3. fázis – Emelt szintű hozzáférési szabályzatok kikényszerítése

Ez a cikk a Kiemelt hozzáférésű architektúra megoldási útmutatójának része.

A kiemelt hozzáférés kritikus biztonsági kockázatot jelent a legtöbb szervezetben, mivel lehetővé teszi az identitásrendszerek, a felhővezérlő síkok és az üzleti szempontból kritikus fontosságú objektumok közvetlen vezérlését.

Megtudhatja, hogyan játszik kritikus szerepet a biztonságos emelt szintű hozzáférési architektúra az üzleti forgatókönyvben – a kritikus üzleti eszközök védelme – azáltal, hogy csökkenti ezt a kockázatot, és erősíti a bizalmas rendszerek feletti ellenőrzést.

Ez a cikk a megvalósítás 3. fázisát ismerteti. Privilegizált hozzáférési szabályzatokat kényszerít ki, hogy korlátozza a kiemelt identitások használatát.

A 2. fázisban létrehozott megbízható eszközjelek használatával konfigurálja a feltételes hozzáférést, így a kiemelt szerepkörök, portálok és felügyeleti felületek csak jóváhagyott, alacsony kockázatú emelt szintű hozzáférési munkaállomásokról (PAW-k) használhatók.

Védelmi célok

A 3. fázis a következő védelmi célokat érvényesíti:

  • Győződjön meg arról, hogy a kiemelt hitelesítő adatok nem használhatók nem PAW-eszközökről.
  • A felügyeleti portálok és felületek csak megfelelő, alacsony kockázatú eszközökről érhetők el.
  • A kiemelt hozzáféréshez erős felhasználói hitelesítés és ellenőrzött eszközmegbízhatóság szükséges.
  • A rendszergazdai felületekhez (portálokhoz, API-khoz, PowerShellhez) való hozzáférést korlátozza a jóváhagyott PAW-kra.
  • Az ellopott hitelesítő adatok nem használhatók fel standard vagy nem felügyelt végpontokról.
  • A kiemelt hozzáférési útvonalak explicitek, naplózhatók és kikényszeríthetők.

Védelmi hatókör

A 3. fázis a kiemelt hozzáférési felületeket és munkafolyamatokat védi, amelyeken keresztül kiemelt műveletek történnek, beleértve a következőket:

  • Felhőfelügyeleti portálok (Azure portál, Microsoft Entra felügyeleti központ, Microsoft 365 Felügyeleti központ)
  • Biztonsági felügyeleti portálok (Microsoft Defender portálok)
  • Kiemelt szerepkörök használata és aktiválása (beleértve a PIM által vezérelt szerepköröket is)
  • Rendszergazdai böngészőmunkamenetek
  • A kiemelt eszközök által használt hálózati kimenő útvonalak

A 3. fázis nem konfigurálja újra az eszközöket vagy identitásokat. Az 1. és 2. fázis kimeneteinek felhasználásával érvényesíti a szabályzatot.

A kockázatok mérséklése

Risk Miért fontos? 3. fázisú kockázatcsökkentés
Nem PAW-eszközökön újra felhasznált kiemelt jogosultságú hitelesítő adatok Az MFA és a jóváhagyások nem akadályozzák meg a támadókat abban, hogy ellopott jogkivonatokat vagy hitelesítő adatokat használjanak fel a feltört szabványos munkaállomásokon. A feltételes hozzáférés megköveteli, hogy a privilegizált szerepkörökkel rendelkező felhasználók csak megfelelőnek minősített, alacsony kockázatú, kiemelten védett munkaállomásokról (PAW-okról) hitelesítsék magukat.
Kiemelt hozzáférés magas kockázatú vagy nem felügyelt eszközökről A sebezhető eszközök lehetővé teszik a támadók számára, hogy azonnal gyakorolják a felügyeleti ellenőrzést. A hozzáférési döntések kiértékelik az Intune-megfelelőséget és Végponthoz készült Microsoft Defender kockázati szintet a kiemelt hozzáférés biztosítása előtt.
Nem felügyelt vagy BYOD-eszközökről elérhető felügyeleti portálok A felhővezérlő síkok a szervezeten kívüli eszközökről is elérhetők lesznek. A feltételes hozzáférés a felügyeleti portálokat paW-okra korlátozza, és letiltja a hozzáférést a nem PAW-eszközökről.
Védett portálok megkerülése alternatív felületek használatával A támadók PowerShell-lel, API-kkal vagy alternatív rendszergazdai végpontokkal kerülhetik el a vezérlőket. A kényszerítés következetesen érvényes a felügyeleti felületekre, nem csak az elsődleges portálokra.
Kiemelt szerepkör aktiválása sérült munkaállomásokról A jóváhagyási munkafolyamatok eltéríthetők, ha a szerepkör aktiválása nem biztonságos eszközön történik. A PIM-szerepkör aktiválása és a szerepkör-használat ugyanazokon a feltételes hozzáférésű eszközök megbízhatósági követelményein keresztül lesz érvényesítve.
A hitelesítő adatok csak emelt szintű hozzáférést biztosítanak A csak identitásalapú védelem megbízható végrehajtási környezetet feltételez. A 3. fázis megköti az identitás, az eszköz és az interfész feltételeit, így a hitelesítő adatok önmagukban nem elegendőek.
A kényszerítés láthatóságának hiánya Szabályzatkényszerítés nélkül nehéz bizonyítani, hogy a kiemelt hozzáférés korlátozott. A feltételes hozzáférési döntések és Defender telemetriai adatok ellenőrizhető, megfigyelhető kényszerítési bizonyítékokat biztosítanak.
Gyors eszkaláció a munkaállomás kompromittálását követően A támadók gyorsan forognak a feltört eszközről a nagyvállalati szintű vezérlésre. A 3. fázis biztosítja, hogy az ellopott hitelesítő adatok a PAW-kon kívül használhatatlanok legyenek, és feltörik a gyakori eszkalációs útvonalakat.

Fáziseredmények

A 3. fázis befejezése után:

  • A kiemelt szerepkörök és a felügyeleti portálok csak a megfelelő, alacsony kockázatú emelt hozzáférési szintű munkaállomásokról érhetők el.
  • A feltételes hozzáférés letiltja a emelt szintű hozzáférést a nem PAW-eszközökről.
  • Az eszközmegfelelés és Végponthoz készült Microsoft Defender kockázati jelek a döntések eléréséhez szükséges bemenetek.
  • A rendszer az identitás-, eszköz- és felületrétegeken keresztül kényszeríti ki a kiemelt hozzáférést.
  • A hozzáférési kísérletek naplózhatók, nyomon követhetők és auditálhatók.

Prerequisites

A cikkben szereplő eljárások konfigurálása előtt:

  • Végezze el az 1. fázis utasításait az identitásvezérlő sík védelméhez.
  • Végezze el a 2. fázist a PAW-k telepítéséhez és megerősítéséhez.
  • Győződjön meg arról, hogy az eszközmegfelelés és a Defender for Endpoint integráció aktív.

1. lépés – MFA és eszközmegbízhatóság megkövetelése emelt szintű hozzáféréshez

Győződjön meg arról, hogy a kiemelt hozzáférés erős felhasználói hitelesítést és megbízható eszközöket igényel.

  1. A Microsoft Entra felügyeleti központban navigáljon a Védelem>Feltételes hozzáférés>Szabályzatok menüpontra.
  2. Válassza az Új szabályzat létrehozása lehetőséget.
  3. A hozzárendelésekben> afelhasználók a következő beállításokat konfigurálják:
    • Foglalja bele az emelt szintű címtárbeli szerepköröket is, például a globális rendszergazdát és a biztonsági rendszergazdát.
    • Zárja ki a vésztörési üvegcsoportot.
  4. A Assignments>Cloud-alkalmazások olyan felhőfelügyeleti alkalmazásokat tartalmaznak, mint a Azure portál, Microsoft Entra felügyeleti központ, Microsoft 365 Felügyeleti központ és Defender portál.
  5. A Hozzáférés-vezérlőkben adja meg a hozzáférést az alábbi beállításokkal:
    • Többtényezős hitelesítés megkövetelése
    • Eszköz megfelelőként való megjelölésének megkövetelése
    • Végponthoz készült Microsoft Defender eszközkockázat megkövetelése = Alacsony
  6. Engedélyezze a szabályzatot.

2. lépés – Az adminisztratív portálok korlátozása PAW-kra

Győződjön meg arról, hogy a felügyeleti portálok csak a megfelelő emelt hozzáférési szintű munkaállomásokról érhetők el.

  1. A Microsoft Entra felügyeleti központban lépjen a Védelem>Feltételes hozzáférés>Szabályzatok elemre.
  2. Válassza az Új szabályzat létrehozása lehetőséget egy további szabályzat létrehozásához.
  3. A hozzárendelésekben> afelhasználók a következő beállításokat konfigurálják:
    • A kiemelt címtárszerepkörök közé tartozik például a globális rendszergazda és a biztonsági rendszergazda.
    • Zárja ki a vésztörési üvegcsoportot.
  4. A Hozzárendelések>Felhőalkalmazások területen vegye fel azokat a felügyeleti alkalmazásokat, amelyeket a környezetében privilegizált hozzáféréshez használnak.
  5. A Hozzáférés-vezérlőkben adja meg a hozzáférést az alábbi beállításokkal:
    • Eszköz megfelelőként való megjelölésének megkövetelése
    • Végponthoz készült Microsoft Defender eszközkockázatának megkövetelése = Alacsony
  6. Engedélyezze a szabályzatot.

3. lépés – Emelt szintű hozzáférés letiltása nem PAW-eszközökről

Győződjön meg arról, hogy a rendszergazdai portálokhoz való emelt szintű hozzáférés le van tiltva a nem PAW-eszközökről, még akkor is, ha ezek az eszközök megfelelnek az általános megfelelőségi követelményeknek.

  1. A Microsoft Entra Felügyeleti központban lépjen a következő helyre: Védelem>Feltételes hozzáférés>Házirendek.
  2. Harmadik szabályzat létrehozásához válassza az Új szabályzat létrehozása lehetőséget.
  3. A hozzárendelésekben> afelhasználók a következő beállításokat konfigurálják:
    • Adja meg a kiemelt címtárszerepköröket is, például a Global Administrator és a Security Administrator szerepkört.
    • A kijelölt vészhelyzeti hozzáférési fiókok kizárása.
  4. A Hozzárendelések> ugyanazok a felügyeleti portálok találhatók.
  5. A Feltételek csoportban válassza az Eszközök szűrése lehetőséget.
  6. Konfigurálja az eszközszűrőt a nem PAW-eszközökre:
    • Válassza a Szűrt eszközök belefoglalása lehetőséget:
    • Konfiguráljon egy eszközszűrőt, amely azonosítja a nem PAW-eszközöket azon attribútum vagy szabály alapján, amelyet a szervezet a PAW-k megkülönböztetésére használ. Győződjön meg arról, hogy ez megfelel a 2. fázisban létrehozott azonosítási módszernek.
  7. Válassza a Kész lehetőséget az eszközszűrő feltétel alkalmazásához.
  8. A Hozzáférés-vezérlés csoportban válassza a Hozzáférés letiltása lehetőséget.
  9. A szabályzat engedélyezéséhez válassza a Létrehozás lehetőséget.

4. lépés – A PAW hálózati hozzáférésének korlátozása

A PAW hálózati hozzáférését csak a szükséges adminisztratív és felügyeleti végpontokra korlátozza. Ez a konfiguráció kifejezett tűzfalszabályokra támaszkodik, hogy engedélyezze a szükséges végpontok elérését, nem pedig általános, protokollalapú engedélyezésekre.

  1. A Microsoft Intune felügyeleti központban navigáljon ide: Endpoint security>Firewall.

  2. Válassza a Szabályzat létrehozása lehetőséget.

  3. A szabályzat konfigurálása: - Platform: Windows 10 és újabb. 1. A tűzfalprofil beállításainak konfigurálása:

    • Bejövő kapcsolatok: Blokk
    • Kimenő kapcsolatok: Engedélyezés (alapértelmezett, az alábbi szabályok vezérlik)

  4. A Beállítások területen konfigurálja a tűzfalszabályokat . Tűzfalszabályok használatával határozza meg a kiemelt felügyelethez szükséges forgalmat.

  5. Hozzon létre kimenő engedélyezési szabályokat a szükséges szolgáltatások számára, például:

    • DNS
    • DHCP
    • NTP
    • Szükséges Microsoft felhőfelügyeleti végpontok, például az Intune és a Microsoft Entra ID.
    • Szükséges felügyeleti végpontok.

    Minden szabálynak a következőnek kell lennie:

    • Irány megadása: Kimenő.
    • Művelet megadása: Engedélyezés
    • Célvégpontok definiálása (IP-tartományok, teljes tartománynevek vagy szolgáltatáscímkék, ahol támogatott)

  6. Győződjön meg arról, hogy nincsenek olyan széles körű engedélyezési szabályok, mint például a korlátlan HTTP/HTTPS konfigurálva.

  7. Rendelje hozzá a szabályzatot a Biztonságos munkaállomáseszközökhöz (PAW-khoz).

  8. A szabályzat üzembe helyezéséhez válassza a Létrehozás lehetőséget.

Ezzel befejeződött a kiemelt hozzáférés-kényszerítési réteg. A következő cikk a mérési, monitorozási és sikerességi kritériumokat ismerteti.

Következő lépések

A kiemelt hozzáférés-kényszerítési réteg üzembe helyezésével az utolsó lépés a figyelés konfigurálása.

  • Last updated on