Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fa parte della guida implementare una soluzione di architettura con accesso con privilegi .
L'accesso con privilegi presenta un rischio critico per la sicurezza nella maggior parte delle organizzazioni perché consente il controllo diretto sui sistemi di identità, sui piani di controllo cloud e sugli asset critici per l'azienda.
Informazioni su come un'architettura di accesso con privilegi sicuri svolge un ruolo fondamentale nello scenario aziendale: proteggere gli asset aziendali critici , riducendo questo rischio e rafforzando il controllo sui sistemi sensibili.
Questo articolo descrive la fase 3 dell'implementazione. Applica i criteri di accesso con privilegi per limitare la posizione in cui è possibile usare le identità con privilegi.
Utilizzando i segnali dei dispositivi attendibili definiti nella fase 2, si configura l'accesso condizionale in modo che i ruoli privilegiati, i portali e le interfacce di gestione possano essere usati solo da workstation per l'accesso privilegiato (PAW) approvate e a basso rischio.
Obiettivi di protezione
La fase 3 applica gli obiettivi di protezione seguenti:
- Assicurarsi che le credenziali con privilegi non possano essere usate dai dispositivi non PAW.
- I portali e le interfacce di amministrazione sono raggiungibili solo da dispositivi conformi a basso rischio.
- L'accesso con privilegi richiede l'autenticazione avanzata dell'utente e l'attendibilità del dispositivo verificata.
- Restringere l'accesso alle interfacce amministrative (portali, API, PowerShell) alle PAW autorizzate.
- Le credenziali rubate non possono essere riutilizzate da endpoint standard o non gestiti.
- I percorsi di accesso con privilegi sono espliciti, controllabili e applicabili.
Ambito di protezione
La fase 3 protegge le interfacce di accesso con privilegi e i flussi di lavoro attraverso i quali si verificano azioni con privilegi, tra cui:
- Portali di gestione cloud (portale di Azure, Interfaccia di amministrazione di Microsoft Entra, interfaccia di amministrazione di Microsoft 365)
- Portali di gestione della sicurezza (portali Microsoft Defender)
- Utilizzo e attivazione dei ruoli con privilegi (inclusi i ruoli controllati da PIM)
- Sessioni del browser di amministrazione
- Percorsi di uscita di rete usati dai dispositivi con privilegi
La fase 3 non riconfigura i dispositivi o le identità. Applica i criteri usando gli output delle fasi 1 e 2.
Rischi mitigati
| Rischio | Perché è importante | Mitigazione della fase 3 |
|---|---|---|
| Credenziali con privilegi riutilizzate da dispositivi non PAW | L'autenticazione a più fattori e le approvazioni non impediscono agli utenti malintenzionati di riutilizzare token o credenziali rubati nelle workstation standard compromesse. | L'accesso condizionale richiede che gli utenti con ruoli privilegiati si autentichino solo da PAW conformi e a basso rischio. |
| Accesso con privilegi da dispositivi ad alto rischio o senza patch | Un dispositivo vulnerabile consente agli utenti malintenzionati di esercitare immediatamente il controllo amministrativo. | Le decisioni di accesso valutano la conformità di Intune e il livello di rischio di Microsoft Defender per endpoint prima di concedere l'accesso privilegiato. |
| Portali amministrativi accessibili da dispositivi BYOD o non gestiti | I piani di controllo cloud diventano raggiungibili dai dispositivi esterni al controllo dell'organizzazione. | Accesso condizionale limita l'accesso ai portali amministrativi alle PAW, bloccando l'accesso da dispositivi non PAW. |
| Ignorare i portali protetti usando interfacce alternative | Gli utenti malintenzionati possono evitare controlli usando PowerShell, API o endpoint di amministrazione alternativi. | L'applicazione è coerente in tutte le interfacce amministrative, non soltanto nei portali principali. |
| Attivazione dei ruoli con privilegi dalle workstation compromesse | I flussi di lavoro di approvazione possono essere dirottati se si verifica l'attivazione dei ruoli in un dispositivo non sicuro. | L'attivazione dei ruoli PIM e l'utilizzo dei ruoli vengono applicati tramite gli stessi requisiti di attendibilità dei dispositivi per l'accesso condizionale. |
| Le credenziali concedono solo l'accesso con privilegi | Le protezioni basate esclusivamente sull’identità presuppongono un ambiente di esecuzione affidabile. | La fase 3 associa le condizioni di identità, dispositivo e interfaccia, in modo che le credenziali da sole non siano sufficienti. |
| Mancanza di visibilità nell'applicazione | Senza l'imposizione dei criteri, è difficile dimostrare che l'accesso con privilegi è vincolato. | Le decisioni sull'accesso condizionale e i dati di telemetria Defender forniscono prove di applicazione osservabili e controllabili. |
| Escalation rapida dopo la compromissione della workstation | Gli attaccanti passano rapidamente da un dispositivo compromesso al controllo dell’intera azienda. | La fase 3 garantisce che le credenziali rubate non possano essere utilizzate al di fuori delle PAW, interrompendo i comuni percorsi di escalation. |
Risultati della fase
Dopo aver completato la fase 3:
- I ruoli privilegiati e i portali di amministrazione sono accessibili solo da workstation PAW conformi e a basso rischio.
- L'accesso condizionale blocca l'accesso con privilegi da dispositivi non PAW.
- La conformità dei dispositivi e i segnali di rischio di Microsoft Defender per endpoint sono elementi necessari per le decisioni di accesso.
- L'accesso con privilegi viene applicato tra i livelli di identità, dispositivo e interfaccia.
- I tentativi di accesso vengono registrati, osservabili e controllabili.
Prerequisiti
Prima di configurare le procedure in questo articolo:
- Completare le istruzioni della fase 1 per proteggere il piano di controllo delle identità.
- Completate Fase 2 per implementare e mettere in sicurezza le workstation PAW.
- Assicurarsi che la conformità del dispositivo e l'integrazione con Defender for Endpoint siano attive.
Passaggio 1: Richiedere l'autenticazione a più fattori e l'attendibilità dei dispositivi per l'accesso con privilegi
Assicurarsi che l'accesso con privilegi richieda l'autenticazione avanzata degli utenti e i dispositivi attendibili.
- Nell'interfaccia di amministrazione Microsoft Entra passare a Protection>Accesso condizionale>Policies.
- Selezionare Crea nuovo criterio.
- In Assegnazioni>Gli utenti configurano queste impostazioni:
- Includere ruoli della directory con privilegi, ad esempio Amministratore globale, Amministratore della sicurezza.
- Escludere il gruppo break-glass di emergenza.
- In Assignments>Cloud apps sono incluse applicazioni di gestione del cloud come portale di Azure, Interfaccia di amministrazione di Microsoft Entra, interfaccia di amministrazione di Microsoft 365 e i portali di Defender.
- In Controlli di accesso, concedi l'accesso con queste impostazioni:
- Richiedere l'autenticazione a più fattori
- Richiedere che i dispositivi vengano contrassegnati come conformi
- Richiedere che il rischio del dispositivo in Microsoft Defender per endpoint = Basso
- Abilitare la politica.
Passaggio 2 - Limitare i portali amministrativi alle PAW
Assicurarsi che i portali amministrativi siano raggiungibili solo da PAW conformi.
- Nell'interfaccia di amministrazione Microsoft Entra passare a Protection>Accesso condizionale>Policies.
- Selezionare Crea nuovo criterio per creare un criterio aggiuntivo.
- In Assegnazioni>Gli utenti configurano queste impostazioni:
- Includere ruoli della directory con privilegi, ad esempio Amministratore globale, Amministratore della sicurezza.
- Escludere il gruppo break-glass di emergenza.
- In Assegnazioni>App cloud includono le applicazioni amministrative usate per l'accesso con privilegi nell'ambiente in uso.
- In Controlli di accesso, concedi l'accesso con queste impostazioni:
- Richiedere che i dispositivi vengano contrassegnati come conformi
- Richiedi Microsoft Defender per endpoint rischio del dispositivo = basso
- Abilitare la politica.
Passaggio 3- Bloccare l'accesso con privilegi da dispositivi non PAW
Assicurarsi che l'accesso con privilegi ai portali amministrativi sia bloccato dai dispositivi non PAW, anche se tali dispositivi soddisfano i requisiti di conformità generali.
- Nell'interfaccia di amministrazione Microsoft Entra passare a Protection>Accesso condizionale>Policies.
- Selezionare Crea nuovo criterio per creare un terzo criterio.
- In Assegnazioni>Gli utenti configurano queste impostazioni:
- Includere ruoli della directory con privilegi, ad esempio Amministratore globale, Amministratore della sicurezza.
- Escludere gli account di accesso di emergenza designati.
- In Assegnazioni>App cloud sono inclusi gli stessi portali amministrativi.
- In Condizioni selezionare Filtra per i dispositivi.
- Configurare il filtro del dispositivo per i dispositivi non PAW:
- Selezionare Includi dispositivi filtrati:
- Configura un filtro per i dispositivi che identifica i dispositivi non PAW in base all'attributo o alla regola che l'organizzazione usa per distinguere i PAW. Assicurarsi che corrisponda al metodo di identificazione stabilito nella fase 2.
- Selezionare Fine per applicare la condizione di filtro del dispositivo.
- In Controlli di accesso selezionare Blocca accesso.
- Selezionare Crea per abilitare il criterio.
Passaggio 4- Limitare l'accesso alla rete PAW
Limitare l'accesso alla rete PAW solo agli endpoint amministrativi e di gestione necessari. Questa configurazione si basa su regole firewall esplicite per consentire gli endpoint necessari, piuttosto che su autorizzazioni generiche basate sul protocollo.
Nell'interfaccia di amministrazione di Microsoft Intune passare a Endpoint security>Firewall.
Seleziona Crea politica.
Configurare il criterio: - Platform: Windows 10 e versioni successive. 1. Configurare le impostazioni del profilo del firewall:
- Connessioni in ingresso: Blocca
- Connessioni in uscita: consenti (impostazione predefinita, controllata dalle regole seguenti)
In Impostazioni configurare le regole del firewall . Usare le regole del firewall per definire il traffico necessario per l'amministrazione con privilegi.
Creare regole di autorizzazione in uscita per i servizi necessari, ad esempio:
- DNS
- DHCP
- NTP
- Endpoint Microsoft necessari per la gestione del cloud, come Intune e Microsoft Entra ID.
- Endpoint di amministrazione necessari.
Ogni regola deve:
- Specifica direzione: in uscita.
- Specifica Azione: Consenti
- Definire gli endpoint di destinazione (intervalli IP, FQDN o tag di servizio, se supportati)
Assicurarsi che non siano configurate regole di accesso generico, ad esempio HTTP/HTTPS senza restrizioni.
Assegnare il criterio a Dispositivi per workstation sicure (PAWs).
Selezionare Crea per distribuire i criteri.
Questo completa il livello di applicazione dell'accesso privilegiato. L'articolo successivo può essere compilato in base a questo argomento per comprendere i criteri di misurazione, monitoraggio e esito positivo.
Passaggi successivi
Una volta implementato il livello di applicazione dell'accesso privilegiato, il passaggio finale consiste nel configurare il monitoraggio.