Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлено комплексное решение для реализации архитектуры привилегированного доступа. Она предназначена для специалистов по планированию и внедрению решений в области безопасности и идентификации.
В модели внедрения безопасности Microsoft:
- Решения по реализации предоставляют предписательное руководство по развертыванию.
- Решения соответствуют бизнес-сценариям , определяющим результаты безопасности с высоким приоритетом.
Прежде чем приступить к реализации, узнайте, как архитектура защищенного привилегированного доступа играет важную роль в бизнес-сценарии — защита критически важных бизнес-активов путем снижения этого риска и укрепления контроля над конфиденциальными системами.
Цели решения
Привилегированный доступ представляет собой один из наиболее важных рисков в любой организации, так как он обеспечивает прямой контроль над системами идентификации, облачными плоскостями управления и критически важными бизнес-ресурсами.
Это руководство определяет "Никому не доверяй" подход к привилегированным доступу, рассматривая его как сквозной путь доступа, охватывающий удостоверение, устройство, интерфейс, целевой ресурс и мониторинг. Вместо защиты отдельных компонентов в изоляции эта модель гарантирует, что весь путь доступа регулируется и постоянно проверяется.
Цель состоит в том, чтобы снизить риск на следующих уровнях:
- Ограничение того, кто может выполнять привилегированные действия.
- Управление тем, где и как могут выполняться эти действия.
- Непрерывный мониторинг и реагирование на привилегированные действия.
Реализуйте эту архитектуру с помощью Microsoft Entra ID, Microsoft Intune и Microsoft Defender для конечной точки.
Развертывание решения на этапах. Начните с создания защищённой основы (плоскости управления идентификацией и доверенных устройств), обеспечьте применение политик контроля, а затем настройте процессы мониторинга и реагирования.
Риск привилегированного доступа
Привилегированные учетные записи (человеческие и машинные) контролируют критически важные активы и механизмы принудительного применения политик безопасности. При скомпрометации результирующий бизнес-эффект является серьезным. С привилегированным доступом злоумышленники могут:
- Эксфильтруйте, шифруйте или уничтожайте данные.
- Остановить или нарушить бизнес-процессы.
- Отключите обнаружение и принудительное применение мер контроля.
- Компрометируйте системы идентификации и обеспечивайте устойчивый доступ.
Распространенные атаки
Атаки следуют двум общим шаблонам:
- Целенаправленная кража данных: киберпреступники обнаруживают и выводят конфиденциальные объекты интеллектуальной собственности, финансовые данные или стратегические планы. Украденные данные продаются, сливаются или используются для получения конкурентного преимущества.
- Программа-вымогатель под управлением человека: киберпреступники используют привилегированный доступ, чтобы шифровать системы, останавливать операции и требовать выкуп у организации, вынуждая руководство принимать решения в условиях крайнего дефицита времени.
Почему привилегированный доступ рискен
Риск привилегированного доступа является уникальным и системным по ряду причин.
| Риск | Сведения |
|---|---|
| Работает в плоскости управления | Привилегированные учетные записи работают в плоскости управления, а не только в плоскости рабочей нагрузки. Привилегированные учетные записи могут изменять идентификационные данные, менять конфигурации безопасности, отключать или обходить механизмы контроля и несанкционированно изменять критически важные для бизнеса данные. Когда злоумышленники получают привилегированный доступ, они могут подорвать самые механизмы, предназначенные для обнаружения и остановки их. Это делает традиционные стратегии сдерживания гораздо менее эффективными и позволяет компрометации сохраняться без обнаружения. |
| Высокое влияние на бизнес заложено в самой концепции | Привилегированный доступ существует для управления критически важными системами, поэтому злоупотребление этим доступом имеет немедленные и серьезные последствия. С привилегированным доступом злоумышленники могут: — эксфильтровать или уничтожить конфиденциальные данные — остановить или манипулировать бизнес-операциями — Зашифровать всю среду с целью вымогательства (программы-вымогатели с участием человека) - Подрыв систем способами, которые могут причинить реальный ущерб. Эти результаты не являются теоретическими. Они постоянно наблюдаются в разных отраслях, что делает привилегированный доступ одним из самых надежных способов для злоумышленников, чтобы добиться максимального влияния. |
| Громкий и разрушительный | В отличие от скрытного хищения данных, многие атаки с использованием привилегированного доступа, особенно атаки с использованием программ-вымогателей, осуществляемые человеком, преднамеренно нарушают работу систем. Они останавливают операции, нарушают работу клиентских сервисов и вынуждают высшее руководство принимать решения в условиях крайнего дефицита времени. Поскольку все организации финансово и оперативно мотивированы для быстрого восстановления службы, эти атаки являются универсальными и высокоэффективными, независимо от отрасли или размера. |
| Риск растет, а не сжимается | Злоумышленники являются гибкими и не зависящими от технологий. Они не нацеливаются на какой-то один продукт или средство контроля, а используют тот путь привилегированного доступа, который в данный момент является самым слабым. Область атак с привилегированным доступом широка и связана, охватывая: — учетные записи и системы удостоверений — рабочие станции и устройства — промежуточные системы, такие как средства удаленного доступа и решения PAM/PIM. — интерфейсы управления, порталы, API и пути повышения прав. Компрометация любого из этих элементов может обеспечить путь к полному управлению предприятием, а новые пути доступа постоянно появляются в условиях развития сред. |
| Подходы, основанные на одном решении, не работают | Развертывание только одного класса управления, например PAM/PIM, ограничений сети или средств обнаружения, недостаточно снижает риск. Эти меры контроля устраняют части проблемы, а не систему. Если привилегированный доступ не защищён на всём протяжении, злоумышленники просто обходят изолированные средства защиты и используют уязвимое звено в цепочке доступа. Именно поэтому привилегированный доступ следует рассматривать как целостную систему — от управления удостоверениями и доверия к устройствам через повышение привилегий и выполнение до мониторинга и реагирования, — а не как набор отдельных инструментов. |
Архитектурные принципы и результаты
рекомендуемый подход Microsoft заключается в создании системы привилегированного доступа с закрытым циклом, которая:
- Обеспечивает немедленное сокращение рисков
- Поддерживает добавочный, устойчивый прогресс
- Избегает ненужной сложности
- Включает четкие результаты и критерии успешности
Архитектурные результаты
Реализация стратегии на основе этих принципов создает ряд четких результатов и критериев успешности.
| Результат | Архитектура | Критерии успешности |
|---|---|---|
| Привилегированный доступ обеспечивается в рамках сквозной системы | Привилегированные риски контролируются на всём пути доступа: идентичность, назначение ролей, устройство, среда выполнения, процесс повышения привилегий, промежуточные системы, интерфейсы управления, мониторинг и реагирование. Выполнение привилегированных операций допускается только через явные авторизованные механизмы повышения привилегий с верификацией по модели "Никому не доверяй" (подтверждение личности, доверенный статус устройства, контекст сеанса). | Каждый сеанс проверяет, является ли учетная запись пользователя и устройство доверенными на достаточном уровне, прежде чем разрешать доступ. Примеры показателей: процент привилегированных входов, соответствующих таким требованиям, как многофакторная аутентификация (MFA) и требуемый уровень доверия к устройству, % привилегированных действий, выполняемых через процесс повышения привилегий по утверждению, по сравнению с постоянными привилегиями. |
| Защита и мониторинг систем удостоверений | Защищайте системы идентификации, в которых размещаются или предоставляются привилегии (службы каталогов, системы управления удостоверениями, учетные записи администраторов и т. д.). Управление, применение политик, ведение журнала и аналитика централизованно для уменьшения смещения и улучшения видимости. |
Каждая из этих систем защищена на уровне, соответствующем потенциальному бизнес-влиянию учетных записей, размещенных в нем. Примеры показателей: % привилегированных учетных записей, охваченных регулярной проверкой прав доступа Доля завершённых периодических проверок привилегированного доступа (кто выполнил проверку, кто отозвал доступ). |
| Снижение риска бокового перемещения | Изоляция привилегированных работ от сред с высоким уровнем воздействия. Защитите учетные данные локального администратора, секреты учетной записи службы и механизмы повышения прав, чтобы компрометация одного устройства, учетной записи или учетных данных не обеспечивает более широкий административный контроль. | Компрометация одного устройства не сразу приводит к управлению многими или всеми другими устройствами в среде. Пример показателя: % привилегированных действий, выполняемых только с администраторских рабочих станций. |
| Быстрое реагирование на угрозы | Привилегированное действие — это сигнал приоритета для обнаружения и реагирования. Разработайте систему мониторинга и реагирования на инциденты, чтобы срывать многоэтапные атаки и ограничивать время скрытого присутствия злоумышленника при атаках, нацеленных на получение привилегированного доступа. | Реагирование на инциденты позволяет надежно останавливать многоэтапные атаки до получения привилегированного доступа и быстро локализовать случаи неправомерного использования привилегий, когда они происходят. Пример меры. Среднее время для исправления привилегированных инцидентов (MTTR) сокращается до минут, а не часов или дней. Непредвиденные или новые привилегированные пути доступа быстро идентифицируются и закрываются. |
Отслеживайте эти меры ежемесячно для прогресса и просматривайте ежеквартально в рамках управления привилегированным доступом.
Общие сведения о привилегированных путях доступа
Привилегированные пути доступа — это пути доступа, которые образуют полную цепочку от удостоверения к выполнению, как показано на следующей схеме.
Если какая-либо связь в цепочке слаба, весь путь уязвим.
| Path | Компоненты | Риск |
|---|---|---|
|
Пути доступа пользователей Пути доступа пользователей поддерживают стандартную производительность и бизнес-операции, такие как электронная почта, совместная работа, веб-просмотр и бизнес-приложения. |
Путь доступа пользователя обычно включает в себя: - Учетная запись: стандартная учетная запись пользователя - Устройство: рабочая станция общего назначения - Посредник: необязательные посредники, такие как VPN или удаленный доступ. - Интерфейс. Взаимодействие с корпоративными приложениями и службами. |
Хотя компрометация пути доступа пользователя может причинить вред, потенциальное влияние ограничено по сравнению с привилегированным доступом. |
|
Пути привилегированного доступа Пути привилегированного доступа управляют удостоверениями, инфраструктурой, элементами управления безопасностью и критически важными для бизнеса системами. |
Пути привилегированного доступа обычно состоят из следующих: - Удостоверение: учетная запись, выполняющая привилегированную работу. - Устройство: рабочая станция конечной точки или устройство, используемое привилегированным сеансом. - Посредник: любая система или служба, выступающая посредником или хостингом для привилегированной сессии, например средства удаленного доступа или управления. - Интерфейс: интерфейс управления, через который осуществляется привилегированное управление. Например, порталы, API, средства командной строки или автоматизация. |
Хотя технические компоненты по-видимому похожи на путь доступа пользователей, потенциальный ущерб от компрометации значительно выше. Таким образом, пути привилегированного доступа должны быть: - Меньше по количеству — явно определенное — Изолированный от путей доступа пользователей — защищенный с помощью самых надежных доступных элементов управления. |
Пример пути
В типичном пути привилегированного доступа:
- В систему входит выделенная учетная запись администратора.
- Вход осуществляется из защищенной рабочей станции привилегированного доступа (PAW).
- При входе в систему выполняется активация роли через управление привилегированными пользователями (PIM).
- Вход использует определенный административный интерфейс, например портал, API или CLI.
- Учетная запись, выполнившая вход в систему, выполняет привилегированное действие.
Компоненты решения
Решение для привилегированного доступа основано на трех тесно связанных элементах, которые обеспечивают — выполнение привилегированных действий нужными удостоверенными пользователями, с доверенных устройств и при соблюдении установленных условий.
Привилегированные учетные записи
- Выделенные учетные записи администратора, которым разрешено выполнять привилегированные действия.
- Удостоверения, защищенные с помощью строгой проверки подлинности и, по возможности, без пароля.
- Ограниченное назначение привилегированных ролей.
- Повышение привилегий точно в срок по запросу.
Рабочие станции привилегированного доступа (PAW)
- Защищенные, ограничивающие устройства.
- Снижение уровня атак на устройствах.
- Защита от угроз учетных данных и вредоносных программ.
- Изолировано от активности пользователей с высоким риском.
Применение политик и мониторинг
- Условный доступ проверяет удостоверение, устройство и контекст сеанса.
- Привилегированные пути повышения прав определяются явным образом.
- Все привилегированные действия регистрируются, отслеживаются и просматриваются.
Системы идентификации и пути повышения привилегий
Системы удостоверений и пути повышения прав являются основными компонентами каждого привилегированного пути доступа. Они определяют, где создаются привилегированные удостоверения, как назначаются административные роли и как пользователи переходят с не привилегированного состояния на выполнение привилегированных действий.
В этом руководстве по внедрению системы идентификации и пути повышения привилегий рассматриваются как часть поверхности привилегированных атак и плоскости управления идентификацией.
| Area | Сведения | Устранение рисков |
|---|---|---|
| Системы удостоверений | Где задаются и управляются привилегированные учетные записи, роли и административные права. Это определение включает каталоги, назначения ролей, административные группы и конфигурацию уровня клиента. |
Привилегированные учетные записи используются в плоскости управления. Если системы удостоверений скомпрометируются, злоумышленники могут создавать, изменять или сохранять привилегированный доступ— обход элементов управления устройствами, условий доступа и мониторинга. Защита плоскости управления идентификацией является наивысшим приоритетом при реализации. |
| Разрешённые пути повышения привилегий | Как пользователь переходит из непривилегированного состояния в состояние, позволяющее выполнять привилегированные действия. Например, ограниченная по времени активация ролей, процессы утверждения и административные сеансы с ограниченной областью действия. |
Гарантирует, что повышение прав требует строгой проверки подлинности, а привилегированное повышение является преднамеренным, временным, отслеживаемым и происходит только с утвержденных устройств и интерфейсов. Требуя, чтобы повышение привилегий выполнялось только через утверждённые процессы, устройства и интерфейсы, вы предотвращаете постоянные привилегии и снижаете риск злоупотреблений, латерального перемещения и скрытого закрепления. |
Этапы решения
Реализуйте архитектуру привилегированного доступа с помощью поэтапной модели внедрения, согласованной с Microsoft рекомендациями.
- Начать внедрение с помощью структурированной модели внедрения. Руководство по внедрению помогает руководителям бизнеса определять ключевые бизнес-результаты в области защищенной идентификации, а также понимать направление управления доступом и идентификацией, включая команды и усилия, необходимые для реализации инициатив в области идентификации, таких как привилегированный доступ.
- Планирование решения. Планирование помогает определить цели разработки, назначить уровни безопасности для определения стратегии привилегированного доступа и планирования реализации.
- Следуйте этапам реализации, приведенным в следующей таблице. Каждый этап имеет определенную цель и реализуется с помощью конкретных шагов конфигурации в соответствующих статьях.
Этапы реализации
| Фазы | Устранение рисков | Применяйте принципы "Никому не доверяй" |
|---|---|---|
| Этап 1. Защитите плоскость управления идентификацией Создать: — Выделенные учетные записи администраторов. Группы безопасности для назначения ролей. - Учетные записи для экстренного доступа, если у вас их нет. |
Снижает риск кражи учетных данных, неправильного использования привилегий и несанкционированного повышения прав. |
Явная проверка Используйте надежную проверку подлинности. Использование наименьших привилегий Ограничить роли администраторов / включить привилегии just-in-time. Предположим, нарушение. Используйте аварийные учетные записи для восстановления. |
| Этап 2. Развертывание и защита устройств привилегированного доступа Подготовьте выделенные рабочие станции с привилегированным доступом (PAW). Применяйте усиление защиты ОС и базовые параметры безопасности. Принудительное применение исправлений, защиты конечных точек и шифрования дисков. Свести к минимуму установку приложений и служб. |
Снижает риск компрометации учетных данных и атак на основе устройств. |
Явная проверка Убедитесь, что устройства зарегистрированы, доверенны и соответствуют требованиям перед предоставлением доступа. Предположим, нарушение Свести к минимуму потенциальные пути компрометации путем ужесточения устройств и изоляции учетных данных администратора. Использование доступа с минимальными привилегиями. Ограничение возможностей администраторов на этих выделенных устройствах. |
| Этап 3. Принудительное применение политик привилегированного доступа Настройте условный доступ для привилегированных ролей. Требовать совместимых устройств и строгой проверки подлинности. Применение условий доступа с учетом контекста. Ограничить доступ к утвержденным интерфейсам. |
Запрещает несанкционированный доступ и воспроизведение учетных данных. |
Предположим, нарушение. Предотвращение неправильного использования учетных данных, если учетные записи украдены путем ограничения того, где и как предоставляется доступ. Используйте минимальные привилегии. Обеспечьте ролевое и контекстно-зависимое разграничение прав доступа. |
| Фаза 4. Мониторинг и постоянная проверка Анализ инцидентов и быстрое исправление. Непрерывно переоценивайте доверие и охват. |
Обнаружение, исследование и реагирование на привилегированные угрозы. Мониторинг активаций привилегированных ролей и сеансов. Обнаружение аномалий и подозрительных шаблонов. Снизьте последствия незамеченной компрометации и длительного скрытого присутствия злоумышленника. |
Предположим, нарушение. Непрерывно отслеживайте действия злоумышленника и аномальное поведение. Явным образом проверьте. Непрерывно оцените доверие и изучите подозрительные шаблоны доступа. |
Дальнейшие действия
Теперь начните планировать стратегию реализации.