Verbeterde beveiliging Beheer-omgeving
De ESAE-architectuur (Enhanced Security Beheer Environment) (ook wel rood forest, beheerforest of beveiligd forest genoemd) is een verouderde benadering om een veilige omgeving te bieden voor beheerdersidentiteiten van Windows Server Active Directory (AD).
De aanbeveling van Microsoft om dit architectuurpatroon te gebruiken, is vervangen door de moderne strategie voor bevoegde toegang en de richtlijnen voor snelle modernisering (RAMP) als de standaard aanbevolen benadering voor het beveiligen van bevoegde gebruikers. Deze richtlijnen zijn bedoeld om een bredere strategie aan te passen om naar een Zero Trust-architectuur te gaan. Gezien deze gemoderniseerde strategieën wordt de door ESAE beperkte beheerforestarchitectuur (on-premises of in de cloud) nu beschouwd als een aangepaste configuratie die alleen geschikt is voor uitzonderingsgevallen.
Scenario's voor voortgezet gebruik
Hoewel het niet langer een aanbevolen architectuur is, kan ESAE (of afzonderlijke onderdelen daarin) nog steeds geldig zijn in een beperkte set uitgesloten scenario's. Deze on-premises omgevingen zijn doorgaans geïsoleerd waarbij cloudservices mogelijk niet beschikbaar zijn. Dit scenario kan kritieke infrastructuur of andere niet-verbonden operationele technologieomgevingen (OT) omvatten. Er moet echter rekening mee worden gebracht dat de segmenten Industrial Control System/Supervisory Control and Data Acquisition (ICS/SCADA) van de omgeving doorgaans niet gebruikmaken van hun eigen Active Directory-implementatie.
Als uw organisatie zich in een van deze scenario's bevindt, kan het onderhouden van een momenteel geïmplementeerde ESAE-architectuur in zijn geheel nog steeds geldig zijn. Het moet echter worden begrepen dat uw organisatie extra risico's ondervindt vanwege de toegenomen technische complexiteit en operationele kosten voor het onderhouden van ESAE. Microsoft raadt aan dat elke organisatie die nog steeds ESAE of andere verouderde besturingselementen voor identiteitsbeveiliging gebruikt, extra kracht toepast om eventuele bijbehorende risico's te bewaken, identificeren en beperken.
Notitie
Hoewel Microsoft geen geïsoleerd forestmodel meer aanbeveelt voor de meeste scenario's in de meeste organisaties, beheert Microsoft nog steeds intern een vergelijkbare architectuur (en bijbehorende ondersteuningsprocessen en personeel) vanwege de extreme beveiligingsvereisten voor het leveren van vertrouwde cloudservices aan organisaties over de hele wereld.
Richtlijnen voor bestaande implementaties
Voor klanten die deze architectuur al hebben geïmplementeerd om de beveiliging te verbeteren en/of het beheer van meerdere forests te vereenvoudigen, is er geen urgentie om een ESAE-implementatie buiten gebruik te stellen of te vervangen als deze wordt uitgevoerd zoals ontworpen en bedoeld. Net als bij bedrijfssystemen moet u de software erin onderhouden door beveiligingsupdates toe te passen en ervoor te zorgen dat software binnen de levenscyclus van de ondersteuning valt.
Microsoft raadt organisaties met ESAE/beharde forests ook aan de moderne geprivilegieerde toegangsstrategie aan met behulp van de richtlijnen voor snelle moderniseringsplan (RAMP ). Deze richtlijnen vormen een aanvulling op een bestaande ESAE-implementatie en bieden passende beveiliging voor rollen die nog niet zijn beveiligd door ESAE, waaronder Microsoft Entra Global Beheer istrators, gevoelige zakelijke gebruikers en standaard zakelijke gebruikers. Zie het artikel Beveiligingsniveaus voor bevoegde toegang beveiligen voor meer informatie.
Toen ESAE oorspronkelijk meer dan 10 jaar geleden was ontworpen, was de focus on-premises omgevingen met Active Directory (AD) die als lokale id-provider fungeren. Deze verouderde benadering is gebaseerd op technieken voor macrosegmentatie om minimale bevoegdheden te bereiken en houdt niet voldoende rekening met hybride of cloudomgevingen. Bovendien richten ESAE en beperkte forest-implementaties zich alleen op het beveiligen van on-premises Windows Server Active Directory-beheerders (identiteiten) en houden ze geen rekening met verfijnde identiteitscontroles en andere technieken die zijn opgenomen in de resterende pijlers van een moderne Zero-Trust-architectuur. Microsoft heeft de aanbeveling bijgewerkt naar cloudoplossingen, omdat ze sneller kunnen worden geïmplementeerd om een breder bereik van administratieve en bedrijfsgevoelige rollen en systemen te beschermen. Daarnaast zijn ze minder complex, schaalbaar en vereisen minder kapitaalinvesteringen om te onderhouden.
Notitie
Hoewel ESAE in zijn geheel niet meer wordt aanbevolen, realiseert Microsoft zich dat veel afzonderlijke onderdelen daarin zijn gedefinieerd als goede cyber hygiëne (bijvoorbeeld speciale Privileged Access Workstations). De afschaffing van ESAE is niet bedoeld om organisaties te pushen goede cybercontroles af te schaffen, alleen om bijgewerkte architectuurstrategieën voor het beschermen van bevoorrechte identiteiten te versterken.
Voorbeelden van goede cybercontroles in ESAE die van toepassing zijn op de meeste organisaties
- Bevoegde toegangswerkstations (PAW's) gebruiken voor alle beheeractiviteiten
- Op tokens gebaseerde of meervoudige verificatie (MFA) afdwingen voor beheerdersreferenties, zelfs als dit niet veel wordt gebruikt in de hele omgeving
- Het afdwingen van minimale bevoegdheden Beheer istratief model via een regelmatige evaluatie van groep/rollidmaatschap (afgedwongen door sterk organisatiebeleid)
Aanbevolen procedure voor het beveiligen van on-premises AD
Zoals beschreven in Scenario's voor voortgezet gebruik, kunnen er omstandigheden zijn waarin cloudmigratie niet kan worden bereikt (gedeeltelijk of volledig) vanwege verschillende omstandigheden. Voor deze organisaties, als ze nog geen bestaande ESAE-architectuur hebben, raadt Microsoft aan om de kwetsbaarheid voor aanvallen van on-premises AD te verminderen door de beveiliging voor Active Directory en bevoorrechte identiteiten te verhogen. Houd rekening met de volgende aanbevelingen met hoge prioriteit, maar geen volledige lijst.
- Gebruik een gelaagde benadering voor het implementeren van beheermodel met minimale bevoegdheden:
- Absolute minimumbevoegdheden afdwingen.
- Bevoegde identiteiten detecteren, controleren en controleren (sterke binding met organisatiebeleid).
- Overmatige toekenning van bevoegdheden is een van de meest geïdentificeerde problemen in geëvalueerde omgevingen.
- MFA voor beheerdersaccounts (zelfs als deze niet veel in de hele omgeving worden gebruikt).
- Bevoorrechte rollen op basis van tijd (verminder overmatige accounts, versterkte goedkeuringsprocessen).
- Schakel alle beschikbare controles voor bevoegde identiteiten in en configureer deze (waarschuwen voor in-/uitschakelen, wachtwoord opnieuw instellen, andere wijzigingen).
- Privileged Access Workstations (PAW's) gebruiken:
- Beheer geen PAW's van een minder vertrouwde host.
- Gebruik MFA voor toegang tot PAW's.
- Vergeet niet fysieke beveiliging.
- Zorg er altijd voor dat PAW's de nieuwste en/of momenteel ondersteunde besturingssystemen uitvoeren.
- Informatie over aanvalspaden en accounts met een hoog risico/toepassingen:
- Prioriteit geven aan het bewaken van identiteiten en systemen die het meeste risico vormen (doelen van kans/hoge impact).
- Wachtwoorden opnieuw gebruiken, inclusief de grenzen van het besturingssysteem (algemene techniek voor laterale verplaatsing).
- Dwing beleidsregels af die activiteiten beperken die het risico verhogen (surfen via internet vanaf beveiligde werkstations, lokale beheerdersaccounts op meerdere systemen, enzovoort).
- Verminder toepassingen op Active Directory/domeincontrollers (elke toegevoegde toepassing is extra kwetsbaarheid voor aanvallen).
- Overbodige toepassingen elimineren.
- Verplaats toepassingen die nog steeds nodig zijn naar andere werkbelastingen van/DC, indien mogelijk.
- Onveranderbare back-up van Active Directory:
- Kritiek onderdeel om te herstellen van ransomware infectie.
- Regelmatig back-upschema.
- Opgeslagen op cloud- of off-site-locatie, bepaald door noodherstelplan.
- Voer een Active Directory-beveiligingsevaluatie uit:
- Azure-abonnement is vereist om de resultaten weer te geven (aangepast Log Analytics-dashboard).
- Ondersteunde aanbiedingen op aanvraag of Door Microsoft-technicus ondersteunde aanbiedingen.
- Valideer/identificeer richtlijnen van de evaluatie.
- Microsoft raadt aan jaarlijks evaluaties uit te voeren.
Raadpleeg de aanbevolen procedures voor het beveiligen van Active Directory voor uitgebreide richtlijnen over deze aanbevelingen.
Aanvullende Aanbevelingen
Microsoft herkent dat sommige entiteiten vanwege verschillende beperkingen mogelijk niet volledig kunnen worden geïmplementeerd in de cloud. Sommige van deze beperkingen zijn vermeld in de vorige sectie. In plaats van een volledige implementatie kunnen organisaties risico's aanpakken en vooruitgang boeken in de richting van Zero-Trust, terwijl ze nog steeds verouderde apparatuur of architecturen in de omgeving onderhouden. Naast de eerder genoemde richtlijnen kunnen de volgende mogelijkheden helpen bij het versterken van de beveiliging van uw omgeving en dienen als uitgangspunt voor het aannemen van een Zero-Trust-architectuur.
Microsoft Defender for Identity (MDI)
Microsoft Defender for Identity (MDI) (formeel Azure Advanced Threat Protection of ATP) onderbouwt de Architectuur van Microsoft Zero-Trust en richt zich op de pijler van identiteit. Deze cloudoplossing maakt gebruik van signalen van zowel on-premises AD als Microsoft Entra ID om bedreigingen met betrekking tot identiteiten te identificeren, te detecteren en te onderzoeken. MDI bewaakt deze signalen om abnormaal en schadelijk gedrag van gebruikers en entiteiten te identificeren. MDI vergemakkelijkt met name de mogelijkheid om het pad van een kwaadwillende aanvaller te visualiseren door te benadrukken hoe een bepaald account(en) kan worden gebruikt als er inbreuk wordt gemaakt. De gedragsanalyse- en basislijnfuncties van MDI zijn belangrijke elementen voor het bepalen van abnormale activiteit in uw AD-omgeving.
Notitie
Hoewel MDI signalen van on-premises AD verzamelt, is een cloudverbinding vereist.
Microsoft Defender voor Internet of Things (D4IoT)
Naast andere richtlijnen die in dit document worden beschreven, kunnen organisaties die in een van de bovenstaande scenario's werken Microsoft Defender for IoT (D4IoT) implementeren. Deze oplossing bevat een passieve netwerksensor (virtueel of fysiek) die assetdetectie, voorraadbeheer en risicogebaseerde gedragsanalyses mogelijk maakt voor IoT- en OT-omgevingen (Internet of Things). Het kan worden geïmplementeerd in on-premises omgevingen met lucht of in de cloud verbonden omgevingen en heeft de capaciteit om uitgebreide pakketinspectie uit te voeren op meer dan 100 ICS/OT-bedrijfseigen netwerkprotocollen.
Volgende stappen
Bekijk de volgende artikelen: