Udostępnij za pośrednictwem

Planowanie środowiska bastionu

Dodanie środowiska bastionowego z dedykowanym lasem administracyjnym w środowisku Active Directory umożliwia organizacjom zarządzanie kontami administracyjnymi, stacjami roboczymi i grupami w środowisku, które ma mocniejsze mechanizmy kontroli bezpieczeństwa niż istniejące środowisko produkcyjne.

Uwaga

Podejście PAM ze środowiskiem bastionu udostępnianym przez program MIM ma być używane w niestandardowej architekturze dla izolowanych środowisk, gdzie nie ma dostępu do Internetu, gdzie taka konfiguracja jest wymagana przez przepisy, lub w środowiskach izolowanych o dużym wpływie, takich jak odizolowane laboratoria badawcze offline i odłączone technologie operacyjne, czy systemy SCADA. Jeśli Twoja usługa Active Directory jest częścią środowiska połączonego z Internetem, zobacz zabezpieczanie uprzywilejowanego dostępu, aby uzyskać więcej informacji o tym, od czego zacząć.

Ta architektura umożliwia sterowanie, które nie są możliwe lub łatwo skonfigurowane w jednej architekturze lasu. Obejmuje to przyznawanie kont jako standardowych nieuprzywilejowanych użytkowników w lesie administracyjnym, które są wysoce uprzywilejowane w środowisku produkcyjnym, co umożliwia silniejsze techniczne egzekwowanie zasad zarządzania. Ta architektura umożliwia również korzystanie z funkcji selektywnego uwierzytelniania zaufania jako środka ograniczenia logowania (i ujawnienia poświadczeń) tylko autoryzowanych hostów. W sytuacjach, w których wymagany jest większy poziom zapewnienia dla lasu produkcyjnego bez ponoszenia kosztów i złożoności całkowitej odbudowy, las administracyjny może zapewnić środowisko, które zwiększa poziom zapewnienia środowiska produkcyjnego.

Oprócz dedykowanego lasu administracyjnego można używać dodatkowych technik. Obejmują one ograniczenie, w których uwidocznione są poświadczenia administracyjne, ograniczenie uprawnień roli użytkowników w tym lesie oraz zapewnienie, że zadania administracyjne nie są wykonywane na hostach używanych do standardowych działań użytkownika (na przykład poczty e-mail i przeglądania w Internecie).

Zagadnienia dotyczące najlepszych rozwiązań

Las administracyjny dedykowany to standardowy las jednej domeny usługi Active Directory używany do zarządzania usługą Active Directory. Zaletą korzystania z lasów administracyjnych i domen jest to, że mogą mieć więcej środków bezpieczeństwa niż lasy produkcyjne ze względu na ograniczone przypadki użycia. Ponadto, ponieważ ten las jest oddzielony i nie ufa istniejącym lasom organizacji, kompromis bezpieczeństwa w innym lesie nie wpłynie na ten dedykowany las.

Projekt lasu administracyjnego ma następujące zagadnienia:

Ograniczony zakres

Wartość lasu administracyjnego to wysoki poziom zapewniania bezpieczeństwa i mniejszej powierzchni ataków. Las może pomieścić dodatkowe funkcje zarządzania i aplikacje, ale każdy wzrost zakresu zwiększy powierzchnię ataków lasu i jego zasobów. Celem jest ograniczenie funkcji lasu, aby utrzymać minimalną powierzchnię ataku.

Zgodnie z modelem warstwy partycjonowania uprawnień administracyjnych konta w dedykowanym lesie administracyjnym powinny znajdować się w jednej warstwie, zazwyczaj w warstwie 0 lub warstwie 1. Jeśli las znajduje się w poziomie 1, rozważ ograniczenie jego użycia do konkretnego zakresu aplikacji (np. aplikacje finansowe) lub społeczności użytkowników (np. dostawcy zewnętrzni IT).

Ograniczone zaufanie

Las produkcyjny CORP powinien ufać lasowi administracyjnemu PRIV, ale nie w odwrotną stronę. To zaufanie może być zaufaniem domeny lub zaufaniem lasu. Domena administracyjna lasu nie musi mieć zaufania do domen zarządzanych i lasów, aby zarządzać usługą Active Directory, chociaż dodatkowe aplikacje mogą wymagać dwukierunkowej relacji zaufania, weryfikacji zabezpieczeń oraz testowania.

Należy użyć uwierzytelniania selektywnego, aby upewnić się, że konta w lesie administracyjnym używają tylko odpowiednich hostów produkcyjnych. W przypadku obsługi kontrolerów domeny i delegowania uprawnień w usłudze Active Directory zwykle wymaga to udzielenia uprawnień "Dozwolone logowanie" dla kontrolerów domeny do wyznaczonych kont administratorów warstwy 0 w lesie administracyjnym. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień uwierzytelniania selektywnego.

Utrzymywanie separacji logicznej

Aby zapewnić, że środowisko bastionowe nie jest narażone na istniejące lub przyszłe incydenty bezpieczeństwa w usłudze Active Directory organizacji, podczas przygotowywania systemów do środowiska bastionowego należy stosować się do następujących wytycznych:

  • Serwery z systemem Windows nie powinny być przyłączone do domeny ani korzystać z dystrybucji oprogramowania lub ustawień z istniejącego środowiska.

  • Środowisko bastionu musi zawierać własne usługi Active Directory Domain Services, udostępniając protokoły Kerberos i LDAP, DNS, czas i usługi czasu dla środowiska bastionu.

  • Program MIM nie powinien używać farmy baz danych SQL w istniejącym środowisku. Program SQL Server należy wdrożyć na dedykowanych serwerach w środowisku bastionu.

  • Środowisko bastionu wymaga programu Microsoft Identity Manager 2016, w szczególności należy wdrożyć składniki usługi MIM i usługi PAM.

  • Oprogramowanie do tworzenia kopii zapasowych i nośniki dla środowiska bastionu muszą być oddzielone od oprogramowania w istniejących lasach, aby administrator w istniejącym lesie nie mógł odwrócić kopii zapasowej środowiska bastionu.

  • Użytkownicy, którzy zarządzają serwerami środowiska bastionu, muszą logować się ze stacji roboczych, które nie są dostępne dla administratorów w istniejącym środowisku, aby poświadczenia środowiska bastionu nie zostały ujawnione.

Zapewnianie dostępności usług administracyjnych

Ponieważ administracja aplikacjami zostanie przeniesiona do środowiska bastionu, należy wziąć pod uwagę sposób zapewnienia wystarczającej dostępności, aby spełnić wymagania tych aplikacji. Techniki obejmują:

  • Wdróż usługi Active Directory Domain Services na wielu komputerach w środowisku bastionu. Co najmniej dwa są niezbędne do zapewnienia ciągłego uwierzytelniania, nawet jeśli jeden serwer jest tymczasowo ponownie uruchamiany na potrzeby zaplanowanej konserwacji. Dodatkowe komputery mogą być niezbędne do wyższego obciążenia lub zarządzania zasobami i administratorami w wielu regionach geograficznych.

  • Przygotuj konta break-glass w istniejącym lesie i dedykowanym lesie administracyjnym na potrzeby sytuacji awaryjnych.

  • Wdróż program SQL Server i usługę MIM na wielu komputerach w środowisku bastionu.

  • Utrzymuj kopię zapasową Active Directory i SQL przy każdej zmianie dokonanej dla użytkowników lub definicji ról w dedykowanym lesie administracyjnym.

Konfigurowanie odpowiednich uprawnień usługi Active Directory

Las administracyjny powinien być skonfigurowany zgodnie z zasadą najmniejszych uprawnień na podstawie wymagań dotyczących administracji Active Directory.

  • Konta w domenie administracyjnej, które służą do zarządzania środowiskiem produkcyjnym, nie powinny posiadać uprawnień administracyjnych do samej domeny, jej subdomen ani stacji roboczych w niej.

  • pl-PL: Uprawnienia administracyjne nad samym lasem administracyjnym powinny być ściśle kontrolowane przez proces w trybie offline, aby zmniejszyć możliwość usunięcia dzienników audytu przez atakującego lub złośliwego wewnętrznego użytkownika. Pomaga to również zapewnić, że pracownicy z kontami administratora produkcyjnego nie mogą złagodzić ograniczeń dotyczących kont i zwiększyć ryzyko dla organizacji.

  • Las administracyjny powinien być zgodny z konfiguracjami Microsoft Security Compliance Manager (SCM) dla domeny, w tym zawierać silne konfiguracje dla protokołów uwierzytelniania.

Podczas tworzenia środowiska bastionu przed zainstalowaniem programu Microsoft Identity Manager zidentyfikuj i utwórz konta, które będą używane do administrowania w tym środowisku. Obejmuje to następujące elementy:

  • Konta break glass powinny być w stanie zalogować się tylko do kontrolerów domeny w środowisku bastionowym.

  • administratorzy "Red Card" przydzielają inne konta i wykonują nieplanowaną konserwację. Te konta nie mają dostępu do istniejących zasobów leśnych ani systemów spoza środowiska bastionu. Poświadczenia, np. karta inteligentna, powinny być fizycznie zabezpieczone, a korzystanie z tych kont powinno być rejestrowane.

  • konta usługi wymagane przez program Microsoft Identity Manager, program SQL Server i inne oprogramowanie.

Uczynienie hostów odporniejszymi

Wszystkie hosty, w tym kontrolery domeny, serwery i stacje robocze dołączone do lasu administracyjnego, powinny mieć zainstalowane najnowsze systemy operacyjne oraz dodatki Service Pack i być na bieżąco aktualizowane.

  • Aplikacje wymagane do wykonywania administracji powinny być wstępnie zainstalowane na stacjach roboczych, aby konta korzystające z nich nie musiały znajdować się w lokalnej grupie administratorów, aby je zainstalować. Konserwacja kontrolera domeny może być zwykle wykonywana za pomocą narzędzi RDP i administracji zdalnej serwera.

  • Hosty lasu administracyjnego powinny być automatycznie aktualizowane za pomocą aktualizacji zabezpieczeń. Chociaż może to spowodować przerwanie operacji konserwacji kontrolera domeny, zapewnia znaczne ograniczenie ryzyka bezpieczeństwa nienaprawionych luk w zabezpieczeniach.

Identyfikowanie hostów administracyjnych

Ryzyko systemu lub stacji roboczej powinno być mierzone przez najwyższą aktywność ryzyka wykonywaną na nim, taką jak przeglądanie internetu, wysyłanie i odbieranie wiadomości e-mail lub korzystanie z innych aplikacji, które przetwarzają nieznaną lub niezaufaną zawartość.

Hosty administracyjne obejmują następujące komputery:

  • Pulpit, na którym poświadczenia administratora są fizycznie wpisywane lub wprowadzane.

  • Administracyjne "serwery przesiadkowe", na których są uruchamiane sesje administracyjne i narzędzia.

  • Wszystkie hosty, na których są wykonywane akcje administracyjne, w tym te, które używają pulpitu użytkownika standardowego z uruchomionym klientem RDP do zdalnego administrowania serwerami i aplikacjami.

  • Serwery hostujące aplikacje, które wymagają zarządzania, do których nie uzyskuje się dostępu przez RDP w trybie ograniczonego administratora lub zdalnego dostępu przez Windows PowerShell.

Wdrażanie dedykowanych stacji roboczych administracyjnych

Mimo że niewygodne mogą być wymagane oddzielne stacje robocze ze wzmocnionymi zabezpieczeniami przeznaczone dla użytkowników z poświadczeniami administracyjnymi o dużym wpływie. Ważne jest, aby zapewnić hostowi poziom zabezpieczeń równy lub większy niż poziom uprawnień związanych z poświadczeniami. Rozważ włączenie następujących środków w celu zapewnienia dodatkowej ochrony:

  • Zweryfikuj, czy wszystkie nośniki w kompilacji są czyste, aby uchronić się przed złośliwym oprogramowaniem zainstalowanym na obrazie głównym lub wstrzykniętym do pliku instalacyjnego podczas pobierania lub przechowywania.

  • Bazowe konfiguracje zabezpieczeń należy użyć jako konfiguracje początkowe. Menedżer zgodności zabezpieczeń firmy Microsoft (SCM) może pomóc w skonfigurowaniu punktów odniesienia na hostach administracyjnych.

  • Bezpieczny Rozruch w celu ograniczenia ryzyka, że atakujący lub złośliwe oprogramowanie spróbują załadować niepodpisany kod do procesu rozruchu.

  • Ograniczenie dotyczące oprogramowania, aby upewnić się, że na hostach administracyjnych jest uruchamiane tylko autoryzowane oprogramowanie administracyjne. Klienci mogą używać funkcji AppLocker dla tego zadania z zatwierdzoną listą autoryzowanych aplikacji, aby zapobiec wykonywaniu złośliwego oprogramowania i nieobsługiwanych aplikacji.

  • pełne szyfrowanie woluminów w celu ograniczenia ryzyka utraty fizycznych komputerów, takich jak laptopy administracyjne używane zdalnie.

  • ograniczenia USB w celu ochrony przed infekcją fizyczną.

  • izolacja sieci chroniąca przed atakami sieciowymi i niezamierzonymi działaniami administratorów. Zapory hosta powinny blokować wszystkie połączenia przychodzące z wyjątkiem tych połączeń jawnie wymaganych i blokować cały niepotrzebny wychodzący dostęp do Internetu.

  • Antymalware do ochrony przed znanymi zagrożeniami i złośliwym oprogramowaniem.

  • Środki ograniczające wykorzystanie luk w zabezpieczeniach w celu łagodzenia nieznanych zagrożeń i exploitów, w tym Enhanced Mitigation Experience Toolkit (EMET).

  • analiza powierzchni ataków, aby zapobiec wprowadzeniu nowych wektorów ataków do systemu Windows podczas instalacji nowego oprogramowania. Narzędzia takie jak Attack Surface Analyzer (ASA) ułatwiają ocenę ustawień konfiguracji na hoście i identyfikowanie wektorów ataków wprowadzonych przez oprogramowanie lub zmiany konfiguracji.

  • uprawnienia administracyjne nie powinny być przekazywane użytkownikom na komputerze lokalnym.

  • tryb RestrictedAdmin dla sesji RDP wychodzących, z wyjątkiem sytuacji, gdy jest to wymagane przez rolę. Aby uzyskać więcej informacji, zobacz Co nowego w usługach pulpitu zdalnego w systemie Windows Server.

Niektóre z tych środków mogą wydawać się ekstremalne, ale publiczne rewelacje z ostatnich lat ilustrują znaczące możliwości, jakie posiadają wykwalifikowani przeciwnicy, aby przełamać dane cele.

Przygotowywanie istniejących domen do zarządzania przez środowisko bastionu

Program MIM używa cmdletów PowerShell do ustanawiania zaufania między istniejącymi domenami AD a dedykowanym lasem administracyjnym w środowisku bastionu. Po wdrożeniu środowiska bastionu i przed przekonwertowaniem wszystkich użytkowników lub grup na JIT, cmdlety New-PAMTrust i New-PAMDomainConfiguration zaktualizują relacje zaufania domeny oraz utworzą artefakty wymagane dla usług AD i MIM.

Gdy istniejąca topologia usługi Active Directory ulegnie zmianie, polecenia cmdlet Test-PAMTrust, Test-PAMDomainConfiguration, Remove-PAMTrust i Remove-PAMDomainConfiguration mogą służyć do aktualizowania relacji zaufania.

Ustanawianie zaufania dla każdego lasu

Polecenie cmdlet New-PAMTrust musi być uruchamiane raz dla każdego istniejącego lasu. Jest wywoływany na komputerze usługi MIM w domenie administracyjnej. Parametry tego polecenia to nazwa domeny najwyższego poziomu istniejącej struktury lasu oraz poświadczenie administratora tej domeny.

New-PAMTrust -SourceForest "contoso.local" -Credentials (get-credential)

Po ustanowieniu zaufania skonfiguruj każdą domenę, aby włączyć zarządzanie ze środowiska bastionu zgodnie z opisem w następnej sekcji.

Włącz zarządzanie każdą domeną

Istnieją siedem wymagań dotyczących włączania zarządzania dla istniejącej domeny.

1. Grupa zabezpieczeń w domenie lokalnej

Musi istnieć grupa w istniejącej domenie, której nazwa to nazwa domeny NetBIOS, po której następują trzy znaki dolara, np. CONTOSO$$$. Zakres grupy musi być lokalny dla domeny, a typ grupy musi być Zabezpieczenia. Jest to wymagane, aby grupy zostały utworzone w dedykowanym lesie administracyjnym o tym samym identyfikatorze zabezpieczeń co grupy w tej domenie. Utwórz tę grupę za pomocą następującego polecenia programu PowerShell wykonywanego przez administratora istniejącej domeny i uruchom polecenie na stacji roboczej przyłączonej do istniejącej domeny:

New-ADGroup -name 'CONTOSO$$$' -GroupCategory Security -GroupScope DomainLocal -SamAccountName 'CONTOSO$$$'

2. Audyt powodzeń i niepowodzeń

Ustawienia zasad grupy na kontrolerze domeny dotyczące inspekcji muszą obejmować zarówno inspekcję powodzenia, jak i niepowodzenia w inspekcji zarządzania kontami oraz inspekcji dostępu do usługi katalogowej. Można to zrobić za pomocą konsoli zarządzania zasadami grupy, wykonywanej przez administratora istniejącej domeny i uruchomić na stacji roboczej przyłączonej do istniejącej domeny:

  1. Przejdź do Start>Narzędzia administracyjne>Zarządzanie Zasadami Grupy.

  2. Przejdź do lasu : domeny contoso.local>>contoso.local>kontrolery domeny>domyślne zasady kontrolerów domeny. Zostanie wyświetlony komunikat informacyjny.

    domyślne zasady kontrolerów domeny — zrzut ekranu

  3. Kliknij prawym przyciskiem myszy na Politykę Domyślnych Kontrolerów Domeny i wybierz Edytuj. Zostanie otwarte nowe okno.

  4. W oknie Edytor zarządzania zasadami grupy w drzewie domyślnych zasad kontrolerów domeny przejdź do Konfiguracja komputera>Zasady>Ustawienia systemu Windows>Ustawienia zabezpieczeń>zasady lokalne>zasady inspekcji.

    edytor zarządzania zasadami grupy — zrzut ekranu

  5. W okienku szczegółów kliknij prawym przyciskiem myszy Inspekcja zarządzania kontami i wybierz Właściwości. Wybierz pozycję Zdefiniuj te ustawienia zasad, zaznacz pole wyboru Sukces, zaznacz pole wyboru Niepowodzenie, kliknij Zastosuj i OK.

  6. W panelu szczegółów kliknij prawym przyciskiem myszy pozycję Inspekcja dostępu do usługi katalogowej i wybierz pozycję Właściwości. Wybierz pozycję Zdefiniuj te ustawienia zasad, zaznacz pole wyboru Sukces, zaznacz pole wyboru Niepowodzenie, kliknij Zastosuj i OK.

    ustawienia zasad powodzenia i niepowodzenia — zrzut ekranu

  7. Zamknij okno Edytor zarządzania zasadami grupy i okno Zarządzanie zasadami grupy. Następnie zastosuj ustawienia inspekcji, uruchamiając okno programu PowerShell i wpisując:

    gpupdate /force /target:computer

Komunikat "Aktualizacja polityki komputera została ukończona pomyślnie". powinno się pojawić po kilku minutach.

3. Zezwalaj na połączenia z urzędem zabezpieczeń lokalnych

Kontrolery domeny muszą zezwalać na RPC za pośrednictwem połączeń TCP/IP dla Lokalnego Urzędu Zabezpieczeń (LSA) ze środowiska bastionu. W starszych wersjach systemu Windows Server obsługa protokołu TCP/IP w usłudze LSA musi być włączona w rejestrze:

New-ItemProperty -Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa -Name TcpipClientSupport -PropertyType DWORD -Value 1

4. Utwórz konfigurację domeny PAM

Polecenie cmdlet New-PAMDomainConfiguration musi zostać uruchomione na komputerze usługi MIM w domenie administracyjnej. Parametry tego polecenia to nazwa domeny istniejącej domeny i poświadczenia administratora tej domeny.

 New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials (get-credential)

5. Nadaj uprawnienia do odczytu do kont

Konta w lesie bastionu używane do ustanawiania ról (administratorzy, którzy używają poleceń cmdlet New-PAMUser i New-PAMGroup), oraz konto używane przez usługę monitorowania programu MIM, muszą mieć w tej domenie uprawnienia do odczytu.

Następujące kroki umożliwiają dostęp do odczytu dla użytkownika PRIV\Administrator do domeny Contoso w kontrolerze domeny CORPDC:

  1. Upewnij się, że jesteś zalogowany do CORPDC jako administrator domeny Contoso (na przykład Contoso\Administrator).

  2. Uruchom przystawkę Użytkownicy i komputery usługi Active Directory.

  3. Kliknij prawym przyciskiem myszy domenę contoso.local i wybierz Deleguj kontrolę.

  4. Na karcie Wybrani użytkownicy i grupy kliknij pozycję Dodaj.

  5. W okienku popup Wybieranie użytkowników, komputerów lub grup kliknij Lokalizacje i zmień lokalizację na priv.contoso.local. W nazwie obiektu wpisz Administratorzy domeny i kliknij Sprawdź nazwy. Gdy pojawi się okno podręczne, wpisz jako nazwę użytkownika priv\administrator i podaj hasło.

  6. Po administratorach domeny wpisz ; MIMMonitor. Po podkreśleniu nazw Administratorzy domeny i MIMMonitor kliknij przycisk OK, a następnie kliknij przycisk Dalej.

  7. Na liście typowych zadań wybierz pozycję Odczytaj wszystkie informacje o użytkowniku, a następnie kliknij przycisk Dalej i Zakończ.

  8. Zamknij Użytkownicy i komputery usługi Active Directory.

6. Konto awaryjne

Jeśli celem projektu zarządzania dostępem uprzywilejowanym jest zmniejszenie liczby kont z uprawnieniami administratora domeny trwale przypisanymi do domeny, musi istnieć break glass konta w domenie, w przypadku późniejszego problemu z relacją zaufania. Konta dostępu awaryjnego do lasu produkcyjnego powinny istnieć w każdej domenie i powinny mieć możliwość logowania się tylko do kontrolerów domeny. W przypadku organizacji z wieloma lokacjami mogą być wymagane dodatkowe konta w celu zwiększenia niezawodności.

7. Aktualizowanie uprawnień w środowisku bastionu

Przejrzyj uprawnienia do obiektu AdminSDHolder w kontenerze System w tej domenie. Obiekt AdminSDHolder ma unikatową listę kontroli dostępu (ACL), która służy do kontrolowania uprawnień podmiotów zabezpieczeń będących członkami wbudowanych uprzywilejowanych grup usługi Active Directory. Należy pamiętać, że jeśli wprowadzono jakiekolwiek zmiany w uprawnieniach domyślnych, które miałyby wpływ na użytkowników z uprawnieniami administracyjnymi w domenie, ponieważ te uprawnienia nie będą miały zastosowania do użytkowników, których konto znajduje się w środowisku bastionu.

Wybieranie użytkowników i grup na potrzeby dołączania

Następnym krokiem jest zdefiniowanie ról usługi PAM, kojarzenie użytkowników i grup, do których powinni mieć dostęp. Ci użytkownicy i grupy zazwyczaj będą podzbiorem użytkowników i grup dla warstwy, którą zidentyfikowano jako zarządzaną w środowisku bastionu. Więcej informacji znajduje się w Definiowanie ról dla usługi Privileged Access Management.