Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A kiemelt hozzáférés a vállalati hozzáférési modellben található, és az egyetlen felügyeleti útvonalat biztosítja a vezérlősíkhoz. Meghatározza, hogy kik konfigurálhatják a rendszereket, kezelhetik az identitásokat, kényszeríthetik a biztonságot, és végső soron alakíthatják a szervezet technológiai környezetét.
A modern vállalatokban viszonylag kevés identitás – rendszergazdák, szolgáltatásfiókok és vezérlősík-szerepkörök – rendelkeznek hatalommal és hozzáféréssel a legtöbb üzleti eszközhöz. Ezek az identitások a következők lehetnek:
- Hozzáférési vezérlők módosítása
- Rendszerkonfigurációk módosítása
- Bizalmas adatok elérése
- Biztonsági védelem letiltása vagy megkerülése
Ezt a támadók felismerik. Ahelyett, hogy egyenként támadnának meg minden rendszert, a következőkre összpontosítanak:
- Hitelesítő adatok ellopása.
- Jogosultságok eszkalálása.
- Oldalirányú váltás a nagy értékű szerepkörök felé.
Miután a támadó emelt szintű hozzáférést szerez, gyorsan és nagy léptékben tevékenykedhet.
A modern biztonsági modellek ezért eltérően kezelik a kiemelt hozzáférést:
- Kifejezetten szabályozni kell. Meghatározhatja például a kiemelt szerepköröket, és az előkészítést identitásszabályozással és kiemelt identitáskezeléssel (PIM) kell elvégeznie, amely állandó szerepkör-hozzárendelések helyett jóváhagyást és időhöz kötött jogosultságszint-emelést igényel.
- El kell különíteni a normál tevékenységtől. Használjon például külön rendszergazdai fiókokat és dedikált emelt szintű hozzáférési eszközöket (PAW-ket), hogy a kiemelt műveletek soha ne történjenek meg a standard felhasználói munkamenetekből vagy a nem felügyelt eszközökből.
- Folyamatosan monitorozni kell. Például küldjön kiemelt bejelentkezéseket, szerepkör-aktiválásokat és szabályzatmódosításokat a monitorozási eszközöknek, például Microsoft Sentinel a szokatlan használati minták észleléséhez, valamint riasztások vagy automatikus válaszok aktiválásához.
- El kell ismerni, hogy az emelt szintű hozzáférés az illetéktelen hozzáférések egyik elsődleges célpontja. Például az összes kiemelt fiók védelme erős többtényezős hitelesítéssel (MFA), állandó hozzáférés nélkül és üvegtöréses fiókvezérlőkkel, feltételezve, hogy a támadók hitelesítő adatok ellopását és jogosultságok eszkalálását kísérlik meg.
A kiemelt hozzáférés védelméhez a szerepkörökön és a fiókokon túlra is szükség van a kiemelt hozzáféréssel rendelkező összes összetevő megértéséhez. Ezek közé tartoznak a következők:
- Az identitásvezérlő sík.
- Kiemelt eszközök, alkalmazások és felületek.
- Közvetítő rendszerek, például VPN-ek, PIM- és emelt szintű hozzáférés-kezelési (PAM-) rendszerek.
Ezek együttesen határozzák meg a vezérlés gyakorlásának módját , és azt, hogy hogyan kell védeni őket.
Az alábbi ábra bemutatja a jogosultsági szintű hozzáférések feltörése esetén lehetséges támadási felületet.
Identitáskezelési vezérlősík
Az identitás-vezérlési sík az a réteg, amely meghatározza és szabályozza, hogy ki rendelkezhet kiemelt szerepkörökkel, és hogy ezek a jogosultságok hogyan vannak hozzárendelve, emelve és visszavonva a szervezeten belül. A kiemelt hozzáférési környezetekben kiemelt identitásokat, szerepkör-hozzárendeléseket és jóváhagyott jogosultságszint-emelési útvonalakat is tartalmaz, amelyek az összes többi vezérlő alapját képezik.
Az identitásvezérlő sík biztonságossá tétele biztosítja, hogy a jogosultság explicit, időhöz kötött, szigorúan hitelesített és naplózásra alkalmas legyen, megakadályozva a teljes környezetet végső soron vezérlő rendszerekhez való jogosulatlan vagy ellenőrizetlen hozzáférést.
Az alábbi ábra azt mutatja be, hogy a vezérlősík központilag felügyelt a felhőszolgáltatásokban (Microsoft Entra ID, Intune, Defender végponthoz), és csak emelt szintű hozzáférési munkaállomáson (PAW) keresztül érhető el, ami az összes kiemelt művelet elkülönítését, vezérlését és biztonságos felügyeletét kényszeríti ki.
Vezérlősík szerepkörei
A Microsoft Entra ID kiváltságosként azonosított szerepkörökkel és jogosultságokkal rendelkezik.
Ezek a szerepkörök és engedélyek a címtárerőforrások felügyeletének más felhasználókra történő delegálására, hitelesítő adatok módosítására, hitelesítési vagy engedélyezési szabályzatok módosítására vagy korlátozott adatok elérésére használhatók. A jogosultsági szerepkörök kiosztása a jogosultságok megemeléséhez vezethet, ha nem biztonságos és rendeltetésszerű módon használják.
- Tekintse át a kiemelt jogosultságú Microsoft Entra-szerepköröket.
- További információ a kiemelt szerepkörök megtekintéséről és használatáról.
Különleges jogosultsággal rendelkező munkaállomások
A Privileged Access Workstation (PAW) egy dedikált, edzett eszköz, amelyet csak rendszergazdai feladatok végrehajtására használnak. Ez elkülönül a hagyományos felhasználói eszközöktől, és szigorúan védett, hogy csökkentse a hitelesítő adatok ellopásának, a kártevőknek vagy az oldalirányú mozgásnak a kockázatát. A PAW-k olyan kulcsvédelmet kényszerítenek ki, mint például:
- Erős hitelesítés (például Vállalati Windows Hello)
- Eszközvédelem megerősítése (Credential Guard, Device Guard, Exploit Guard, AppLocker)
- Korlátozott használat (nincs általános böngészési vagy termelékenységi tevékenység)
A cél annak biztosítása, hogy a kiemelt hitelesítő adatok és műveletek soha ne legyenek kitéve a nem megbízható környezeteknek.
Az alábbi ábra bemutatja, hogy a PAW az egyetlen megbízható hozzáférési pont a vezérlősíkhoz.
A diagramon látható módon az összes rendszergazdai művelet végigfolyik a PAW-n, és a táblázatban összefoglalt módon van szabályozva.
| Vezérlő | Megvalósítás |
|---|---|
| Expliciten vezérelt | A rendszergazdai hozzáférést csak szabályzatalapú identitásvezérlők biztosítják, amelyek erős hitelesítést és jóváhagyott, időhöz kötött jogosultságszint-emelést igényelnek. Az eszközállapotnak a hozzáférés engedélyezése előtt meg kell felelnie a megfelelőségi követelményeknek is. |
| Elkülönítve a normál tevékenységtől | A kiemelt műveletek szigorúan ellenőrzött használattal és kapcsolattal rendelkező dedikált PAW-eszközökre korlátozódnak. A PAW-t nem használják általános hatékonyságra, korlátozott internet-hozzáféréssel és a bizalmas rendszerekhez való biztonságos távoli kapcsolattal. |
| Folyamatosan figyelve | A rendszer folyamatosan gyűjti és elemzi az identitástevékenységeket, az eszközállapotokat és a végpont viselkedését, lehetővé téve a rendellenes emelt szintű tevékenységek észlelését és a gyors reagálást. |
| Feltételezhetően célba vett | A környezet meg van erősítve és folyamatosan érvényesítve, feltéve, hogy a támadók kiemelt hozzáférést céloznak meg. Az eszközök naprakészek, a rendszer biztonságos rendszerindítást kényszerít. |
Következő lépések
Emelt szintű hozzáférési architektúra üzembe helyezése.