Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается модель безопасности, предназначенная для защиты от риска повышения привилегий за счет отделения высоко привилегированных операций от зон высокого риска.
Важно!
модель, описанная в этой статье, предназначена только для изолированных сред Active Directory, использующих MIM PAM. Сведения о гибридных средах см. в разделе Руководство по корпоративной модели доступа.
Повышение прав доступа в лесах Active Directory
Учетные записи пользователей, служб и приложений, которым предоставляются постоянные права администраторов в лесах Windows Server Active Directory (AD), значительно повышают риск для бизнеса организации. Эти учетные записи часто становятся целью злоумышленников, так как в случае их компрометации злоумышленник получает права для подключения к другим серверам или приложениям в домене.
Многоуровневая модель создает разделения между администраторами в зависимости от того, какими ресурсами они управляют. Администраторы, управляющие рабочими станциями пользователей, отделяются от тех, которые управляют приложениями или корпоративными удостоверениями.
Ограничение предоставления учетных данных с помощью ограничений входа
Снижение риска кражи учетных данных для административных учетных записей, как правило, требует изменения форм администрирования для снижения уязвимости к атакам. В качестве первого шага организациям рекомендуется:
- ограничить количество узлов, на которых предоставляются учетные данные администраторов;
- ограничить привилегии роли до минимально необходимых;
- убедиться, что административные задачи не выполняются на узлах, используемых для выполнения действий обычных пользователей (например, просмотра электронной почты и веб-страниц).
Следующим шагом является реализация ограничений входа и включение процессов и приемов для соответствия требованиям многоуровневой модели. В идеальном случае предоставление учетных данных должно быть сокращено до наименьших прав доступа, необходимых роли в рамках каждого уровня.
Ограничения входа следует применять таким образом, чтобы пользователи высокопривилегированных учетных записей не имели доступа к менее защищенным ресурсам. Например:
- администраторы домена (уровень 0) не могли войти на серверы предприятия (уровень 1) и рабочие станции обычного пользователя (уровень 2);
- администраторы серверов (уровень 1) не могли войти на рабочие станции обычного пользователя (уровень 2).
Примечание
Администраторы серверов не должны быть включены в группу администраторов домена. Сотрудники, ответственные за управление как контроллерами домена, так и серверами предприятия, должны иметь для этих целей отдельные учетные записи.
Ограничения входа можно организовать с помощью:
- ограничения права на вход в групповой политике, включая следующие:
- Запретить сетевой доступ к этому компьютеру.
- запрет входа как пакетного задания;
- запрет входа как службы;
- Запретить локальный вход в систему.
- запрет входа через параметры удаленного рабочего стола;
- политик и приемников проверки подлинности, если используется Windows Server 2012 или более поздняя версия;
- выборочной проверки подлинности, если учетная запись находится в выделенном административном лесу.
Дальнейшие действия
- В следующей статье Планирование среды бастиона описывается, как добавить выделенный административный лес для диспетчера Microsoft Identity Manager и определить учетные записи администраторов.
- Защита устройств обеспечивает специальную операционную систему для конфиденциальных задач, защищенных от атак из Интернета и векторов угроз.