Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln är en del av lösningsguiden Implementera en privilegierad åtkomstarkitektur .
Privilegierad åtkomst utgör en kritisk säkerhetsrisk i de flesta organisationer eftersom den ger direkt kontroll över identitetssystem, molnkontrollplan och affärskritiska tillgångar.
Lär dig hur en säker arkitektur för privilegierad åtkomst spelar en viktig roll i ditt affärsscenario – Skydda kritiska affärstillgångar – genom att minska den här risken och stärka kontrollen över känsliga system.
Den här artikeln beskriver fas 3 av implementeringen. Den tillämpar privilegierade åtkomstprinciper för att begränsa var privilegierade identiteter kan användas.
Med hjälp av de betrodda enhetssignaler som upprättades i fas 2 konfigurerar du villkorlig åtkomst så att privilegierade roller, portaler och hanteringsgränssnitt endast kan användas från godkända arbetsstationer med låg riskprivilegierad åtkomst (PAW).
Skyddsmål
Fas 3 tillämpar följande skyddsmål:
- Se till att privilegierade autentiseringsuppgifter inte kan användas från icke-PAW-enheter.
- Administratörsportaler och gränssnitt kan endast nås från kompatibla enheter med låg risk.
- Privilegierad åtkomst kräver stark användarautentisering och verifierat enhetsförtroende.
- Begränsa åtkomsten till administrativa gränssnitt (portaler, API:er, PowerShell) till godkända PAW:er.
- Stulna autentiseringsuppgifter kan inte återanvändas på standardenheter eller ohanterade enheter.
- Privilegierade åtkomstsökvägar är explicita, granskningsbara och verkställbara.
Skyddsomfång
Fas 3 skyddar privilegierade åtkomstgränssnitt och arbetsflöden genom vilka privilegierade åtgärder utförs, inklusive:
- Molnhanteringsportaler (Azure portal, Microsoft Entra administrationscenter, Administrationscenter för Microsoft 365)
- Säkerhetshanteringsportaler (Microsoft Defender portaler)
- Användning och aktivering av privilegierade roller (inklusive PIM-kontrollerade roller)
- Administrativa webbläsarsessioner
- Utgående nätverksvägar som används av privilegierade enheter
Fas 3 konfigurerar inte om enheter eller identiteter. Den tillämpar principen med hjälp av utdata från faserna 1 och 2.
Risker åtgärdade
| Risk | Varför det spelar roll | Begränsning i fas 3 |
|---|---|---|
| Privilegierade autentiseringsuppgifter som återanvänds från icke-PAW-enheter | MFA och godkännanden hindrar inte angripare från att återanvända stulna token eller autentiseringsuppgifter på komprometterade standardarbetsstationer. | Villkorsstyrd åtkomst kräver privilegierade roller för att endast autentisera från kompatibla PAW:er med låg risk. |
| Privilegierad åtkomst från högriskenheter eller okopplade enheter | En sårbar enhet gör det möjligt för angripare att omedelbart utöva administrativ kontroll. | Åtkomstbeslut utvärderar Intune-efterlevnad och Microsoft Defender för Endpoint risknivå innan privilegierad åtkomst beviljas. |
| Administrativa portaler som är tillgängliga från ohanterade enheter eller BYOD-enheter | Molnkontrollplan kan nås från enheter utanför organisationens kontroll. | Villkorsstyrd åtkomst begränsar administrativa portaler till PAW:er, vilket blockerar åtkomst från icke-PAW-enheter. |
| Kringgå skyddade portaler med hjälp av alternativa gränssnitt | Angripare kan undvika kontroller med hjälp av PowerShell, API:er eller alternativa administratörsslutpunkter. | Efterlevnad tillämpas konsekvent i administrativa gränssnitt, inte bara i huvudportaler. |
| Privilegierad rollaktivering från komprometterade arbetsstationer | Arbetsflöden för godkännande kan kapas om rollaktivering sker på en osäker enhet. | PIM-rollaktivering och rollanvändning framtvingas genom samma krav på enhetsförtroende för villkorsstyrd åtkomst. |
| Endast autentiseringsuppgifter beviljar privilegierad åtkomst | Skydd som enbart baseras på identitet förutsätter en tillförlitlig körningsmiljö. | Fas 3 binder identitets-, enhets- och gränssnittsvillkor så att enbart autentiseringsuppgifter är otillräckliga. |
| Bristande insyn i tillämpningen | Utan principtillämpning är det svårt att bevisa att privilegierad åtkomst är begränsad. | Beslut om villkorlig åtkomst och Defender telemetri tillhandahåller granskningsbara, observerbara bevis för verkställighet. |
| Snabb eskalering efter att arbetsstationen komprometterats | Angripare pivoteras snabbt från en komprometterad enhet till företagsomfattande kontroll. | Fas 3 säkerställer att stulna autentiseringsuppgifter är oanvändbara utanför PAWs, vilket bryter vanliga eskaleringsvägar. |
Fasresultat
När du har slutfört fas 3:
- Privilegierade roller och administratörsportaler är endast tillgängliga från kompatibla PAW:er med låg risk.
- Villkorlig åtkomst blockerar privilegierad åtkomst från icke-PAW-enheter.
- Enheters efterlevnad och risksignaler från Microsoft Defender för Endpoint krävs som underlag för åtkomstbeslut.
- Privilegierad åtkomst tillämpas mellan identitets-, enhets- och gränssnittslager.
- Åtkomstförsök loggas, kan observeras och kan granskas.
Förutsättningar
Innan du konfigurerar procedurer i den här artikeln:
- Slutför fas 1-instruktionerna för att skydda identitetskontrollplanet.
- Slutför Fas 2 för att driftsätta och härda PAW:er.
- Kontrollera att enhetsefterlevnad och integreringen med Defender for Endpoint är aktiva.
Steg 1 – Kräv MFA och enhetsförtroende för privilegierad åtkomst
Se till att privilegierad åtkomst kräver stark användarautentisering och betrodda enheter.
- I administrationscentret för Microsoft Entra går du till Protection>Villkorlig åtkomst>Principer.
- Välj Skapa ny princip.
- I Tilldelningar konfigurerar>användare dessa inställningar:
- Inkludera privilegierade katalogroller som global administratör, säkerhetsadministratör.
- Exkludera nödåtkomstgruppen.
- I Assignments>Molnappar ingår appar för molnhantering som Azure-portalen, Microsoft Entra administrationscenter, Administrationscenter för Microsoft 365 och Defender-portaler.
- I Åtkomstkontroller beviljar du åtkomst med följande inställningar:
- Kräv multifaktorautentisering
- Kräv att enheten är markerad som kompatibel
- Kräv att enhetsrisk för Microsoft Defender för Endpoint = Låg
- Aktivera policyn.
Steg 2 – Begränsa administrativa portaler till PAW:ar
Se till att administrativa portaler endast kan nås från kompatibla PAW:er.
- I administrationscentret för Microsoft Entra går du till Protection>Villkorlig åtkomst>Principer.
- Välj Skapa ny princip för att skapa ytterligare en princip.
- I Tilldelningar konfigurerar>användare dessa inställningar:
- Inkludera privilegierade katalogroller som global administratör, säkerhetsadministratör.
- Exkludera glasgruppen för nödbrott.
- I Tilldelningar> innehållermolnappar de administrativa program som används för privilegierad åtkomst i din miljö.
- I Åtkomstkontroller beviljar du åtkomst med följande inställningar:
- Kräv att enheten är markerad som kompatibel
- Kräv Microsoft Defender för Endpoint: enhetsrisk = Låg
- Aktivera policyn.
Steg 3 – Blockera privilegierad åtkomst från icke-PAW-enheter
Se till att privilegierad åtkomst till administrativa portaler blockeras från icke-PAW-enheter, även om dessa enheter uppfyller allmänna efterlevnadskrav.
- I administrationscentret för Microsoft Entra går du till Protection>Villkorlig åtkomst>Principer.
- Välj Skapa ny princip för att skapa en tredje princip.
- I Tilldelningar konfigurerar>användare dessa inställningar:
- Inkludera privilegierade katalogroller som global administratör, säkerhetsadministratör.
- Exkludera utsedda konton för nödåtkomst.
- I Tilldelningar> innehållermolnappar samma administrativa portaler.
- Under Villkor väljer du Filtrera för enheter.
- Konfigurera enhetsfiltret för att rikta in sig på icke-PAW-enheter:
- Välj Inkludera filtrerade enheter:
- Konfigurera ett enhetsfilter som identifierar icke-PAW-enheter baserat på det attribut eller den regel som din organisation använder för att skilja ut PAW-enheter. Kontrollera att detta matchar identifieringsmetoden som etablerades i fas 2.
- Välj Klar för att tillämpa villkoret för enhetsfilter.
- Under Åtkomstkontroller väljer du Blockera åtkomst.
- Välj Skapa för att aktivera principen.
Steg 4 – Begränsa PAW-nätverksåtkomst
Begränsa PAW-nätverksåtkomsten till endast nödvändiga administrativa slutpunkter och hanteringsslutpunkter. Den här konfigurationen förlitar sig på explicita brandväggsregler för att tillåta nödvändiga slutpunkter i stället för breda protokollbaserade utsläppsrätter.
I administrationscentret för Microsoft Intune navigerar du till Endpoint security>Firewall.
Välj Skapa princip.
Konfigurera principen: – Platform: Windows 10 och senare. 1. Konfigurera inställningarna för brandväggsprofilen:
- Inkommande anslutningar: Blockera
- Utgående anslutningar: Tillåt (standard, styrs av regler nedan)
Under Inställningar konfigurerar du brandväggsregler . Använd brandväggsregler för att definiera den trafik som krävs för privilegierad administration.
Skapa regler som tillåter utgående trafik för nödvändiga tjänster, till exempel:
- DNS
- DHCP
- NTP
- Krävs Microsoft molnhanteringsslutpunkter som Intune och Microsoft Entra ID.
- Nödvändiga administrativa slutpunkter.
Varje regel bör:
- Ange riktning: Utgående.
- Ange åtgärd: Tillåt
- Definiera målslutpunkter (IP-intervall, FQDN eller tjänsttaggar där det stöds)
Se till att inga allmänna tillåtna regler, till exempel obegränsad HTTP/HTTPS, har konfigurerats.
Tilldela principen till Secure Workstation Devices (PAWs).
Välj Skapa för att distribuera policyn.
Detta slutför det privilegierade åtkomsttillämpningsskiktet. Nästa artikel kan bygga vidare på detta för att täcka kriterier för mätning, övervakning och framgång.
Nästa steg
Med det privilegierade åtkomsttillämpningsskiktet på plats är det sista steget att konfigurera övervakning.