Faza 3 — wymuszanie zasad dostępu uprzywilejowanego

Ten artykuł jest częścią przewodnika implementowania architektury dostępu uprzywilejowanego .

Dostęp uprzywilejowany stanowi krytyczne zagrożenie bezpieczeństwa w większości organizacji, ponieważ umożliwia bezpośrednią kontrolę nad systemami tożsamości, płaszczyznami kontroli chmury i krytycznymi dla działania firmy.

Dowiedz się, jak architektura bezpiecznego dostępu uprzywilejowanego odgrywa kluczową rolę w scenariuszu biznesowym — Ochrona krytycznych zasobów biznesowych — zmniejszając to ryzyko i zwiększając kontrolę nad systemami poufnymi.

W tym artykule opisano fazę 3 implementacji. Wymusza zasady dostępu uprzywilejowanego w celu ograniczenia miejsca, w którym można używać tożsamości uprzywilejowanych.

Korzystając z sygnałów zaufanych urządzeń ustanowionych w fazie 2, można skonfigurować dostęp warunkowy, aby uprzywilejowane role, portale i interfejsy zarządzania mogły być używane tylko z zatwierdzonych stacji roboczych z dostępem uprzywilejowanym o niskim ryzyku (PAW).

Cele ochrony

Faza 3 wymusza następujące cele ochrony:

  • Upewnij się, że nie można używać poświadczeń uprzywilejowanych z urządzeń innych niż PAW.
  • Portale administracyjne i interfejsy są dostępne tylko ze zgodnych urządzeń o niskim ryzyku.
  • Dostęp uprzywilejowany wymaga silnego uwierzytelniania użytkownika i zweryfikowanego zaufania urządzenia.
  • Ogranicz dostęp do interfejsów administracyjnych (portali, interfejsów API, programu PowerShell) do zatwierdzonych stacji roboczych z dostępem uprzywilejowanym.
  • Skradzione poświadczenia nie mogą być ponownie używane ze standardowych lub niezarządzanych punktów końcowych.
  • Ścieżki dostępu uprzywilejowanego są jawne, poddawane inspekcji i wymuszane.

Zakres ochrony

Faza 3 chroni uprzywilejowane interfejsy dostępu i przepływy pracy, za pomocą których występują akcje uprzywilejowane, w tym:

  • Portale zarządzania chmurą (portal Azure, centrum administracyjne Microsoft Entra, Centrum administracyjne platformy Microsoft 365)
  • Portale zarządzania zabezpieczeniami (portale Microsoft Defender)
  • Użycie i aktywacja ról uprzywilejowanych (w tym role kontrolowane przez usługę PIM)
  • Sesje przeglądarki administracyjnej
  • Ścieżki ruchu wychodzącego sieci używane przez urządzenia uprzywilejowane

Faza 3 nie konfiguruje ponownie urządzeń ani tożsamości. Wymusza zasady przy użyciu danych wyjściowych faz 1 i 2.

Ryzyko wyeliminowane

Ryzyko Dlaczego ma to znaczenie Ograniczenie ryzyka fazy 3
Uprzywilejowane poświadczenia ponownie użyte na urządzeniach innych niż PAW Uwierzytelnianie wieloskładnikowe i zatwierdzenia nie uniemożliwiają osobie atakującej ponownego użyć skradzionych tokenów lub poświadczeń na naruszonych standardowych stacjach roboczych. Dostęp warunkowy wymaga, aby role uprzywilejowane uwierzytelniały się wyłącznie ze zgodnych stacji roboczych z dostępem uprzywilejowanym (PAW) o niskim ryzyku.
Dostęp uprzywilejowany z urządzeń wysokiego ryzyka lub niezałatanych Urządzenie podatne na zagrożenia umożliwia osobom atakującym natychmiastowe wykonywanie kontroli administracyjnej. Decyzje o przyznaniu dostępu oceniają zgodność z Intune oraz poziom ryzyka w Ochrona punktu końcowego w usłudze Microsoft Defender przed przyznaniem uprzywilejowanego dostępu.
Portale administracyjne dostępne z urządzeń niezarządzanych lub BYOD Płaszczyzny sterowania w chmurze stają się dostępne z urządzeń pozostających poza kontrolą organizacji. Dostęp warunkowy ogranicza portale administracyjne do stacji roboczych z dostępem uprzywilejowanym, blokując dostęp z urządzeń innych niż PAW.
Obejście chronionych portali przy użyciu interfejsów alternatywnych Osoby atakujące mogą omijać mechanizmy zabezpieczeń za pomocą programu PowerShell, interfejsów API lub alternatywnych punktów dostępu administracyjnego. Egzekwowanie jest stosowane konsekwentnie we wszystkich interfejsach administracyjnych, nie tylko w głównych portalach.
Aktywacja ról uprzywilejowanych z naruszonych stacji roboczych Przepływy pracy zatwierdzania mogą zostać przejęte, jeśli aktywacja roli nastąpi na niezabezpieczonym urządzeniu. Aktywacja roli PIM i korzystanie z roli podlegają tym samym wymaganiom dostępu warunkowego dotyczącym zaufania urządzenia.
Tylko poświadczenia przyznają uprzywilejowany dostęp Zabezpieczenia oparte wyłącznie na tożsamości zakładają zaufane środowisko wykonywania. Faza 3 wiąże tożsamość, urządzenie i warunki interfejsu, dzięki czemu same poświadczenia są niewystarczające.
Brak wglądu w egzekwowanie Bez wymuszania zasad trudno udowodnić, że dostęp uprzywilejowany jest ograniczony. Decyzje dotyczące dostępu warunkowego i dane telemetryczne rozwiązania Defender stanowią materiał do audytu oraz obserwowalne dowody egzekwowania zasad.
Szybka eskalacja po naruszeniu zabezpieczeń stacji roboczej Atakujący szybko przechodzą od przejętego urządzenia do przejęcia kontroli nad całym przedsiębiorstwem. Faza 3 sprawia, że skradzione poświadczenia są bezużyteczne poza stacjami roboczymi z dostępem uprzywilejowanym, przerywając typowe ścieżki eskalacji uprawnień.

Wyniki fazy

Po ukończeniu fazy 3:

  • Role uprzywilejowane i portale administracyjne są dostępne tylko ze zgodnych stacji roboczych z dostępem uprzywilejowanym o niskim ryzyku.
  • Dostęp warunkowy blokuje uprzywilejowany dostęp z urządzeń innych niż PAW.
  • Zgodność urządzeń i sygnały ryzyka Ochrona punktu końcowego w usłudze Microsoft Defender są wymagane do podejmowania decyzji dotyczących dostępu.
  • Dostęp uprzywilejowany jest wymuszany w warstwach tożsamości, urządzenia i interfejsu.
  • Próby dostępu są rejestrowane, zauważalne i możliwe do inspekcji.

Wymagania wstępne

Przed skonfigurowaniem procedur w tym artykule:

  • Ukończ instrukcje fazy 1 , aby zabezpieczyć płaszczyznę kontroli tożsamości.
  • Ukończ Fazę 2, aby wdrożyć i zabezpieczyć PAW-y.
  • Upewnij się, że zgodność urządzeń oraz integracja z Microsoft Defender for Endpoint są włączone.

Krok 1 — Wymagaj uwierzytelniania wieloskładnikowego i zaufanych urządzeń w przypadku dostępu uprzywilejowanego

Upewnij się, że dostęp uprzywilejowany wymaga silnego uwierzytelniania użytkownika i zaufanych urządzeń.

  1. W centrum administracyjnym Microsoft Entra przejdź do Protection>Dostęp warunkowy>Policies.
  2. Wybierz pozycję Utwórz nowe zasady.
  3. W obszarze Przypisania>Użytkownicy konfigurują następujące ustawienia:
    • Uwzględnij role katalogu uprzywilejowanego, takie jak administrator globalny, administrator zabezpieczeń.
    • Wyklucz grupę szkła awaryjnego.
  4. W obszarze Assignments>Cloud apps obejmują aplikacje do zarządzania chmurą, takie jak portal Azure, centrum administracyjne Microsoft Entra, Centrum administracyjne platformy Microsoft 365 i portale Defender.
  5. W obszarze Kontrola dostępu udziel dostępu przy użyciu następujących ustawień:
    • Wymaganie uwierzytelniania wieloskładnikowego
    • Wymagaj, aby urządzenie było oznaczone jako zgodne
    • Wymagaj niskiego poziomu ryzyka urządzenia w usłudze Ochrona punktu końcowego w usłudze Microsoft Defender = niski
  6. Włącz zasady.

Krok 2 — Ogranicz portale administracyjne do uprzywilejowanych stacji roboczych

Upewnij się, że portale administracyjne są dostępne tylko z zgodnych stacji roboczych z dostępem uprzywilejowanym.

  1. W centrum administracyjnym Microsoft Entra przejdź do Protection>Dostęp warunkowy>Policies.
  2. Wybierz pozycję Utwórz nowe zasady , aby utworzyć dodatkowe zasady.
  3. W sekcji Przypisania>Użytkownicy konfigurują następujące ustawienia:
    • Uwzględnij role katalogu uprzywilejowanego, takie jak administrator globalny, administrator zabezpieczeń.
    • Wyklucz awaryjną grupę break-glass.
  4. W sekcji Przypisania>Aplikacje w chmurze uwzględnij aplikacje administracyjne używane do uprzywilejowanego dostępu w Twoim środowisku.
  5. W obszarze Kontrola dostępu udziel dostępu przy użyciu następujących ustawień:
    • Wymagaj, aby urządzenie było oznaczone jako zgodne
    • Wymagaj, aby poziom ryzyka urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender był niski
  6. Włącz zasady.

Krok 3. Blokowanie uprzywilejowanego dostępu z urządzeń innych niż PAW

Upewnij się, że dostęp uprzywilejowany do portali administracyjnych jest zablokowany dla urządzeń innych niż PAW, nawet jeśli te urządzenia spełniają ogólne wymagania dotyczące zgodności.

  1. W centrum administracyjnym Microsoft Entra przejdź do Protection>Dostęp warunkowy>Policies.
  2. Wybierz pozycję Utwórz nowe zasady , aby utworzyć trzecie zasady.
  3. W obszarze Przypisania>użytkownicy konfigurują następujące ustawienia:
    • Uwzględnij role katalogu uprzywilejowanego, takie jak administrator globalny, administrator zabezpieczeń.
    • Wyklucz wyznaczone konta dostępu awaryjnego.
  4. W obszarze Przypisaniaaplikacje w chmurze zawierają te same > administracyjne.
  5. W obszarze Warunki wybierz pozycję Filtruj dla urządzeń.
  6. Skonfiguruj filtr urządzeń tak, aby obejmował urządzenia inne niż PAW:
    • Wybierz pozycję Uwzględnij przefiltrowane urządzenia:
    • Skonfiguruj filtr urządzenia identyfikujący urządzenia spoza stacji roboczej z dostępem uprzywilejowanym na podstawie atrybutu lub reguły używanej przez organizację do rozróżniania stacji roboczych z dostępem uprzywilejowanym. Upewnij się, że jest to zgodne z metodą identyfikacji ustanowioną w fazie 2.
  7. Wybierz pozycję Gotowe , aby zastosować warunek filtru urządzenia.
  8. W obszarze Kontrola dostępu wybierz pozycję Blokuj dostęp.
  9. Wybierz pozycję Utwórz , aby włączyć zasady.

Krok 4 — Ogranicz dostęp sieciowy PAW

Ogranicz dostęp PAW do sieci wyłącznie do wymaganych punktów końcowych do administrowania i zarządzania. Ta konfiguracja opiera się na jawnych regułach zapory sieciowej dopuszczających wymagane punkty końcowe, a nie na ogólnych zezwoleniach opartych na protokołach.

  1. W centrum administracyjnym Microsoft Intune przejdź do Endpoint security>Firewall.

  2. Wybierz pozycję Utwórz zasady.

  3. Skonfiguruj zasady: - Platform: Windows 10 i nowsze. 1. Skonfiguruj ustawienia profilu zapory:

    • Połączenia przychodzące: Blokuj
    • Połączenia wychodzące: Zezwalaj (ustawienie domyślne, kontrolowane przez poniższe reguły)

  4. W obszarze Ustawienia skonfiguruj reguły zapory . Użyj reguł zapory, aby zdefiniować ruch wymagany do administrowania uprzywilejowanym.

  5. Utwórz reguły zezwalania na ruch wychodzący dla wymaganych usług, takich jak:

    • DNS
    • DHCP
    • NTP
    • Wymagane punkty końcowe zarządzania chmurą firmy Microsoft, takie jak Intune i Microsoft Entra ID.
    • Wymagane punkty końcowe administracyjne.

    Każda reguła powinna:

    • Określ kierunek: wychodzący.
    • Określ akcję: Zezwalaj
    • Definiowanie docelowych punktów końcowych (zakresów adresów IP, nazw FQDN lub tagów usługi, jeśli są obsługiwane)

  6. Upewnij się, że nie skonfigurowano żadnych ogólnych reguł zezwalania, takich jak nieograniczone protokoły HTTP/HTTPS.

  7. Przypisz zasady do bezpiecznych urządzeń stacji roboczych (PAW).

  8. Wybierz pozycję Utwórz , aby wdrożyć zasady.

Spowoduje to ukończenie warstwy wymuszania dostępu uprzywilejowanego. Następny artykuł może opierać się na tym, aby uwzględnić kryteria pomiaru, monitorowania i powodzenia.

Następne kroki

W przypadku warstwy wymuszania dostępu uprzywilejowanego ostatnim krokiem jest skonfigurowanie monitorowania.

  • Last updated on