Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Privilegierad åtkomst finns i företagsåtkomstmodellen och ger den enda administrativa sökvägen till kontrollplanet. Den definierar vem som kan konfigurera system, hantera identiteter, framtvinga säkerhet och slutligen forma organisationens teknikmiljö.
I moderna företag har ett relativt litet antal identiteter – administratörer, tjänstkonton och kontrollplansroller makt och åtkomst till de flesta företagstillgångar. Dessa identiteter kan:
- Ändra åtkomstkontroller
- Ändra systemkonfigurationer
- Få åtkomst till känsliga data
- Inaktivera eller kringgå säkerhetsskydd
Angripare känner igen detta. I stället för att attackera varje system individuellt fokuserar de på:
- Stjäla autentiseringsuppgifter.
- Eskalerande behörigheter.
- Att röra sig sidledes mot mer värdeskapande roller.
När privilegierad åtkomst har erhållits kan angriparen agera snabbt och i stor skala.
Därför behandlar moderna säkerhetsmodeller privilegierad åtkomst på olika sätt:
- Den måste kontrolleras uttryckligen. Definiera till exempel privilegierade roller och registrering via identitetsstyrning och privilegierad identitetshantering (PIM), som kräver godkännande och tidsbunden höjning i stället för permanenta rolltilldelningar.
- Den måste isoleras från normal aktivitet. Använd till exempel separata administrativa konton och dedikerade privilegierade åtkomstenheter (PAW) så att privilegierade åtgärder aldrig sker från standardanvändarsessioner eller ohanterade enheter.
- Den måste övervakas kontinuerligt. Du kan till exempel skicka privilegierade inloggningar, rollaktiveringar och principändringar till övervakningsverktyg som Microsoft Sentinel för att identifiera ovanliga användningsmönster och utlösa aviseringar eller automatiserade svar.
- Man måste komma överens om att privilegierad åtkomst är ett primärt mål för kompromisser. Du kan till exempel skydda alla privilegierade konton med stark multifaktorautentisering (MFA), ingen stående åtkomst och kontroller för break-glass-konton, förutsatt att angripare försöker stjäla autentiseringsuppgifter och eskalering av privilegier.
Att skydda privilegierad åtkomst kräver att du ser bortom bara roller och konton för att förstå alla komponenter som har privilegierad åtkomst. Detta omfattar:
- Kontrollplan för identitet
- Privilegierade enheter, appar och gränssnitt.
- Mellanliggande system som VPN-system, PIM- och PAM-system (Privileged Access Management).
Tillsammans definierar dessa hur kontrollen utövas – och hur den måste skyddas.
Följande bild illustrerar den potentiella attackytan för privilegierad åtkomstkompromiss.
Identitetskontrollplan
Identitetskontrollplanet är det lager som definierar och styr vem som kan ha privilegierade roller och hur dessa privilegier tilldelas, förhöjs och återkallas i hela organisationen. I ett sammanhang med privilegierad åtkomst omfattar den privilegierade identiteter, rolltilldelningar och godkända vägar för privilegieeskalering, som utgör grunden för alla andra kontroller.
Genom att skydda identitetskontrollplanet säkerställs att behörigheten är explicit, tidsbunden, starkt autentiserad och granskningsbar, vilket förhindrar obehörig eller okontrollerad åtkomst till de system som i slutändan styr hela miljön.
Följande diagram visar att kontrollplanet hanteras centralt i molntjänsterna (Microsoft Entra ID, Intune, Defender for Endpoint) och endast kan nås via en arbetsstation för privilegierad åtkomst (PAW), vilket säkerställer isolering, kontroll och säker administration av alla privilegierade operationer.
Kontrollplansroller
I Microsoft Entra ID ingår roller och behörigheter som identifieras som privilegierade.
Dessa roller och behörigheter kan användas för att delegera hantering av katalogresurser till andra användare, ändra autentiseringsuppgifter, autentiserings- eller auktoriseringsprinciper eller få åtkomst till begränsade data. Privilegierade rolltilldelningar kan leda till utökade privilegier om de inte används på ett säkert och avsett sätt.
- Granska privilegerade Microsoft Entra roller.
- Läs mer om att visa och använda privilegierade roller.
Arbetsstationer för privilegierad åtkomst
En PAW (Privileged Access Workstation) är en dedikerad, härdad enhet som endast används för att utföra administrativa uppgifter. Den är skild från vanliga användarenheter och är väl skyddad för att minska risken för stöld av autentiseringsuppgifter, skadlig kod eller lateral förflyttning. PAW:er upprätthåller viktiga skydd, såsom:
- Stark autentisering (till exempel Windows Hello for Business)
- Enhetshärdning (Credential Guard, Device Guard, Exploit Guard, AppLocker)
- Begränsad användning (ingen allmän surfning eller produktivitetsaktivitet)
Målet är att säkerställa att privilegierade autentiseringsuppgifter och åtgärder aldrig exponeras för obetrodda miljöer.
Följande diagram visar hur PAW är den enda betrodda åtkomstpunkten till kontrollplanet.
Som du ser i diagrammet flödar alla administrativa åtgärder genom PAW och styrs enligt sammanfattningen i tabellen.
| Kontroll | Genomförande |
|---|---|
| Uttryckligen kontrollerad | Administrativ åtkomst beviljas endast via principbaserade identitetskontroller, vilket kräver stark autentisering och godkänd, tidsbunden höjning. Enhetens tillstånd måste också uppfylla efterlevnadskraven innan åtkomst tillåts. |
| Isolerad från normal aktivitet | Privilegierade åtgärder är begränsade till en dedikerad PAW-enhet med strikt kontrollerad användning och anslutning. PAW används inte för allmän produktivitet, med begränsad internetåtkomst och säker fjärranslutning till känsliga system. |
| Övervakas kontinuerligt | All identitetsaktivitet, enhetstillstånd och slutpunktsbeteende samlas kontinuerligt in och analyseras, vilket möjliggör identifiering av onormal privilegierad aktivitet och snabba svar. |
| Antas vara mål | Miljön är härdad och valideras kontinuerligt, förutsatt att angripare riktar in sig på privilegierad åtkomst. Enheter hålls uppdaterade och säker initiering krävs. |
Nästa steg
Distribuera en arkitektur för privilegierad åtkomst.