Een bastionomgeving plannen

Door een bastionomgeving met een toegewezen beheerforest toe te voegen aan een Active Directory, kunnen organisaties beheerdersaccounts, werkstations en groepen beheren in een omgeving met sterkere beveiligingscontroles dan hun bestaande productieomgeving.

Notitie

De PAM-benadering met een bastionomgeving die door MIM wordt geleverd, is bedoeld om te worden gebruikt in een aangepaste architectuur voor geïsoleerde omgevingen waar internettoegang niet beschikbaar is, waarbij deze configuratie vereist is door regelgeving, of in geïsoleerde omgevingen met hoge impact, zoals offline onderzoekslaboratoria en niet-verbonden operationele technologie of omgevingen voor toezicht op controle en gegevensverwerving. Als uw Active Directory deel uitmaakt van een omgeving met internetverbinding, raadpleegt u het beveiligen van bevoegde toegang voor meer informatie over waar u kunt beginnen.

Met deze architectuur kunt u besturingselementen inschakelen die niet mogelijk of eenvoudig zijn geconfigureerd in één forestarchitectuur. Dit omvat het inrichten van accounts als standaard niet-bevoegde gebruikers in het beheerforest die zeer bevoegd zijn in de productieomgeving, waardoor een grotere technische versterking van governance mogelijk wordt. Deze architectuur maakt het ook mogelijk om de selectieve verificatiefunctie van een vertrouwensrelatie te gebruiken als een manier om aanmeldingen (en referentieblootstelling) te beperken tot alleen geautoriseerde hosts. In situaties waarin een grotere mate van zekerheid gewenst is voor het productieforest zonder de kosten en complexiteit van een volledige herbouw, kan een administratief forest een omgeving bieden die het zekerheidsniveau van de productieomgeving verhoogt.

Naast het toegewezen beheerforest kunnen aanvullende technieken worden gebruikt. Dit omvat het beperken van waar beheerdersreferenties worden weergegeven, het beperken van rolbevoegdheden van gebruikers in dat forest en het garanderen dat beheertaken niet worden uitgevoerd op hosts die worden gebruikt voor standaardgebruikersactiviteiten (bijvoorbeeld e-mail en surfen).

Aandachtspunten voor beste praktijken

Een toegewezen beheerforest is een standaard Active Directory-forest met één domein dat wordt gebruikt voor Active Directory-beheer. Een voordeel van het gebruik van beheerforests en domeinen is dat ze meer beveiligingsmaatregelen kunnen hebben dan productieforests vanwege hun beperkte gebruiksscenario's. Bovendien, omdat dit forest gescheiden is en wantrouwt de bestaande forests van de organisatie, zou een beveiligingsinbreuk in een ander forest zich niet uitbreiden naar dit dedicated forest.

Een beheerforestontwerp heeft de volgende overwegingen:

Beperkt bereik

De waarde van een beheerforest is het hoge beveiligingsniveau en het verminderde kwetsbaarheid voor aanvallen. Het forest kan extra beheerfuncties en -toepassingen bevatten, maar elke toename van het bereik vergroot de kwetsbaarheid voor aanvallen van het forest en de bijbehorende resources. Het doel is om de functies van het forest te beperken om de kwetsbaarheid voor aanvallen minimaal te houden.

Volgens het laagmodel van het partitioneren van beheerdersbevoegdheden, moeten de accounts in een toegewezen beheerforest zich in één laag bevinden, meestal laag 0 of laag 1. Als een forest zich in laag 1 bevindt, kunt u overwegen deze te beperken tot een bepaald toepassingsbereik (bijvoorbeeld financiële apps) of gebruikerscommunity (bijvoorbeeld uitbesteed IT-leveranciers).

Beperkte vertrouwensrelatie

De productie CORP forest moet vertrouwen hebben in het beheer PRIV forest, maar niet andersom. Deze vertrouwensrelatie kan een domeinvertrouwensrelatie of een forestvertrouwensrelatie zijn. Het domein van het admin forest hoeft de domeinen en forests die beheerd worden niet te vertrouwen voor het beheren van Active Directory, maar voor aanvullende toepassingen kan een tweerichtingsvertrouwensrelatie, beveiligingsvalidatie en tests vereist zijn.

Selectieve verificatie moet worden gebruikt om ervoor te zorgen dat accounts in het beheerforest alleen de juiste productiehosts gebruiken. Voor het onderhouden van domeincontrollers en het delegeren van rechten in Active Directory is het doorgaans noodzakelijk om het recht "Allowed to logon" voor domeincontrollers toe te kennen aan toegewezen Tier 0-beheerdersaccounts in het beheerforest. Zie Instellingen voor selectieve verificatie configureren voor meer informatie.

Logische scheiding onderhouden

Om ervoor te zorgen dat de bastionomgeving niet wordt beïnvloed door bestaande of toekomstige beveiligingsincidenten in de Active Directory van de organisatie, moeten de volgende richtlijnen worden gebruikt bij het voorbereiden van systemen voor de bastionomgeving:

  • Windows-servers mogen geen lid zijn van een domein of gebruikmaken van software- of instellingendistributie vanuit de bestaande omgeving.

  • De bastionomgeving moet zijn eigen Active Directory Domain Services bevatten en Kerberos, LDAP, DNS en tijdsynchronisatieservices leveren aan de bastionomgeving.

  • MIM mag geen SQL-databasefarm gebruiken in de bestaande omgeving. SQL Server moet worden geïmplementeerd op toegewezen servers in de bastionomgeving.

  • Voor de bastionomgeving is Microsoft Identity Manager 2016 vereist, met name de MIM-service en PAM-onderdelen moeten worden geïmplementeerd.

  • Back-upsoftware en -media voor de bastionomgeving moeten gescheiden worden gehouden van die van systemen in de bestaande domeinstructuren, zodat een beheerder in een bestaand domein geen backup van de bastionomgeving kan ondermijnen.

  • Gebruikers die de bastionomgevingsservers beheren, moeten zich aanmelden vanaf werkstations die niet toegankelijk zijn voor beheerders in de bestaande omgeving, zodat de referenties voor de bastionomgeving niet worden gelekt.

Beschikbaarheid van beheerservices garanderen

Naarmate het beheer van toepassingen wordt overgezet naar de bastionomgeving, moet u rekening houden met het bieden van voldoende beschikbaarheid om te voldoen aan de vereisten van deze toepassingen. De technieken zijn onder andere:

  • Active Directory Domain Services implementeren op meerdere computers in de bastionomgeving. Ten minste twee zijn nodig om continue verificatie te garanderen, zelfs als één server tijdelijk opnieuw wordt opgestart voor gepland onderhoud. Er kunnen extra computers nodig zijn voor hogere belasting of voor het beheren van resources en beheerders die zijn gebaseerd op meerdere geografische regio's.

  • Bereid break-glass-accounts in het bestaande forest en het toegewezen beheerbos voor noodgevallen voor.

  • Implementeer SQL Server en MIM-service op meerdere computers in de bastionomgeving.

  • Onderhoud een back-upkopie van AD en SQL voor elke wijziging in gebruikers of roldefinities in het toegewezen beheerforest.

De juiste Active Directory-machtigingen configureren

Het beheerforest moet worden geconfigureerd voor minimale bevoegdheden op basis van de vereisten voor Active Directory-beheer.

  • Accounts in het beheerforest die worden gebruikt om de productieomgeving te beheren, mogen geen beheerdersbevoegdheden krijgen voor het beheerforest, de domeinen erin of de werkstations erin.

  • Beheerdersbevoegdheden voor het beheerforest zelf moeten nauw worden beheerd door een offlineproces om de kans voor een aanvaller of kwaadwillende insider te verminderen om auditlogboeken te wissen. Dit helpt er ook voor te zorgen dat medewerkers met productiebeheerdersaccounts de beperkingen voor hun accounts niet kunnen versoepelen en het risico voor de organisatie kunnen verhogen.

  • Het beheerforest moet de SCM-configuraties (Microsoft Security Compliance Manager) voor het domein volgen, inclusief sterke configuraties voor verificatieprotocollen.

Bij het maken van de bastionomgeving identificeert en maakt u, voordat u Microsoft Identity Manager installeert, de accounts die worden gebruikt voor beheer in deze omgeving. Dit omvat:

  • Glasaccounts verbreken mogen zich alleen aanmelden bij de domeincontrollers in de bastionomgeving.

  • 'Red Card'-beheerders andere accounts inrichten en ongepland onderhoud uitvoeren. Deze accounts hebben geen toegang tot bestaande forests of systemen buiten de bastionomgeving. De referenties, bijvoorbeeld een smartcard, moeten fysiek worden beveiligd en het gebruik van deze accounts moet worden vastgelegd.

  • serviceaccounts nodig voor Microsoft Identity Manager, SQL Server en andere software.

De hosts beveiligen

Voor alle hosts, inclusief domeincontrollers, servers en werkstations die zijn gekoppeld aan het beheerforest, moeten de nieuwste besturingssystemen en servicepacks zijn geïnstalleerd en up-to-date blijven.

  • De toepassingen die nodig zijn voor het uitvoeren van beheer, moeten vooraf worden geïnstalleerd op werkstations, zodat accounts die deze gebruiken, zich niet in de lokale beheerdersgroep hoeven te bevinden om ze te installeren. Onderhoud van domeincontrollers kan doorgaans worden uitgevoerd met RDP en Remote Server Administration Tools.

  • Admin-foresthosts moeten automatisch bijgewerkt worden met beveiligingsupdates. Hoewel dit risico kan vormen voor het onderbreken van onderhoudsbewerkingen voor domeincontrollers, biedt het een aanzienlijke beperking van het beveiligingsrisico van niet-gepatchte beveiligingsproblemen.

Beheerhosts identificeren

Het risico van een systeem of werkstation moet worden gemeten door de hoogste risicoactiviteit die erop wordt uitgevoerd, zoals surfen op internet, het verzenden en ontvangen van e-mail of het gebruik van andere toepassingen die onbekende of niet-vertrouwde inhoud verwerken.

Beheerhosts omvatten de volgende computers:

  • Een bureaublad waarop referenties van de beheerder fysiek worden getypt of ingevoerd.

  • Beheer 'jumpservers' waarop beheersessies en hulpprogramma's worden uitgevoerd.

  • Alle hosts waarop beheeracties worden uitgevoerd, met inbegrip van hosts die gebruikmaken van een standaardgebruikersdesktop waarop een RDP-client wordt uitgevoerd om servers en toepassingen extern te beheren.

  • Servers die toepassingen hosten die beheerd moeten worden en die niet worden geopend via RDP met beperkte beheermodus of extern beheer van Windows PowerShell.

Toegewezen beheerwerkstations inzetten

Hoewel onhandig, kunnen afzonderlijke beveiligde werkstations die zijn toegewezen aan gebruikers met beheerdersreferenties met hoge impact, vereist zijn. Het is belangrijk om een host een beveiligingsniveau te bieden dat gelijk is aan of groter is dan het niveau van de bevoegdheden die aan de referenties zijn toevertrouwd. Overweeg de volgende maatregelen voor aanvullende beveiliging op te nemen:

  • Controleer alle media in de build als schone om malware te beperken die is geïnstalleerd in een hoofdinstallatiekopie of die tijdens het downloaden of opslag in een installatiebestand is geïnjecteerd.

  • Beveiligingsbasislijnen moeten als beginconfiguraties worden gebruikt. Microsoft Security Compliance Manager (SCM) kan helpen bij het configureren van de basislijnen op beheerhosts.

  • Beveiligd opstarten om te beperken tegen aanvallers of malware die niet-ondertekende code probeert te laden in het opstartproces.

  • Softwarebeperking om ervoor te zorgen dat alleen geautoriseerde beheersoftware wordt uitgevoerd op de beheerhosts. Klanten kunnen AppLocker gebruiken voor deze taak met een goedgekeurde lijst met geautoriseerde toepassingen om te voorkomen dat schadelijke software en niet-ondersteunde toepassingen worden uitgevoerd.

  • volledige volumeversleuteling om te beschermen tegen fysiek verlies van computers, zoals administratieve laptops die op afstand worden gebruikt.

  • USB-beperkingen om te beschermen tegen fysieke infecties.

  • netwerkisolatie om te beschermen tegen netwerkaanvallen en onbedoelde beheeracties. Hostfirewalls moeten alle binnenkomende verbindingen blokkeren, behalve die verbindingen die expliciet zijn vereist en alle overbodige uitgaande internettoegang blokkeren.

  • Antimalware om te beschermen tegen bekende bedreigingen en malware.

  • beveiligingsmaatregelen tegen exploits om onbekende bedreigingen en exploits te beperken, waaronder de Enhanced Mitigation Experience Toolkit (EMET).

  • Aanvalsoppervlakanalyse om te voorkomen dat nieuwe aanvalsvectoren in Windows worden gebruikt tijdens de installatie van nieuwe software. Hulpprogramma's zoals de Attack Surface Analyzer (ASA) helpen bij het beoordelen van configuratie-instellingen op een host en het identificeren van aanvalsvectoren die zijn geïntroduceerd door software- of configuratiewijzigingen.

  • beheerdersbevoegdheden mogen niet worden verleend aan gebruikers op hun lokale computer.

  • RestrictedAdmin-modus voor uitgaande RDP-sessies, behalve wanneer dit vereist is door de rol. Zie Wat is er nieuw in Extern bureaublad-services in Windows Server voor meer informatie.

Sommige van deze maatregelen kunnen extreem lijken, maar openbare onthullingen in de afgelopen jaren hebben de aanzienlijke mogelijkheden geïllustreerd die ervaren aanvallers bezitten om compromisdoelen te bereiken.

Bestaande domeinen voorbereiden om te worden beheerd door de bastionomgeving

MIM maakt gebruik van PowerShell-cmdlets om een vertrouwensrelatie tot stand te brengen tussen de bestaande AD-domeinen en het toegewezen beheerforest in de bastion-omgeving. Nadat de bastionomgeving is geïmplementeerd en voordat gebruikers of groepen worden geconverteerd naar JIT, zullen de New-PAMTrust- en New-PAMDomainConfiguration-cmdlets de vertrouwensrelaties van het domein bijwerken en de nodige artefacten voor AD en MIM creëren.

Wanneer de bestaande Active Directory-topologie wordt gewijzigd, kunnen de Test-PAMTrust, Test-PAMDomainConfiguration, Remove-PAMTrust en Remove-PAMDomainConfiguration cmdlets worden gebruikt om de vertrouwensrelaties bij te werken.

Vertrouwen opbouwen voor elk bos

De cmdlet New-PAMTrust moet eenmaal worden uitgevoerd voor elk bestaand forest. Dit wordt aangeroepen op de computer van de MIM-service in het beheerdomein. De parameters voor deze opdracht zijn de domeinnaam van het bovenste domein van het bestaande forest en de referenties van een beheerder van dat domein.

New-PAMTrust -SourceForest "contoso.local" -Credentials (get-credential)

Nadat u de vertrouwensrelatie hebt ingesteld, configureert u elk domein om beheer vanuit de bastionomgeving in te schakelen, zoals beschreven in de volgende sectie.

Beheer van elk domein inschakelen

Er zijn zeven vereisten voor het inschakelen van beheer voor een bestaand domein.

1. Een beveiligingsgroep in het lokale domein

Er moet een groep aanwezig zijn in het bestaande domein, waarvan de naam de NetBIOS-domeinnaam is, gevolgd door drie dollartekens, bijvoorbeeld CONTOSO$$$. Het groepsbereik moet lokale domein zijn en het groepstype moet Securityzijn. Dit is nodig om groepen te maken in het toegewezen administratieve bos met dezelfde Beveiligings-id als groepen in dit domein. Maak deze groep met de volgende PowerShell-opdracht, uitgevoerd door een beheerder van het bestaande domein en voer deze uit op een werkstation dat is gekoppeld aan het bestaande domein:

New-ADGroup -name 'CONTOSO$$$' -GroupCategory Security -GroupScope DomainLocal -SamAccountName 'CONTOSO$$$'

2. Audit van succes en falen

Groepsbeleidsinstellingen op de domeincontroller voor auditing moeten zowel geslaagde als mislukte auditing omvatten voor Audit accountbeheer en Audit directorytoegang. Dit kan worden gedaan met de console Groepsbeleidsbeheer, uitgevoerd door een beheerder van het bestaande domein en uitgevoerd op een werkstation dat is gekoppeld aan het bestaande domein:

  1. Ga naar Start>Systeembeheer>Groepsbeleidsbeheer.

  2. Ga naar Forest: contoso.local>Domains>contoso.local>Domeincontrollers>Standaardbeleid voor domeincontrollers. Er wordt een informatief bericht weergegeven.

    Standaardbeleid voor domeincontrollers - schermopname

  3. Klik met de rechtermuisknop op standaardbeleid voor domeincontrollers en selecteer bewerken. Een nieuw venster verschijnt.

  4. Navigeer in het venster Editor voor groepsbeleidsbeheer bij de structuur Standaardbeleid van domeincontrollers naar Computerconfiguratie>Beleid>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid>Controlebeleid.

    editor voor groepsbeleidsbeheer - schermopname van

  5. Klik in het detailsvenster met de rechtermuisknop op Accountbeheercontrole en selecteer Eigenschappen. Selecteer Deze beleidsinstellingen definiëren, schakel het selectievakje voor Geslaagdein, schakel het selectievakje voor Foutin, klik op Toepassen en OK.

  6. Klik in het detailvenster met de rechtermuisknop op Toegang tot adreslijstservice controleren en selecteer Eigenschappen. Selecteer Deze beleidsinstellingen definiëren, schakel het selectievakje voor Geslaagdein, schakel het selectievakje voor Foutin, klik op Toepassen en OK.

    Beleidsinstellingen voor succes en falen - schermopname

  7. Sluit het venster Editor voor groepsbeleidsbeheer en het venster Groepsbeleidsbeheer. Pas vervolgens de controle-instellingen toe door een PowerShell-venster te starten en te typen:

    gpupdate /force /target:computer

Het bericht 'Computerbeleid update is succesvol voltooid'. zou na enkele minuten moeten verschijnen.

3. Verbindingen met de lokale beveiligingsinstantie toestaan

De domeincontrollers moeten RPC via TCP/IP-verbindingen toestaan voor LSA (Local Security Authority) vanuit de bastionomgeving. In oudere versies van Windows Server moet TCP/IP-ondersteuning in LSA zijn ingeschakeld in het register:

New-ItemProperty -Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa -Name TcpipClientSupport -PropertyType DWORD -Value 1

4. De PAM-domeinconfiguratie maken

De New-PAMDomainConfiguration-cmdlet moet worden uitgevoerd op de computer van de MIM-service in het beheerdomein. De parameters voor deze opdracht zijn de domeinnaam van het bestaande domein en de referenties van een beheerder van dat domein.

 New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials (get-credential)

5. Leesmachtigingen verlenen aan accounts

De accounts in het bastionforest die worden gebruikt om rollen vast te stellen (beheerders die de New-PAMUser en New-PAMGroup cmdlets gebruiken), evenals het account dat wordt gebruikt door de MIM-monitorservice, hebben leesmachtigingen in dat domein nodig.

Met de volgende stappen schakelt u leestoegang in voor de gebruiker PRIV\Administrator- voor het domein Contoso binnen de CORPDC--domeincontroller:

  1. Zorg ervoor dat u bent aangemeld bij CORPDC als contoso-domeinbeheerder (zoals Contoso\Administrator).

  2. Start Active Directory Gebruikers en Computers.

  3. Klik met de rechtermuisknop op het domein contoso.local en selecteer Beheer delegeren.

  4. Klik op het tabblad Geselecteerde gebruikers en groepen op toevoegen.

  5. Klik in het pop-up-venster Gebruikers, computers of groepen selecteren op Locaties en wijzig de locatie in priv.contoso.local. Typ domeinadministratoren in de objectnaam en klik op Namen controleren. Wanneer er een pop-up wordt weergegeven, voert u als gebruikersnaam priv\administrator en het wachtwoord in.

  6. Typ na domeinbeheerder, MIMMonitor. Nadat de namen domeinadministratoren en MIMMonitor zijn onderstreept, klikt u op OKen klikt u vervolgens op Volgende.

  7. Selecteer in de lijst met algemene taken Alle gebruikersgegevens lezen, en klik dan op Volgende en voltooien.

  8. Sluit Active Directory Gebruikers en Computers.

6. Een 'break glass'-account

Als het doel van het privileged access management-project is om het aantal accounts met domeinbeheerdersbevoegdheden permanent toegewezen aan het domein te verminderen, moet er een breakglas account in het domein zijn, voor het geval er een later probleem is met de vertrouwensrelatie. Accounts voor noodtoegang tot het productiebos moeten in elk domein aanwezig zijn en mogen zich alleen aanmelden bij domeincontrollers. Voor organisaties met meerdere sites zijn mogelijk extra accounts vereist voor redundantie.

7. Machtigingen bijwerken in de bastionomgeving

Controleer de machtigingen voor het AdminSDHolder-object in de systeemcontainer in dat domein. De AdminSDHolder-object heeft een unieke ACL (Access Control List), die wordt gebruikt voor het beheren van de machtigingen van beveiligingsprinciplen die lid zijn van ingebouwde bevoegde Active Directory-groepen. Houd er rekening mee dat eventuele wijzigingen in de standaardmachtigingen zijn aangebracht die van invloed zijn op gebruikers met beheerdersbevoegdheden in het domein, omdat deze machtigingen niet van toepassing zijn op gebruikers van wie het account zich in de bastionomgeving bevindt.

Gebruikers en groepen selecteren voor opname

De volgende stap is het definiëren van de PAM-rollen, waarbij de gebruikers en groepen waartoe ze toegang moeten hebben, worden gekoppeld. Deze gebruikers en groepen zijn doorgaans een subset van de gebruikers en groepen voor de laag die wordt geïdentificeerd als beheerd in de bastion-omgeving. Meer informatie vindt u in Rollen definiëren voor Privileged Access Management.

  • Last updated on