Udostępnij za pośrednictwem


Model warstwy partycjonowania uprawnień administracyjnych

W tym artykule opisano model zabezpieczeń zapewniający ochronę przed podniesieniem uprawnień przez oddzielenie działań wymagających wysokich uprawnień od stref wysokiego ryzyka.

Ważne

Model w tym artykule jest przeznaczony tylko dla izolowanych środowisk usługi Active Directory korzystających MIM PAM. W przypadku środowisk hybrydowych zobacz zamiast tego wskazówki w modelu dostępu przedsiębiorstwa.

Podniesienie uprawnień w lasach usługi Active Directory

Konta użytkowników, usług lub aplikacji, które mają przyznane stałe uprawnienia administracyjne do lasów usługi Active Directory (AD) systemu Windows Server, znacznie zwiększają poziom ryzyka dla misji i celów biznesowych organizacji. Te konta są często celem ataków, ponieważ w przypadku naruszenia zabezpieczeń osoba atakująca ma uprawnienia do łączenia się z innymi serwerami lub aplikacjami w domenie.

Model warstwy pozwala podzielić uprawnienia administracyjne na podstawie zarządzanych zasobów. Administratorzy sprawujący kontrolę nad stacjami roboczymi użytkowników zostają oddzieleni od osób, które zajmują się aplikacjami lub zarządzają tożsamościami w przedsiębiorstwie.

Zmniejszanie widoczności poświadczeń za pomocą ograniczeń logowania

Zmniejszenie ryzyka kradzieży poświadczeń dla kont z uprawnieniami administracyjnymi zwykle wymaga zmodyfikowania praktyk administracyjnych w celu ograniczenia narażenia na ataki. W pierwszej kolejności zalecane jest wykonanie następujących działań w organizacji:

  • Ograniczenie liczby hostów, na których widoczne są poświadczenia administracyjne.
  • Ograniczenie uprawnień roli do wymaganego minimum.
  • Upewnienie się, że zadania administracyjne nie są wykonywane na hostach używanych przez użytkowników do wykonywania standardowych czynności (na przykład odbierania poczty e-mail czy przeglądania Internetu).

Następny krok obejmuje zaimplementowanie ograniczeń logowania oraz wdrożenie procesów i praktyk, które spełniają wymagania modelu warstwy. Najlepszym rozwiązaniem jest ograniczenie poświadczeń do najniższych uprawnień wymaganych dla danej roli w każdej warstwie.

Należy wymusić ograniczenia logowania, tak aby konta z wysokim poziomem uprawnień nie miały dostępu do mniej bezpiecznych zasobów. Na przykład:

  • Administratorzy domeny (warstwa 0) nie mogą logować się do serwerów przedsiębiorstwa (warstwa 1) i stacji roboczych standardowych użytkowników (warstwa 2).
  • Administratorzy serwerów (warstwa 1) nie mogą logować się do stacji roboczych standardowych użytkowników (warstwa 2).

Uwaga

Administratorzy serwerów nie powinni należeć do grupy administratorów domeny. Pracownicy odpowiedzialni za zarządzanie zarówno kontrolerami domeny, jak i serwerami przedsiębiorstwa powinni mieć osobne konta.

Aby wymusić ograniczenia logowania, można użyć następujących rozwiązań:

  • Ograniczenia uprawnień do logowania w ramach zasad grupy, w tym:
    • Odmowa dostępu do tego komputera z sieci
    • Odmowa logowania w trybie wsadowym
    • Odmowa logowania w trybie usługi
    • Odmowa logowania lokalnego
    • Odmowa logowania za pomocą ustawień pulpitu zdalnego
  • Zasady uwierzytelniania i silosy, jeśli jest używany system Windows Server 2012 lub nowszy
  • Uwierzytelnianie selektywne, jeśli konto należy do dedykowanego lasu administracyjnego

Następne kroki

  • W artykule Planning a bastion environment (Planowanie środowiska bastionu) opisano dodawanie dedykowanego lasu administracyjnego dla programu Microsoft Identity Manager w celu ustanowienia kont administracyjnych.
  • Zabezpieczanie urządzeń zapewnia dedykowany system operacyjny dla zadań poufnych, który jest chroniony przed atakami internetowymi i wektorami zagrożeń.