Улучшенная среда администратора безопасности
Архитектура расширенной безопасности Администратор среды (ESAE) (часто называемая красным лесом, лесом администрирования или защищенным лесом) — это устаревший подход для обеспечения безопасной среды для удостоверений администраторов Windows Server Active Directory (AD).
Рекомендация Майкрософт по использованию данного архитектурного шаблона была заменена современной стратегией привилегированного доступа и руководством по плану быстрой модернизации (RAMP) в качестве рекомендуемого по умолчанию подхода для защиты привилегированных пользователей. Это руководство предназначено для инклюзивной адаптации более широкой стратегии для перехода к архитектуре нулевого доверия. Учитывая эти модернизированные стратегии, архитектура ESAE защищенного административного леса (локальная или облачная) теперь считается настраиваемой конфигурацией, подходящей только для случаев исключения.
Сценарии непрерывного использования
Хотя это уже не рекомендуемая архитектура, ESAE (или отдельные компоненты) по-прежнему могут быть допустимыми в ограниченном наборе исключенных сценариев. Как правило, эти локальные среды изолированы, где облачные службы могут быть недоступны. Этот сценарий может включать критически важную инфраструктуру или другие отключенные операционные технологии (OT). Однако следует отметить, что сегменты системы управления промышленными системами управления и надзором и приобретением данных (ICS/SCADA) среды обычно не используют собственное развертывание Active Directory.
Если ваша организация находится в одном из этих сценариев, поддержка развернутой в настоящее время архитектуры ESAE в целом может быть допустимой. Однако необходимо понимать, что ваша организация несет дополнительный риск из-за повышенной технической сложности и операционных затрат на обслуживание ESAE. Корпорация Майкрософт рекомендует любой организации по-прежнему использовать ESAE или другие устаревшие элементы управления безопасностью удостоверений, применять дополнительную строгость для мониторинга, выявления и устранения связанных рисков.
Примечание.
Хотя Майкрософт больше не рекомендует изолированную модель усиленного леса для большинства сценариев в большинстве организаций, Майкрософт по-прежнему использует аналогичную внутреннюю архитектуру (и соответствующие процессы поддержки и персонал) ввиду чрезвычайных требований безопасности для предоставления надежных облачных сервисов организациям по всему миру.
Руководство по существующим развертываниям
Для клиентов, которые уже развернули эту архитектуру для повышения безопасности и (или) упрощения управления несколькими лесами, не требуется срочно выйти из эксплуатации или заменить реализацию ESAE, если она работает как разработанная и предназначенная. Как и в случае с любыми другими корпоративными системами, вы должны поддерживать в нем программное обеспечение, применяя обновления безопасности и обеспечивая его жизненный цикл поддержки.
Майкрософт также рекомендует организациям с ESAE/усиленными лесами применять современную стратегию привилегированного доступа с использованием руководства по плану быстрой модернизации (RAMP). Это руководство дополняет существующую реализацию ESAE и обеспечивает соответствующую безопасность для ролей, которые еще не защищены ESAE, включая администраторов Microsoft Entra, конфиденциальных бизнес-пользователей и стандартных корпоративных пользователей. Дополнительные сведения см. в статье Обеспечение уровней безопасности привилегированного доступа.
Когда ESAE изначально был разработан более 10 лет назад, фокус был локальным средам с Active Directory (AD), выступающей в качестве локального поставщика удостоверений. Этот устаревший подход основан на методах сегментации макросов для достижения наименьших привилегий и не учитывается в гибридных или облачных средах. Кроме того, реализация ESAE и защищенных лесов ориентирована только на защиту локальных администраторов Windows Server Active Directory (удостоверений) и не учитывает детализированные элементы управления удостоверениями и другие методы, содержащиеся в оставшихся основных принципах современной архитектуры нулевого доверия. Корпорация Майкрософт обновила свою рекомендацию к облачным решениям, так как их можно быстрее развернуть для защиты более широкого область административных и бизнес-ролей и систем. Кроме того, они менее сложны, масштабируемы и требуют меньше капитальных инвестиций для поддержания.
Примечание.
Хотя ESAE больше не рекомендуется в целом, корпорация Майкрософт понимает, что многие отдельные компоненты, содержащиеся в нем, определяются как хорошая кибер-гигиена (например, выделенные рабочие станции привилегированного доступа). Отказ от ESAE не предназначен для того, чтобы организации отказаться от хорошей практики кибербезопасности, только для укрепления обновленных архитектурных стратегий защиты привилегированных удостоверений.
Примеры хорошей практики кибербезопасности в ESAE, которые применимы к большинству организаций
- Использование рабочих станций привилегированного доступа (PAW) для всех административных действий
- Принудительное применение многофакторной проверки подлинности на основе маркеров (MFA) для учетных данных администратора даже в том случае, если оно широко не используется во всей среде.
- Применение минимальной привилегии Администратор истативной модели путем регулярной оценки членства в группе или роли (применяется строгой политикой организации)
Рекомендации по защите локальной службы AD
Как описано в сценариях непрерывного использования, могут возникнуть обстоятельства, когда миграция в облако не достигается (частично или полностью) из-за различных обстоятельств. Для этих организаций, если у них еще нет существующей архитектуры ESAE, корпорация Майкрософт рекомендует сократить область атаки локальной службы AD путем повышения строгости безопасности для удостоверений Active Directory и привилегированных удостоверений. Хотя и не исчерпывающий список, рассмотрите следующие рекомендации с высоким приоритетом.
- Используйте многоуровневый подход, реализующий модель администрирования с минимальными привилегиями:
- Применение абсолютных минимальных привилегий.
- Обнаружение, проверка и аудит привилегированных удостоверений (строжная привязка к политике организации).
- Чрезмерное предоставление привилегий является одним из наиболее выявленных проблем в оцененных средах.
- Многофакторная проверка подлинности для учетных записей администратора (даже если она широко не используется во всей среде).
- Привилегированные роли на основе времени (сокращение чрезмерных учетных записей, усиление процессов утверждения).
- Включите и настройте все доступные аудиты для привилегированных удостоверений (уведомление о включении и отключении, сбросе пароля, других изменениях).
- Использование рабочих станций привилегированного доступа (PAW):
- Не администрировать PAW из менее доверенного узла.
- Используйте MFA для доступа к PAW.
- Не забывайте о физической безопасности.
- Всегда убедитесь, что рабочие станции работают с новейшими и/или поддерживаемыми в настоящее время операционными системами.
- Общие сведения о путях атаки и учетных записях с высоким риском и приложениях:
- Приоритеты мониторинга удостоверений и систем, которые представляют наибольший риск (целевые объекты возможностей или большого влияния).
- Искоренить повторное использование пароля, включая границы операционной системы (распространенный метод бокового перемещения).
- Применение политик, ограничивающих действия, повышающие риск (просмотр в Интернете с защищенных рабочих станций, учетных записей локального администратора в нескольких системах и т. д.).
- Уменьшите количество приложений в Active Directory или контроллерах домена (каждое добавленное приложение является дополнительной областью атаки).
- Исключить ненужные приложения.
- Если это возможно, переместите приложения на другие рабочие нагрузки или контроллер домена.
- Неизменяемое резервное копирование Active Directory:
- Критически важный компонент для восстановления от инфекции программ-шантажистов.
- Регулярное расписание резервного копирования.
- Хранится в облачном расположении или вне сайта, определяемом планом аварийного восстановления.
- Провести оценку безопасности Active Directory:
- Подписка Azure необходима для просмотра результатов (настраиваемая панель мониторинга Log Analytics).
- По запросу или инженер Майкрософт поддерживает предложения.
- Проверьте и определите рекомендации по оценке.
- Корпорация Майкрософт рекомендует проводить оценки на ежегодной основе.
Полные рекомендации по этим рекомендациям см. в рекомендациях по защите Active Directory.
Дополнительные Рекомендации
Корпорация Майкрософт признает, что некоторые сущности не могут полностью развертывать облачную архитектуру нулевого доверия из-за различных ограничений. Некоторые из этих ограничений были упоминание в предыдущем разделе. Вместо полного развертывания организации могут решать риски и добиваться прогресса в направлении нулевого доверия, сохраняя устаревшее оборудование или архитектуру в среде. Помимо ранее упоминание руководства, следующие возможности могут помочь в укреплении безопасности вашей среды и служить отправной точкой для внедрения архитектуры нулевого доверия.
Microsoft Defender для удостоверений (MDI)
Microsoft Defender для удостоверений (MDI) (официально Azure Advanced Threat Protection или ATP) поддерживает архитектуру Microsoft Zero-Trust и фокусируется на основе удостоверений. Это облачное решение использует сигналы от локального AD и идентификатора Microsoft Entra для выявления, обнаружения и исследования угроз, связанных с удостоверениями. MDI отслеживает эти сигналы для выявления ненормального и вредоносного поведения пользователей и сущностей. В частности, MDI упрощает визуализацию пути злоумышленника бокового перемещения, подчеркивая, как можно использовать заданные учетные записи, если скомпрометировано. Аналитика поведения MDI и базовые функции пользователей являются ключевыми элементами для определения аномальных действий в среде AD.
Примечание.
Несмотря на то что MDI собирает сигналы из локальной службы AD, для этого требуется облачное подключение.
Microsoft Defender для Интернета вещей (D4IoT)
Помимо других рекомендаций, описанных в этом документе, организации, работающие в одном из описанных выше упоминание сценариев, могут развернуть Microsoft Defender для Интернета вещей (D4IoT). Это решение включает пассивный сетевой датчик (виртуальный или физический), который обеспечивает обнаружение активов, управление инвентаризацией и аналитику поведения на основе рисков для сред Интернета вещей (IoT) и операционных технологий (OT). Он может быть развернут в локальных средах, подключенных к воздуху или в облачных средах, и имеет емкость для выполнения глубокой проверки пакетов на более чем 100 сетевых протоколах ICS/OT.
Следующие шаги
Ознакомьтесь со следующими статьями: