Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Привилегированный доступ находится в корпоративной модели доступа и предоставляет единственный административный путь к плоскости управления. Он определяет, кто может настраивать системы, управлять удостоверениями, обеспечивать безопасность и в конечном итоге формировать технологическую среду организации.
В современных предприятиях относительно небольшое число учетных записей и ролей — администраторы, служебные учетные записи и роли плоскости управления — обладают широкими полномочиями и доступом к большинству бизнес-ресурсов. Эти идентификаторы могут:
- Изменение элементов управления доступом
- Изменение конфигураций системы
- Доступ к конфиденциальным данным
- Отключение или обход защиты безопасности
Злоумышленники распознают это. Вместо того чтобы атаковать каждую систему по отдельности, они сосредоточены на:
- Кража учетных данных.
- Эскалация привилегий.
- Перемещение в сторону ролей с высоким уровнем ценности.
После получения привилегированного доступа злоумышленник может работать со скоростью и масштабированием.
Поэтому современные модели безопасности обрабатывают привилегированный доступ по-разному:
- Он должен быть явно контролируемым. Например, определите привилегированные роли и адаптацию пользователей с помощью управления идентификационными данными и управления привилегированными удостоверениями (PIM), с обязательным утверждением и временным повышением привилегий вместо постоянного назначения ролей.
- Он должен быть изолирован от нормальной активности. Например, используйте отдельные административные учетные записи и выделенные устройства с привилегированным доступом (PAWs), чтобы привилегированные действия никогда не выполнялись со стандартных сеансов пользователей или неуправляемых устройств.
- Он должен постоянно отслеживаться. Например, отправлять привилегированные входы, активации ролей и изменения политики в средства мониторинга, такие как Microsoft Sentinel для обнаружения необычных шаблонов использования и активации оповещений или автоматического ответа.
- Необходимо согласиться, что привилегированный доступ является основным объектом компрометации. Например, обеспечьте защиту всех привилегированных учетных записей с использованием надежной многофакторной аутентификации (MFA), исключив постоянные права доступа и внедрив средства контроля для аварийных учетных записей, исходя из того, что злоумышленники будут пытаться похищать учетные данные и повышать привилегии.
Защита привилегированного доступа требует учитывать не только роли и учетные записи, но и все компоненты, обладающие привилегированным доступом. Сюда входит следующее:
- Плоскость управления идентификацией.
- Привилегированные устройства, приложения и интерфейсы.
- Промежуточные системы, такие как виртуальные сети, PIM и системы управления привилегированным доступом (PAM).
Вместе они определяют, как выполняется управление, и как он должен быть защищен.
На следующем рисунке показана потенциальная область атаки для компрометации привилегированного доступа.
Плоскость управления идентификацией
Уровень управления идентификацией — это слой, который определяет и регулирует, кто может занимать привилегированные роли и как эти привилегии назначаются, повышаются и отзываются во всей организации. В контексте привилегированного доступа он включает привилегированные удостоверения, назначения ролей и утвержденные пути повышения прав, формируя основу, от которую зависят все остальные элементы управления.
Защита плоскости управления удостоверениями гарантирует, что привилегии являются явными, привязанными к времени, строго прошедшими проверку подлинности и проверяемыми, предотвращая несанкционированный или неконтролируемый доступ к системам, которые в конечном итоге контролируют всю среду.
На следующей схеме показано, что плоскость управления централизованно управляется в облачных службах (Microsoft Entra ID, Intune, Defender для конечной точки) и может осуществляться только через рабочую станцию с привилегированным доступом (PAW), обеспечивая изоляцию, управление и безопасное администрирование всех привилегированных операций.
Роли уровня управления
Идентификатор Microsoft Entra имеет роли и разрешения, которые определяются как привилегированные.
Эти роли и разрешения можно использовать для делегирования управления ресурсами каталога другим пользователям, изменения учетных данных, политик проверки подлинности или авторизации или доступа к данным с ограниченным доступом. Назначения привилегированных ролей могут привести к повышению привилегий, если они не используются безопасным и предполагаемым образом.
- Просмотрите привилегированные роли Microsoft Entra.
- Дополнительные сведения о просмотре и использовании привилегированных ролей.
Привилегированные рабочие станции доступа
Рабочая станция привилегированного доступа (PAW) — это выделенное, защищенное устройство, используемое только для выполнения административных задач. Он отделен от обычных пользовательских устройств и тесно защищен, чтобы снизить риск кражи учетных данных, вредоносных программ или бокового перемещения. PAWs обеспечивают защиту ключей, например:
- Строгая аутентификация (например, Windows Hello для бизнеса)
- Усиление защиты устройств (Credential Guard, Device Guard, Exploit Guard, AppLocker)
- Ограниченное использование (нет общих действий по просмотру или повышению производительности)
Цель состоит в том, чтобы гарантировать, что привилегированные учетные данные и операции никогда не оказываются доступными в недоверенных средах.
На следующей схеме показано, что PAW является единственной доверенной точкой доступа к плоскости управления.
Как показано на схеме, все административные действия проходят через PAW и контролируются, как указано в таблице.
| Control | Реализация |
|---|---|
| Явно контролируемый | Административный доступ предоставляется только через средства контроля идентификации на основе политик, при этом требуются усиленная аутентификация и утвержденное временное повышение привилегий. Состояние устройства также должно соответствовать требованиям соответствия перед разрешением доступа. |
| Изолировано от нормальной активности | Привилегированные операции ограничены выделенным устройством PAW с жестко контролируемым использованием и подключением. PaW не используется для общей производительности, с ограниченным доступом к Интернету и безопасным удаленным подключением к конфиденциальным системам. |
| Непрерывный мониторинг | Активность учетных записей, состояние устройств и поведение конечных точек непрерывно собираются и анализируются, что позволяет обнаруживать аномальную привилегированную активность и оперативно реагировать. |
| Предположительно является целевым | Среда защищена и непрерывно проходит проверку с учётом того, что злоумышленники стремятся получить привилегированный доступ. Устройства поддерживаются в актуальном состоянии, обеспечивается безопасная начальная настройка. |
Дальнейшие действия
Разверните архитектуру привилегированного доступа.