Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dostęp uprzywilejowany znajduje się w modelu dostępu przedsiębiorstwa i zapewnia jedyną ścieżkę administracyjną do płaszczyzny sterowania. Definiuje on, kto może konfigurować systemy, zarządzać tożsamościami, wymuszać zabezpieczenia i ostatecznie kształtować środowisko technologiczne organizacji.
W nowoczesnych przedsiębiorstwach stosunkowo niewielka liczba tożsamości, takich jak administratorzy, konta usług i role płaszczyzny sterowania, dysponuje uprawnieniami i ma dostęp do większości zasobów biznesowych. Te tożsamości mogą:
- Modyfikowanie kontroli dostępu
- Zmienianie konfiguracji systemu
- Uzyskiwanie dostępu do poufnych danych
- Wyłączanie lub pomijanie zabezpieczeń
Osoby atakujące to rozpoznają. Zamiast atakować każdy system indywidualnie, skupiają się na:
- Kradzież poświadczeń.
- Eskalacja uprawnień.
- Przechodzenie poziome do ról o dużej wartości.
Po uzyskaniu uprzywilejowanego dostępu osoba atakująca może działać z szybkością i skalowaniem.
Dlatego nowoczesne modele zabezpieczeń traktują dostęp uprzywilejowany inaczej:
- Musi być jawnie kontrolowany. Na przykład zdefiniuj role uprzywilejowane i proces wdrażania użytkowników za pomocą nadzoru nad tożsamościami oraz zarządzania tożsamościami uprzywilejowanymi (PIM), wymagając zatwierdzenia oraz czasowego podniesienia uprawnień zamiast stałego przypisywania ról.
- Musi być odizolowany od normalnego działania. Na przykład należy użyć oddzielnych kont administracyjnych i dedykowanych urządzeń z dostępem uprzywilejowanym (PAW), aby akcje uprzywilejowane nigdy nie miały miejsce z poziomu standardowych sesji użytkowników lub urządzeń niezarządzanych.
- Musi być stale monitorowany. Na przykład wysyłaj uprzywilejowane logowania, aktywacje ról i zmiany zasad w narzędziach monitorowania, takich jak Microsoft Sentinel, aby wykrywać nietypowe wzorce użycia i wyzwalać alerty lub automatyczną odpowiedź.
- Należy uzgodnić, że uprzywilejowany dostęp jest głównym celem naruszenia zabezpieczeń. Na przykład należy chronić wszystkie konta uprzywilejowane za pomocą silnego uwierzytelniania wieloskładnikowego (MFA), bez stałego dostępu oraz z zastosowaniem mechanizmów kontroli dla kont awaryjnych, zakładając, że atakujący próbują kraść poświadczenia i eskalować uprawnienia.
Ochrona uprzywilejowanego dostępu wymaga wykraczania poza tylko role i konta, aby zrozumieć wszystkie składniki, które mają uprzywilejowany dostęp. Obejmuje to:
- Warstwa sterowania tożsamością.
- Uprzywilejowane urządzenia, aplikacje i interfejsy.
- Systemy pośredniczące, takie jak sieci VPN, pim i systemy zarządzania dostępem uprzywilejowanym (PAM).
Razem definiują sposób wykonywania kontroli i sposób jej ochrony.
Na poniższej ilustracji przedstawiono potencjalną powierzchnię ataków w przypadku naruszenia uprzywilejowanego dostępu.
Warstwa sterowania tożsamością
Warstwa sterowania tożsamością to warstwa, która definiuje i reguluje, kto może pełnić role uprzywilejowane oraz w jaki sposób te uprawnienia są przypisywane, podwyższane i odbierane w całej organizacji. W kontekście dostępu uprzywilejowanego obejmuje to uprzywilejowane tożsamości, przypisania ról i zatwierdzone ścieżki eskalacji uprawnień, tworząc podstawę, od której zależą wszystkie pozostałe mechanizmy kontrolne.
Zabezpieczanie płaszczyzny kontroli tożsamości zapewnia, że uprawnienia są jawne, ograniczone czasowo, silnie uwierzytelnione i poddawane inspekcji, uniemożliwiając nieautoryzowany lub niekontrolowany dostęp do systemów, które ostatecznie kontrolują całe środowisko.
Na poniższym diagramie pokazano, że płaszczyzna sterowania jest centralnie zarządzana w usługach w chmurze (Microsoft Entra ID, Intune, Defender dla punktu końcowego) i można uzyskać do niego dostęp tylko za pośrednictwem stacji roboczej z dostępem uprzywilejowanym (PAW), wymuszając izolację, kontrolę i bezpieczną administrację wszystkich uprzywilejowanych operacji.
Role płaszczyzny sterowania
Microsoft Entra ID zawiera role i uprawnienia uznawane za uprzywilejowane.
Te role i uprawnienia mogą służyć do delegowania zarządzania zasobami katalogu do innych użytkowników, modyfikowania poświadczeń, zasad uwierzytelniania lub autoryzacji lub uzyskiwania dostępu do ograniczonych danych. Przypisania ról uprzywilejowanych mogą prowadzić do eskalacji uprawnień, jeśli nie są używane w bezpieczny i zamierzony sposób.
- Przejrzyj uprzywilejowane role Microsoft Entra.
- Dowiedz się więcej o wyświetlaniu i używaniu ról uprzywilejowanych.
Stacje robocze z dostępem uprzywilejowanym
Stacja robocza z dostępem uprzywilejowanym (PAW) to dedykowane, wzmocnione urządzenie używane tylko do wykonywania zadań administracyjnych. Jest ono odseparowane od standardowych urządzeń użytkowników i odpowiednio zabezpieczone, aby zmniejszyć ryzyko kradzieży poświadczeń, złośliwego oprogramowania lub ruchu bocznego. Stacje robocze z dostępem uprzywilejowanym (PAW) zapewniają kluczowe zabezpieczenia, takie jak:
- Silne uwierzytelnianie (na przykład Windows Hello dla biznesu)
- Wzmacnianie zabezpieczeń urządzeń (Credential Guard, Device Guard, Exploit Guard, AppLocker)
- Ograniczone użytkowanie (brak zwykłego przeglądania internetu ani pracy biurowej)
Celem jest zapewnienie, że uprzywilejowane poświadczenia i akcje nigdy nie są narażone na niezaufane środowiska.
Na poniższym diagramie pokazano, że stacja robocza z dostępem uprzywilejowanym jest jedynym zaufanym punktem dostępu do płaszczyzny sterowania.
Jak pokazano na schemacie, wszystkie działania administracyjne przechodzą przez PAW i są kontrolowane w sposób podsumowany w tabeli.
| Kontrola | Implementacja |
|---|---|
| Jawnie kontrolowane | Dostęp administracyjny jest przyznawany wyłącznie za pośrednictwem mechanizmów zarządzania tożsamością opartych na politykach, wymagających silnego uwierzytelniania oraz zatwierdzonego, ograniczonego czasowo podniesienia uprawnień. Stan urządzenia musi również spełniać wymagania dotyczące zgodności przed zezwoleniem na dostęp. |
| Izolowane od normalnego działania | Operacje uprzywilejowane mogą być wykonywane wyłącznie na dedykowanym urządzeniu PAW o ściśle kontrolowanym sposobie użycia i łączności. PAW nie są używane do ogólnych zadań biurowych; mają ograniczony dostęp do Internetu i zapewniają bezpieczną łączność zdalną z systemami wrażliwymi. |
| Stale monitorowane | Cała aktywność związana z tożsamościami, stan urządzeń i zachowanie punktów końcowych są stale gromadzone i analizowane, co umożliwia wykrywanie nietypowej aktywności uprzywilejowanej oraz szybką reakcję. |
| Przyjmuje się, że jest obiektem ataku | Środowisko jest utwardzane i stale walidowane, zakładając, że atakujący obierają za cel uprzywilejowany dostęp. Urządzenia są aktualne, wymuszane jest bezpieczne uruchamianie. |
Następne kroki
Wdrażanie architektury dostępu uprzywilejowanego.