Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fa parte della guida implementare una soluzione di architettura con accesso con privilegi .
L'accesso con privilegi presenta un rischio critico per la sicurezza nella maggior parte delle organizzazioni perché consente il controllo diretto sui sistemi di identità, sui piani di controllo cloud e sugli asset critici per l'azienda.
Informazioni su come un'architettura di accesso con privilegi sicuri svolge un ruolo fondamentale nello scenario aziendale: proteggere gli asset aziendali critici , riducendo questo rischio e rafforzando il controllo sui sistemi sensibili.
Questo articolo illustra come implementare la fase 1 della soluzione Implementare un'architettura con accesso con privilegi . Questa fase protegge il piano di controllo delle identità definendo e proteggendo identità privilegiate, assegnazioni di ruolo e percorsi di elevazione autorizzati.
È importante implementare prima la fase 1. Le fasi successive che proteggono i dispositivi di accesso con privilegi, applicano i criteri di accesso condizionale e monitorano l'accesso con privilegi dipendono dalla presenza di un piano di controllo delle identità pulito e ben regolato.
Obiettivi di protezione
La fase 1 garantisce che l'accesso con privilegi sia:
- Esplicito: concedere privilegi solo tramite percorsi di elevazione definiti. Non renderlo mai implicito o accidentale.
- Temporaneo: il privilegio scade automaticamente.
- Autenticazione avanzata: richiedere l'autenticazione avanzata per l'elevazione dei privilegi.
- Controllabile: registrare tutte le modifiche ai privilegi e le elevazioni dei privilegi.
- Ripristinabile: fornire l'accesso di emergenza senza indebolire i controlli.
Ambito di protezione
La fase 1 è incentrata su due componenti fondamentali dell'accesso con privilegi:
Identità con privilegi: identità che possono eseguire azioni con privilegi, tra cui:
- Account utente amministrativi dedicati
- Gruppi amministrativi
- Principali di servizio e identità gestite
- Assegnazioni di ruolo di Azure RBAC
- Account di accesso di emergenza (break-glass) (se non esistono).
Percorsi di elevazione autorizzati: meccanismi che consentono agli utenti di passare da stati senza privilegi a stati con privilegi, ad esempio:
- Attivazione del ruolo a tempo determinato con - Privileged Identity Management (PIM)
- Flussi di lavoro di approvazione per i ruoli sensibili
- Sessioni amministrative esplicite
Accesso di ripristino di emergenza: configurazione degli account break-glass se non esistono già.
Questi componenti operano nel piano di controllo. Se vengono compromessi, gli aggressori possono concedersi un accesso privilegiato senza intervenire su dispositivi o criteri di accesso.
Rischi mitigati
| Rischio | Perché è importante | Mitigazione della fase 1 |
|---|---|---|
| Creazione non controllata di identità con privilegi | Gli attaccanti creano nuovi account amministratore o assegnazioni di ruoli senza essere notati. | Stabilire identità e ruoli con privilegi autorevoli. Limitare gli utenti che possono gestire i sistemi di gestione delle identità. Considerare i sistemi di identità come asset con privilegi. |
| Escalation dei privilegi invisibile all'utente | Privilegio ottenuto tramite gruppi, RBAC o assegnazioni annidate. | Razionalizzare i ruoli, usare le assegnazioni basate sui gruppi, rimuovere l'accesso permanente. |
| Accesso amministrativo permanente (permanente) | Le credenziali rubate mantengono i privilegi permanenti. | Sostituire i privilegi permanenti con l'elevazione con limite di tempo. |
| Percorsi di elevazione deboli o impliciti | Gli utenti malintenzionati usano gli stessi percorsi degli amministratori. | Definire flussi di lavoro sicuri, espliciti e controllabili per l'elevazione dei privilegi |
| Bypass delle protezioni downstream | Privilegi ottenuti prima dell'applicazione del dispositivo o dei criteri. | Piano di controllo delle identità protetto per primo. |
| Compromissione irreversibile dell'identità | Nessun modo sicuro per riprendere il controllo. | Creare account di accesso di emergenza protetti. |
| Postura di sicurezza dell'identità bassa | I controlli di identità deboli compromettono tutte le fasi successive. | Aumentare il livello di sicurezza dei sistemi di gestione delle identità. |
Risultati della fase
Dopo aver completato questa fase:
- L'accesso con privilegi è associato a identità e ruoli noti ed espliciti.
- Tutti i privilegi sono temporanei, controllabili e intenzionali.
- L'accesso amministrativo permanente viene rimosso.
- I sistemi di gestione delle identità vengono considerati asset privilegiati.
- Il ripristino dalla compromissione dell'identità è possibile senza indebolire i controlli.
- Non viene introdotto alcun nuovo rischio con privilegi durante la modernizzazione.
Questa fase interrompe anche la creazione di nuovi rischi con privilegi mentre il controllo e la modernizzazione continuano.
Prerequisiti
Prima di iniziare a configurare la fase 1, tenere presente i prerequisiti seguenti:
Esaminare la documentazione:
- Vedere l'articolo di panoramica per questa soluzione.
- Esaminare l'articolo sulla pianificazione per concordare i ruoli e le identità che eseguono il lavoro con privilegi.
All'interno dell'organizzazione:
- Assicurarsi di avere un tenant Microsoft Entra ID attivo di cui si è proprietari. Abbiamo consigliato Microsoft Entra ID P2 (per la governance delle identità con privilegi).
- Questa soluzione presuppone che tu abbia Microsoft 365 Enterprise E5. Per altre informazioni, vedere Microsoft 365 Licenze Enterprise.
- Assicurarsi di avere almeno due account di accesso di emergenza definiti.
- Responsabilità chiare per la governance delle identità e la gestione dei ruoli.
- La creazione di account amministratore sicuri li espone alla workstation usata durante l'installazione. Assicurarsi che la configurazione iniziale venga eseguita da un dispositivo sicuro noto.
Passaggio 1: Controllare l'accesso con privilegi
Stabilire un inventario completo delle identità con privilegi e dei percorsi di accesso. Controllare le origini seguenti.
| Fonte | Dettagli |
|---|---|
| ruoli della directory Microsoft Entra | Identificare i ruoli con privilegi che possono portare direttamente o indirettamente alla dominanza del tenant modificando i limiti di identità, accesso o trust nel piano di controllo delle identità. Per ogni ruolo: - Identificare le assegnazioni dirette e basate su gruppi. - Identificare le assegnazioni permanenti e idonee a PIM - Acquisisci lo stato di attivazione corrente. |
| Privilegio basato su gruppo | Scopri chi è privilegiato indirettamente e verrebbe trascurato se si considerano solo gli utenti. - Esaminare l'appartenenza a gruppi annidati - Identificare utenti, entità servizio e identità gestite - Registrare la modalità di ereditarietà dei privilegi. |
| Ruoli RBAC di Azure | Scopri cosa possono fare queste identità con privilegi all'esterno della directory stessa. Verificare le assegnazioni negli ambiti di gruppo di gestione, sottoscrizione e risorse. Identificare le identità con autorizzazioni ampie o a catena. |
| Identità non umane | Individuare quali identità non umane fanno parte del percorso di accesso con privilegi, tra cui: Principali di servizio e identità gestite Account e script di automazione Autorizzazioni dell'applicazione controllate dal tenant o dalla risorsa. |
Il risultato è un inventario autorevole delle identità con privilegi.
Identifica i ruoli della directory
Controllare chi può modificare l'identità, l'autenticazione o la configurazione a livello di tenant.
Nel Microsoft Entra Admin Center, passare a Entra ID>Ruoli e amministratori.
Selezionare Tutti i ruoli. Questa pagina elenca tutti i ruoli predefiniti e personalizzati della directory Microsoft Entra, inclusi i ruoli di amministratore a livello di tenant, ad esempio Amministratore globale e Amministratore ruolo con privilegi.
- I ruoli con privilegi possono assegnare ruoli, modificare sicurezza/autenticazione o gestire app, dispositivi o criteri di sicurezza.
- Nella documentazione è disponibile anche un elenco completo dei ruoli predefiniti con privilegi.
Per ogni ruolo con privilegi, controllare innanzitutto le assegnazioni dirette. Per ogni entità con assegnazione diretta (utente, gruppo o entità servizio (app o identità gestita)), verificare come è stato assegnato il ruolo e il relativo stato corrente.
- Un'assegnazione permanente significa che il ruolo è sempre attivo. Un'identità accede ed è già privilegiata con uno stato Attivo (permanente). Questo è ovviamente ad alto rischio.
- Un'assegnazione idonea per PIM significa che il ruolo è disponibile ma non è attivo finché non viene attivato. L'utente deve attivare il ruolo. In genere è limitato al tempo e spesso richiede una giustificazione. Lo stato può essere Attivo o Idoneo se l'utente può diventare con privilegi ma non è attualmente attivato.
Passare ora alle assegnazioni di gruppo. Questo aspetto è importante perché controlla i privilegi assegnati indirettamente tramite i gruppi.
Aprire ogni gruppo a cui è assegnato il ruolo con privilegi.
Espandi i membri del gruppo, espandi i gruppi annidati e registra utenti, entità di servizio e identità gestite.
Per ogni identità verificare come viene mantenuto il privilegio:
- Il ruolo viene assegnato tramite un gruppo o un gruppo annidato?
- Il ruolo è permanente o idoneo per il PIM?
- Qual è lo stato corrente?
Dopo aver completato questo passaggio, è stato acquisito il piano di controllo delle identità e si dispone di un inventario autorevole delle identità con privilegi per Microsoft Entra.
Identificare i ruoli del controllo degli accessi in base al ruolo di Azure
Ora che si conoscono le identità con privilegi, è possibile verificare le operazioni che possono eseguire all'esterno della directory Microsoft Entra. In quale altro ambito esercitano il controllo e con quale portata?
Per ogni entità con privilegi identificata, determinare i ruoli.
Iniziare dall'ambito più alto (gruppi di gestione).
- Nel portale di Azure >Gruppi di gestione passare a **Controllo di accesso (IAM) >Assegnare ruolo.
- Usare Filtro>assegnato a e cercare il nome dell'entità.
- Registrare tutti i risultati, inclusi il nome del ruolo e l'ambito.
Se qui sono presenti identità, significa che dispongono di ampi privilegi di controllo in Azure, poiché i ruoli di Azure RBAC assegnati nell'ambito del gruppo di gestione si estendono a tutte le sottoscrizioni e le risorse figlie.
Seguire ora le stesse procedure per Azure portal >Subscriptions.
Le identità con ruoli di Azure RBAC assegnati a livello della sottoscrizione sono privilegiate e possono concedere o delegare l'accesso.
Se le identità non sono state trovate a livello di gruppo di gestione o sottoscrizione, è possibile controllare a livello di gruppi di risorse la stessa procedura nel portale di Azure >Gruppi di risorse.
È anche possibile verificare se le entità hanno il controllo sulle singole risorse strategiche, ad esempio Insiemi di credenziali delle chiavi, account di archiviazione, macchine virtuali o account di automazione. A tale scopo, selezionare Controllo di accesso (IAM)>Assegnato a per ogni singola risorsa.
Registrare i risultati
Per ciascun account identificato, riportare i dettagli di audit in una tabella di mappatura.
Identificare gli account ad alto rischio con privilegi estesi e creare una tabella di mappatura che fornisca informazioni sull'ambito del ruolo (raggio d'impatto) e sul tipo di attività.
Conto Entra Ruolo ruolo RBAC di Azure Scope Lavoro con privilegi alice@contoso.com Amministratore globale Proprietario Sub1, Sub2 Gestire utenti, ruoli, sottoscrizioni. Per aggiungere altre informazioni sul comportamento osservato per un account, è possibile:
- Esaminare i log di accesso per informazioni su app, endpoint client e flussi di autenticazione.
- Correlare le informazioni con i log di audit e delle attività per verificare se un account viene utilizzato e se ha modificato i criteri, le risorse/sottoscrizioni o svolto altre attività.
Passaggio 2: Valutare la configurazione esistente
Con l'inventario sul posto, è possibile usare lo strumento di valutazione Zero Trust per valutare la configurazione dell'accesso con privilegi nell'ambiente e identificare le lacune nel controllo.
Anche se lo strumento valutazione non sostituisce un inventario completo, usa i dati di ruolo e dei criteri come input per comprendere se:
- I ruoli con privilegi sono protetti (MFA, accesso condizionale).
- L'accesso con privilegi è regolato (PIM, MODELLI JIT/JEA).
- I criteri vengono applicati in modo coerente.
- Esistono gap tra identità, dispositivi e criteri di accesso.
Altre informazioni sulla valutazione dell'identità con lo strumento.
Passaggio 3: Stabilire identità amministrative dedicate
Rimuovere i ruoli con privilegi dagli account utente standard.
Creare account amministrativi dedicati che:
- Vengono usati solo per le attività con privilegi
- Nessun accesso agli strumenti di produttività (posta elettronica, Teams, navigazione)
- Sono idonei per i privilegi tramite PIM, non assegnati in modo permanente
Rimuovere tutte le assegnazioni di ruolo con privilegi dalle identità utente standard.
Creare account amministratore
- Nell'interfaccia di amministrazione Microsoft Entra passare a Microsoft Entra ID>Users.
- Selezionare Nuovo utente e configurare le impostazioni utente. quindi selezionare Crea.
- Nome: Amministratore della workstation sicura.
- Nome utente principale:secure-ws-admin@contoso.com
- Metodo di autenticazione: password (temporanea).
- Ruoli della directory: non assegnare.
- Posizione di utilizzo: impostare su posizione operativa.
In questo modo è disponibile un'identità di amministratore pulita senza privilegi.
Passaggio 4: Creare le identità per le PAW
Nelle procedure successive si configura una workstation di amministrazione con privilegi (PAW).
Se si desidera definire identità che possono accedere alle PAW, ma che non possono eseguire azioni con privilegi, è possibile:
- Creare un'identità che possa accedere solo ai PAW.
- Creare un gruppo di sicurezza che controlla chi è autorizzato ad accedere alle workstation PAW.
- Questo gruppo non concede mai diritti di amministratore. Viene usato per:
- Accesso condizionale, tra cui consentire solo agli utenti di Secure Workstation di accedere alle PAW e bloccare gli altri utenti.
- Applicazione di licenze PAW specifiche basate su gruppi.
- I membri tipici di questo gruppo includono analisti, operatori e revisori SOC.
- Questo gruppo non concede mai diritti di amministratore. Viene usato per:
Creare un'identità di accesso
- Nell'interfaccia di amministrazione Microsoft Entra passare a Microsoft Entra ID>Users.
- Selezionare Nuovo utente e configurare le impostazioni utente. Successivamente, seleziona Crea.
- Nome: Utente della workstation protetta
- Nome utente principale:secure-ws-user@contoso.com
- Ruoli della directory: non assegnare
Creare un gruppo di sicurezza per l'accesso PAW
Configurare un gruppo che determina chi può effettuare l'accesso alle PAW
Nell'interfaccia di amministrazione Microsoft Entra passare a Microsoft Entra ID>Groups>Nuovo gruppo.
Configurare le impostazioni del gruppo e quindi selezionare Crea.
- Tipo di gruppo: Sicurezza
- Nome gruppo: Utenti workstation protette
- Appartenenza: assegnata
Aggiungere solo identità di accesso PAW al gruppo, non amministratori per impostazione predefinita.
Passaggio 5: Creare gruppi di controllo amministrativi
Creare gruppi di sicurezza che definiscono chi è idoneo per i ruoli con privilegi. Questi gruppi:
- Sono contrassegnati come assegnabili a un ruolo
- Vengono gestiti tramite PIM
- Non concedere privilegi solo per appartenenza
- Fungere da limiti di autorizzazione per l'elevazione dei privilegi
Le modifiche all'appartenenza vengono considerate come azioni con privilegi ed esaminate regolarmente
Nell'interfaccia di amministrazione Microsoft Entra passare a Microsoft Entra ID>Groups>Nuovo gruppo.
Configurare le impostazioni del gruppo e quindi selezionare Crea.
- Tipo di gruppo: Sicurezza
- Nome: Secure Workstation Admins
- Tipo di appartenenza: assegnato
Aggiungere identità dedicate di amministratore. Non usare account standard e considerare le modifiche di appartenenza come sensibili. Rivedere regolarmente.
Questo gruppo verrà successivamente:
- Contrassegnato come assegnabile al ruolo
- Ruoli di directory assegnati tramite PIM come idonei (non attivi)
- Usare come meccanismo di destinazione principale per i criteri di accesso con privilegi
Passaggio 6: Configurare PIM
Se Privileged Identity Management non è già abilitato, eseguire questa operazione.
Assicurati di aver effettuato l'accesso come Global Administrator o Privileged Role Administrator.
Abilitare PIM per i ruoli della directory
- Nell'interfaccia di amministrazione di Microsoft Entra passare a Identity governance>Privileged Identity Management.
- Selezionare Ruoli di Microsoft Entra.
Rimuovi ruoli permanenti
In ruoli di Microsoft Entra, seleziona Ruoli.
Aprire i ruoli di accesso con privilegi identificati per l'organizzazione.
Il set minimo consigliato da Microsoft è il seguente: - Amministratore globale - Amministratore ruolo con privilegi - Amministratore del ruolo con privilegi - Amministratore della sicurezza - Amministratore Exchange - Amministratore SharePoint
Selezionare Assegnazioni.
Per ogni assegnazione attiva (permanente):
- Rimuovere l'assegnazione permanente
- Aggiungere nuovamente l'utente o il gruppo come Idoneo.
Successivamente, gli utenti non dispongono dei privilegi di amministratore a meno che non li attivino.
Configurare le impostazioni di attivazione
Per ogni ruolo con privilegi, eseguire le operazioni seguenti:
In PIM>Microsoft Entra roles, selezionare Impostazioni.
Selezionare il ruolo >Modifica.
Configurare le impostazioni:
- Richiedi attivazione
- Richiedere l'autenticazione a più fattori all'attivazione
- Richiedi una giustificazione
- Impostare la durata massima dell'attivazione (ad esempio: 1-4 ore per i ruoli con impatto elevato)
- Richiedere l'approvazione (per amministratore globale, amministratore ruolo con privilegi, amministratore della sicurezza)
- Selezionare uno o più approvatori
Selezionare Aggiorna.
Usare le assegnazioni di ruolo basate su gruppo
È consigliabile assegnare ruoli a gruppi, non a singoli utenti, per la scalabilità e la governance.
Creare un gruppo di sicurezza assegnabile a un ruolo e assegnarlo a un ruolo di Entra, ad esempio Amministratore di Exchange. Gestire quindi l'appartenenza (chi può ottenere il ruolo) tramite il processo di governance e, facoltativamente, tramite PIM per i gruppi.
- Creare un gruppo di sicurezza con l'impostazione i ruoli di Microsoft Entra possono essere assegnati a questo gruppo abilitata.
- In PIM >Microsoft Entra ruoli selezionare Aggiungi assegnazioni.
- Assegna al gruppo lo stato di Idoneo per il ruolo.
- Aggiungere o rimuovere utenti dal gruppo anziché modificare direttamente le assegnazioni di ruolo.
Questo gruppo diventa il limite di autorizzazione per l'accesso con privilegi.
Al termine del passaggio 6, è configurato quanto segue:
- Nessun accesso amministrativo permanente
- Il privilegio viene richiesto, approvato, associato al tempo, registrato
- I percorsi di elevazione sono espliciti e verificabili
Passaggio 7: Configurare gli account di emergenza
Se non si dispone già di account di accesso di emergenza, configurarli ora. Sono necessari per riprendersi da scenari di blocco dell'identità causati da Accesso Condizionale, interruzioni del servizio MFA o una configurazione errata.
Assicurarsi di aver eseguito l'accesso come amministratore globale o amministratore del ruolo con privilegi per creare almeno due account di accesso di emergenza.
- Nell'interfaccia di amministrazione Microsoft Entra passare a Users>Tutti gli utenti.
- Selezionare Nuovo utente e creare un utente solo cloud.
- Usare il dominio *.onmicrosoft.com
- Usare un nome non evidente (non "break glass")
- Assegnare il ruolo Amministratore globale.
- Non rendere questo ruolo idoneo per PIM — deve essere permanente.
- Usare una password complessa e lunga, archiviata in modo sicuro offline.
- Configurare l'autenticazione resistente al phishing (ad esempio, FIDO2/passkey o autenticazione basata su certificati)
- Non associare MFA a un telefono personale o a un indirizzo di posta elettronica.
Ripetere per creare un secondo account di emergenza.
Escludere gli account di emergenza dall'accesso condizionale
Ciò garantisce che il ripristino sia sempre possibile.
Nell'interfaccia di amministrazione Microsoft Entra passare a Protection>Accesso condizionale.
Per ogni criterio:
- Modifica assegnazioni.
- Escludere almeno un account di accesso di emergenza.
Assicurarsi di non escludere gli account amministratore normali, ma solo gli account di emergenza.
Monitorare l'utilizzo degli account di emergenza
Abilitare gli avvisi in:
- Accessi da account di emergenza
- Modifiche del ruolo che coinvolgono questi account
Considerare qualsiasi uso come evento imprevisto di sicurezza a meno che non sia già approvato.
Esaminare periodicamente l'utilizzo.
Al termine del passaggio 7, è configurato quanto segue:
- Il piano di controllo delle identità è recuperabile
- Le fasi successive (PAW, Accesso condizionale) non comporteranno il rischio di un blocco permanente
- L'accesso di emergenza è isolato, monitorato e usato raramente
Passaggi successivi
Dopo aver protetto il piano di controllo delle identità, limitare i luoghi in cui è possibile utilizzare i privilegi con workstation ad accesso privilegiato (PAW) sicure.