafolyamat közvetlen kommunikációra lép a megerősített erdő Active Directoryjával, hogy az vegye fel a felhasználót egy csoportba. Ha például Ilona engedélyt kér a személyzeti adatbázis felügyeletére, Ilona rendszergazdai fiókja másodperceken belül bekerül a megerősített erdő rendszerjogosultságú csoportjába. A rendszergazdai fiókja tagsága az adott csoportban egy időkorlát után lejár. A Windows Server 2016 vagy újabb verzió esetén ez a tagság időkorláttal van társítva az Active Directoryban.

Megjegyzés

Ha új tagot vesz fel egy csoportba, ennek a változásnak replikálódnia kell a megerősített erdő többi tartományvezérlőjére. A replikáció késése megakadályozhatja a felhasználókat az erőforrások elérésében. A replikáció késéséről a How Active Directory Replication Topology Works (Az Active Directory replikációs topológiájának működése) című cikkből tájékozódhat.

Ezzel szemben a lejárt hivatkozást valós időben értékeli ki a biztonsági fiókkezelő (SAM). Még ha a csoporttag felvételét replikálnia is kell annak a tartományvezérlőnek, amely megkapja a kérést, a csoporttag eltávolítását azonnal kiértékeli minden tartományvezérlő.

Ez a munkafolyamat kifejezetten az ilyen rendszergazdai fiókok számára készült. A rendszerjogosultságú fiókokhoz csak alkalmi hozzáférést igénylő rendszergazdák (sőt akár szkriptek is) pontosan ilyen hozzáférést kérelmezhetnek. Az MIM naplózza a kérést és az Active Directoryban bekövetkező változásokat, Ön pedig megtekinthető őket az Eseménynaplóban, vagy elküldheti az adatokat vállalati figyelési megoldásoknak (például a System Center 2012 – Operations Manager naplózási szolgáltatásának (ACS) vagy más külső gyártású eszközöknek).

Következő lépések