Прочитать на английском

Поделиться через


Основные восемь ограничений прав администратора

В этой статье подробно описаны методы реализации модели зрелости Австралийского центра кибербезопасности (ACSC) Essential Eight для ограничения административных привилегий с помощью платформа удостоверений Майкрософт. Рекомендации по модели зрелости ACSC для ограничения административных привилегий приведены в модели acsc Essential Eight Maturity Model.

Зачем следовать рекомендациям ACSC Essential Eight, ограничивающим административные привилегии?

Австралийский центр кибербезопасности (ACSC) возглавляет усилия австралийского правительства по повышению кибербезопасности. ACSC рекомендует всем австралийским организациям реализовать основные восемь стратегий по устранению рисков из стратегий ACSC по устранению инцидентов кибербезопасности в качестве базового плана. Базовые показатели, известные как Основные восемь, представляют собой базовые меры кибербезопасности, которые значительно усложняют злоумышленникам компрометацию систем. Основные восемь уровней зрелости позволяют организациям оценивать целесообразность своих мер кибербезопасности в отношении распространенных угроз в современном взаимосвязанном ландшафте ИКТ.

Целью злоумышленника является получение доступа к привилегированным учетным данным, особенно учетным данным с доступом к корпоративной плоскости управления. Доступ на уровне управления обеспечивает широкий доступ и контроль над высокоценными ресурсами в корпоративной среде ИКТ. Примерами доступа на уровне управления являются глобальный администратор и эквивалентные привилегии в Microsoft Entra ID и привилегированный доступ к инфраструктуре виртуализации предприятия.

Ограничение привилегированного доступа с помощью многоуровневого подхода увеличивает сложность для злоумышленника при выполнении вредоносных действий. Ограничение административных привилегий — это эффективный контроль, включенный в стратегии ACSC по устранению инцидентов кибербезопасности.

В этой таблице описаны элементы управления ISM, связанные с ограничением административных привилегий.

Элемент управления ISM, сентябрь 2024 г. Уровень зрелости Control Показатель
ISM-0445 1, 2, 3 Привилегированным пользователям назначается выделенная привилегированная учетная запись пользователя, которая будет использоваться исключительно для выполнения обязанностей, требующих привилегированного доступа. Администраторы должны использовать отдельные учетные записи для привилегированных задач и повышения производительности. Учетные записи с высоким уровнем привилегий в Microsoft Entra ID, Azure и Microsoft 365 должны быть облачными учетными записями, а не учетными записями, синхронизированными из локальная служба Active Directory домена.
ISM-1175 1, 2, 3 Учетные записи привилегированных пользователей (за исключением учетных записей, явно авторизованных на доступ к веб-службы) не имеют доступа к Интернету, электронной почте и веб-службам. Запретите использование средств повышения производительности, таких как Office 365 электронной почты, удалив лицензии Microsoft 365 из привилегированных учетных записей. Привилегированные учетные записи должны обращаться к порталам администрирования облака с устройства с привилегированным доступом. Управление Интернетом и электронной почтой с устройств с привилегированным доступом можно выполнить с помощью брандмауэра на основе узла, облачного прокси-сервера или путем настройки параметров прокси-сервера на устройстве.
ISM-1507 1, 2, 3 Запросы на привилегированный доступ к системам, приложениям и репозиториям данных проверяются при первом запросе. Для привилегированного доступа используется процесс управления правами. Microsoft Entra управление правами можно использовать для автоматизации процессов управления правами.
ISM-1508 3 Привилегированный доступ к системам, приложениям и репозиториям данных ограничен только тем, что требуется пользователям и службам для выполнения своих обязанностей. Управление доступом на основе ролей настраивается для ограничения доступа авторизованных пользователей. Microsoft Entra управление привилегированными пользователями (PIM) обеспечивает JIT-доступ, ограниченный по времени.
ISM-1509 2, 3 События привилегированного доступа регистрируются централизованно. Microsoft Entra журналы аудита и журналы входа отправляются в рабочую область Azure Log Analytics (LAW) для анализа.
ISM-1647 2, 3 Привилегированный доступ к системам, приложениям и репозиториям данных отключается через 12 месяцев, если не будет повторной проверки. Для привилегированного доступа используется процесс управления правами. Microsoft Entra управление правами можно использовать для автоматизации процессов управления правами.
ISM-1648 2, 3 Привилегированный доступ к системам и приложениям отключается после 45 дней бездействия. Используйте Microsoft API Graph для оценки lastSignInDateTime и определения неактивных привилегированных учетных записей.
ISM-1650 2, 3 События управления привилегированной учетной записью пользователя и группой безопасности регистрируются централизованно. Microsoft Entra журналы аудита и журналы входа отправляются в рабочую область Azure Log Analytics (LAW) для анализа.
ISM-1380 1, 2, 3 Привилегированные пользователи используют отдельные привилегированные и непривилегированные операционные среды. Использование различных физических рабочих станций — это наиболее безопасный подход к разделению привилегированных и непривилегированных операционных сред для системных администраторов. Организациям, которые не могут использовать отдельные физические рабочие станции для разделения привилегированных и непривилегированных операционных сред, следует использовать подход, основанный на рисках, и реализовать альтернативные средства управления в соответствии со стратегией глубокой защиты.
ISM-1688 1, 2, 3 Непривилегированные учетные записи пользователей не могут входить в привилегированные операционные среды. Ограничения входа и управление доступом на основе ролей используются для предотвращения входа непривилегированных учетных записей пользователей в привилегированные операционные среды.
ISM-1689 1, 2, 3 Учетные записи привилегированных пользователей (за исключением учетных записей локального администратора) не могут входить в непривилегированные операционные среды. Ограничения входа и управление доступом на основе ролей используются для предотвращения входа учетных записей привилегированных пользователей в непривилегированные операционные среды.
ISM-1883 1, 2, 3 Учетные записи привилегированных пользователей, явно разрешенные для доступа к веб-службы, строго ограничены только тем, что требуется пользователям и службам для выполнения своих обязанностей. Управление доступом на основе ролей настраивается для ограничения доступа авторизованных пользователей. Microsoft Entra управление привилегированными пользователями (PIM) обеспечивает JIT-доступ, который является ограничением по времени.
ISM-1898 2, 3 Безопасные рабочие станции Администратор используются для выполнения административных действий. Управление устройствами с привилегированным доступом осуществляется с помощью Microsoft Intune и защиты с помощью сочетания элементов управления Defender для конечной точки, Windows Hello для бизнеса и Microsoft Entra ID.

Ограничение административных привилегий: основные восемь требований

Привилегированный доступ позволяет администраторам изменять конфигурацию ключевых приложений и инфраструктуры, таких как службы удостоверений, бизнес-системы, сетевые устройства, рабочие станции пользователей и учетные записи пользователей. Привилегированный доступ или учетные данные часто называют "ключами к королевству", так как они предоставляют носителям контроль над множеством различных ресурсов в сети.

Следующие категории элементов управления необходимы для достижения основного уровня зрелости 3 для ограничения административных привилегий.

  • Управление удостоверениями. Управление удостоверениями — это процесс проверки требований к доступу пользователей и удаления доступа, который больше не требуется.
  • Минимальные привилегии. Минимальные привилегии — это подход к управлению доступом, который ограничивает доступ к системам, приложениям и репозиториям данных только тем, что требуется пользователям и службам для выполнения своих обязанностей.
  • Ограничения учетных записей. Ограничения учетных записей снижают уязвимость привилегированных учетных данных в непривилегированных средах.
  • Административные устройства. Административные устройства — это безопасные операционные среды, используемые для выполнения административных действий.
  • Ведение журнала и мониторинг. Ведение журнала и мониторинг привилегированных действий позволяет обнаруживать признаки компрометации.

Управление удостоверениями

Identity Governance помогает организациям достичь баланса между продуктивностью и безопасностью. Управление жизненным циклом удостоверений является основой для управления удостоверениями, и для эффективного управления в масштабе требуется современная инфраструктура управления жизненным циклом удостоверений.

Управление правами (ML1)

Основной восьми уровень зрелости 1 требует, чтобы запросы на привилегированный доступ к системам, приложениям и репозиториям данных проверялись при первом запросе. Проверка запросов на привилегированный доступ является частью процесса управления правами. Управление правами — это процесс администрирования доступа пользователей к привилегиям, чтобы гарантировать, что только авторизованные пользователи имеют доступ к набору ресурсов. Ключевые шаги в процессе управления правами включают запросы на доступ, проверки доступа, подготовку доступа и истечение срока действия доступа.

Microsoft Entra управление правами автоматизирует процесс управления доступом к ресурсам в Azure. Пользователям можно делегировать доступ с помощью пакетов доступа, которые представляют собой пакеты ресурсов. Пакет access в Microsoft Entra Управление правами может включать группы безопасности, группы Microsoft 365 и Teams, Microsoft Entra корпоративные приложения и сайты SharePoint Online. Пакеты доступа включают одну или несколько политик. Политика определяет правила или ограничения для назначения доступа к пакету. Политики можно использовать для обеспечения того, чтобы только соответствующие пользователи могли запрашивать доступ, что утверждающие для запросов на доступ назначены, а доступ к ресурсам ограничен по времени и истекает, если не будет продлен.

Иллюстрация, описывающая жизненный цикл управления правами Microsoft Entra.

Подробные сведения об управлении правами см. в разделе управление правами Microsoft Entra.

Управление неактивными пользователями (ML2)

Базовый восемь уровней зрелости 2 требует, чтобы привилегированный доступ к системам и приложениям автоматически отключился после 45 дней бездействия. Неактивные учетные записи — это учетные записи пользователей или системных учетных записей, которые больше не требуются вашей организации. Неактивные учетные записи обычно можно определить с помощью журналов входа, указывая, что они не использовались для входа в течение длительного периода времени. Для обнаружения неактивных учетных записей можно использовать метку времени последнего входа.

Последний вход предоставляет потенциальные аналитические сведения о сохраняющейся потребности пользователя в доступе к ресурсам. С его помощью можно определить, требуется ли членство в группе или доступ к приложению или может быть удалена. Для управления гостевыми пользователями можно понять, активна ли гостевая учетная запись в клиенте или ее следует очистить.

Для обнаружения неактивных учетных записей вычисляется свойство lastSignInDateTime, предоставляемое типом ресурса signInActivity API Graph Майкрософт. Свойство lastSignInDateTime показывает время последнего успешного интерактивного входа пользователя в Microsoft Entra ID. С помощью этого свойства можно реализовать решение для следующих сценариев:

Подробные сведения об управлении неактивными пользователями см. в разделе Управление неактивными учетными записями пользователей.

Наименее привилегия

Минимальные привилегии требуют, чтобы доступ к системам и приложениям был ограничен только тем, что требуется пользователям и системам для выполнения своих обязанностей. Минимальные привилегии можно реализовать с помощью таких элементов управления, как управление доступом на основе ролей (RBAC), управление привилегированным доступом и JIT-доступ.

Отдельные учетные записи для администраторов (ML1)

Для уровня 1 основного восьми уровня зрелости требуется, чтобы привилегированным пользователям была назначена выделенная привилегированная учетная запись пользователя, которая будет использоваться исключительно для выполнения обязанностей, требующих привилегированного доступа. Учетные записи с высоким уровнем привилегий в Microsoft Entra ID, Azure и Microsoft 365 должны быть облачными учетными записями, а не учетными записями, синхронизированными из локальная служба Active Directory домена. Учетные записи администратора должны блокировать использование средств повышения производительности, таких как Office 365 электронной почты (удалить лицензию).

Подробные сведения об управлении административным доступом см. в статье Защита привилегированного доступа для гибридных и облачных развертываний.

Принудительное применение условного доступа для администраторов (ML1)

Базовый восемь уровней зрелости 1 требует, чтобы привилегированные пользователи использовали отдельные привилегированные и непривилегированные операционные среды. Для привилегированного доступа к средам Azure и Microsoft 365 требуется более высокий стандарт безопасности, чем стандарт, применяемый к обычным пользователям. Привилегированный доступ должен предоставляться на основе сочетания сигналов и атрибутов безопасности для поддержки стратегии "Никому не доверяй". Компрометация учетной записи с привилегированным доступом к Azure или Microsoft 365 может привести к значительным нарушениям бизнес-процессов. Условный доступ может снизить риск компрометации, применяя определенный стандарт гигиены безопасности, прежде чем разрешать доступ к средствам управления Azure.

Рекомендуется реализовать следующие элементы управления административным доступом к средствам администрирования портал Azure и командной строки:

  • Требование многофакторной проверки подлинности (MFA)
  • Блокировка попыток доступа с высоким уровнем риска входа в Службу защиты идентификации Майкрософт
  • Блокировка попыток доступа с высоким уровнем риска для пользователей из Защиты идентификации Майкрософт
  • Требовать доступ с устройства, присоединенного к Microsoft Entra, что соответствует Intune требованиям к работоспособности устройства, состоянию обновления и состоянию безопасности системы

Подробные сведения о применении условного доступа для администраторов см. в следующих статьях:

Управление учетными записями локального администратора (ML2)

Основные восемь зрелости уровня 2 требуют, чтобы учетные данные для учетных записей break glass, учетных записей локального администратора и учетных записей служб были длинными, уникальными, непредсказуемыми и управляемыми. Активные учетные записи локального администратора на рабочих станциях Windows часто используются злоумышленниками для бокового обхода среды Windows. По этой причине для учетных записей локальных администраторов в системах, присоединенных к домену, рекомендуется использовать следующие элементы управления:

Системы, присоединенные к Active Directory

Решение microsoft Local Administrator Password Solution (LAPS) предоставляет решение проблемы использования общей локальной учетной записи с одинаковым паролем на каждом компьютере. LAPS устраняет эту проблему, устанавливая другой случайный пароль для учетной записи локального администратора на каждом компьютере в домене. Пароли хранятся в Active Directory и защищены ограничивающими контроль доступа Списки. Пароль локального администратора может быть получен или сброшен только соответствующими пользователями.

Подробные сведения об управлении учетными записями локального администратора в системах, присоединенных к Active Directory, см. в следующих статьях:

Microsoft Entra присоединенных систем

При присоединении устройства Windows к Microsoft Entra ID с помощью Microsoft Entra присоединения Microsoft Entra ID добавляет следующие принципы безопасности в локальную группу администраторов на устройстве:

  • Роль глобального администратора Microsoft Entra
  • Роль локального администратора устройства, присоединенного к Azure AD
  • Пользователь, выполняющий Microsoft Entra присоединение

Вы можете настроить членство в локальной группе администраторов в соответствии с бизнес-требованиями. Рекомендуется ограничить доступ локального администратора к рабочим станциям и требовать утверждения PIM для использования роли локального администратора устройства, присоединенного к Azure AD.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации.

В портал Azure вы можете управлять ролью "Администратор устройства" из параметров устройства.

  1. Войдите в портал Azure в качестве глобального администратора.
  2. Перейдите к разделу Microsoft Entra ID > Устройства > Параметры устройства.
  3. Выберите Управление дополнительными локальными администраторами на всех устройствах, присоединенных к Microsoft Entra.
  4. Выберите Добавить назначения, а затем выберите других администраторов, которые вы хотите добавить, и нажмите кнопку Добавить.

Чтобы изменить роль администратора устройства, настройте дополнительных локальных администраторов на всех устройствах, присоединенных к Microsoft Entra.

Подробные сведения об управлении локальными администраторами в системах, присоединенных к Microsoft Entra, см. в следующих статьях:

Управление учетными записями служб (ML2)

Распространенной проблемой для разработчиков является управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между службами. Для основных восьми уровней зрелости 2 учетные данные учетных записей служб должны быть длинными, уникальными, непредсказуемыми и управляемыми.

Системы, присоединенные к Active Directory

Групповые управляемые учетные записи служб (gMSA) — это учетные записи домена для защиты служб. gMSA могут выполняться на одном сервере или в ферме серверов, например в системах за балансировкой сетевой нагрузки или сервером СЛУЖБ IIS. После настройки служб для использования субъекта gMSA управление паролями учетных записей обрабатывается операционной системой Windows (ОС).

gMSA — это решение для идентификации с большей безопасностью, которое помогает сократить административные издержки:

  • Установка надежных паролей: 240 байтовых случайно созданных паролей: сложность и длина паролей gMSA сводит к минимуму вероятность компрометации методом подбора или атак по словарю.
  • Регулярное циклическое создание паролей: управление паролями переходит к ОС Windows, которая меняет пароль каждые 30 дней. Администраторам служб и доменов не нужно планировать изменение пароля или управлять сбоями службы.
  • Поддержка развертывания в фермах серверов: разверните gMSA на нескольких серверах для поддержки решений с балансировкой нагрузки, где несколько узлов выполняют одну службу.
  • Поддержка упрощенного управления именем субъекта-службы (SPN) — при создании учетной записи настройте имя субъекта-службы с помощью PowerShell.

Microsoft Entra присоединенных систем

Управляемые удостоверения предоставляют автоматически управляемое удостоверение в Microsoft Entra ID для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Приложения могут использовать управляемые удостоверения для получения маркеров Microsoft Entra без необходимости управлять учетными данными.

Существует два типа управляемых удостоверений:

  • Назначаемое системой. Субъект-служба автоматически создается в Microsoft Entra ID для удостоверения ресурса. Субъект-служба привязан к жизненному циклу этого ресурса Azure. При удалении ресурса Azure Azure автоматически удаляет связанный субъект-службу.
  • Назначаемое пользователем. Субъект-служба создается вручную в Microsoft Entra ID для удостоверения ресурса. Субъект-служба управляется отдельно от ресурсов, которые его используют.

JIT-доступ к системам и приложениям (ML3)

Избегайте назначения постоянного постоянного доступа для учетных записей, которые являются членами привилегированных ролей в Azure или Microsoft 365. Злоумышленники часто нацеливается на учетные записи с постоянными привилегиями для поддержания сохраняемости в корпоративных средах и наносят значительный ущерб системам. Временные привилегии заставляют злоумышленников либо ждать повышения пользователем своих привилегий, либо инициировать повышение привилегий. Инициирование действия повышения привилегий повышает вероятность обнаружения и удаления злоумышленника до того, как он сможет нанести ущерб.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации.

Предоставьте привилегии только по мере необходимости с помощью следующих методов:

  • JIT-доступ. Настройте Microsoft Entra управление привилегированными пользователями (PIM), чтобы требовать рабочий процесс утверждения для получения привилегий для доступа к привилегированным ролям. Как минимум, для следующих привилегированных ролей Microsoft Entra необходимо повышение прав: глобальный администратор, администратор привилегированной проверки подлинности, администратор привилегированных ролей, администратор условного доступа и администратор Intune. Как минимум, повышение прав должно требоваться для следующих привилегированных ролей Azure RBAC: владелец и участник.
  • Учетные записи аварийного доступа. Учетные записи аварийного доступа ограничены сценариями аварийного доступа или "разбиения стекла", в которых обычные административные учетные записи не могут использоваться. Например, все администраторы заблокированы в клиенте Microsoft Entra. Убедитесь, что вы задаете надежный пароль и используете учетные записи аварийного доступа только во время чрезвычайных ситуаций. Создайте облачные учетные записи с помощью домена *.onmicrosoft.com для учетных записей аварийного доступа и настройте мониторинг для оповещения при входе.

Проверки доступа (ML3)

Базовый восемь зрелости уровня 3 требует, чтобы привилегированный доступ к системам и приложениям был ограничен только тем, что требуется пользователям и службам для выполнения своих обязанностей. Потребность в привилегированном доступе к ресурсам Azure и Microsoft Entra ролям со временем меняется. Чтобы снизить риск, связанный с устаревшими назначениями ролей, следует регулярно проверять доступ. Microsoft Entra проверки доступа позволяют организациям эффективно управлять членством в группах RBAC, доступом к корпоративным приложениям и Microsoft Entra назначениями ролей. Доступ пользователей можно регулярно проверять, чтобы убедиться, что только нужные люди по-прежнему имеют доступ.

Microsoft Entra проверки доступа позволяют использовать следующие варианты использования:

  • Выявление чрезмерных прав доступа
  • Определение того, когда группа используется для новой цели
  • Когда люди перемещают команды или покидают компанию, удаляя ненужный доступ
  • Включение упреждающего взаимодействия с владельцами ресурсов, чтобы они регулярно проверяли, у кого есть доступ к их ресурсам.

В зависимости от типа доступа, требующего проверки, проверки доступа необходимо создавать в разных областях портал Azure. В следующей таблице показаны конкретные средства для создания проверок доступа.

Права доступа пользователей Рецензенты могут быть Проверка, созданная в Опыт рецензента
Члены группы безопасности
Члены группы Office
Указанные рецензенты
Владельцы групп
Самостоятельная проверка
Проверки доступа
группы Microsoft Entra
Панель доступа
Назначено подключенное приложение Указанные рецензенты
Самостоятельная проверка
Проверки доступа
Microsoft Entra корпоративные приложения (в предварительной версии)
Панель доступа
роль Microsoft Entra Указанные рецензенты
Самостоятельная проверка
Управление привилегированной идентификацией (PIM) Портал Azure
Роль ресурса Azure Указанные рецензенты
Самостоятельная проверка
Управление привилегированной идентификацией (PIM) Портал Azure
Доступ к назначениям пакетов Указанные рецензенты
Члены группы
Самостоятельная проверка
Управление правами Панель доступа

Подробные сведения о Microsoft Entra проверках доступа см. в следующих статьях:

Ограничения учетных записей

Безопасность учетных записей является критически важным компонентом защиты привилегированного доступа. Для сквозной системы безопасности "Никому не доверяй" требуется установить, что учетная запись, используемая в сеансе, фактически находится под контролем владельца-человека, а не злоумышленника, олицетворяющего их.

Ограничения входа (ML1)

Пользователи, службы или учетные записи приложений с правами администратора в доменах Windows Active Directory (AD) представляют высокий риск для корпоративной безопасности. Эти учетные записи часто становятся мишенью злоумышленников, так как они предоставляют широкий доступ к серверам, базам данных и приложениям. Когда администраторы входят в системы с более низким профилем безопасности, привилегированные учетные данные сохраняются в памяти и могут быть извлечены с помощью средств кражи учетных данных (например, Mimikatz).

Для уровня 1 основного восьми уровня зрелости требуется, чтобы привилегированные учетные записи пользователей (за исключением учетных записей локального администратора) не могли входить в непривилегированные операционные среды. Модель многоуровневого администрирования Майкрософт применяет ограничения для входа к устройствам, присоединенным к домену, чтобы предотвратить предоставление привилегированных учетных данных на устройствах с более низким профилем безопасности. Администраторы с правами администратора к домену Active Directory отделены от администраторов, которые управляют рабочими станциями и корпоративными приложениями. Необходимо применить ограничения входа, чтобы учетные записи с высоким уровнем привилегий не могли входить в менее защищенные ресурсы. Например:

  • Члены групп active Directory Enterprise и Domain Admins не могут входить на серверы бизнес-приложений и рабочие станции пользователей.
  • Члены роли глобальных администраторов Microsoft Entra не могут входить в Microsoft Entra присоединенных рабочих станций.

Ограничения входа можно применять с помощью групповая политика назначений прав пользователей или политик Microsoft Intune. Рекомендуется настроить следующие политики на корпоративных серверах и рабочих станциях пользователей, чтобы запретить привилегированным учетным записям предоставлять учетные данные менее доверенной системе:

  • Запрет доступа к этому компьютеру из сети
  • Запрет входа в систему в качестве пакетного задания
  • Запрет входа в систему как услуги
  • Запрет входа в систему локально
  • Запрет входа через службы терминалов

Ограничение доступа к Интернету, электронной почте и веб-службам (ML1)

Для уровня 1 основной восьми зрелости требуется, чтобы привилегированные учетные записи (за исключением учетных записей, явно уполномоченных на доступ к веб-службы) не допускали доступ к Интернету, электронной почте и веб-службам. Учетные записи администратора должны блокировать использование средств повышения производительности, таких как Office 365 электронной почты (удалить лицензию). Учетные записи администратора должны обращаться к порталам администрирования облака с устройства с привилегированным доступом. Устройства с привилегированным доступом должны запретить все веб-сайты и использовать список разрешений для предоставления доступа к облачным порталам администрирования. Управление Интернетом и электронной почтой с устройств с привилегированным доступом можно выполнить с помощью брандмауэра на основе узла, облачного прокси-сервера или путем настройки параметров прокси-сервера на устройстве.

Устройства, которые присоединились к Microsoft Entra

Создайте профиль конфигурации Microsoft Intune, чтобы настроить сетевой прокси-сервер на устройствах, используемых для привилегированного администрирования. Устройства с привилегированным доступом, используемые для администрирования облачных служб Azure и Microsoft 365, должны использовать исключения прокси-сервера из следующей таблицы.

Раздел Имя Конфигурация
Основы Имя PAW-Intune-Configuration-Proxy-Device-Restrictions
Основы Платформа Windows 10 и более поздние версии
Основы Тип профиля Ограничения для устройств
Конфигурация Использование прокси-сервера вручную Разрешить
Конфигурация Address 127.0.0.2
Конфигурация Порт 8080
Конфигурация Исключения прокси-сервера account.live.com;*.msft.net; *.msauth.net;*.msauthimages.net;*.msftauthimages.net;*.msftauth.net;*.azure.com;*.azureedge.net;*.azurewebsites.net;*.microsoft.com; microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.microsoftonline-p.net;*.microsoftonline-p.com;*.windows.net;*.windows.com;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.azure-api.net;*.azure-devices.net;*.visualstudio.com; portal.office.com; config.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com;*.aka.ms;*.digicert.com;*.phonefactor.net;*.nuget.org;*.cloudapp.net;*.trafficmanager.net; login.live.com; clientconfig.passport.net;*.wns.windows.com;*.s-microsoft.com; www.msftconnecttest.com; graph.windows.net;*.manage.microsoft.com;*.aadcdn.microsoftonline-p.com;*.azureafd.net;*.azuredatalakestore.net;*.windows-int.net;*.msocdn.com;*.msecnd.net;*.onestore.ms;*.aspnetcdn.com;*.office.net;*.officeapps.live.com; aka.ms;*.powershellgallery.com;*.azure-apim.net; spoprod-a.akamaihd.net;*.hip.live.com

Административные устройства

Системные администраторы должны использовать отдельные устройства для управления привилегированными и непривилегированных операционными средами. Административные действия должны соответствовать принципу чистого источника для всех устройств, участвующих в процессе администрирования.

Отдельные привилегированные и непривилегированные операционные среды (ML1)

Базовый восемь уровней зрелости 1 требует, чтобы привилегированные пользователи использовали отдельные привилегированные и непривилегированные операционные среды. Использование различных физических рабочих станций — это наиболее безопасный подход к разделению привилегированных и непривилегированных операционных сред для системных администраторов. Хотя гарантии безопасности могут быть улучшены в сеансе, они всегда будут ограничены силой гарантии на исходном устройстве. Злоумышленник, управляющий устройством с привилегированным доступом, может олицетворять пользователей или украсть учетные данные пользователя для олицетворения в будущем. Этот риск подрывает другие гарантии в учетной записи, посредниках, таких как серверы перехода, и на самих ресурсах.

Организациям, которые не могут использовать отдельные физические рабочие станции для разделения привилегированных и непривилегированных операционных сред, следует использовать подход, основанный на рисках, и реализовать альтернативные средства управления в соответствии со стратегией глубокой защиты. Корпорация Майкрософт рекомендует сопоставлять роли пользователей и ресурсы с уровнем конфиденциальности, чтобы оценить уровень надежности, необходимый для защиты привилегированных операционных сред.

Подробные сведения об уровнях конфиденциальности привилегированного доступа см. в разделе Уровни безопасности привилегированного доступа.

Безопасные рабочие станции Администратор (ML3)

Для основных восьми уровней зрелости 3 требуется, чтобы рабочие станции secure Администратор использовались для выполнения административных действий. Безопасные рабочие станции Администратор (SAW) — это эффективный способ защиты от воздействия конфиденциальных учетных данных на менее защищенных устройствах. Вход в систему или запуск служб на менее безопасном устройстве с привилегированной учетной записью повышает риск кражи учетных данных и атак на повышение привилегий. Привилегированные учетные данные должны предоставляться только клавиатуре SAW и запрещать вход на менее безопасные устройства. SAW предоставляют безопасную платформу для управления локальными, Azure, Microsoft 365 и сторонними облачными службами. Устройства SAW управляются с помощью Microsoft Intune и защищаются с помощью сочетания элементов управления Defender для конечной точки, Windows Hello для бизнеса и Microsoft Entra ID.

На следующей схеме показана высокоуровневая архитектура, включая различные технологические компоненты, которые должны быть настроены для реализации общего решения и платформы SAW.

Иллюстрация, описывающая решение Microsoft Secure Администратор Workstation.

Подробные сведения о безопасных рабочих станциях Администратор см. в следующих статьях:

Безопасные посредники и серверы перехода (ML2)

Безопасность промежуточных служб является критически важным компонентом защиты привилегированного доступа. Посредники используются для упрощения сеанса или подключения администратора к удаленной системе или приложению. Примерами посредников являются виртуальные частные сети (VPN), серверы перехода, инфраструктура виртуальных рабочих столов (включая Windows 365 и Виртуальный рабочий стол Azure) и публикация приложений через прокси-серверы доступа. Злоумышленники часто ориентируются на посредников, чтобы повысить привилегии, используя учетные данные, хранящиеся в них, получить удаленный сетевой доступ к корпоративным сетям или использовать доверие на устройстве с привилегированным доступом.

Различные типы посредников выполняют уникальные функции, поэтому каждый из них требует разного подхода к безопасности. Злоумышленники могут легко нацеливать на системы с более крупной областью атаки. В следующем списке перечислены параметры, доступные для посредников с привилегированным доступом.

  • Собственные облачные службы, такие как Microsoft Entra управление привилегированными пользователями (PIM), Бастион Azure и Microsoft Entra прокси приложения, предоставляют злоумышленникам ограниченную область атаки. Хотя они доступны в общедоступном Интернете, клиенты (и злоумышленники) не имеют доступа к базовой инфраструктуре. Базовая инфраструктура для служб SaaS и PaaS поддерживается и отслеживается поставщиком облачных служб. Эта меньшая область атаки ограничивает доступные возможности для злоумышленников и классических локальных приложений и устройств, которые должны быть настроены, исправлены и отслеживаются ИТ-персоналом.
  • Виртуальные частные сети (VPN), удаленные рабочие столы и серверы перехода предоставляют значительную возможность злоумышленникам, так как эти службы требуют постоянной установки исправлений, усиления защиты и обслуживания для поддержания устойчивого состояния безопасности. Хотя на сервере перехода может быть доступно только несколько сетевых портов, злоумышленникам требуется доступ только к одной не исправленной службе для выполнения атаки.
  • Сторонние службы управление привилегированными пользователями (PIM) и управления привилегированным доступом (PAM) часто размещаются в локальной среде или в качестве виртуальной машины в инфраструктуре как услуге (IaaS) и обычно доступны только узлам интрасети. Хотя доступ к интернету напрямую не предоставляется, одно скомпрометированное удостоверение может позволить злоумышленникам получить доступ к службе через VPN или другой носитель удаленного доступа.

Подробные сведения о посредниках привилегированного доступа см. в разделе Безопасные посредники.

Управление привилегиями конечных точек Intune

С помощью Microsoft Intune Endpoint Privilege Management (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. EPM упрощает выполнение стандартными пользователями задач, требующих прав администратора, таких как установка приложений, обновление драйверов устройств и компоненты администрирования для устаревших приложений.

EPM контролирует повышение прав администратора для указанных процессов и двоичных файлов для определенных пользователей без предоставления неограниченных прав администратора всему устройству. Endpoint Privilege Management поддерживает соответствие требованиям Essential 8, помогая вашей организации достичь широкой базы пользователей, работающей с наименьшими привилегиями, позволяя пользователям по-прежнему выполнять задачи, разрешенные вашей организацией, чтобы оставаться продуктивными.

Дополнительные сведения об EPM см. в разделе Обзор EPM.

Сведения о включении EPM см. в статье Настройка политик управления привилегиями конечных точек с помощью Microsoft Intune.

Для соответствия требованиям Essential Восемь необходимо задать два типа политик, объединенных вместе, следующим образом:

Дополнительные сведения о политиках см. в разделах Параметры политики параметров повышения прав EPM Windows и Политика правил повышения прав EPM Windows.

  • Для ответа на повышение прав по умолчанию оставьте параметр Запретить все запросы , чтобы разрешить повышение прав только для процессов и файлов, явно разрешенных администратором. 

  • Для параметров проверки убедитесь, что выбраны Варианты бизнес-обоснования и проверка подлинности Windows, так как это соответствует ISM-1508 и ISM-1507 соответственно.

  • Для параметра Отправить данные о повышении прав для отчетов выберите Да для параметра Отправить данные о повышении прав для отчетов. Эта функция используется для измерения работоспособности клиентских компонентов EPM. Данные об использовании используются для отображения повышения прав в организации на основе области отчетов и помогают управлять ISM-1509.

  • Для область отчетов оставьте значение по умолчаниюдиагностические данные, и выбрано все повышение прав конечных точек. Этот параметр отправляет в корпорацию Майкрософт диагностические данные о работоспособности клиентских компонентов и данные обо всех повышениях, происходящих в конечной точке, и помогает в управлении ISM-1509.

  • Для типа повышения прав большинство (если нет, все) имеют значение Usered, так как это гарантирует, что пользователь будет следить за процессом принятия решений.

Элемент управления ISM, сентябрь 2024 г. Уровень зрелости Control Показатель
ISM-1507 1, 2, 3 Запросы на привилегированный доступ к системам, приложениям и репозиториям данных проверяются при первом запросе. Существует процесс управления правами для привилегированного доступа, чтобы повысить уровень доступа для приложений, использующих EPM.
ISM-1508 3 Привилегированный доступ к системам, приложениям и репозиториям данных ограничен только тем, что требуется пользователям и службам для выполнения своих обязанностей. Политика по умолчанию — отклонять все запросы, которые не были определены в политике EPM. Если политика определена администратором, параметры повышения прав в EPM привязаны к политике и службе, необходимой для выполнения обязанностей.
ISM-1509 2, 3 События привилегированного доступа регистрируются централизованно. Доступ и события регистрируются в журнале, гарантируя, что параметр по умолчанию поддерживается с диагностическими данными, а для политики EPM включены все повышения прав конечных точек .

Примечание

Эта возможность доступна как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстройки Intune Suite.

Ведение журнала и мониторинг

Ведение журнала событий привилегированного доступа (ML2)

Ведение журнала входов и действий, выполняемых привилегированными учетными записями, имеет важное значение для обнаружения аномального поведения в корпоративных средах. Microsoft Entra журналы аудита и журналы входа предоставляют ценные сведения о привилегированном доступе к приложениям и службам.

Microsoft Entra журналы входа содержат сведения о шаблонах входа, частоте входа и состоянии действий входа. Отчет о действиях входа доступен во всех выпусках Microsoft Entra ID. Организации с лицензией Microsoft Entra ID P1 или P2 могут получить доступ к отчету о действиях входа через API Graph Майкрософт.

Microsoft Entra журналы действий включают журналы аудита для каждого зарегистрированного события в Microsoft Entra ID. Изменения в приложениях, группах, пользователях и лицензиях фиксируются в журналах аудита Microsoft Entra. По умолчанию Microsoft Entra ID хранит журналы входа и аудита не более семи дней. Microsoft Entra ID хранит журналы не более 30 дней, если в клиенте присутствует лицензия Microsoft Entra ID P1 или P2. Microsoft Entra журналы аудита и журналы входа должны быть перенаправлены в рабочую область Azure Log Analytics (LAW) для централизованного сбора и корреляции.

Подробные сведения о централизованном ведении журнала см. в следующих статьях:

Журналы событий мониторинга на наличие признаков компрометации (ML3)

Базовый восемь уровней зрелости 3 требует, чтобы журналы событий отслеживались на наличие признаков компрометации и выполнялись действия при обнаружении каких-либо признаков компрометации. Мониторинг привилегированных действий важен для раннего обнаружения компрометации системы и сдерживания область вредоносных действий.

Мониторинг событий привилегированного доступа

Отслеживайте все действия входа в привилегированную учетную запись с помощью Microsoft Entra журналов входа в качестве источника данных. Отслеживайте следующие события:

Что отслеживать Уровень риска Где Примечания
Сбой входа, неправильное пороговое значение пароля Высокая журнал входа Microsoft Entra Определите базовое пороговое значение, а затем отслеживайте и адаптируйтесь в соответствии с поведением организации и ограничением создания ложных оповещений.
Сбой из-за требования условного доступа Высокая журнал входа Microsoft Entra Это событие может указывать на то, что злоумышленник пытается войти в учетную запись.
Привилегированные учетные записи, которые не соответствуют политике именования Высокая Подписка Azure Вывод списка назначений ролей для подписок и оповещений, если имя входа не соответствует формату вашей организации. Примером является использование ADM_ в качестве префикса.
Прерывать Высокий, средний Microsoft Entra входы Это событие может указывать на то, что злоумышленник имеет пароль для учетной записи, но не может пройти многофакторную проверку подлинности.
Привилегированные учетные записи, которые не соответствуют политике именования Высокая каталог Microsoft Entra Вывод списка назначений ролей для Microsoft Entra ролей и оповещений, если имя участника-пользователя не соответствует формату вашей организации. Примером является использование ADM_ в качестве префикса.
Обнаружение привилегированных учетных записей, не зарегистрированных для многофакторной проверки подлинности Высокая API Microsoft Graph Аудит и исследование, чтобы определить, является ли событие преднамеренным или неосмотренным.
Блокировка учетной записи Высокая журнал входа Microsoft Entra Определите базовое пороговое значение, а затем отслеживайте и настраивайте их в соответствии с поведением организации и ограничить создание ложных оповещений.
Учетная запись отключена или заблокирована для входа Низкая журнал входа Microsoft Entra Это событие может означать, что кто-то пытается получить доступ к учетной записи после того, как он покинул организацию. Хотя учетная запись заблокирована, по-прежнему важно входить в журнал и оповещать об этом действии.
Предупреждение о мошенничестве или блокировка MFA Высокая Microsoft Entra журнал входа или Azure Log Analytics Привилегированный пользователь указал, что он не инициирует многофакторную проверку подлинности, что может указывать на то, что у злоумышленника есть пароль для учетной записи.
Предупреждение о мошенничестве или блокировка MFA Высокая журнал Microsoft Entra аудита или Azure Log Analytics Привилегированный пользователь указал, что он не инициирует многофакторную проверку подлинности, что может указывать на то, что у злоумышленника есть пароль для учетной записи.
Вход в привилегированную учетную запись за пределами ожидаемых элементов управления Высокая журнал входа Microsoft Entra Мониторинг и оповещение о любых записях, которые вы определили как неутвержденные.
Вне обычного времени входа Высокая журнал входа Microsoft Entra Отслеживайте и оповещайте о том, происходят ли входы вне ожидаемого времени. Важно найти обычный рабочий шаблон для каждой привилегированной учетной записи и оповещать о наличии незапланированных изменений за пределами обычного рабочего времени. Вход в систему в нерабочее время может указывать на компрометацию или возможные внутренние угрозы.
Риск защиты идентификации Высокая Журналы защиты идентификации Это событие указывает на то, что при входе в учетную запись обнаружена аномалия, о чем должно быть оповещено.
Изменение пароля Высокая журналы аудита Microsoft Entra Оповещение о любых изменениях паролей учетной записи администратора, особенно для глобальных администраторов, администраторов пользователей, администраторов подписок и учетных записей аварийного доступа. Напишите запрос, предназначенный для всех привилегированных учетных записей.
Изменение устаревшего протокола проверки подлинности Высокая журнал входа Microsoft Entra Во многих атаках используется устаревшая проверка подлинности, поэтому при изменении протокола проверки подлинности для пользователя это может быть признаком атаки.
Новое устройство или расположение Высокая журнал входа Microsoft Entra Большинство действий администратора должно выполняться с устройств с привилегированным доступом из ограниченного числа расположений. По этой причине оповещайте о новых устройствах или расположениях.
Параметр оповещения аудита изменен Высокая журналы аудита Microsoft Entra Изменения в основном оповещении должны быть оповещены, если это непредвиденное.
Администраторы, проверяющие подлинность для других клиентов Microsoft Entra Средняя журнал входа Microsoft Entra Если область действия ограничена привилегированными пользователями, этот монитор определяет, успешно ли администратор прошел проверку подлинности в другом клиенте Microsoft Entra с удостоверением в клиенте вашей организации. Оповещение, если идентификатор клиента ресурса не равен идентификатору домашнего клиента
Администратор состояние пользователя изменено с "Гость" на "Участник" Средняя журналы аудита Microsoft Entra Мониторинг и оповещение об изменении типа пользователя с гостевого на участника. Ожидалось ли это изменение?
Гостевые пользователи, приглашенные в клиент неутвержденными приглашателями Средняя журналы аудита Microsoft Entra Мониторинг и оповещение о неутвержденных субъектах, приглашая гостевых пользователей.

Мониторинг событий управления привилегированными учетными записями

Изучите изменения в правилах и привилегиях проверки подлинности привилегированных учетных записей, особенно если это изменение предоставляет больше привилегий или возможность выполнения задач в Microsoft Entra ID.

Что отслеживать Уровень риска Где Примечания
Создание привилегированной учетной записи Средняя журналы аудита Microsoft Entra Отслеживайте создание привилегированных учетных записей. Найдите корреляцию, которая представляет собой короткий промежуток времени между созданием и удалением учетных записей.
Изменения в методах проверки подлинности Высокая журналы аудита Microsoft Entra Это изменение может быть признаком того, что злоумышленник добавляет метод проверки подлинности в учетную запись, чтобы у него был постоянный доступ.
Оповещение об изменениях разрешений привилегированных учетных записей Высокая журналы аудита Microsoft Entra Это оповещение особенно касается учетных записей, которым назначаются роли, которые не известны или выходят за рамки их обычных обязанностей.
Неиспользуемые привилегированные учетные записи Средняя Microsoft Entra проверки доступа Ежемесячно проверяйте неактивные привилегированные учетные записи пользователей.
Учетные записи, исключенные из условного доступа Высокая Журналы Azure Monitor или проверки доступа Любая учетная запись, исключенная из условного доступа, скорее всего, обходит элементы управления безопасностью и более уязвима к компрометации. Учетные записи без перерыва исключаются. Сведения о мониторинге учетных записей безубытоек см. далее в этой статье.
Добавление временного пропуска доступа к привилегированной учетной записи Высокая журналы аудита Microsoft Entra Мониторинг и оповещение о временном проходе доступа, создаваемом для привилегированного пользователя.

Подробные сведения о мониторинге активности привилегированных учетных записей см. в статье Операции безопасности для привилегированных учетных записей в Microsoft Entra ID.

Защита журналов событий от несанкционированного изменения и удаления (ML3)

Основной восемь уровень зрелости 3 требует, чтобы журналы событий были защищены от несанкционированного изменения и удаления. Защита журналов событий от несанкционированного изменения и удаления гарантирует, что журналы можно использовать в качестве надежного источника доказательств, если в организации возникают инциденты безопасности. В Azure журналы событий из привилегированного доступа к приложениям и службам должны централизованно храниться в рабочей области Log Analytics.

Azure Monitor — это платформа данных только для добавления, но она содержит положения для удаления данных в целях соответствия требованиям. Рабочие области Log Analytics, которые собирают журналы из привилегированных действий, должны быть защищены с помощью управления доступом на основе ролей и отслеживать действия изменения и удаления.

Во-вторых, установите блокировку для рабочей области Log Analytics, чтобы заблокировать все действия, которые могут удалить данные: очистка, удаление таблиц и изменение хранения данных на уровне таблицы или рабочей области.

Чтобы полностью защитить журналы событий от незаконного изменения, настройте автоматический экспорт данных журнала в неизменяемое решение для хранения, например неизменяемое хранилище для Хранилище BLOB-объектов Azure.

Подробные сведения о защите целостности журнала событий см. в статье Безопасность данных Azure Monitor.