閱讀英文

共用方式為


基本八限制系統管理許可權

本文詳述如何使用 #DE5C3029A3697491682D0C2F534D28F49 來達成澳大利亞網路安全中心 (ACSC) Essential Eight Maturity Model 來限制系統管理許可權的方法。 您可以在 ACSC Essential Eight Maturity Model 中找到限制系統管理許可權的 ACSC 成熟度模型指導方針。

為何要遵循 ACSC Essential Eight 限制系統管理許可權指導方針?

澳大利亞網路安全中心 (ACSC) 會領導澳大利亞政府改善網路安全性的工作。 ACSC 建議所有澳大利亞組織從 ACSC 的緩和網路安全性事件策略中實作 Essential Eight 風險降低策略作為基準。 「基本八」基準是基礎網路安全性措施,可讓敵人更難入侵系統。 基本八個成熟度層級可讓組織評估其網路安全性措施的適當性,以防範現今互連ICT環境中的常見威脅。

惡意執行者的目標是取得特殊許可權認證的存取權,特別是具有企業控制平面存取權的認證。 控制平面存取可讓您廣泛存取及控制企業ICT環境中的高價值資產。 控制平面存取的範例包括全域管理員和 Microsoft Entra ID 內的對等許可權,以及企業虛擬化基礎結構的特殊許可權存取。

使用多層式方法限制特殊許可權存取,會增加敵人進行惡意活動的困難。 限制系統管理許可權是 ACSC 降低 網路安全性事件策略中包含的高效率控制措施。

下表概述與限制系統管理許可權相關的 ISM 控制件。

ISM 控件 2024 年 9 月 成熟度層級 控制項 測量
ISM-0445 1, 2, 3 特殊許可權用戶會獲指派專用的特殊許可權用戶帳戶,僅用於需要特殊許可權存取權的職責。 系統管理員應該針對特殊許可權工作和生產力工作使用不同的帳戶。 在 Microsoft Entra ID、Azure 和 Microsoft 365 中具有高階許可權的帳戶應該是僅限雲端的帳戶,而不是從 內部部署的 Active Directory 網域同步處理的帳戶。
ISM-1175 1, 2, 3 (排除明確授權存取 線上服務) 的用戶帳戶,將無法存取因特網、電子郵件和 Web 服務。 從特殊許可權帳戶移除Microsoft 365 個授權,以封鎖使用生產力工具,例如 Office 365 電子郵件。 特殊許可權帳戶應該從特殊許可權存取裝置存取雲端管理入口網站。 您可以使用主機型防火牆、雲端 Proxy,或在裝置上設定 Proxy 設定,來控制來自特殊許可權存取裝置的因特網和電子郵件。
ISM-1507 1, 2, 3 系統、應用程式和數據存放庫的特殊許可權存取要求會在第一次要求時進行驗證。 已備妥特殊許可權存取的權利管理程式。 Microsoft Entra 權利管理可用來自動化權利管理程式。
ISM-1508 3 系統、應用程式和數據存放庫的特殊許可權僅限用戶和服務履行其職責所需的許可權。 角色型訪問控制已設定為限制授權使用者的存取權。 Microsoft Entra Privileged Identity Management (PIM) 可確保 Just-In-Time 存取,這是時間系結。
ISM-1509 2, 3 系統會集中記錄特殊許可權存取事件。 Microsoft Entra 稽核記錄和登入記錄會傳送至 Azure Log Analytics 工作區 (LAW) 進行分析。
ISM-1647 2, 3 除非重新驗證,否則系統、應用程式和數據存放庫的特殊許可權存取會在 12 個月後停用。 已備妥特殊許可權存取的權利管理程式。 Microsoft Entra 權利管理可用來自動化權利管理程式。
ISM-1648 2, 3 系統和應用程式的特殊許可權存取會在閑置 45 天后停用。 使用 Microsoft 圖形 API 來評估 lastSignInDateTime 並識別非作用中的特殊許可權帳戶。
ISM-1650 2, 3 系統會集中記錄具特殊許可權的用戶帳戶和安全組管理事件。 Microsoft Entra 稽核記錄和登入記錄會傳送至 Azure Log Analytics 工作區 (LAW) 進行分析。
ISM-1380 1, 2, 3 具特殊許可權的使用者會使用個別的特殊許可權和無特殊許可權的作業環境。 使用不同的實體工作站是分隔系統管理員特殊許可權和無特殊許可權操作環境的最安全方法。 無法使用個別實體工作站來分隔特殊許可權和無特殊許可權作業環境的組織,應該採用風險型方法,並根據深層防禦安全性策略來實作替代控制。
ISM-1688 1, 2, 3 沒有特殊許可權的用戶帳戶無法登入具特殊許可權的作業環境。 登入限制和角色型訪問控制可用來防止沒有特殊許可權的用戶帳戶登入具特殊許可權的作業環境。
ISM-1689 1, 2, 3 不包括本機系統管理員帳戶 (特殊許可權用戶帳戶) 無法登入未具特殊許可權的作業環境。 登入限制和角色型訪問控制可用來防止具有特殊許可權的用戶帳戶登入無特殊許可權的作業環境。
ISM-1883 1, 2, 3 明確授權存取權的具特殊許可權用戶帳戶 線上服務 嚴格限於使用者和服務履行其職責所需的帳戶。 角色型訪問控制已設定為限制授權使用者的存取權。 Microsoft Entra Privileged Identity Management (PIM) 可確保 Just-In-Time 存取,這是時間系結。
ISM-1898 2, 3 安全 管理員 工作站用於系統管理活動的效能。 特殊許可權存取工作站裝置是使用 Microsoft Intune 來管理,並使用適用於端點的 Defender、Windows Hello 企業版 和 Microsoft Entra ID 控件的組合來保護。

限制系統管理許可權:基本八項需求

特殊許可權存取可讓系統管理員變更重要應用程式和基礎結構的設定,例如身分識別服務、商務系統、網路裝置、使用者工作站和用戶帳戶。 特殊許可權存取或認證通常稱為「英國密鑰」,因為它們可讓持有人控制網路中許多不同的資產。

若要達到限制系統管理許可權的基本八個成熟度等級 3,需要下列控 件類別

  • 身分識別控管:身分識別控管是驗證使用者存取需求和移除不再需要之存取權的程式。
  • 最低權限:最低許可權是一種訪問控制方法,可將系統、應用程式和數據存放庫的存取限制為只有使用者和服務履行其職責所需的許可權。
  • 帳戶限制:帳戶限制可減少特殊許可權認證暴露於無特殊許可權環境的風險。
  • 系統管理裝置:系統管理裝置是用於執行系統管理活動的安全作業環境。
  • 記錄和監視:記錄和監視特殊許可權活動可偵測入侵徵兆。

身分識別控管

身分識別治理可協助組織在生產力與安全性之間取得平衡。 身分識別生命週期管理是身分識別治理的基礎,而大規模的有效治理需要新式身分識別生命週期管理基礎結構。

權利管理 (ML1)

基本八成熟度層級 1 要求系統、應用程式和數據存放庫的特殊許可權存取要求在第一次要求時進行驗證。 驗證特殊許可權存取要求是權利管理程式的一部分。 權利管理是管理使用者存取權的程式,以確保只有授權的使用者可以存取一組資源。 權利管理程式內的主要步驟包括存取要求、存取權檢閱、存取布建和存取到期。

Microsoft Entra 權利管理會將管理 Azure 內資源存取權的程式自動化。 使用者可以使用存取套件來委派存取權,也就是資源組合。 Microsoft Entra 權利管理中的存取套件可以包含安全組、Microsoft 365 群組和 Teams、Microsoft Entra 企業應用程式和 SharePoint Online 網站。 存取套件包含一或多個原則。 原則會定義指派以存取套件的規則或護欄。 原則可用來確保只有適當的使用者可以要求存取權、已指派存取要求的核准者,以及資源的存取權會受到時間限制,如果未更新,則會過期。

描述 Microsoft Entra 權利管理生命週期的圖例。

如需權利管理的詳細資訊,請參閱 Microsoft Entra 權利管理]

管理 ML2 (非作用中的使用者)

基本八成熟度層級 2 要求系統和應用程式的特殊許可權存取會在閑置 45 天后自動停用。 非使用中的帳戶是組織不再需要的用戶或系統帳戶。 非使用中的帳戶通常可以透過登入記錄來識別,表示它們長時間未用來登入。 您可以使用最後一個登入時間戳來偵測非作用中的帳戶。

最後一次登入可讓您深入瞭解用戶持續需要存取資源。 它可協助判斷是否仍需要群組成員資格或應用程式存取權,或是可以移除。 針對來賓使用者管理,您可以了解來賓帳戶是否仍在租用戶內作用中,或應該清除。

您可以藉由評估由Microsoft 圖形 API 的 signInActivity 資源類型所公開的 lastSignInDateTime 屬性,來偵測非作用中的帳戶。 lastSignInDateTime 屬性會顯示使用者上次成功進行互動式登入以 Microsoft Entra ID。 使用此屬性,您可以針對下列案例實作解決方案:

如需管理非使用中使用者的詳細資訊,請 參閱管理非使用中的用戶帳戶

最低許可權

最低許可權要求系統和應用程式的存取權僅限於用戶和系統履行其職責所需的許可權。 您可以使用角色型訪問控制 (RBAC) 、特殊許可權存取管理和 Just-In-Time (JIT) 存取等控件來實作最低許可權。

ML1) (系統管理員的個別帳戶

基本八成熟度層級 1 要求將特殊許可權使用者指派專用的特殊許可權用戶帳戶,只用於需要特殊許可權存取的責任。 在 Microsoft Entra ID、Azure 和 Microsoft 365 中具有高階許可權的帳戶應該是僅限雲端的帳戶,而不是從 內部部署的 Active Directory 網域同步處理的帳戶。 系統管理帳戶應該封鎖使用生產力工具,例如 Office 365 電子郵件 (移除授權) 。

如需管理系統管理存取權的詳細資訊,請參閱 保護混合式和雲端部署的特殊許可權存取

(ML1) 強制執行系統管理員的條件式存取

基本八成熟度層級 1 要求特殊許可權使用者使用個別的特殊許可權和無特殊許可權的作業環境。 對 Azure 和 Microsoft 365 環境的特殊許可權存取需要比套用至一般使用者的標準更高的安全性標準。 應根據訊號和安全性屬性的組合來授與特殊許可權存取權,以支援 零信任 策略。 對具有 Azure 或 Microsoft 365 特殊許可權存取權的帳戶遭到入侵,可能會對商務程式造成重大中斷。 條件式存取可以在允許存取 Azure 管理工具之前強制執行特定的安全性檢查標準,以降低危害的風險。

建議您針對 Azure 入口網站 和命令行管理工具的系統管理存取,實作下列控件:

  • 需要多重要素驗證 (MFA)
  • 從 Identity Protection 中封鎖具有高登入風險層級的存取嘗試Microsoft
  • 從 Microsoft Identity Protection 封鎖具有高用戶風險層級的存取嘗試
  • 需要從已加入 Microsoft Entra 裝置存取,這符合 Intune 裝置健康情況、更新狀態和系統安全性狀態的合規性需求

如需強制執行系統管理員條件式存取的詳細資訊,請參閱下列文章:

(ML2) 管理本機系統管理員帳戶

基本八成熟度層級 2 需要急用帳戶、本機系統管理員帳戶和服務帳戶的認證必須是長、唯一、無法預測及受控。 攻擊者通常會使用 Windows 工作站上的作用中本機系統管理員帳戶來橫向周遊 Windows 環境。 基於這個理由,針對已加入網域之系統上的本機系統管理員帳戶,建議使用下列控件:

已加入 Active Directory 的系統

Microsoft的本機系統管理員密碼解決方案 (LAPS) 提供一個解決方案,以解決在每部計算機上使用具有相同密碼的通用本機帳戶的問題。 LAPS 藉由為網域中每部計算機上的本機系統管理員帳戶設定不同的旋轉隨機密碼,來解決此問題。 密碼會儲存在 Active Directory 中,並受到限制性 存取控制 清單 保護。 只有合格的使用者才能擷取或重設本機系統管理員密碼。

如需在已加入 Active Directory 的系統上管理本機系統管理員帳戶的詳細資訊,請參閱下列文章:

Microsoft Entra 聯結的系統

當您使用 Microsoft Entra 加入將 Windows 裝置加入 Microsoft Entra ID 時,Microsoft Entra ID 會將下列安全策略新增至裝置上的本機 Administrators 群組:

  • Microsoft Entra 全域管理員角色
  • 已加入 Azure AD 的裝置本機系統管理員角色
  • 執行 Microsoft Entra 加入的使用者

您可以自定義本機 Administrators 群組的成員資格,以滿足您的商務需求。 建議您限制本機系統管理員對工作站的存取權,並要求 PIM 核准才能使用已加入 Azure AD 的裝置本機系統管理員角色。

重要

Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。

在 Azure 入口網站 中,您可以從 [裝置設定] 管理裝置系統管理員角色。

  1. 以全域管理員身分登入 Azure 入口網站。
  2. 流覽至 [Microsoft Entra ID > 裝置>設定]
  3. 取 [管理所有已加入 Microsoft Entra 裝置上的其他本機系統管理員] 。
  4. 選取 [新增指派] ,然後選擇您想要新增的其他系統管理員,然後選取 [ 新增]

若要修改裝置系統管理員角色,請在所有已加入 Microsoft Entra 裝置上設定其他本機系統管理員

如需在已加入 Microsoft Entra 系統上管理本機系統管理員的詳細資訊,請參閱下列文章:

管理 ML2 (服務帳戶)

開發人員常見的挑戰是管理用來保護服務間通訊的秘密、認證、憑證和密鑰。 基本的八個成熟度層級 2 需要服務帳戶的認證才能完整、唯一、無法預測及受管理。

已加入 Active Directory 的系統

gMSA (群組受控服務帳戶) 為網域帳戶,可協助保護服務。 gMSA 可以在一部伺服器或伺服器數位中執行,例如網路負載平衡後方的系統,或在 IIS) 伺服器 (Internet Information Services。 將服務設定為使用 gMSA 主體之後,帳戶密碼管理會由 Windows 作業系統 (OS) 來處理。

gMSA 是具有更高安全性的身分識別解決方案,可協助降低系統管理額外負荷:

  • 設定強密碼:240 個字節、隨機產生的密碼:gMSA 密碼的複雜性和長度可將暴力密碼破解或字典攻擊入侵的可能性降到最低。
  • 定期循環密碼:密碼管理會移至 Windows OS,這會每隔 30 天變更密碼一次。 服務和網域系統管理員不需要排程密碼變更,或管理服務中斷。
  • 支援伺服器陣列的部署:將 gMSA 部署到多部伺服器,以支援多個主機執行相同服務的負載平衡解決方案。
  • 支援簡化的服務主體名稱 (SPN) 管理 - 當您建立帳戶時,使用 PowerShell 設定 SPN。

Microsoft Entra 聯結的系統

受控識別會在 Microsoft Entra ID 中提供自動受控識別,讓應用程式在連線到支援 Microsoft Entra 驗證的資源時使用。 應用程式可以使用受控識別來取得 Microsoft Entra 令牌,而不需要管理任何認證。

受控識別有兩種類型:

  • 系統指派。 系統會在資源識別的 Microsoft Entra ID 中自動建立服務主體。 服務主體會系結至該 Azure 資源的生命週期。 刪除 Azure 資源時,Azure 會自動刪除相關聯的服務主體。
  • 使用者指派。 系統會在資源識別的 Microsoft Entra ID 中手動建立服務主體。 服務主體會與使用它的資源分開管理。

ML3 (系統和應用程式的 Just-In-Time 存取)

避免為 Azure 中具有高特殊許可權角色成員的任何帳戶指派永久常設存取權,或Microsoft 365。 攻擊者經常以具有永久許可權的帳戶為目標,以維持企業環境中的持續性,並對系統造成廣泛的損害。 暫時許可權會強制攻擊者等候使用者提高其許可權,或起始許可權提升。 起始許可權提升活動會增加攻擊者被偵測並移除的機會,然後才能夠造成損害。

重要

Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。

使用下列方法,只在必要時授與許可權:

  • Just-In-Time 存取:設定 Microsoft Entra Privileged Identity Management (PIM) ,以要求核准工作流程以取得特殊許可權角色的存取權。 下列特殊許可權 Microsoft Entra 角色至少需要提高許可權:全域管理員、特殊許可權驗證管理員、特殊許可權角色管理員、條件式存取系統管理員和 Intune 管理員。 至少需要提高下列特殊許可權 Azure RBAC 角色的許可權:擁有者和參與者。
  • 急用帳戶:緊急存取帳戶僅限於無法使用一般系統管理帳戶的緊急或「急用」案例。 例如,所有系統管理員都會被鎖定在 Microsoft Entra 租使用者外。 請確定您已設定強密碼,且只在緊急期間使用緊急存取帳戶。 針對緊急存取帳戶使用 *.onmicrosoft.com 網域建立僅限雲端帳戶,並設定監視以在登入時發出警示。

存取權檢閱 (ML3)

基本八成熟度層級 3 要求系統和應用程式的特殊許可權存取僅限於使用者和服務履行其職責所需的許可權。 對 Azure 資源和 Microsoft Entra 角色的特殊許可權存取需求會隨著時間而變更。 若要降低與過時角色指派相關聯的風險,您應該定期檢閱存取權。 Microsoft Entra 存取權檢閱可讓組織有效率地管理 RBAC 群組成員資格、存取企業應用程式,以及 Microsoft Entra 角色指派。 您可以定期檢閱使用者存取權,以確保只有適當的人員可以繼續存取。

Microsoft Entra 存取權檢閱會啟用使用案例,例如:

  • 識別過多的訪問許可權
  • 識別群組用於新用途的時機
  • 當人員移動團隊或離開公司時,移除不必要的存取權
  • 啟用與資源擁有者的主動參與,以確保他們定期檢閱誰可以存取其資源。

視需要檢閱的存取類型而定,必須在 Azure 入口網站 的不同區域中建立存取權檢閱。 下表顯示建立存取權檢閱的特定工具:

用戶的訪問許可權 檢閱者可以是 在中建立的檢閱 檢閱者體驗
安全組成員
Office 群組成員
指定的檢閱者
群組擁有者
自我檢閱
存取權檢閱
Microsoft Entra 群組
存取面板
指派給已連線的應用程式 指定的檢閱者
自我檢閱
存取權檢閱
Microsoft Entra 預覽版中 (Enterprise Apps)
存取面板
Microsoft Entra 角色 指定的檢閱者
自我檢閱
Privileged Identity Management (PIM) Azure 入口網站
Azure 資源角色 指定的檢閱者
自我檢閱
Privileged Identity Management (PIM) Azure 入口網站
存取套件指派 指定的檢閱者
群組成員
自我檢閱
權利管理 存取面板

如需 Microsoft Entra 存取權檢閱的詳細資訊,請參閱下列文章:

帳戶限制

帳戶安全性是保護特殊許可權存取的重要元件。 端對端 零信任 安全性需要建立在會話中使用的帳戶實際上是由人類擁有者控制,而不是攻擊者模擬他們。

ML1 (登入限制)

在 Windows Active Directory (AD) 網域中具有系統管理許可權的使用者、服務或應用程式帳戶,會對企業安全性造成高風險。 攻擊者通常會將這些帳戶設為目標,因為它們提供伺服器、資料庫和應用程式的廣泛存取權。 當系統管理員登入安全性配置檔較低的系統時,特殊許可權認證會儲存在記憶體中,並可使用認證竊取工具來擷取 (例如Mimikatz) 。

基本八成熟度層級 1 要求特殊許可權用戶帳戶 (排除本機系統管理員帳戶) 無法登入未授權的作業環境。 Microsoft階層式管理模型會將登入限制套用至已加入網域的裝置,以避免在安全性配置檔較低的裝置上公開特殊許可權認證。 具有 Active Directory 網域系統管理員存取權的系統管理員,會與具有工作站和企業應用程式控制權的系統管理員分開。 應強制執行登入限制,以確保高度特殊許可權的帳戶無法登入較不安全的資源。 例如:

  • Active Directory Enterprise 和 Domain Admins 群組的成員無法登入商務應用程式伺服器和使用者工作站。
  • Microsoft Entra 全域管理員角色的成員無法登入 Microsoft Entra 加入的工作站。

您可以使用 群組原則 用戶權力指派或 Microsoft Intune 原則來強制執行登入限制。 建議您在企業伺服器和使用者工作站上設定下列原則,以防止特殊許可權帳戶將認證公開給較不受信任的系統:

  • 拒絕從網路存取這部計算機
  • 拒絕以批作業登入
  • 拒絕以服務方式登入
  • 拒絕在本機登入
  • 拒絕透過終端機服務登入

限制存取因特網、電子郵件和 Web 服務 (ML1)

基本八成熟度層級 1 要求特殊許可權帳戶 (排除明確授權存取 線上服務) 的帳戶,才能防止存取因特網、電子郵件和 Web 服務。 系統管理帳戶應該封鎖使用生產力工具,例如 Office 365 電子郵件 (移除授權) 。 系統管理帳戶應該從特殊許可權存取裝置存取雲端管理入口網站。 特殊許可權存取裝置應該拒絕所有網站,並使用允許清單來啟用雲端管理入口網站的存取權。 您可以使用主機型防火牆、雲端 Proxy,或在裝置上設定 Proxy 設定,來控制來自特殊許可權存取裝置的因特網和電子郵件。

Microsoft Entra 聯結的裝置

建立 Microsoft Intune 組態配置檔,以在用於特殊許可權管理的裝置上設定網路 Proxy。 用來管理 Azure 和 Microsoft 365 雲端服務的特殊許可權存取裝置應該使用下表中的 Proxy 豁免。

區段 名稱 Config
基本功能 名稱 PAW-Intune-Configuration-Proxy-Device-Restrictions
基本功能 平台 Windows 10 和更新版本
基本功能 設定檔類型 裝置限制
組態 使用手動 Proxy 伺服器 允許
組態 地址 127.0.0.2
組態 連接埠 8080
組態 Proxy 例外狀況 account.live.com;*.msft.net;*.msauth.net;*.msauthimages.net;*.msftauthimages.net;*.msftauth.net;*.azure.com;*.azure.net;*.azureedge.net;*.azurewebsites.net;*.microsoft.com;microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.microsoftonline-p.net;*.microsoftonline-p.com;*.windows.net;*.windows.com;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.azure-api.net;*.azure-devices.net;*.visualstudio.com;portal.office.com;config.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com;*.aka.ms;*.digicert.com;*.phonefactor.net;*.nuget.org;*.cloudapp.net;*.trafficmanager.net;login.live.com;clientconfig.passport.net;*.wns.windows.com;*.s-microsoft.com;www.msftconnecttest.com;graph.windows.net;*.manage.microsoft.com;*.aadcdn.microsoftonline-p.com;*.azureafd.net;*.azuredatalakestore.net;*.windows-int.net;*.msocdn.com;*.msecnd.net;*.onestore.ms;*.aspnetcdn.com;*.office.net;*.officeapps.live.com;aka.ms;*.powershellgallery.com;*.azure-apim.net;spoprod-a.akamaihd.net;*.hip.live.com

系統管理裝置

系統管理員應該使用不同的裝置來管理特殊許可權和無特殊許可權的操作環境。 系統管理活動應該遵循管理程式所涉及之所有裝置的乾淨來源原則。

將特殊許可權和無特殊許可權的作業環境 (ML1)

基本八成熟度層級 1 要求特殊許可權使用者使用個別的特殊許可權和無特殊許可權的作業環境。 使用不同的實體工作站是分隔系統管理員特殊許可權和無特殊許可權操作環境的最安全方法。 雖然安全性保證可能會在會話中增強,但一律會受限於原始裝置中保證的強度。 控制特殊許可權存取裝置的攻擊者可以模擬使用者,或竊取使用者認證以供日後模擬。 此風險會破壞帳戶、跳板伺服器等媒介,以及資源本身的其他保證。

無法使用個別實體工作站來分隔特殊許可權和無特殊許可權作業環境的組織,應該採取以風險為基礎的方法,並根據深入的安全性策略來實作替代控制。 Microsoft建議將使用者角色和資產對應至敏感度層級,以評估保護特殊許可權作業環境所需的保證層級。

如需特殊許可權存取敏感性層級的詳細資訊,請參閱 特殊許可權存取安全性層級

安全 管理員 工作站 (ML3)

基本八成熟度層級 3 要求使用安全 管理員 工作站來執行系統管理活動。 安全 管理員 工作站 (SAW) 是有效控制在較不安全的裝置上公開敏感性認證。 使用特殊許可權帳戶登入或在較不安全的裝置上執行服務,會增加認證竊取和許可權提升攻擊的風險。 特殊許可權認證只能公開至 SAW 鍵盤,且應該拒絕登入較不安全的裝置。 SAW 提供安全的平臺來管理內部部署、Azure、Microsoft 365 和第三方雲端服務。 SAW 裝置是使用 Microsoft Intune 來管理,並使用適用於端點的Defender、Windows Hello 企業版和 Microsoft Entra ID控件的組合來保護。

下圖說明高階架構,包括應設定來實作整體解決方案和 SAW 架構的各種技術元件:

描述Microsoft安全 管理員 工作站解決方案的圖例。

如需安全 管理員 工作站的詳細資訊,請參閱下列文章:

(ML2) 保護媒介和跳板伺服器

中繼服務的安全性是保護特殊許可權存取的重要元件。 媒介可用來加速系統管理員的會話或遠端系統或應用程式的連線。 媒介範例包括虛擬專用網 (VPN) 、跳板伺服器、虛擬桌面基礎結構 (包括 Windows 365 和 Azure 虛擬桌面) ,以及透過存取 Proxy 發佈的應用程式。 攻擊者通常會以媒介為目標,使用儲存在其中的認證提升許可權、取得公司網路的網路遠端訪問許可權,或利用特殊許可權存取裝置的信任。

不同的中繼類型會執行唯一的功能,因此每個類型都需要不同的安全性方法。 攻擊者可以輕鬆地以具有較大攻擊面的系統為目標。 下列清單包含特殊許可權存取媒介可用的選項:

  • 像是 Microsoft Entra Privileged Identity Management (PIM) 、Azure Bastion 和 Microsoft Entra 應用程式 Proxy 等原生雲端服務,會為攻擊者提供有限的攻擊面。 當客戶向公用因特網公開時, (和攻擊者) 無法存取基礎結構。 SaaS 和 PaaS 服務的基礎結構是由雲端提供者維護和監視。 這個較小的受攻擊面會限制攻擊者的可用選項,以及必須由IT人員設定、修補及監視的傳統內部部署應用程式和設備。
  • 虛擬專用網 (VPN) 、遠端桌面和跳躍伺服器提供重大攻擊者機會,因為這些服務需要進行持續修補、強化和維護,以維持復原的安全性狀態。 雖然跳板伺服器可能只會公開幾個網路埠,但攻擊者只需要存取一個未修補的服務即可執行攻擊。
  • 第三方 Privileged Identity Management (PIM) 和特殊許可權存取管理 (PAM) 服務經常裝載於內部部署,或作為基礎結構即服務上的 VM (IaaS) ,通常僅供內部網路主機使用。 雖然不會直接公開因特網,但單一遭入侵的認證可能會允許攻擊者透過 VPN 或其他遠端訪問媒體存取服務。

如需特殊許可權存取媒介的詳細資訊,請參閱 安全媒介

Intune 端點許可權管理

透過 Microsoft Intune 端點許可權管理 (EPM) 貴組織的使用者可以執行為標準使用者 (,而不需要系統管理員許可權) 並完成需要提高許可權的工作。 EPM 可協助標準使用者執行需要系統管理許可權的工作,例如應用程式安裝、更新設備驅動器,以及舊版應用程式的系統管理元件。

EPM 可控制特定使用者的指定進程和二進位檔的系統管理員提升,而不會為整個裝置提供不受限制的系統管理員許可權。 端點許可權管理支援 Essential 8 合規性,方法是協助您的組織以最低許可權達成廣泛執行的使用者基底,同時允許使用者仍執行貴組織允許的工作保持生產力。

如需 EPM 的詳細資訊,請參閱 EPM 概觀

若要啟用 EPM,請參閱使用 Microsoft Intune 設定原則來管理端點許可權管理

針對 Essential Eight 合規性,應該設定兩個結合在一起的原則類型,如下所示:

如需原則的詳細資訊,請參閱 :EPM Windows 提高許可權設定原則設定EPM Windows 提高許可權規則原則

  • 針對 [預設提高許可權] 回應,保留 [ 拒絕所有要求 ] 設定,只允許系統管理員明確允許的進程和檔案提高許可權。 

  • 針對 [驗證] 選項,請確定已選擇 [業務理由] 和 [Windows 驗證],因為這會分別滿足 ISM-1508 和 ISM-1507。

  • 針對 [傳送提升許可權數據以進行報告],針對 [傳送提升許可權數據] 選擇 [是] 以進行報告 此函式可用來測量 EPM 用戶端元件的健康情況。 使用量數據可用來根據您的 報告範圍 來顯示組織中的提升許可權,並協助 ISM-1509 控制。

  • 針對 [報告範圍],保留 [診斷數據] 的 默認 設定 ,並選取所有端點提高權 限。 此選項會將診斷數據傳送至Microsoft用戶端元件的健康情況,以及有關端點上所有提高許可權的數據,並協助 ISM-1509 控制。

  • 若為 提高許可權類型,大部分 (如果不是,則所有) 都已 確認使用者 ,因為這可確保使用者保持決策制定程式的代理程式。

ISM 控件 2024 年 9 月 成熟度層級 控制項 測量
ISM-1507 1, 2, 3 系統、應用程式和數據存放庫的特殊許可權存取要求會在第一次要求時進行驗證。 已備妥權利管理程式,讓特殊許可權存取能夠提高使用 EPM 之應用程式的存取權。
ISM-1508 3 系統、應用程式和數據存放庫的特殊許可權僅限用戶和服務履行其職責所需的許可權。 默認原則是拒絕 EPM 原則中尚未定義的所有要求。 當原則由系統管理員定義時,EPM 中的提高許可權選項會系結至原則和執行職責所需的服務。
ISM-1509 2, 3 系統會集中記錄特殊許可權存取事件。 藉由確保使用診斷數據維護預設設定,並針對 EPM 原則啟用 所有端點提高 許可權,即可記錄存取和事件。

注意

這項功能可做為 Intune 附加元件。 如需詳細資訊,請參閱使用 Intune 套件附加元件功能。

記錄和監視

記錄 ML2) (特殊許可權存取事件

記錄特殊許可權帳戶所執行的登入和活動,對於偵測企業環境中的異常行為至關重要。 Microsoft Entra 稽核記錄和登入記錄可提供對應用程式和服務的特殊許可權存取的寶貴見解。

Microsoft Entra 登入記錄可讓您深入瞭解登入模式、登入頻率和登入活動的狀態。 登入活動報告適用於所有版本的 Microsoft Entra ID。 具有 Microsoft Entra ID P1 或 P2 授權的組織可以透過Microsoft 圖形 API 存取登入活動報告。

Microsoft Entra 活動記錄包含 Microsoft Entra ID 中每個已記錄事件的稽核記錄。 應用程式、群組、用戶和授權的變更全都會擷取到 Microsoft Entra 稽核記錄中。 根據預設,Microsoft Entra ID 保留登入和稽核記錄最多七天。 如果租使用者中有 Microsoft Entra ID P1 或 P2 授權,Microsoft Entra ID 保留記錄最多 30 天。 Microsoft Entra 稽核記錄和登入記錄應轉送至 Azure Log Analytics 工作區 (LAW) ,以進行集中式收集和相互關聯。

如需集中式記錄的詳細資訊,請參閱下列文章:

監視事件記錄檔,以取得ML3 (入侵)

基本八成熟度層級 3 要求事件記錄檔會受到監視,以取得入侵徵兆,並在偵測到任何入侵徵兆時採取動作。 監視特殊許可權活動對於及早偵測系統入侵並包含惡意活動範圍非常重要。

監視特殊許可權存取事件

使用 Microsoft Entra 登入記錄作為數據源,監視所有特殊許可權的帳戶登入活動。 監視下列事件:

要監視的內容 風險層級 其中 附註
登入失敗,密碼閾值錯誤 Microsoft Entra 登入記錄 定義基準閾值,然後監視並調整以符合組織行為,並限制產生誤判警示。
因為條件式存取需求而失敗 Microsoft Entra 登入記錄 此事件可能表示攻擊者嘗試進入帳戶。
未遵循命名原則的特殊許可權帳戶 Azure 訂用帳戶 列出訂用帳戶的角色指派,並在登入名稱不符合貴組織的格式時發出警示。 例如,使用ADM_做為前置詞。
中斷 高、中 Microsoft Entra 登入 此事件可能表示攻擊者擁有帳戶的密碼,但無法通過多重要素驗證挑戰。
未遵循命名原則的特殊許可權帳戶 Microsoft Entra 目錄 列出 Microsoft Entra 角色的角色指派,以及 UPN 不符合貴組織格式的警示。 例如,使用ADM_做為前置詞。
探索未註冊多重要素驗證的特殊許可權帳戶 Microsoft Graph API 稽核和調查以判斷事件是刻意還是監督。
帳戶鎖定 Microsoft Entra 登入記錄 定義基準閾值,然後監視並調整以符合組織行為,並限制產生誤判警示。
已停用或封鎖帳戶進行登入 Microsoft Entra 登入記錄 此事件可能表示某人在離開組織之後,嘗試取得帳戶的存取權。 雖然帳戶已遭到封鎖,但請務必記錄此活動併發出警示。
MFA 詐騙警示或封鎖 Microsoft Entra 登入記錄/Azure Log Analytics 具特殊許可權的使用者指出他們尚未安裝多重要素驗證提示,這可能表示攻擊者具有帳戶的密碼。
MFA 詐騙警示或封鎖 Microsoft Entra 稽核記錄/Azure Log Analytics 具特殊許可權的使用者指出他們尚未安裝多重要素驗證提示,這可能表示攻擊者具有帳戶的密碼。
預期控件之外的特殊許可權帳戶登入 Microsoft Entra 登入記錄 監視您已定義為未核准的任何專案併發出警示。
在正常登入時間之外 Microsoft Entra 登入記錄 如果登入發生在預期時間之外,請監視併發出警示。 請務必尋找每個特殊許可權帳戶的正常運作模式,並在正常工作時間以外有未規劃的變更時發出警示。 正常工作時間以外的登入可能表示入侵或可能的內部威脅。
身分識別保護風險 Identity Protection 記錄 此事件表示已偵測到帳戶登入時發生異常,且應發出警示。
密碼變更 Microsoft Entra 稽核記錄 針對任何系統管理員帳戶密碼變更發出警示,特別是針對全域系統管理員、用戶系統管理員、訂用帳戶管理員和緊急存取帳戶。 撰寫以所有特殊許可權帳戶為目標的查詢。
變更舊版驗證通訊協定 Microsoft Entra 登入記錄 許多攻擊都會使用舊版驗證,因此如果使用者的驗證通訊協定有所變更,則可能是攻擊的徵兆。
新裝置或位置 Microsoft Entra 登入記錄 大部分的系統管理員活動應來自特殊許可權存取裝置,且位置數目有限。 基於這個理由,請在新裝置或位置上發出警示。
稽核警示設定已變更 Microsoft Entra 稽核記錄 核心警示的變更應該在非預期時發出警示。
系統管理員向其他 Microsoft Entra 租用戶進行驗證 Microsoft Entra 登入記錄 當範圍設為特殊許可權使用者時,此監視器會偵測系統管理員何時已成功向另一個 Microsoft Entra 租用戶驗證,且該租使用者具有您組織租使用者中的身分識別。 如果資源租用戶標識碼不等於主租用戶標識碼,則發出警示
管理員 用戶狀態從來賓變更為成員 Microsoft Entra 稽核記錄 監視使用者類型從來賓變更為成員時發出警示。 這是預期的變更嗎?
未經核准邀請者邀請來租用戶的來賓使用者 Microsoft Entra 稽核記錄 監視並警示邀請來賓使用者的未核准動作專案。

監視特殊許可權帳戶管理事件

調查特殊許可權帳戶驗證規則和許可權的變更,特別是當變更提供更大的許可權或能夠在 Microsoft Entra ID 中執行工作時。

要監視的內容 風險層級 其中 附註
建立特殊許可權帳戶 Microsoft Entra 稽核記錄 監視任何特殊許可權帳戶的建立。 尋找建立和刪除帳戶之間簡短時間範圍的相互關聯。
驗證方法的變更 Microsoft Entra 稽核記錄 這項變更可能表示攻擊者將驗證方法新增至帳戶,讓他們可以繼續存取。
特殊許可權帳戶許可權變更的警示 Microsoft Entra 稽核記錄 此警示特別適用於指派了未知或不在正常職責之外的角色帳戶。
未使用的特殊許可權帳戶 Microsoft Entra 存取權檢閱 針對非作用中的特殊許可權用戶帳戶執行每月檢閱。
免於條件式存取的帳戶 Azure 監視器記錄或存取權檢閱 任何豁免條件式存取的帳戶最有可能略過安全性控制,而且更容易遭到入侵。 急用帳戶會豁免。 請參閱本文稍後有關如何監視急用帳戶的資訊。
新增特殊許可權帳戶的暫時存取傳遞 Microsoft Entra 稽核記錄 針對特殊許可權的使用者,監視並警示正在建立的暫時存取階段。

如需監視特殊許可權帳戶活動的詳細資訊,請參閱 Microsoft Entra ID 中特殊許可權帳戶的安全性作業

保護事件記錄檔免於未經授權的修改和刪除 (ML3)

基本八成熟度層級 3 要求事件記錄檔受到保護,以避免未經授權的修改和刪除。 保護事件記錄檔免於未經授權的修改和刪除,可確保在組織發生安全性事件時,記錄可以作為可靠的辨識項來源。 在 Azure 中,來自應用程式和服務特殊許可權存取的事件記錄應該集中儲存在 Log Analytics 工作區中。

Azure 監視器是僅附加的數據平臺,但包含基於合規性目的刪除數據的布建。 從特殊許可權活動收集記錄的Log Analytics工作區應該使用角色型訪問控制來保護,並監視修改和刪除活動。

其次,在 Log Analytics 工作區上設定鎖定,以封鎖所有可能刪除數據的活動:清除、數據表刪除,以及數據表或工作區層級的數據保留變更。

若要完全防竄改您的事件記錄檔,請設定將記錄數據自動匯出至不可變的記憶體解決方案,例如適用於 Azure Blob 儲存體 的不可變記憶體。

如需保護事件記錄完整性的詳細資訊,請參閱 Azure 監視器數據安全性