Уровни безопасности привилегированного доступа

В этом документе описываются уровни безопасности стратегии привилегированного доступа. План использования этой стратегии см. в описании плана быстрой модернизации (RaMP). Рекомендации по реализации см. в разделе развертывание привилегированного доступа

Целью этих уровней является предоставление простого и понятного технического руководства, благодаря которому организации смогут быстро внедрить эти критически важные средства защиты. Стратегия привилегированного доступа не только предусматривает то, что организации имеют индивидуальные потребности, но и учитывает, что специализированные решения усложняют процесс, что со временем приводит к увеличению затрат и снижению уровня безопасности. Чтобы обеспечить баланс между этими потребностями, стратегия предусматривает четкое нормативное руководство для каждого уровня и необходимую гибкость, позволяя организациям выбирать, при каких обстоятельствах понадобиться использовать каждую роль для обеспечения соответствия требованиям определенного уровня.

Defining three security levels

Упрощение процесса облегчает его понимание, что в свою очередь снижает риск путаницы и возникновения ошибок. Хотя лежащая в основе технология почти всегда сложна, очень важно сохранять простоту, а не создавать индивидуальные решения, которые трудно поддерживать. Дополнительные сведения см. в разделе "Принципы проектирования безопасности".

Чтобы упростить процесс управления, нужно разрабатывать решения, нацеленные на потребности администраторов и пользователей. Проектирование решений, которые персоналу службы безопасности и ИТ-отделу будет легко создавать, оценивать и поддерживать (применяя, где это возможно, автоматизацию), позволяет сократить количество ошибок безопасности и обеспечить более надежную систему безопасности.

Рекомендуемая стратегия обеспечения безопасности для привилегированного доступа реализует простую трехуровневую систему контроля, охватывающую несколько областей. Благодаря особенностям разработки эту стратегию легко развернуть для учетных записей, устройств, посредников и интерфейсов.

Increase attacker cost with each level of security investment

Каждый последовательный уровень приводит к затратам злоумышленников с дополнительным уровнем Defender для облака инвестиций. Уровни разработаны таким образом, чтобы нацелиться на самые "лакомые места", которые приносят защитникам наибольшую прибыль (увеличение затрат злоумышленника) за каждое вложение в безопасность, которое они делают.

Каждую роль в вашем окружении следует сопоставить с одним из этих уровней (по желанию вы сможете затем изменить уровень для каждой из них в рамках плана по улучшению безопасности). Каждый профиль четко определен как техническая конфигурация и по возможности автоматизирован, чтобы облегчить развертывание и ускорить обеспечение безопасности. Дополнительные сведения см. в статье План реализации привилегированного доступа .

Уровни безопасности

Ниже приведены уровни безопасности, используемые в этой стратегии:

Функции корпоративного уровня

  • Корпоративная безопасность. Подходит для всех корпоративных пользователей и сценариев повышения производительности. В процессе реализации плана быстрой модернизации предприятие также служит отправной точкой для специализированного и привилегированного доступа, поскольку оно постепенно расширяет возможности контроля безопасности в системе безопасности предприятия.

    Примечание.

    Конечно, существуют и более слабые конфигурации безопасности, однако в настоящее время корпорация Майкрософт не рекомендует применять их в корпоративных организациях из-за навыков и ресурсов, которыми располагают злоумышленники. Информацию о том, какие средства злоумышленники могут покупать друг у друга на черных рынках и о средних ценах, см. видео 10 лучших рекомендаций по обеспечению безопасности Azure

Специализированный

  • Специализированная безопасность. Предоставляет расширенные элементы управления безопасностью для ролей с повышенным влиянием на бизнес (при компрометации взломщиком или внутренним злоумышленником).

    Ваша организация должна иметь задокументированные критерии для специализированных и привилегированных учетных записей (например, потенциальное влияние на бизнес-деятельность составляет свыше 1 млн долларов США), чтобы затем определять все роли и учетные записи, отвечающие этим критериям. (используется в рамках этой стратегии, в том числе в специализированных учетных записях)

    Специализированные роли обычно включают в себя:

    • Разработчики критически важных для бизнеса систем.
    • Конфиденциальные бизнес-роли, такие как пользователи терминалов SWIFT, исследователи с доступом к конфиденциальным данным, исследователи с доступом к финансовой отчетности до общедоступного выпуска, исполнители расчетов, утверждающие для конфиденциальных бизнес-процессов и другие роли с высоким уровнем влияния.
    • Руководители и личные помощники или помощники по администрированию, которые регулярно обрабатывают конфиденциальную информацию.
    • Учетные записи социальных сетей с высоким уровнем влияния, которые могут нанести ущерб репутации компании
    • Администраторы ИТ, отвечающие за безопасность, которые имеют значительные разрешения и влияние, но не в масштабах предприятия. В эту группу обычно входят администраторы отдельных рабочих нагрузок с высоким уровнем влияния. (например, администраторы планирования ресурсов предприятия, администраторы банковских операций, сотрудники службы технической поддержки и т. д.).

    Защита специализированных учетных записей также является переходным этапом для привилегированной защиты, поскольку в дальнейшем создание этого типа безопасности будет основано на этих элементах управления. Дополнительные сведения о рекомендуемом порядке продвижения см. в плане реализации привилегированного доступа.

Привилегированная

  • Привилегированная безопасность — это самый высокий уровень безопасности, предназначенный для ролей, воспользовавшись которыми взломщик или внутренней злоумышленник может легко привести к крупному инциденту и потенциальному материальному ущербу для организации. Этот уровень обычно включает в себя технические роли с разрешениями администратора для большинства или всех корпоративных систем (иногда также содержит выбор нескольких критически важных для бизнеса ролей)

    Привилегированные учетные записи прежде всего предназначены для обеспечения безопасности, а их продуктивность определяется как возможность легко и безопасно выполнять важные рабочие задачи. Эти роли не могут выполнять как работу с конфиденциальной информацией, так и общие задачи производительности (просматривать веб-страницы, устанавливать и использовать любые приложения), используя одну и ту же учетную запись или одно и то же устройство или рабочую станцию. Их учетные записи и рабочие станции будут иметь высокий уровень ограничений и усиленный мониторинг действий для обнаружения необычной активности, которая может представлять собой действия злоумышленников.

    К ролям безопасности привилегированного доступа обычно относят такие роли:

    • Microsoft Entra Global Администратор istrators и связанные роли
    • Другие роли управления идентификацией с правами администратора для каталога предприятия, системы синхронизации идентификации, решения для федерации, виртуального каталога, системы управления привилегированной идентификацией или доступом или аналогичных систем.
    • Роли с членством в этих группах локальная служба Active Directory
      • Администраторы предприятия
      • Администраторы домена
      • Администраторы схемы
      • BUILTIN\Administrators
      • Операторы учета
      • Операторы архива
      • Операторы печати
      • Операторы сервера
      • Контроллеры доменов
      • Контроллеры домена только для чтения
      • Владельцы-создатели групповой политики
      • Криптографические операторы
      • Пользователи DCOM
      • Конфиденциальные локальные группы Exchange (включая разрешения Windows Exchange и доверенную подсистему Exchange)
      • Другие делегированные группы — настраиваемые группы, которые могут быть созданы вашей организацией для управления операциями с каталогами.
      • Любой локальный администратор базовой операционной системы или клиента облачной службы, в котором размещены указанные выше возможности, включая
        • Члены локальной группы администраторов
        • Сотрудники, знающие корневой или встроенный пароль администратора
        • Администраторы любого средства управления или обеспечения безопасности с агентами, установленными в этих системах

Следующие шаги