Privileged Access Management for Active Directory 網域服務
MIM Privileged Access Management (PAM) 是一項解決方案,可協助組織在現有已隔離的 Active Directory 環境內限制特殊權限存取。
Privileged Access Management 可達成兩個目標:
- 透過維護已知不受惡意攻擊所影響的個別堡壘環境,重新建立對遭入侵 Active Directory 環境的控制。
- 隔離使用特殊權限帳戶,以降低那些認證遭竊的風險。
注意
不建議 MIM PAM 所提供的 PAM 方法用於因特網連線環境中的新部署。 MIM PAM 旨在用於隔離AD環境的自定義架構中,其中因特網存取無法使用、法規需要此設定,或在離線研究實驗室和中斷連線的作業技術或監督控制和數據擷取環境等高影響隔離的環境中使用。 MIM PAM 與 Microsoft Entra Privileged Identity Management (PIM) 不同。 Microsoft Entra PIM 是一項服務,可讓您管理、控制及監視 Microsoft Entra ID、Azure 和其他 Microsoft Online Services 中的資源存取,例如 Microsoft 365 或 Microsoft Intune。 如需內部部署因特網連線環境和混合式環境的指引,請參閱 保護特殊許可權存取 以取得詳細資訊。
MIM PAM 可協助解決哪些問題?
現在,攻擊者太容易取得網域管理員帳戶認證,而且在事實之後很難探索這些攻擊。 PAM 的目標是減少惡意使用者取得存取權的機會,同時提高您對環境的控制和認知。
PAM 讓攻擊者更難以滲入網路及取得特殊權限帳戶的存取權。 PAM 加入對特殊權限群組的保護,可跨許多加入網域的電腦和在這些電腦上的應用程式控制存取。 它還加入了更多監視、更多可見性,和更多更細緻的控制。 這可讓組織查看其特殊權限的系統管理員,以及他們正在做什麼。 對於環境中系統管理帳戶的使用方式,PAM 為組織提供更多見解。
MIM 所提供的 PAM 方法旨在用於隔離環境的自定義架構,其中因特網存取無法使用、法規需要此設定,或在離線研究條件和中斷連線的操作技術或監督控制和數據擷取環境等高影響隔離的環境中使用。 如果您的 Active Directory 是因特網連線環境的一部分,請參閱 保護特殊許可權存取 ,以取得要從何處開始的詳細資訊。
設定 MIM PAM
PAM 以 Just-In-Time 系統管理原則組建,其與 Just Enough Administration (JEA) 相關。 JEA 是一種 Windows PowerShell 工具組,它定義了一組用於執行特殊權限活動的命令。 它是系統管理員可以取得授權來執行命令的端點。 在 JEA 中,系統管理員決定有特定權限的使用者可以執行特定工作。 每次有資格的使用者需要執行該項工作時,他們就啟用該權限。 權限會在指定的時間週期後過期,如此,惡意的使用者就無法取得存取權。
PAM 設定與作業具有四個步驟。
- 準備:找出您現有的樹系中具有顯著權限的群組。 重新建立這些群組,但防禦樹系中沒有成員。
- 保護:當使用者要求 Just-In-Time 系統管理時,請為 設定生命週期和驗證保護。
- 作業:符合驗證需求並核准要求之後,會暫時將使用者帳戶加入防禦樹系中的特殊權限群組。 在預先設定的時間內,系統管理員將擁有所有的特殊權限,以及指派給該群組的存取權限。 過了這段時間,帳戶就會從群組中移除。
- 監視:PAM 加入特殊權限存取要求的稽核、警示和報告。 您可以檢閱特殊權限存取記錄,並查看執行活動的人員。 您可以確認活動是否有效,並輕鬆地找出未經授權的活動,例如在原始樹系中嘗試直接將使用者加入特殊權限群組。 此步驟不但對識別惡意軟體十分重要,同時也是追蹤「內部」攻擊者所不可或缺的。
MIM PAM 如何運作?
PAM 是以 AD DS 的新功能為基礎,特別是網域帳戶驗證與授權,以及 Microsoft Identity Manager 中的新功能。 PAM 將特殊權限帳戶從現有的 Active Directory 環境中隔出。 需要使用特殊權限帳戶時,就必須先要求,然後等待核准。 核准之後,特殊權限帳戶會提供透過新防禦樹系 (而不是使用者或應用程式目前的樹系) 中的外部主體群組取得權限。 使用防禦樹系可提供組織更大控制權,例如當使用者可以是特殊權限的群組的成員,以及使用者需要的驗證方式。
Active Directory、MIM 服務和此解決方案的其他部分也可以部署在高可用性組態。
下列範例會示範 PIM 更詳細的運作方式。
防禦樹系發出限時的群組成員資格,如此可產生限時的票證授權票證 (TGT)。 如果應用程式和服務位於信任防禦樹系的樹系中,以 Kerberos 為基礎的應用程式或服務就會遵守並實施這些 TGT。
日常規律的使用者帳戶不需要移至新的樹系。 電腦、應用程式和其群組也是如此。 它們會保持在目前現有的樹系中。 考慮對這些網路安全性問題有顧慮,但沒有立即計劃將伺服器基礎結構升級到新版的 Windows Server 的組織範例。 該組織仍可使用 MIM 和新的防禦樹系來運用這項結合的解決方案,並可以對現有資源的存取有更好的控制權。
PAM 提供下列優點:
隔離/約制特殊權限︰使用者不保留處理非特殊權限工作帳戶的特殊權限,例如檢查電子郵件或瀏覽網際網路。 使用者必須要求權限。 核准或拒絕要求,以 PAM 系統管理員定義的 MIM 原則為準。 在核准要求之後,特殊權限存取才可供使用。
加強並提升效能:這些是新的驗證和授權挑戰,可協助您管理不同系統管理帳戶的生命週期。 使用者可以要求提高系統管理帳戶的權限,而該要求會透過 MIM 工作流程。
額外的記錄功能:配合內建的 MIM 工作流程,還有 PAM 的額外記錄功能,可識別要求、其授權方式,以及在核准之後發生的任何事件。
可自訂工作流程:可以針對不同的案例設定 MIM 工作流程,而且可以根據提出要求之使用者或要求的角色的參數,使用多個工作流程。
使用者如何要求特殊權限存取?
使用者有數種方式可以提交要求,包括︰
- MIM 服務的 Web 服務 API
- REST 端點
- Windows PowerShell (
New-PAMRequest)
取得 Privileged Access Management Cmdlet 的相關詳細資料。
有哪些工作流程和監視選項可供使用?
例如,假設用戶在設定 PAM 之前是系統管理群組的成員。 在 PAM 設定過程中,使用者會從系統管理群組中移除,並在 MIM 中建立原則。 此原則會指定如果使用者要求系統管理許可權,則會核准要求,並將使用者的個別帳戶新增至防禦樹系中的特殊許可權群組。
假設核准要求之後,動作工作流程會直接與防禦樹系 Active Directory 通訊,以將使用者放在群組中。 例如,當 Jen 要求管理 HR 資料庫,Jen 的系統管理帳戶會在數秒內被加入至防禦樹系中的特殊權限群組。 她的系統管理帳戶在該群組中的成員資格將在時間限制之後到期。 使用 Windows Server 2016 或更新版本時,該成員資格會在 Active Directory 中與時間限制相關聯。
注意
當您將新成員加入至群組時,變更必須複寫到防禦樹系中的其他網域控制站 (DC)。 複寫延遲可能會影響使用者存取資源的能力。 如需複寫延遲的詳細資訊,請參閱 How Active Directory Replication Topology WorksActive Directory (複寫拓撲的運作方式)。
相較之下,安全性帳戶管理員 (SAM) 會即時評估到期的連結。 雖然加入群組成員需要由接收存取要求的 DC 進行複寫,但移除群組成員則是由任何 DC 立即評估。
此工作流程專供這些系統管理帳戶使用。 僅偶爾需要特殊權限群組存取的系統管理員 (或甚至是指令碼) 可以精確地要求該存取。 MIM 會記錄 Active Directory 的要求和變更,您可以在事件檢視器中檢視它們,或將資料傳送至企業監視解決方案,例如 System Center 2012 - Operations Manager 稽核收集服務 (ACS) 或其他協力廠商工具。