Управление привилегированным доступом для доменных служб Active Directory

  • Статья

Управление привилегированным доступом (PAM) MIM — это решение, которое помогает организациям ограничить привилегированный доступ в существующей и изолированной среде Active Directory.

Управления привилегированным доступом преследует две цели:

  • Восстановление контроля над скомпрометированной средой Active Directory за счет содержания отдельной среды бастиона, не пострадавшей от вредоносных атак.
  • Изолированное использование привилегированных учетных записей для уменьшения риска кражи учетных данных.

Примечание

Подход PAM, предоставляемый MIM PAM, не рекомендуется для новых развертываний в средах, подключенных к Интернету. PaM MIM предназначен для использования в пользовательской архитектуре для изолированных сред AD, где доступ к Интернету недоступен, когда такая конфигурация требуется в соответствии с нормативными требованиями, или в изолированных средах с высоким влиянием, таких как автономные исследовательские лаборатории и отключенные операционные технологии или среды контроля и получения данных. PAM MIM отличается от Microsoft Entra управление привилегированными пользователями (PIM). Microsoft Entra PIM — это служба, которая позволяет управлять, контролировать и отслеживать доступ к ресурсам в Microsoft Entra ID, Azure и других веб-службах Майкрософт, таких как Microsoft 365 или Microsoft Intune. Дополнительные сведения о локальных средах, подключенных к Интернету, и гибридных средах см. в разделе Защита привилегированного доступа .

Какие проблемы помогает решить MIM PAM?

Сегодня злоумышленникам слишком легко получить учетные данные учетной записи администраторов домена, и обнаружить эти атаки после этого слишком сложно. Управление привилегированным доступом (PAM) призвано уменьшить возможности получения доступа для злоумышленников и в то же время увеличить контроль и осведомленность о состоянии среды.

PAM затрудняет злоумышленникам проникновение в сеть и получение доступа к привилегированной учетной записи. PAM усиливает защиту привилегированных групп, которые управляют доступом на присоединенных к домену компьютерах и в приложениях на этих компьютерах. Это решение также расширяет возможности мониторинга, видимости и детализированного управления. Благодаря этому организации всегда будут знать, кем являются их привилегированные администраторы и что они делают. PAM предоставляет организациям больше возможностей регулировать использование административных учетных записей.

Подход PAM, предоставляемый MIM, предназначен для использования в пользовательской архитектуре для изолированных сред, где доступ к Интернету недоступен, когда такая конфигурация требуется в соответствии с нормативными требованиями, или в изолированных средах с высоким воздействием, таких как автономные исследовательские лаборатории и отключенные операционные технологии или среды контроля и получения данных. Если Active Directory является частью среды, подключенной к Интернету, см. раздел Защита привилегированного доступа , чтобы узнать, с чего начать.

Настройка MIM PAM

В основе PAM лежит принцип JIT-администрирования (just-in-time ― точно в срок), связанный с JEA-администрированием (just enough — сколько нужно). JEA — это набор средств Windows PowerShell, который определяет набор команд для выполнения привилегированных действий. Это конечная точка, в которой администраторы могут получить разрешение на выполнение команд. В JEA администратор решает, что пользователь с определенной привилегией может выполнять определенную задачу. Каждый раз, когда соответствующему пользователю необходимо выполнить эту задачу, он получает нужное разрешение. По истечении указанного времени срок действия разрешений истечет, и злоумышленник не сможет получить доступ.

Настройка и применение PAM включает четыре шага.

Этапы PAM: подготовка, защита, использование, мониторинг — схема

  1. Подготовка. Определите, какие группы в существующем лесу имеют значительные привилегии. Создайте эти группы заново без членов в лесу бастиона.
  2. Защита. Настройте защиту жизненного цикла и проверки подлинности, когда пользователи запрашивают JIT-администрирование.
  3. Применение. Если требования проверки подлинности выполнены и запрос утвержден, учетная запись пользователя временно добавляется в привилегированную группу в лесу бастиона. В течение заданного периода времени администратор будет иметь все те привилегии и разрешения на доступ, которые назначены этой группе. По прошествии этого времени учетная запись удаляется из группы.
  4. Мониторинг. PAM добавляет к запросам на привилегированный доступ средства аудита, предупреждения и отчеты. Вы можете просматривать журнал привилегированного доступа и проверять, кто выполнил то или иное действие. Таким способом можно определить, является ли действие допустимым, и обнаружить несанкционированные действия, например попытку добавить пользователя непосредственно в привилегированную группу исходного леса. Этот шаг важен не только для определения вредоносного программного обеспечения, а также для отслеживания "внутренних" злоумышленников.

Как работает MIM PAM?

В основе PAM лежат новые возможности доменных служб Active Directory, в частности авторизация и проверка подлинности учетной записи домена, а также новые возможности MIM. PAM отделяет привилегированные учетные записи от существующей среды Active Directory. Если возникнет необходимость использовать привилегированную учетную запись, ее нужно сначала запросить, а затем утвердить. После утверждения привилегированной учетной записи предоставляется разрешение через внешнюю главную группу в новом лесу-бастионе, а не в текущем лесу пользователя или приложения. Использование леса-бастиона предоставляет организации больше возможностей для контроля. Например, позволяет определять, может ли пользователь быть членом привилегированной группы и как пользователь должен проходить проверку подлинности.

Active Directory, служба MIM и другие составные части этого решения также могут быть развернуты в конфигурации высокого уровня доступности.

В следующем примере применение PIM показано подробнее.

Процесс и участники PIM — схема

Лес бастиона выдает ограниченное по времени членство в группах, которое, в свою очередь, формирует билеты предоставления билетов (TGT). Приложения и службы на основе Kerberos учитывают и применяют такие TGT, если приложения и службы существуют в лесах, доверяющих лесу бастиона.

Учетные записи обычных пользователей перемещать в новый лес необязательно. То же самое справедливо и для компьютеров, приложений и их групп. Они остаются в существующем лесу. Рассмотрим пример организации, которая озабочена упомянутыми выше проблемами кибербезопасности, но пока не планирует немедленно обновить инфраструктуру серверов до следующей версии Windows Server. Эта организация может воспользоваться описанным здесь комбинированным решением, то есть использовать MIM и новый лес-бастион, чтобы лучше управлять доступом к существующим ресурсам.

PAM предоставляет следующие преимущества.

  • Изоляция или ограничение привилегий. Пользователи не имеют привилегий в отношении учетных записей, которые также используются для выполнения задач, не требующих привилегированного доступа, таких как проверка электронной почты или поиск в Интернете. Пользователи должны запрашивать привилегии. Запросы утверждаются или отклоняются на основе политик MIM, определенных администратором PAM. Пока запрос не утвержден, привилегированный доступ не предоставляется.

  • Повышение уровня и дополнительная защита. Эти новые меры по совершенствованию проверки подлинности и авторизации помогают управлять жизненным циклом отдельных учетных записей администраторов. Пользователь может запросить повышение прав учетной записи администратора, после чего этот запрос проходит процедуры MIM.

  • Более подробное ведение журнала. Кроме встроенных рабочих процессов MIM предусмотрены дополнительные записи в журнал для PIM, по которым можно видеть запрос, его авторизацию и события, происходящие после утверждения запроса.

  • Настраиваемый рабочий процесс. Рабочие процессы MIM можно настроить для различных сценариев. Можно применять несколько рабочих процессов на основе параметров запрашивающего пользователя или запрошенных ролей.

Каким образом пользователи могут запрашивать привилегированный доступ?

Пользователь может отправлять запросы различными способами, включая следующие:

  • API веб-служб для служб MIM
  • Конечная точка REST
  • Windows PowerShell (New-PAMRequest)

Познакомьтесь с командлетами Privileged Access Management.

Какие предусмотрены рабочие процессы и возможности мониторинга?

Например, предположим, что пользователь был членом административной группы до настройки PAM. В рамках настройки PAM пользователь удаляется из административной группы и создается политика в MIM. Политика указывает, что если этот пользователь запрашивает права администратора, запрос утверждается и отдельная учетная запись пользователя будет добавлена в привилегированную группу в лесу бастиона.

Если запрос утвержден, рабочий процесс "Действие" обращается напрямую к лесу-бастиону Active Directory, чтобы поместить пользователя в группу. Например, Клава запрашивает право на администрирование базы данных персонала предприятия, в результате чего за несколько секунд для нее добавляется учетная запись администратора в привилегированную группу в лесу-бастионе. Членство ее административной учетной записи в этой группе истечет по истечении определенного срока. При использовании Windows Server 2016 или более поздней версии это членство связывается в Active Directory с ограничением по времени.

Примечание

При добавлении нового члена в группу необходимо реплицировать это изменение в другие контроллеры домена (DC) в лесу-бастионе. Задержка из-за репликации может повлиять на возможность пользователей обращаться к ресурсам. Дополнительные сведения о задержке из-за репликации см. в статье How Active Directory Replication Topology Works(Как работает топология репликации в Active Directory).

В отличие от этого срок действия ссылки оценивается в режиме реального времени диспетчером управления лицензиями (SAM). Несмотря на то, что добавление члена группы должно реплицироваться контроллером домена, который получает запрос на доступ, удаление члена группы в любом контроллере домена оценивается мгновенно.

Такой рабочий процесс специально предназначен для этих административных учетных записей. Администраторы (или даже скрипты), которым иногда требуется доступ к привилегированным группам, могут запрашивать именно такой доступ. MIM записывает запрос и изменения в Active Directory, и вы можете просматривать их в окне просмотра событий или отправлять данные в решения корпоративного мониторинга, такие как System Center 2012 — Operations Manager Audit Collection Services (ACS) или средства других разработчиков.

Дальнейшие действия