特权访问安全级别

  • 项目

本文档介绍了特权访问策略的安全级别。有关如何采用此策略的路线图,请参阅快速现代化计划 (RaMP)。 有关实施指南,请参阅特权访问部署

这些级别主要旨在提供简单而直接的技术指南,使组织能够快速部署这些极为重要的保护。 特权访问策略认识到组织具有独特的需求,但也认识到自定义解决方案会产生复杂性,这会逐渐推高成本以及降低安全性。 为了权衡这一需求,该策略允许组织选择每个角色何时需要满足该级别的要求,从而为每个级别和灵活性提供了可靠的说明性指导。

Defining three security levels

把事情简单化可帮助用户加深了解,降低用户产生混淆和犯错的风险。 虽然底层技术几乎总是很复杂,但重要的是,将事情简单化,而不是生成难以支持的自定义解决方案。 有关详细信息,请参阅安全设计原则

设计侧重于管理员和最终用户需求的解决方案将使这些用户轻松使用。 为安全和 IT 人员设计简单易用的解决方案以进行构建、评估和维护(在可能的情况下使用自动化),这可以减少安全错误并提供更可靠的安全保证。

建议的特权访问安全策略实现了一个简单的三级保证系统,该系统跨越多个领域:帐户、设备、中介和接口,并设计为易于部署。

Increase attacker cost with each level of security investment

每个后续级别都会提高攻击者的成本,同时提供额外的 Defender for Cloud 投资。 这些级别的设计目标是防御者在每项安全投资中获得最大回报(攻击者成本增加)的“最佳地带”。

环境中的每个角色都应该映射到其中一个级别(并且作为安全改进计划的一部分,可以选择逐渐提高级别)。 每个配置文件都明确地定义为技术配置和自动化,尽可能简化部署并加快安全保护。 有关实施细节,请参阅特权访问指南一文。

安全级别

该策略中使用的安全级别包括:

企业

  • 企业安全适用于所有企业用户和生产力场景。 在快速现代化计划的发展过程中,企业还可以作为专用和特权访问的起点,因为他们会在企业安全中逐步打造安全控制措施。

    注意

    较弱的安全配置的确存在,但考虑到攻击者现在能够利用的技能和资源,Microsoft 并不建议企业组织采用。 要了解攻击者可以在在黑市上买到哪些工具以及平均价格,请观看 Azure 安全的十大最佳实践视频

专用

  • 特殊安全性针对能够对业务产生更大影响的角色提供了增强的安全控制(如果被攻击者或恶意内部人员入侵)。

    你的组织应该有特殊和特权帐户的文件化标准(例如,潜在业务影响超过 100 万美元),然后确定所有符合该标准的角色和帐户。 (在整个策略中使用,包括在专门账户中)

    特殊角色通常包括:

    • 业务关键系统的开发人员
    • 敏感业务角色,如 SWIFT 终端的用户、有权访问敏感数据的研究人员、在公开发布之前有权访问财务报告的人员、工资管理员、敏感业务流程的审批者以及其他有重大影响力的角色。
    • 定期处理敏感信息的管理人员和个人助理/行政助理。
    • 可能损害公司声誉的影响力较大的社交媒体帐户
    • 具有重要权限和较大影响力但不是企业范围的敏感 IT 管理员。 此组通常包括身负重任的个人管理员。 (例如,企业资源规划管理员、银行管理员、服务台/技术支持角色等)

    特殊帐户安全还可以作为特权安全的过渡步骤,进一步依赖这些控制措施。 有关建议的进展顺序的详细信息,请参阅特权访问路线图

有特权

  • 特权安全是最高安全级别,专为以下角色设计:在攻击者或恶意内部人员帮助下,可以轻松对组织造成重大事故和潜在实质性伤害。 此级别通常包括在大多数或所有企业系统上具有管理权限的技术角色(有时还包括一些选定的业务关键型角色)

    特权帐户以安全为第一位,其生产力定义为能够轻松、安全地执行敏感的作业任务。 这些角色将无法使用同一帐户或同一设备/工作站同时执行敏感工作和一般生产任务(浏览 Web、安装和使用任何应用程序)。 他们将具有高度受限制的帐户和工作站,强化对其操作的监控,以防范对可能代表攻击者活动的异常活动。

    特权访问安全角色通常包括:

    • Microsoft Entra 全局管理员和相关角色
    • 具有企业目录、标识同步系统、联合解决方案、虚拟目录、特权标识/访问管理系统或类似的管理权限的其他标识管理角色。
    • 在这些本地 Active Directory 组中具有成员资格的角色
      • 企业管理员
      • 域管理员
      • 架构管理员
      • BUILTIN\Administrators
      • Account Operators
      • 备份操作员
      • 打印操作员
      • Server Operators
      • 域控制器
      • 只读域控制器
      • Group Policy Creator Owners
      • Cryptographic Operators
      • Distributed COM Users
      • 敏感的本地 Exchange 组(包括 Exchange Windows 权限和 Exchange 可信子系统)
      • 其他委派的组 - 可能由你的组织创建用来管理目录操作的组。
      • 托管上述功能的底层操作系统或云服务租户的任何本地管理员,包括
        • 本地管理员组的成员。
        • 知晓根或内置管理员密码的人员
        • 在这些系统上安装了代理的任何管理或安全工具的管理员

后续步骤