Share via

Továbbfejlesztett biztonsági Rendszergazda környezet

  • Cikk

Az Enhanced Security Rendszergazda Environment (ESAE) architektúra (más néven vörös erdő, rendszergazdai erdő vagy megerősített erdő) egy örökölt megközelítés, amely biztonságos környezetet biztosít a Windows Server Active Directory (AD) rendszergazdai identitásai számára.

A Microsoft ezen architekturális minta használatára vonatkozó javaslatát felváltotta a modern emelt szintű hozzáférési stratégia és a gyors modernizációs terv (RAMP) útmutatója, amely a kiemelt felhasználók biztonságossá tételének alapértelmezett ajánlott megközelítése. Ez az útmutató magában foglalja egy szélesebb körű stratégia Teljes felügyelet architektúrára való áttéréshez való alkalmazkodást. Ezeknek a modernizált stratégiáknak a figyelembevételével az ESAE által edzett felügyeleti erdőarchitektúra (helyszíni vagy felhőalapú) mostantól csak kivételes esetekre alkalmas egyéni konfigurációnak tekinthető.

Forgatókönyvek a folyamatos használathoz

Bár ez már nem ajánlott architektúra, az ESAE (vagy az abban található egyes összetevők) továbbra is érvényesek lehetnek a mentesített forgatókönyvek korlátozott halmazában. Ezek a helyszíni környezetek általában elszigeteltek, ahol előfordulhat, hogy a felhőszolgáltatások nem érhetők el. Ez a forgatókönyv kritikus infrastruktúrát vagy más leválasztott üzemeltetési technológiai (OT) környezeteket is tartalmazhat. Meg kell azonban jegyezni, hogy a környezet air-apped Industrial Control System/Supervisory Control and Data Acquisition (ICS/SCADA) szegmensei általában nem használják saját Active Directory-telepítésüket.

Ha a szervezet ezen forgatókönyvek valamelyikében van, a jelenleg üzembe helyezett ESAE-architektúra teljes egészében való fenntartása továbbra is érvényes lehet. Azonban meg kell érteni, hogy a szervezet többletkockázatot jelent az ESAE fenntartásának megnövekedett műszaki összetettsége és működési költségei miatt. A Microsoft azt javasolja, hogy minden olyan szervezet, amely továbbra is használja az ESAE-t vagy más örökölt identitásbiztonsági vezérlőket, alkalmazzon további szigort a kapcsolódó kockázatok monitorozására, azonosítására és csökkentésére.

Feljegyzés

Bár a Microsoft a legtöbb szervezetnél már nem javasol izolált, edzett erdőmodellt, a Microsoft továbbra is hasonló architektúrát üzemeltet belsőleg (és a hozzájuk tartozó támogatási folyamatokat és személyzetet), mivel a megbízható felhőszolgáltatások világszerte megbízható felhőszolgáltatásokat nyújtanak.

Útmutató meglévő üzemelő példányokhoz

Azoknak az ügyfeleknek, akik már üzembe helyezték ezt az architektúrát a biztonság növelése és/vagy a többerdős felügyelet egyszerűsítése érdekében, nincs szükség az ESAE-implementáció kivonására vagy cseréjére, ha az megtervezett és tervezett módon működik. A nagyvállalati rendszerekhez hasonlóan a szoftvereket is biztonsági frissítések alkalmazásával kell karbantartani, és biztosítani kell, hogy a szoftver a támogatási életcikluson belül legyen.

A Microsoft azt is javasolja, hogy az ESAE/edukált erdőkkel rendelkező szervezetek a gyors modernizációs terv (RAMP) útmutatásával fogadják el a modern emelt szintű hozzáférési stratégiát. Ez az útmutató kiegészíti a meglévő ESAE-implementációt, és megfelelő biztonságot nyújt az ESAE által még nem védett szerepkörök számára, beleértve a Microsoft Entra Global Rendszergazda istratorokat, a bizalmas üzleti felhasználókat és a standard vállalati felhasználókat. További információkért tekintse meg a kiemelt hozzáférési biztonsági szintek biztonságossá tételéről szóló cikket.

Amikor az ESAE-t eredetileg több mint 10 évvel ezelőtt tervezték, a fókusz a helyszíni környezetek volt, ahol az Active Directory (AD) a helyi identitásszolgáltató. Ez az örökölt megközelítés makrószegmentálási technikákon alapul a minimális jogosultság elérése érdekében, és nem veszi megfelelően figyelembe a hibrid vagy felhőalapú környezeteket. Emellett az ESAE és az erdőmegerősített implementációk csak a helyszíni Windows Server Active Directory-rendszergazdák (identitások) védelmére összpontosítanak, és nem veszik figyelembe a modern Zero-Trust architektúra fennmaradó pilléreiben található részletes identitásvezérlőket és egyéb technikákat. A Microsoft frissítette javaslatát a felhőalapú megoldásokra, mert gyorsabban üzembe helyezhetők a felügyeleti és üzleti szempontból érzékeny szerepkörök és rendszerek szélesebb körének védelme érdekében. Emellett kevésbé összetettek, méretezhetőek, és kevesebb tőkebefektetést igényelnek a karbantartáshoz.

Feljegyzés

Bár az ESAE már nem ajánlott teljes egészében, a Microsoft rájön, hogy az abban található számos egyes összetevő jó kiberhigiéniaként van definiálva (például dedikált Privileged Access-munkaállomások). Az ESAE elavulása nem arra irányul, hogy a szervezeteket a jó kiberhigiénés gyakorlatok elhagyására kényszerítsék, csak a kiemelt identitások védelmére szolgáló frissített architektúrastratégiák megerősítése érdekében.

Példák az ESAE jó kiberhigiénés gyakorlatára, amelyek a legtöbb szervezetre alkalmazhatók

  • Emelt szintű hozzáférési munkaállomások (PAW-k) használata minden rendszergazdai tevékenységhez
  • Jogkivonat-alapú vagy többtényezős hitelesítés (MFA) kényszerítése a rendszergazdai hitelesítő adatokhoz akkor is, ha az egész környezetben széles körben nem használják
  • A minimális jogosultsági Rendszergazda istrative modell kényszerítése a csoport-/ szerepkör-tagság rendszeres értékelésével (erős szervezeti szabályzattal kényszerítve)

Ajánlott eljárások a helyszíni AD biztonságossá tételéhez

A folyamatos használat forgatókönyveiben leírtak szerint előfordulhat, hogy a felhőbe való migrálás a változó körülmények miatt (részben vagy teljes egészében) nem érhető el. Ezeknél a szervezeteknél, ha még nem rendelkeznek meglévő ESAE-architektúrával, a Microsoft azt javasolja, hogy az Active Directory és a kiemelt identitások biztonságának szigorának növelésével csökkentse a helyszíni AD támadási felületét. Bár nem teljes lista, vegye figyelembe a következő magas prioritású javaslatokat.

  • Használjon rétegzett megközelítést a minimális jogosultságú felügyeleti modell implementálásához:
    • Abszolút minimális jogosultságok kikényszerítése.
    • Kiemelt identitások felderítése, áttekintése és naplózása (erős kapcsolat a szervezeti szabályzattal).
      • A túlzott jogosultság-engedélyezés az egyik leggyakrabban azonosított probléma az értékelt környezetekben.
    • MFA rendszergazdai fiókokhoz (még akkor is, ha nem használják széles körben az egész környezetben).
    • Időalapú kiemelt szerepkörök (a túlzott fiókok csökkentése, a jóváhagyási folyamatok megerősítése).
    • Engedélyezze és konfigurálja az összes elérhető naplózást a kiemelt identitásokhoz (értesítés az engedélyezésről/letiltásról, a jelszó alaphelyzetbe állításáról és egyéb módosításokról).
  • Emelt szintű hozzáférési munkaállomások (PAW-k) használata:
    • Ne felügyelje a PAW-okat kevésbé megbízható gazdagépről.
    • A PAW-khoz való hozzáféréshez használja az MFA-t.
    • Ne feledkezzen meg a fizikai biztonságról.
    • Mindig győződjön meg arról, hogy a PAW-k a legújabb és/vagy jelenleg támogatott operációs rendszereket futtatják.
  • Ismerje meg a támadási útvonalakat és a magas kockázatú fiókokat/ alkalmazásokat:
    • Rangsorolja a legnagyobb kockázatot jelentő identitások és rendszerek monitorozását (a lehetőségek célpontjai / nagy hatás).
    • A jelszó újrafelhasználásának megszüntetése, beleértve az operációs rendszer határait is (gyakori oldalirányú mozgástechnika).
    • A kockázatokat növelő tevékenységeket korlátozó szabályzatok kényszerítése (biztonságos munkaállomásokról való internetes böngészés, több rendszeren keresztüli helyi rendszergazdai fiókok stb.).
    • Az Active Directory/ tartományvezérlők alkalmazásainak csökkentése (minden hozzáadott alkalmazás extra támadási felület).
      • Szükségtelen alkalmazások kiküszöbölése.
      • Ha lehetséges, áthelyezheti a szükséges alkalmazásokat más számítási feladatokra a /DC-ről.
  • Az Active Directory nem módosítható biztonsági mentése:
    • Kritikus összetevő a ransomware-fertőzésből való helyreállításhoz.
    • Rendszeres biztonsági mentés ütemezése.
    • A vészhelyreállítási terv által diktált felhőalapú vagy helyszíni helyen tárolva.
  • Végezze el az Active Directory biztonsági felmérését:
    • Az eredmények megtekintéséhez Azure-előfizetés szükséges (testreszabott Log Analytics-irányítópult).
    • Igény szerinti vagy Microsoft-mérnök által támogatott ajánlatok.
    • Az értékelés útmutatásának ellenőrzése/ azonosítása.
    • A Microsoft azt javasolja, hogy évente végezzen értékeléseket.

A javaslatokra vonatkozó átfogó útmutatásért tekintse át az Active Directory biztonságossá tételével kapcsolatos ajánlott eljárásokat.

Kiegészítő Javaslatok

A Microsoft felismerte, hogy egyes entitások eltérő korlátozások miatt nem képesek teljes mértékben üzembe helyezni a felhőalapú, nulla megbízhatóságú architektúrát. Néhány ilyen korlátozást az előző szakaszban említettünk. A teljes üzembe helyezés helyett a szervezetek kezelhetik a kockázatokat, és előrehaladást érhetnek el a nulla megbízhatóság felé, miközben továbbra is fenntartják az örökölt berendezéseket vagy architektúrákat a környezetben. A fent említett útmutatás mellett az alábbi képességek segíthetnek a környezet biztonságának megerősítésében, és kiindulópontként szolgálhatnak a Zero-Trust architektúra bevezetéséhez.

Microsoft Defender for Identity (MDI)

A Microsoft Defender for Identity (MDI) (hivatalosan Azure Advanced Threat Protection vagy ATP) a Microsoft Zero-Trust architektúráját támogatja, és az identitás pillérére összpontosít. Ez a felhőalapú megoldás a helyszíni AD és a Microsoft Entra ID jelzéseit is használja az identitásokat érintő fenyegetések azonosítására, észlelésére és vizsgálatára. Az MDI ezeket a jeleket figyeli a felhasználók és entitások rendellenes és rosszindulatú viselkedésének azonosítása érdekében. Az MDI megkönnyíti a támadó oldalirányú mozgásának vizualizációját azáltal, hogy kiemeli egy adott fiók(ok) használatát, ha veszélybe kerül. Az MDI viselkedéselemzési és felhasználói alapkonfigurációs funkciói kulcsfontosságú elemek az AD-környezet rendellenes tevékenységeinek meghatározásához.

Feljegyzés

Bár az MDI jeleket gyűjt a helyszíni AD-ből, ehhez felhőalapú kapcsolatra van szükség.

Microsoft Defender for Internet of Things (D4IoT)

A dokumentumban ismertetett egyéb útmutatáson kívül a fent említett forgatókönyvek egyikében működő szervezetek üzembe helyezhetik a Microsoft Defender for IoT-t (D4IoT). Ez a megoldás egy passzív hálózati érzékelőt (virtuális vagy fizikai) tartalmaz, amely lehetővé teszi az eszközök felderítését, a leltárkezelést és a kockázatalapú viselkedéselemzést az IoT- és az üzemeltetési technológiai (OT-) környezetekhez. Üzembe helyezhető helyszíni, légi vagy felhőhöz csatlakoztatott környezetben, és több mint 100 ICS/OT által védett hálózati protokollon végezhet mély csomagvizsgálatot.

Következő lépések

Olvassa el az alábbi cikkeket:

  1. Emelt szintű hozzáférési stratégia
  2. Biztonsági gyorskorszerűsítési terv (RAMP)
  3. Ajánlott eljárások az Active Directory biztonságossá tételéhez