Этап 3. Применение политик привилегированного доступа

Эта статья является частью руководства по реализации решения архитектуры привилегированного доступа .

Привилегированный доступ представляет критически важный риск безопасности в большинстве организаций, так как он обеспечивает прямой контроль над системами идентификации, плоскостями управления облаком и критически важными ресурсами.

Узнайте, как архитектура защищенного привилегированного доступа играет важную роль в вашем бизнес-сценарии — защита критически важных бизнес-активов , уменьшая этот риск и повышая контроль над конфиденциальными системами.

В этой статье описывается этап 3 реализации. Обеспечивает соблюдение политик привилегированного доступа, чтобы ограничить, где могут использоваться привилегированные учётные записи.

С помощью сигналов доверенного устройства, установленных на этапе 2, вы настраиваете условный доступ так, чтобы привилегированные роли, порталы и интерфейсы управления можно использовать только из утвержденных рабочих станций с привилегированным доступом с низким риском (PAW).

Цели защиты

Этап 3 обеспечивает следующие цели защиты:

  • Убедитесь, что привилегированные учетные данные нельзя использовать с устройств, отличных от PAW.
  • Порталы администрирования и интерфейсы доступны только для совместимых устройств с низким уровнем риска.
  • Привилегированный доступ требует строгой проверки подлинности пользователей и проверенного доверия устройств.
  • Ограничьте доступ к административным интерфейсам (порталам, API, PowerShell) только с одобренных PAW.
  • Украденные учетные данные нельзя повторно использовать из стандартных или неуправляемых конечных точек.
  • Пути привилегированного доступа являются явными, проверяемыми и применимыми.

Область защиты

Этап 3 защищает интерфейсы привилегированного доступа и рабочие процессы, с помощью которых выполняются привилегированные действия, в том числе:

  • Порталы управления облаком (портал Azure, Центр администрирования Microsoft Entra, Центр администрирования Microsoft 365)
  • Порталы управления безопасностью (Microsoft Defender порталы)
  • Использование и активация привилегированных ролей (включая роли, управляемые PIM)
  • Сеансы администрирования браузера
  • Пути исходящего трафика сети, используемые привилегированными устройствами

Этап 3 не перенастраивает устройства или идентификаторы. Она применяет политику с помощью выходных данных этапов 1 и 2.

Риски, которые смягчены

Риск Почему это важно Устранение рисков этапа 3
Привилегированные учетные данные повторно используются на устройствах, отличных от PAW MFA и подтверждения не предотвращают повторное использование злоумышленниками украденных токенов или учетных данных на скомпрометированных стандартных рабочих станциях. Условный доступ требует, чтобы пользователи с привилегированными ролями проходили аутентификацию только с соответствующих требованиям PAW с низким уровнем риска.
Привилегированный доступ с высокоопасных или неподключенных устройств Уязвимое устройство позволяет злоумышленникам немедленно осуществлять административный контроль. При принятии решений о предоставлении доступа учитываются соответствие требованиям Intune и уровень риска в Microsoft Defender для конечной точки перед предоставлением привилегированного доступа.
Административные порталы, доступные с неуправляемых или BYOD-устройств Плоскости управления облаком становятся доступными с устройств, не находящихся под контролем организации. Условный доступ ограничивает административные порталы на PAW, блокируя доступ с устройств, отличных от PAW.
Обход защищенных порталов с помощью альтернативных интерфейсов Злоумышленники могут избежать элементов управления с помощью PowerShell, API или альтернативных конечных точек администратора. Принудительное выполнение применяется единообразно во всех административных интерфейсах, а не только на основных порталах.
Активация привилегированных ролей с скомпрометированных рабочих станций Рабочие процессы утверждения можно взломать, если активация роли происходит на небезопасном устройстве. Активация ролей PIM и использование ролей применяются с помощью одинаковых требований доверия к устройству условного доступа.
Учетные данные предоставляют привилегированный доступ Механизмы защиты, основанные только на идентификации, предполагают доверенную среду выполнения. Этап 3 связывает идентификационные данные, устройство и условия интерфейса, поэтому одних учетных данных недостаточно.
Отсутствие прозрачности в обеспечении соблюдения Без применения политики трудно доказать, что привилегированный доступ ограничен. Решения условного доступа и данные телеметрии Defender обеспечивают проверяемые и наблюдаемые свидетельства применения.
Быстрая эскалация после компрометации рабочей станции Злоумышленники быстро переходили от скомпрометированного устройства к корпоративному контролю. Этап 3 гарантирует, что украденные учетные данные недоступны для использования за пределами PAW, нарушая распространенные пути эскалации.

Результаты этапа

После завершения этапа 3:

  • Привилегированные роли и порталы администрирования доступны только с соответствующих требованиям привилегированных рабочих станций (PAW) с низким уровнем риска.
  • Условный доступ блокирует привилегированный доступ с устройств, отличных от PAW.
  • Сведения о соответствии устройств и сигналы риска Microsoft Defender для конечной точки являются обязательными входными данными для принятия решений о предоставлении доступа.
  • Контроль привилегированного доступа обеспечивается на уровнях идентификации, устройств и интерфейсов.
  • Попытки доступа регистрируются, отслеживаются и проверяются.

Необходимые условия

Перед настройкой процедур в этой статье:

  • Выполните инструкции для этапа 1, чтобы защитить плоскость управления идентификацией.
  • Завершите этап 2 по развертыванию и усилению защиты PAW.
  • Убедитесь, что соответствие устройств требованиям и интеграция с Defender for Endpoint активны.

Шаг 1. Требовать многофакторную проверку подлинности и доверие устройств для привилегированного доступа

Убедитесь, что привилегированный доступ требует строгой проверки подлинности пользователей и надежных устройств.

  1. В центре администрирования Microsoft Entra перейдите к Protection>Conditional Access>Policies.
  2. Выберите "Создать новую политику".
  3. В заданиях пользователи> настраивают следующие параметры:
    • Включите привилегированные роли каталога, такие как глобальный администратор, администратор безопасности.
    • Исключите группу аварийного доступа.
  4. В разделе Назначения>Облачные приложения представлены приложения для управления облаком, такие как портал Azure, центр администрирования Microsoft Entra, центр администрирования Microsoft 365 и порталы Defender.
  5. В элементах управления Access предоставьте доступ с помощью следующих параметров:
    • Требовать многофакторную проверку подлинности
    • Требовать, чтобы устройство было отмечено как соответствующее
    • Требовать, чтобы уровень риска устройства в Microsoft Defender для конечной точки был низким
  6. Активируйте политику.

Шаг 2. Ограничение административных порталов для PAW

Убедитесь, что административные порталы доступны только с PAW, соответствующих требованиям.

  1. В центре администрирования Microsoft Entra перейдите к Protection>Conditional Access>Policies.
  2. Нажмите кнопку "Создать новую политику ", чтобы создать дополнительную политику.
  3. В заданиях пользователи> настраивают следующие параметры:
    • Включите привилегированные роли каталога, такие как глобальный администратор, администратор безопасности.
    • Исключите группу экстренного доступа.
  4. В разделе Назначения>Облачные приложения включите административные приложения, используемые для привилегированного доступа в вашей среде.
  5. В элементах управления Access предоставьте доступ с помощью следующих параметров:
    • Требовать, чтобы устройство было отмечено как соответствующее
    • Требовать, чтобы уровень риска устройства в Microsoft Defender для конечной точки был низким
  6. Активируйте политику.

Шаг 3. Блокировка привилегированного доступа с устройств, отличных от PAW

Убедитесь, что привилегированный доступ к административным порталам блокируется на устройствах, отличных от PAW, даже если эти устройства соответствуют общим требованиям соответствия.

  1. В центре администрирования Microsoft Entra перейдите к Protection>Conditional Access>Policies.
  2. Нажмите кнопку "Создать новую политику ", чтобы создать третью политику.
  3. В заданиях пользователи> настраивают следующие параметры:
    • Включите привилегированные роли каталога, такие как глобальный администратор, администратор безопасности.
    • Исключите назначенные учетные записи аварийного доступа.
  4. В разделе Назначения>Облачные приложения включают те же административные порталы.
  5. В разделе "Условия" выберите "Фильтр для устройств".
  6. Настройте фильтр устройств, чтобы нацелить его на устройства, не относящиеся к PAW:
    • Выберите "Включить отфильтрованные устройства":
    • Настройте фильтр устройств, который определяет устройства, не относящиеся к PAW, на основе атрибута или правила, которые использует ваша организация для определения устройств PAW. Убедитесь, что это соответствует методу идентификации, установленному на этапе 2.
  7. Выберите "Готово", чтобы применить условие фильтра устройства.
  8. В разделе Элементы управления доступом выберите Блокировать доступ.
  9. Выберите Создать , чтобы включить политику.

Шаг 4. Ограничение сетевого доступа к PAW

Ограничьте сетевой доступ PAW только к необходимым административным конечным точкам и конечным точкам управления. Эта конфигурация использует явные правила брандмауэра для разрешения необходимых конечных точек, а не широкие разрешающие правила на основе протоколов.

  1. В центре администрирования Microsoft Intune перейдите к Endpoint security>Firewall.

  2. Выберите " Создать политику".

  3. Настройте политику: — Platform: Windows 10 и более поздних версий. 1. Настройка параметров профиля брандмауэра:

    • Входящие подключения: блокировать
    • Исходящие подключения: разрешить (по умолчанию, контролируемый правилами ниже)

  4. В разделе "Параметры" настройте правила брандмауэра . Используйте правила брандмауэра для определения трафика, необходимого для привилегированного администрирования.

  5. Создайте разрешающие правила для исходящего трафика для необходимых служб, таких как:

    • DNS
    • DHCP
    • NTP
    • Обязательные конечные точки Microsoft для управления облаком, например Intune и Microsoft Entra ID.
    • Обязательные административные конечные точки.

    Каждое правило должно:

    • Укажите направление: исходящее.
    • Укажите действие: Разрешить
    • Определите конечные точки назначения (диапазоны IP-адресов, полные доменные имена или теги служб, где поддерживается)

  6. Убедитесь, что не настроены широкие правила разрешения, такие как неограниченный протокол HTTP/HTTPS.

  7. Назначьте политику группе Защищённые устройства рабочих станций (PAWs).

  8. Выберите Создать, чтобы развернуть политику.

Это завершает уровень принудительного применения привилегированного доступа. Следующая статья может опираться на эту статью, чтобы охватывать критерии измерения, мониторинга и успешности.

Дальнейшие действия

После внедрения уровня принудительного контроля привилегированного доступа заключительный этап — настроить мониторинг.

  • Last updated on