Этап 1 — Защитите плоскость управления идентификацией

Эта статья является частью руководства по реализации решения архитектуры привилегированного доступа .

Привилегированный доступ представляет критически важный риск безопасности в большинстве организаций, так как он обеспечивает прямой контроль над системами идентификации, плоскостями управления облаком и критически важными ресурсами.

Узнайте, как архитектура защищенного привилегированного доступа играет важную роль в вашем бизнес-сценарии — защита критически важных бизнес-активов , уменьшая этот риск и повышая контроль над конфиденциальными системами.

Эта статья поможет реализовать этап 1 решения архитектуры привилегированного доступа . На этом этапе защищается плоскость управления идентификацией за счёт определения и защиты привилегированных удостоверений, ролевых назначений и разрешённых путей повышения привилегий.

Сначала важно реализовать этап 1. Реализация последующих этапов, предусматривающих защиту устройств привилегированного доступа, применение политик условного доступа и мониторинг привилегированного доступа, зависит от чистой, хорошо управляемой плоскости управления идентификацией.

Цели защиты

Этап 1 гарантирует, что привилегированный доступ:

  • Явно: предоставляйте привилегии только через определённые пути повышения привилегий. Никогда не делайте его неявным или случайным.
  • Временный: срок действия привилегий истекает автоматически.
  • Строгая проверка подлинности: требуется строгая проверка подлинности для повышения привилегий.
  • Возможность аудита: регистрируйте все изменения привилегий и повышения привилегий.
  • Возможность восстановления. Предоставление аварийного доступа без ослабления элементов управления.

Область защиты

Этап 1 посвящен двум основным компонентам привилегированного доступа:

  • Привилегированные удостоверения: удостоверения, которые могут выполнять привилегированные действия, в том числе:

    • Выделенные учетные записи администратора
    • Административные группы
    • Учетные записи служб и управляемые удостоверения
    • Назначения ролей Azure RBAC
    • Учетные записи аварийного доступа (break-glass) (если они отсутствуют).

  • Авторизованные способы повышения привилегий: механизмы, позволяющие пользователям переходить из непривилегированного состояния в привилегированное, например:

    • Активация роли с привязкой к времени с помощью управление привилегированными пользователями (PIM)
    • Рабочие процессы утверждения для конфиденциальных ролей
    • Явные административные сеансы

  • Экстренный доступ: настройка учетных записей экстренного доступа, если они еще не созданы.

Эти компоненты работают в плоскости управления. Если они скомпрометированы, злоумышленники могут предоставить себе привилегированный доступ без касания устройств или политик доступа.

Риски, которые смягчены

Риск Почему это важно Устранение рисков на этапе 1
Неконтролируемое создание привилегированных учётных записей Злоумышленники незаметно создают новых администраторов или назначения на роли. Определите авторитетные привилегированные учетные записи и роли.
Ограничение того, кто может управлять системами удостоверений.
Рассматривайте системы удостоверений как привилегированные ресурсы.
Скрытое повышение привилегий Привилегия, полученная через членство в группах, RBAC или вложенные назначения. Рационализация ролей, использование групповых назначений, удаление постоянного доступа.
Постоянный (постоянный) административный доступ Украденные учетные данные сохраняют постоянный уровень доступа. Замените постоянные привилегии повышением привилегий, ограниченным по времени.
Слабые или скрытые пути повышения прав Злоумышленники используют те же пути, что и администраторы. Определите безопасные, чёткие, поддающиеся аудиту рабочие процессы эскалации привилегий
Обход нижестоящей защиты Привилегия, полученная до применения устройства или политики. Сначала была защищена плоскость управления идентификацией.
Неустранимая компрометация учётных данных Нет безопасного способа восстановить контроль. Создайте защищенные учетные записи аварийного доступа.
Низкий уровень защиты учетных данных Слабые средства контроля подлинности подрывают все последующие этапы. Повышение уровня безопасности систем удостоверений.

Результаты этапа

После завершения этого этапа:

  • Весь привилегированный доступ привязан к известным и явно определённым удостоверениям личности и ролям.
  • Все привилегии являются временными, проверяемыми и преднамеренными.
  • Постоянный административный доступ удаляется.
  • Системы удостоверений рассматриваются как привилегированные ресурсы.
  • Восстановление от компрометации удостоверений возможно без ослабления элементов управления.
  • Во время модернизации не вводится новый привилегированный риск.

Этот этап также останавливает создание нового привилегированного риска во время аудита и модернизации.

Необходимые условия

Прежде чем приступить к настройке этапа 1, обратите внимание на следующие предварительные требования:

Ознакомьтесь с документацией:

В организации:

  • Убедитесь, что у вас есть активный арендатор Microsoft Entra ID, принадлежащий вам. Мы рекомендуем Microsoft Entra ID P2 (для управления привилегированными удостоверениями).
  • Это решение предполагает, что у вас есть Microsoft 365 корпоративный E5. Дополнительные сведения см. в разделе Лицензирование Microsoft 365 корпоративный.
  • Убедитесь, что у вас есть не менее двух учетных записей аварийного доступа .
  • Четкое распределение ответственности за управление идентификационными данными и ролями.
  • При создании защищённых учётных записей администратора они подвергаются риску компрометации через рабочую станцию, используемую при настройке. Убедитесь, что начальная конфигурация выполняется с известного безопасного устройства.

Шаг 1. Аудит привилегированного доступа

Создайте полный список привилегированных удостоверений и путей доступа. Проверьте следующие источники.

Source Сведения
роли в каталоге Microsoft Entra Определите привилегированные роли, которые могут напрямую или косвенно привести к получению полного контроля над клиентом за счёт изменения идентификационных данных, параметров доступа или границ доверия в плоскости управления идентификацией.

Для каждой роли:
— определение прямых и групповых назначений.
— определение постоянных и подходящих для PIM назначений
— Зафиксируйте текущее состояние активации.
Привилегии на основе групп Узнайте, кто имеет привилегии косвенно и останется незамеченным, если смотреть только на пользователей.

- Проверка членства во вложенных группах
— определение пользователей, субъектов-служб и управляемых удостоверений
— Запишите, как наследуется привилегия.
Роли Azure RBAC Узнайте, на что способны эти привилегированные учетные записи за пределами самого каталога.

Назначения аудита на уровнях группы управления, подписки и ресурсов.

Определите субъекты с широкими или каскадными правами доступа.
Нечеловеческие идентификаторы Узнайте, какие нечеловеческие цифровые удостоверения входят в цепочку привилегированного доступа, включая:

Учетные записи служб и управляемые удостоверения
Учетные записи и скрипты службы автоматизации
Разрешения приложения с помощью элемента управления клиентом или ресурсом.

Результатом является единый достоверный реестр привилегированных учетных записей.

Определение ролей каталога

Проверьте, кто может изменять идентификационные данные, аутентификацию или конфигурацию всего арендатора.

  1. В центре администрирования Microsoft Entra перейдите в Entra ID>Роли и администраторы.

  2. Выберите все роли. На этой странице перечислены все встроенные и пользовательские роли каталога Microsoft Entra, включая роли администратора на уровне клиента, такие как глобальный администратор и администратор привилегированных ролей.

    • Привилегированные роли — это любые роли, которые могут назначать роли, изменять безопасность и проверку подлинности или управлять приложениями, устройствами или политиками безопасности.
    • Полный список привилегированных встроенных ролей также доступен в документации.

  3. Для каждой роли с привилегиями сначала проверьте прямые назначения. Для каждого субъекта, которому роль назначена напрямую (пользователя, группы или субъекта-службы (приложения/управляемого удостоверения)), проверьте, как назначена роль и каково её текущее состояние.

    • Постоянное назначение роли означает, что роль активна постоянно. Учетная запись выполняет вход и уже имеет привилегированный статус Активный (постоянный). Это, очевидно, высокий риск.
    • Назначение с правом активации через PIM означает, что роль доступна, но остаётся неактивной, пока её не активируют. Пользователь должен активировать роль. Обычно это ограниченное время и часто требует оправдания. Состояние может быть активным или допустимым , если пользователь может стать привилегированным, но в настоящее время не активируется.

  4. Теперь переключитесь на назначения групп. Это важно, так как он проверяет привилегии, которые косвенно назначаются с помощью групп.

  5. Откройте каждую группу, которой назначена привилегированная роль.

  6. Разверните участников группы, разверните вложенные группы и зарегистрируйте пользователей, субъекты-службы и управляемые удостоверения.

  7. Для каждой учетной записи подтвердите, каким образом предоставлена привилегия:

    • Назначена ли роль через группу или через вложенную группу?
    • Роль постоянная или доступна для PIM?
    • Каково текущее состояние?

После выполнения этого шага вы захватили плоскость управления удостоверениями и у вас есть достоверный список привилегированных удостоверений для Microsoft Entra.

Определите роли Azure RBAC

Теперь, когда вы знаете, какие учетные записи являются привилегированными, давайте проверим, какие действия они могут выполнять вне каталога Microsoft Entra. Где еще они имеют контроль, и в какой области?

  1. Для каждого привилегированного субъекта, который вы определили, определите роли.

  2. Начните с самого высокого уровня (группы управления).

    1. На портале Azure >Группы управления перейдите в раздел **Управление доступом (IAM) >Назначения ролей.
    2. Используйте фильтр,>назначенный и найдите имя субъекта.
    3. Запишите все результаты, включая имя роли и область.

    Если вы видите здесь такие учётные записи, это означает, что у них есть широкие права управления в Azure, поскольку роли Azure RBAC, назначенные на уровне группы управления, распространяются на все дочерние подписки и ресурсы.

  3. Теперь выполните те же процедуры для портала Azure >Subscriptions.

    Учетные записи, которым назначены роли Azure RBAC на уровне подписки, являются привилегированными и могут предоставлять доступ или делегировать его.

  4. Если удостоверения не найдены на уровне группы управления или подписки, можно проверить на уровне групп ресурсов ту же процедуру на портале Azure портале >Resource groups.

  5. Также может потребоваться проверить, имеют ли субъекты контроль над стратегическими отдельными ресурсами, такими как Key Vault, учетные записи хранения, виртуальные машины или учетные записи автоматизации. Для этого проверьте управление доступом (IAM)>Назначено каждому отдельному ресурсу .

Результаты записи

  1. Для каждой учетной записи, определенной вами, зафиксировать сведения об аудите в таблице сопоставления.

  2. Определите учетные записи с высоким риском с широкими привилегиями и создайте таблицу сопоставления, которая предоставит сведения о области роли (радиусе взрыва) и типе работы.

    Учетная запись Роль Энтры роль Azure RBAC Объем Привилегированная работа
    alice@contoso.com глобальный администратор. Owner Sub1, Sub2 Управление пользователями, ролями, подписками.

  3. Если вы хотите добавить дополнительные сведения о наблюдаемом поведении для учетной записи, вы можете:

    1. Просмотрите журналы входа для получения сведений о приложениях, конечных точках клиента и потоках проверки подлинности.
    2. Сопоставляйте информацию с журналами аудита и активности, чтобы проверить, используется ли учетная запись и изменяла ли она политику, ресурсы или подписки либо выполняла какие-либо другие действия.

Шаг 2. Оценка существующей конфигурации

При наличии инвентаризации вы можете использовать средство оценки "Никому не доверяй" для оценки настройки привилегированного доступа в среде и выявления пробелов в управлении.

Хотя средство оценки не заменяет полную инвентаризацию, она использует данные роли и политики в качестве входных данных, чтобы помочь вам понять, следует ли:

  • Привилегированные роли защищены (MFA, условный доступ).
  • Привилегированный доступ регулируется (шаблоны PIM, JIT/JEA).
  • Политики постоянно применяются.
  • Есть пробелы в области учётных записей, устройств и политик доступа.

Подробнее о проверке личности с помощью этого инструмента.

Шаг 3. Создание отдельных административных учетных записей

Удалите привилегированные роли из стандартных учетных записей пользователей.

Создайте выделенные административные учетные записи, которые:

  • Используются только для привилегированных задач
  • Нет доступа к средствам повышения производительности (электронной почте, Teams, Интернету)
  • Имеют право на привилегии через PIM, а не назначены на постоянной основе

Удалите все назначения привилегированных ролей из стандартных удостоверений пользователей.

Создание учетных записей администратора

  1. В центре администрирования Microsoft Entra Admin Center перейдите в Microsoft Entra ID>Пользователи.
  2. Выберите новый пользователь и настройте параметры пользователя. затем нажмите кнопку "Создать".
    • Имя: администратор безопасной рабочей станции.
    • Основное имя пользователя: secure-ws-admin@contoso.com
    • Метод проверки подлинности: пароль (временный).
    • Роли каталога. Не назначайте их.
    • Место эксплуатации: установите место эксплуатации.

Это обеспечивает чистую идентификацию администратора без привилегий.

Шаг 4: Создать идентификаторы для PAW

В последующих процедурах вы настроили привилегированную рабочую станцию администрирования (PAW).

Если вы хотите определить учетные записи, которые могут иметь доступ к PAW, но не могут выполнять привилегированные действия, вы можете:

  • Создайте учетную запись, которая может входить только на PAW.
  • Создайте группу безопасности, которая определяет, кому разрешён вход в PAWs.
    • Эта группа никогда не предоставляет права администратора. Он используется для:
      • Условный доступ, в том числе разрешить пользователям безопасной рабочей станции войти в рабочие станции и заблокировать других пользователей.
      • Применение конкретного группового лицензирования PAW.
    • Типичные члены этой группы включают аналитиков SOC, операторов и аудиторов.

Создайте учётные данные для входа

  1. В Центре администрирования Microsoft Entra перейдите в Microsoft Entra ID>Пользователи.
  2. Выберите новый пользователь и настройте параметры пользователя. Затем выберите Создать.
    • Имя: безопасный пользователь рабочей станции
    • Основное имя пользователя: secure-ws-user@contoso.com
    • Роли каталога: не назначать

Создание группы безопасности доступа к PAW

Настройте группу, которая определяет, кто может входить в PAWs

  1. В центре администрирования Microsoft Entra перейдите в Microsoft Entra ID>Группы>Новая группа.

  2. Настройте параметры группы и нажмите кнопку "Создать".

    • Тип группы: безопасность
    • Имя группы: безопасные пользователи рабочей станции
    • Членство: назначено

  3. Добавляйте в группу только учётные записи PAW для входа, а не администраторов по умолчанию.

Шаг 5. Создание групп административных элементов управления

Создайте группы безопасности, определяющие, кто имеет право на привилегированные роли. Эти группы:

  • Помечены как доступные для назначения ролей
  • Управляются через PIM
  • Не предоставляйте привилегии только на основании членства
  • Служат границами авторизации для повышения привилегий

Изменения членства рассматриваются как привилегированные действия и регулярно проверяются

  1. В центре администрирования Microsoft Entra перейдите в Microsoft Entra ID>Группы>Новая группа.

  2. Настройте параметры группы и нажмите кнопку "Создать".

    • Тип группы: Безопасность
    • Имя: администраторы защищенных рабочих станций
    • Тип членства: Назначенный

  3. Добавьте отдельные учётные записи администраторов. Не используйте стандартные учетные записи и не рассматривайте изменения членства как конфиденциальные. Регулярно проверяйте.

Эта группа позже будет:

  • Помечен как назначаемый ролью
  • Роли каталога, назначенные через PIM как доступные для активации (неактивные)
  • Используйте в качестве основного механизма нацеливания для политик привилегированного доступа

Шаг 6. Настройка PIM

Если управление привилегированными пользователями еще не включена, сделайте это сейчас.

Убедитесь, что вы вошли в систему в качестве глобального администратора или администратора привилегированных ролей.

Включить PIM для ролей каталога

  1. В центре администрирования Microsoft Entra/c0 перейдите к системе управления Identity>управление привилегированными пользователями.
  2. Выберите Роли Microsoft Entra.

Удаление постоянных ролей

  1. В ролях Microsoft Entra выберите Роли.

  2. Открытие ролей привилегированного доступа, определенных для вашей организации.

    Минимальный набор, рекомендуемый Microsoft, выглядит следующим образом: — глобальный администратор — администратор привилегированных ролей — администратор безопасности — администратор Exchange — администратор SharePoint

  3. Выберите назначения.

  4. Для каждого активного (постоянного) назначения:

    • Удаление постоянного назначения
    • Повторно добавьте пользователя или группу в качестве допустимых.

После этого пользователи не имеют прав администратора, если они не активируют их.

Настройка параметров активации

Для каждой привилегированной роли выполните следующие действия.

  1. В разделе PIM>роли Microsoft Entra выберите Параметры.

  2. Выберите роль >"Изменить".

  3. Настройка параметров

    • Требовать активацию
    • Требовать многофакторную проверку подлинности при активации
    • Необходимость в обосновании
    • Задайте максимальную длительность активации (например, 1–4 часа для ролей с высоким уровнем влияния)
    • Требовать утверждения (для глобального администратора, администратора привилегированных ролей, администратора безопасности)
    • Выберите одного или нескольких утверждающих

  4. Выберите Обновить.

Использование назначений ролей на основе групп

Рекомендуется назначать роли группам, а не отдельным пользователям для масштабирования и управления.

Создайте группу безопасности с назначаемой ролью и назначьте ей роль Entra (например, «Администратор Exchange»). Затем управляйте членством (кто может получить роль) с помощью процесса управления и при необходимости с помощью PIM для групп.

  1. Создайте группу безопасности с включённым параметром Роли Microsoft Entra можно назначать этой группе.
  2. В разделе PIM >Microsoft Entra roles выберите Добавить назначения.
  3. Назначьте группу в качестве подходящей для роли.
  4. Добавление или удаление пользователей из группы вместо изменения назначений ролей напрямую.

Эта группа становится границей авторизации для привилегированного доступа.

После завершения шага 6 настроено следующее:

  • Нет постоянного административного доступа
  • Привилегии запрашиваются, утверждаются, привязаны к времени, регистрируются
  • Пути повышения привилегий четко определены и поддаются проверке

Шаг 7. Настройка учетных записей экстренного реагирования

Если у вас еще нет учетных записей аварийного доступа, настройте их сейчас. Они нужны для восстановления после сценариев блокировки учетных записей, вызванных Conditional Access, сбоями MFA или ошибками конфигурации.

Убедитесь, что вы вошли как глобальный администратор или администратор привилегированных ролей, чтобы создать по крайней мере две учетные записи аварийного доступа.

  1. В центре администрирования Microsoft Entra/c0 перейдите к Users>All users.
  2. Выберите "Новый пользователь" и создайте облачного пользователя.
  • Использование домена *.onmicrosoft.com
  • Используйте неявное имя (а не "разбить стекло")
  1. Назначьте роль глобального администратора.
  • Не делайте эту роль доступной для PIM — назначение должно быть постоянным.
  • Используйте надежный, длинный пароль, хранящийся безопасно в автономном режиме.
  • Настройка проверки подлинности, устойчивой к фишингу (например, FIDO2/ passkey или проверки подлинности на основе сертификатов)
  • Не привязывать MFA к личному телефону или адресу электронной почты.

Повторите, чтобы создать вторую учетную запись для экстренного реагирования.

Исключить учетные записи для экстренного доступа из условного доступа

Это гарантирует, что восстановление всегда возможно.

  1. В центре администрирования Microsoft Entra перейдите в Защита>Условный доступ.

  2. Для каждой политики:

    • Изменение назначений.
    • Исключите хотя бы одну учетную запись аварийного доступа.

Не забудьте исключить обычные учетные записи администратора — только учетные записи для экстренного реагирования.

Отслеживайте использование аварийной учетной записи

  1. Включите оповещения для:

    • Входы через аварийные учетные записи
    • Изменения роли, связанные с этими учетными записями

  2. Считайте любое использование инцидентом безопасности, если оно не было предварительно одобрено.

  3. Периодически просматривайте использование.

После завершения шага 7 настроено следующее:

  • Плоскость управления идентификацией может быть восстановлена
  • Последующие этапы (PAW, условный доступ) не рискуют постоянной блокировкой
  • Аварийный доступ изолирован, отслеживается и редко используется

Дальнейшие действия

После защиты плоскости управления удостоверениями личности ограничьте, где могут использоваться привилегированные права доступа, с помощью защищённых рабочих станций привилегированного доступа (PAWs).

  • Last updated on