Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'accesso con privilegi si trova nel modello di accesso aziendale e fornisce l'unico percorso amministrativo al piano di controllo. Definisce chi può configurare i sistemi, gestire le identità, applicare la sicurezza e infine definire l'ambiente tecnologico dell'organizzazione.
Nelle aziende moderne, un numero relativamente ridotto di identità: amministratori, account di servizio e ruoli del piano di controllo hanno potenza e accesso alla maggior parte degli asset aziendali. Queste identità possono:
- Modificare i controlli di accesso
- Modificare le configurazioni di sistema
- Accedere ai dati sensibili
- Disabilitare o ignorare le protezioni di sicurezza
Gli attaccanti lo sanno. Invece di attaccare ogni sistema singolarmente, si concentrano su:
- Furto di credenziali.
- Elevazione dei privilegi.
- Spostarsi successivamente verso ruoli di valore elevato.
Una volta ottenuto l'accesso con privilegi, l'utente malintenzionato può operare con velocità e scalabilità.
Ecco perché i modelli di sicurezza moderni gestiscono l'accesso con privilegi in modo diverso:
- Deve essere controllato in modo esplicito. Ad esempio, definire i ruoli con privilegi e l'onboarding tramite identity governance e privileged identity management (PIM), richiedendo l'approvazione e l'elevazione con limiti di tempo anziché assegnazioni di ruolo permanenti.
- Deve essere isolato dalla normale attività. Ad esempio, usare account amministrativi separati e dispositivi con accesso con privilegi dedicati ,in modo che le azioni con privilegi non si verifichino mai da sessioni utente standard o dispositivi non gestiti.
- Deve essere monitorato continuamente. Ad esempio, inviare accessi con privilegi, attivazioni dei ruoli e modifiche ai criteri agli strumenti di monitoraggio come Microsoft Sentinel per rilevare modelli di utilizzo insoliti e attivare avvisi o risposta automatica.
- È necessario concordare che l'accesso con privilegi sia un obiettivo primario di compromissione. Ad esempio, proteggere tutti gli account privilegiati con un'autenticazione a più fattori robusta (MFA), senza accesso permanente e con controlli per gli account break-glass, presumendo che gli attaccanti tentino il furto di credenziali e l'escalation dei privilegi.
La protezione dell'accesso con privilegi richiede un'analisi oltre i soli ruoli e gli account per comprendere tutti i componenti con accesso con privilegi. Sono inclusi:
- Piano di controllo delle identità.
- Dispositivi, app e interfacce con privilegi.
- Sistemi intermedi come VPN, PIM e sistemi PAM (Privileged Access Management).
Insieme, questi definiscono il modo in cui viene esercitato il controllo e come deve essere protetto.
L'immagine seguente illustra la potenziale superficie di attacco per la compromissione dell'accesso con privilegi.
Piano di controllo delle identità
Il piano di controllo delle identità è il livello che definisce e controlla chi può avere ruoli con privilegi e come vengono assegnati, elevati e revocati all'interno dell'organizzazione. In un contesto di accesso con privilegi include identità privilegiate, assegnazioni di ruolo e percorsi di elevazione approvati, formando le basi da cui dipendono tutti gli altri controlli.
La protezione del piano di controllo delle identità garantisce che i privilegi siano espliciti, associati al tempo, autenticati e controllabili, impedendo l'accesso non autorizzato o non controllato ai sistemi che controllano infine l'intero ambiente.
Il diagramma seguente mostra che il piano di controllo è gestito centralmente nei servizi cloud (Microsoft Entra ID, Intune, Defender per endpoint) e può essere accessibile solo tramite una workstation con accesso con privilegi (PAW), applicando isolamento, controllo e amministrazione sicura di tutte le operazioni con privilegi.
Ruoli del piano di controllo
Microsoft Entra ID ha ruoli e autorizzazioni identificati come con privilegi.
Questi ruoli e autorizzazioni possono essere utilizzati per delegare la gestione delle risorse della directory ad altri utenti, modificare credenziali, politiche di autenticazione o autorizzazione, o accedere a dati limitati. Le assegnazioni di ruolo con privilegi possono comportare l'elevazione dei privilegi se non vengono usate in modo sicuro e previsto.
- Esaminare i ruoli con privilegi di Microsoft Entra.
- Altre informazioni sulla visualizzazione e sull'uso dei ruoli con privilegi.
Workstation ad accesso privilegiato
Una workstation con accesso con privilegi (PAW) è un dispositivo dedicato e con protezione avanzata usato solo per l'esecuzione di attività amministrative. È separato dai normali dispositivi utente ed è strettamente protetto per ridurre il rischio di furto di credenziali, malware o spostamento laterale. Le workstation con accesso privilegiato (PAW) impongono protezioni fondamentali per le chiavi, quali:
- Autenticazione avanzata (ad esempio, Windows Hello for Business)
- Protezione avanzata dei dispositivi (Credential Guard, Device Guard, Exploit Guard, AppLocker)
- Utilizzo limitato (nessuna attività generale di esplorazione o produttività)
L'obiettivo è garantire che le credenziali e le azioni con privilegi non vengano mai esposte agli ambienti non attendibili.
Il diagramma seguente mostra come il PAW sia l'unico punto di accesso attendibile al piano di controllo.
Come illustrato nel diagramma, tutte le azioni amministrative passano attraverso il PAW e sono controllate secondo quanto riepilogato nella tabella.
| Controllo | Implementazione |
|---|---|
| Controllato in modo esplicito | L'accesso amministrativo viene concesso solo tramite controlli di identità basati su criteri, che richiedono l'autenticazione avanzata e l'elevazione con limiti di tempo approvati. Lo stato del dispositivo deve soddisfare anche i requisiti di conformità prima che sia consentito l'accesso. |
| Isolato dall'attività normale | Le operazioni con privilegi sono limitate a un dispositivo PAW dedicato con uso e connettività strettamente controllati. La PAW non viene utilizzata per attività produttive generiche e dispone di un accesso a Internet limitato e di una connettività remota sicura ai sistemi sensibili. |
| Monitoraggio continuo | Tutte le attività di identità, lo stato del dispositivo e il comportamento degli endpoint vengono raccolti e analizzati continuamente, consentendo il rilevamento di attività con privilegi anomali e risposta rapida. |
| Si presume che sia mirato | L'ambiente è sottoposto a hardening e convalidato continuamente, partendo dal presupposto che gli attaccanti prendano di mira l'accesso privilegiato. I dispositivi vengono mantenuti aggiornati e viene applicato il bootstrap sicuro. |
Passaggi successivi
Distribuire un'architettura di accesso con privilegi.