Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
MIM Privileged Access Management (PAM) är en lösning som hjälper organisationer att begränsa privilegierad åtkomst i en befintlig och isolerad Active Directory-miljö.
Privileged Access Management uppnår två mål:
- Återupprätta kontrollen över en komprometterad Active Directory-miljö genom att underhålla en separat skyddsmiljö som är känd för att inte påverkas av skadliga attacker.
- Isolera användningen av privilegierade konton för att minska risken för att autentiseringsuppgifterna blir stulna.
Anmärkning
PAM-metoden som tillhandahålls av MIM PAM rekommenderas inte för nya distributioner i Internetanslutna miljöer. MIM PAM är avsett att användas i en anpassad arkitektur för isolerade AD-miljöer där Internetåtkomst inte är tillgänglig, där den här konfigurationen krävs enligt förordning, eller i isolerade miljöer med hög påverkan som offlineforskningslaboratorier och frånkopplade driftteknik eller övervakningskontroll- och datainsamlingsmiljöer. MIM PAM skiljer sig från Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM är en tjänst som gör att du kan hantera, styra och övervaka åtkomst till resurser i Microsoft Entra ID, Azure och andra Microsoft Online-tjänster som Microsoft 365 eller Microsoft Intune. Mer information finns i säkerställa privilegierad åtkomst för vägledning om lokala Internetanslutna miljöer och hybridmiljöer.
Vilka problem hjälper MIM PAM att lösa?
I dag är det för enkelt för angripare att skaffa autentiseringsuppgifter för domänadministratörer och det är för svårt att upptäcka dessa attacker i efterhand. Målet med PAM är att minska möjligheterna för skadliga användare att få åtkomst, samtidigt som du ökar din kontroll och medvetenhet om miljön.
PAM gör det svårare för angripare att penetrera ett nätverk och få privilegierad kontoåtkomst. PAM lägger till skydd för privilegierade grupper som styr åtkomsten över en rad domänanslutna datorer och program på dessa datorer. Det lägger också till mer övervakning, mer synlighet och mer detaljerade kontroller. På så sätt kan organisationer se vilka deras privilegierade administratörer är och vad de gör. PAM ger organisationer mer insikt i hur administrativa konton används i miljön.
PAM-metoden som tillhandahålls av MIM är avsedd att användas i en anpassad arkitektur för isolerade miljöer där Internetåtkomst inte är tillgänglig, där den här konfigurationen krävs enligt förordning, eller i isolerade miljöer med hög påverkan som offlineforskningslaboratorier och frånkopplad driftteknik eller övervakningskontroll- och datainsamlingsmiljöer. Om din Active Directory är en del av en Internetansluten miljö kan du läsa skydda privilegierad åtkomst för mer information om var du ska börja.
Konfigurera MIM PAM
PAM bygger på principen om just-in-time-administration, som gäller precis tillräckligt med administration (JEA). JEA är en Windows PowerShell-verktygslåda som definierar en uppsättning kommandon för att utföra privilegierade aktiviteter. Det är en slutpunkt där administratörer kan få behörighet att köra kommandon. I JEA bestämmer en administratör att användare med en viss behörighet kan utföra en viss uppgift. Varje gång en berättigad användare behöver utföra den uppgiften aktiverar de den behörigheten. Behörigheterna upphör att gälla efter en angiven tidsperiod, så att en obehörig användare inte kan stjäla åtkomsten.
PAM-installationen och -åtgärden har fyra steg.
- Förbered: Identifiera vilka grupper i din befintliga skog som har betydande privilegier. Återskapa dessa grupper utan medlemmar i skyddsskogen.
- Skydda: Konfigurera livscykel- och autentiseringsskydd för när användare begär just-in-time-administration.
- Använd: När autentiseringskraven har uppfyllts och en begäran har godkänts läggs ett användarkonto tillfälligt till i en privilegierad grupp i skyddsskogen. Under en förinställd tid har administratören alla behörigheter och åtkomstbehörigheter som har tilldelats gruppen. Därefter tas kontot bort från gruppen.
- Övervaka: PAM lägger till granskning, aviseringar och rapporter om privilegierade åtkomstbegäranden. Du kan granska historiken för privilegierad åtkomst och se vem som utförde en aktivitet. Du kan bestämma om aktiviteten är giltig eller inte och enkelt identifiera obehörig aktivitet, till exempel ett försök att lägga till en användare direkt i en privilegierad grupp i den ursprungliga skogen. Det här steget är viktigt inte bara för att identifiera skadlig programvara utan även för att spåra "inuti" angripare.
Hur fungerar MIM PAM?
PAM baseras på nya funktioner i AD DS, särskilt för autentisering och auktorisering av domänkonton och nya funktioner i Microsoft Identity Manager. PAM separerar privilegierade konton från en befintlig Active Directory-miljö. När ett privilegierat konto måste användas måste det först begäras och sedan godkännas. Efter godkännandet ges det privilegierade kontot behörighet via en utländsk huvudgrupp i en ny bastionskog, i stället för i användarens eller programmets aktuella skog. Användningen av en skyddsskog ger organisationen större kontroll, till exempel när en användare kan vara medlem i en privilegierad grupp och hur användaren behöver autentisera.
Active Directory, MIM-tjänsten och andra delar av den här lösningen kan också distribueras i en konfiguration med hög tillgänglighet.
I följande exempel visas hur PIM fungerar mer detaljerat.
Bastionsskogen utfärdar tidsbegränsade gruppmedlemskap, vilket i sin tur ger tidsbegränsade TGT-biljetter. Kerberos-baserade program och tjänster kan respektera och framtvinga dessa TGT:er om programmen och tjänsterna finns i skogar som litar på skyddsskogen.
Dagliga användarkonton behöver inte flytta till en ny skog. Detsamma gäller för datorer, program och deras grupper. De stannar där de är idag i en befintlig skog. Tänk på exemplet med en organisation som hanterar dessa cybersäkerhetsproblem idag, men som inte har några omedelbara planer på att uppgradera serverinfrastrukturen till nästa version av Windows Server. Den organisationen kan fortfarande dra nytta av den här kombinerade lösningen med hjälp av MIM och en ny skyddsskog, och kan bättre kontrollera åtkomsten till befintliga resurser.
PAM erbjuder följande fördelar:
Isolering/omfång av behörigheter: Användare har inte behörighet för konton som också används för icke-privilegierade uppgifter som att kontrollera e-post eller surfa på Internet. Användarna måste begära behörigheter. Begäranden godkänns eller nekas baserat på MIM-principer som definierats av en PAM-administratör. Tills en begäran har godkänts är privilegierad åtkomst inte tillgänglig.
Förstärkt autentisering och verifiering: Det här är nya autentiserings- och auktoriseringsutmaningar som hjälper dig att hantera livscykeln för separata administrativa konton. Användaren kan begära att ett administrativt konto höjs, och den begäran går via MIM-arbetsflöden.
Ytterligare loggning: Tillsammans med de inbyggda MIM-arbetsflödena finns det ytterligare loggning för PAM som identifierar begäran, hur den har auktoriserats och eventuella händelser som inträffar efter godkännandet.
Anpassningsbart arbetsflöde: MIM-arbetsflöden kan konfigureras för olika scenarier och flera arbetsflöden kan användas, baserat på parametrarna för den begärande användaren eller begärda roller.
Hur begär användarna privilegierad åtkomst?
Det finns ett antal sätt på vilka en användare kan skicka en begäran, bland annat:
- MIM-webbtjänsters API
- En REST-slutpunkt
- Windows PowerShell (
New-PAMRequest)
Få information om Privileged Access Management-cmdletarna.
Vilka arbetsflöden och övervakningsalternativ är tillgängliga?
Anta till exempel att en användare var medlem i en administrativ grupp innan PAM har konfigurerats. Som en del av PAM-installationen tas användaren bort från den administrativa gruppen och en princip skapas i MIM. Principen anger att om användaren begär administratörsbehörighet godkänns begäran och ett separat konto för användaren läggs till i den privilegierade gruppen i skyddsskogen.
Förutsatt att begäran godkänns kommunicerar åtgärdsarbetsflödet direkt med Bastion Forest Active Directory för att placera en användare i en grupp. När Jen till exempel begär att administrera HR-databasen läggs det administrativa kontot för Jen till i den privilegierade gruppen i skyddsskogen inom några sekunder. Hennes administrativa kontos medlemskap i den gruppen upphör att gälla efter en tidsgräns. Med Windows Server 2016 eller senare associeras medlemskapet i Active Directory med en tidsgräns.
Anmärkning
När du lägger till en ny medlem i en grupp måste ändringen replikeras till andra domänkontrollanter (DCs) i skyddsskogen. Replikeringsfördröjning kan påverka möjligheten för användare att komma åt resurser. Mer information om replikeringsfördröjning finns i How Active Directory Replication Topology Works.
Däremot utvärderas en utgången länk i realtid av Security Accounts Manager (SAM). Även om tillägget av en gruppmedlem måste replikeras av domänkontrollanten som tar emot åtkomstbegäran, utvärderas borttagningen av en gruppmedlem omedelbart på alla domänkontrollanter.
Det här arbetsflödet är specifikt avsett för dessa administrativa konton. Administratörer (eller till och med skript) som bara behöver tillfällig åtkomst för privilegierade grupper kan begära just den åtkomsten. MIM loggar begäran och ändringarna i Active Directory, och du kan visa dem i Loggboken eller skicka data till företagsövervakningslösningar som System Center 2012 – Operations Manager Audit Collection Services (ACS) eller andra verktyg från tredje part.