增强的安全管理环境(ESAE)体系结构(通常称为红林、管理林或强化林)是一种为 Windows Server Active Directory(AD) 管理员标识提供安全环境的传统方法。
Microsoft使用此体系结构模式的建议已被新式 特权访问策略 和 快速现代化计划(RAMP) 指南取代,这是保护特权用户的默认建议方法。 本指南旨在包括调整更广泛的策略,以推动 零信任体系结构。 鉴于这些现代化策略,ESAE 强化的管理林体系结构(本地或基于云的)现在被视为仅适用于例外情况的自定义配置。
继续使用的方案
尽管它不再是推荐的体系结构,但在有限的一组豁免方案中,ESAE(或其中的各个组件)仍有效。 通常,这些本地环境隔离,云服务可能不可用。 此方案可能包括关键基础结构或其他断开连接的作技术(OT)环境。 但是,应注意的是,环境的空隙工业控制系统/监督控制和数据收集(ICS/SCADA)段通常不使用自己的 Active Directory 部署。
如果组织处于其中一种情况,则保持当前部署的 ESAE 体系结构仍然有效。 但是,必须了解,由于维护 ESAE 的技术复杂性和运营成本增加,组织会产生额外的风险。 Microsoft建议任何仍在使用 ESAE 或其他旧标识安全控制的组织应用额外的严格性来监视、识别和缓解任何关联的风险。
注意
尽管Microsoft大多数组织不再建议使用独立的强化林模型,但由于向全球组织提供受信任的云服务的极端安全要求,Microsoft仍会在内部(和相关支持流程和人员)内部运行类似的体系结构(和相关支持流程和人员)。
现有部署指南
对于已部署此体系结构以增强安全性和/或简化多林管理的客户,如果已按设计和预期运行,则无需立即停用或替换 ESAE 实现。 与任何企业系统一样,应通过应用安全更新并确保软件处于 支持生命周期来维护软件。
Microsoft还建议使用 快速现代化计划(RAMP) 指南,使用欧空局/强化林的组织采用现代 特权访问策略。 本指南补充了现有的 ESAE 实现,并为尚未受 ESAE 保护的角色提供适当的安全性,包括Microsoft Entra 管理员、敏感业务用户和标准企业用户。 有关详细信息,请参阅 保护特权访问安全级别的文章。
当 ESAE 最初设计于 10 多年前时,重点在于充当本地标识提供者的 Active Directory(AD)本地环境。 此旧方法基于宏分段技术来实现最低特权,并且无法充分考虑混合或基于云的环境。 此外,ESAE 和强化林实现只侧重于保护本地 Windows Server Active Directory 管理员(标识),并且不考虑现代 Zero-Trust 体系结构的剩余支柱中包含的精细标识控制和其他技术。 Microsoft已将其建议更新为基于云的解决方案,因为它们可以更快地部署,以保护更广泛的管理和业务敏感角色和系统范围。 此外,它们不太复杂、可缩放,而且需要更少的资本投资才能维持。
注意
尽管欧空局完全不再推荐使用,但Microsoft意识到,其中包含的许多单独组件都定义为良好的网络卫生(例如专用特权访问工作站)。 欧空局的弃用并非旨在推动组织放弃良好的网络卫生做法,而只是为了加强更新的体系结构策略来保护特权标识。
ESAE 中适用于大多数组织的良好网络卫生做法示例
- 对所有管理活动使用特权访问工作站 (PAW)
- 强制实施基于令牌或多重身份验证的管理凭据(MFA),即使它在整个环境中未广泛使用
- 通过定期评估组/角色成员身份强制实施最低特权管理模型(由强组织策略强制实施)
保护本地 AD 的最佳做法
如 继续使用方案中所述,在某些情况下,云迁移无法(部分或完全)由于不同情况而无法实现。 对于这些组织,如果他们还没有现有的 ESAE 体系结构,Microsoft建议通过提高 Active Directory 和特权标识的安全性来减少本地 AD 的攻击面。 虽然不是详尽列表,但请考虑以下高优先级建议。
- 使用实现最低特权管理模型的分层方法:
- 强制实施绝对最低特权。
- 发现、审查和审核特权标识(与组织策略密切相关)。
- 过度的特权授予是评估环境中最识别的问题之一。
- 管理帐户的 MFA(即使在整个环境中未广泛使用)。
- 基于时间的特权角色(减少过多的帐户,强化审批流程)。
- 为特权标识启用和配置所有可用的审核(启用/禁用、密码重置、其他修改通知)。
- 使用特权访问工作站(PAW):
- 不要从不太受信任的主机管理 PAW。
- 使用 MFA 访问 PAW。
- 不要忘记物理安全。
- 始终确保 PAW 正在运行最新的和/或当前支持的作系统。
- 了解攻击路径和高风险帐户/应用程序:
- 优先监视构成最大风险的标识和系统(机会/高影响的目标)。
- 消除密码重用,包括跨作系统边界(常见的横向移动技术)。
- 强制实施限制增加风险的活动的策略(从安全工作站进行 Internet 浏览、跨多个系统的本地管理员帐户等)。
- 减少 Active Directory/域控制器上的应用程序(每个添加的应用程序都是额外的攻击面)。
- 消除不必要的应用程序。
- 如果可能,仍需要将应用程序移到其他工作负荷/DC。
- Active Directory 的不可变备份:
- 从勒索软件感染中恢复的关键组件。
- 常规备份计划。
- 存储在基于云的或站点外位置,由灾难恢复计划决定。
-
Active Directory 安全评估:
- 查看结果(自定义 Log Analytics 仪表板)需要 Azure 订阅。
- 按需或Microsoft工程师支持的产品/服务。
- 验证/识别评估中的指导。
- Microsoft建议每年进行评估。
有关这些建议的综合指导,请查看有关保护 Active Directory 的最佳做法。
补充建议
Microsoft认识到,由于不同的约束,某些实体可能无法完全部署基于云的零信任体系结构。 上一部分提到了其中一些约束。 组织可以解决风险,并在环境中维护旧设备或体系结构的同时,实现 Zero-Trust 并取得进展。 除了前面提到的指南之外,以下功能还可能有助于增强环境的安全性,并作为采用 Zero-Trust 体系结构的起点。
Microsoft Defender for Identity (MDI)
Microsoft Defender for Identity(MDI)(正式为 Azure 高级威胁防护或 ATP)支撑Microsoft Zero-Trust 体系结构,并侧重于标识的支柱。 此基于云的解决方案使用来自本地 AD 和 Microsoft Entra ID 的信号来识别、检测和调查涉及标识的威胁。 MDI 监视这些信号,以识别用户和实体的异常和恶意行为。 值得注意的是,MDI 通过突出显示给定帐户(s)在泄露时如何使用给定帐户来可视化对手横向移动路径的能力。 MDI 的行为分析和用户基线功能是确定 AD 环境中异常活动的关键要素。
注意
尽管 MDI 从本地 AD 收集信号,但它确实需要基于云的连接。
Microsoft Defender for Internet of Things (D4IoT)
除了本文档中所述的其他指南之外,在上述其中一种方案中运行的组织还可以部署 Microsoft Defender for IoT (D4IoT)。 此解决方案具有被动网络传感器(虚拟或物理),可实现针对物联网(IoT)和作技术(OT)环境的资产发现、库存管理和基于风险的行为分析。 它可以部署在本地空隙或云连接的环境中,并有能力对超过 100 个 ICS/OT 专有网络协议执行深度数据包检查。
后续步骤
查看以下文章: