系統管理

系統管理是監視、維護和操作資訊技術 (IT) 系統的做法，以滿足企業所需的服務等級。 系統管理引入了一些最高影響的安全性風險，因為執行這些工作需要特殊權限，來存取一組非常廣泛的系統和應用程式。 攻擊者知道，取得具有系統管理權限帳戶的存取，就可以存取其可以鎖定的大部分或所有資料，讓系統管理的安全性成為最重要的安全性領域之一。

例如，Microsoft 會對雲端系統和 IT 系統的系統管理員進行顯著的保護投資和訓練：

Microsoft 針對系統管理許可權的建議核心策略是使用可用的控制項來降低風險

降低風險暴露 (範圍和時間) – 最低許可權原則最適合使用提供隨選許可權的新式控制項來完成。 透過下列方式來限制系統管理權限的曝光，這有助於限制風險：

• 範圍 – Just Enough Access (JEA) 只提供管理作業所需的許可權， (與一次擁有許多或所有系統的直接和立即許可權，這幾乎不需要) 。

• Time – Just In Time (JIT) 方法會視需要提供所需的許可權。

• 降低其餘風險 – 使用預防性和偵測控制項的組合來降低風險，例如將系統管理員帳戶與最常見的網路釣魚和一般網頁流覽隔離、簡化和優化其工作流程、增加驗證決策的保證，以及識別可封鎖或調查的一般基準行為異常。

Microsoft 已針對保護系統管理帳戶擷取和記載最佳做法，並已發佈用於保護權限存取的優先藍圖，可做為為具有權限存取的帳戶設定風險降低優先順序的參考。

• 保護內部部署 Active Directory 系統管理員的特殊許可權存取 (SPA) 藍圖

• 保護 Azure Active Directory 系統管理員的指導方針

最小化重要影響系統管理員的數目

授與最少量的帳戶給可能具有重要業務影響的權限

每個系統管理員帳戶都代表攻擊者可以鎖定的潛在受攻擊面，因此將具有該權限的帳戶數目降到最低，有助於限制整體組織風險。 經驗告訴我們，如果成員資格未受到主動限制和管理，這些權限群組的成員資格會自然隨著時間成長，因為人員角色會變更。

我們建議一個方法，可減少此受攻擊面的風險，同時在系統管理員發生問題時確保業務持續性：

• 針對業務持續性，將至少兩個帳戶指派給權限群組

• 需要兩個以上的帳戶時，請為每個成員提供理由，包括原始的兩個帳戶

• 定期檢閱每個群組成員的成員資格與理由

系統管理員的受控帳戶

請確定 中的所有重大影響系統管理員都是由企業目錄管理，以遵循組織原則強制執行。

取用者帳戶，例如 @Hotmail.com、@live.com、@outlook.com 等 Microsoft 帳戶，不提供足夠的安全性可見度和控制，以確保組織的原則和任何法規需求都遵循。 因為 Azure 部署在成長至企業管理的租用戶之前，一開始通常會是小規模且非正式，使得部分取用者帳戶 (例如，原始的 Azure 專案經理) 在很久以後仍維持為系統管理帳戶，進而產生盲點和潛在的風險。

區隔系統管理員的帳戶

確保所有重要影響系統管理員都有個別的帳戶，用來進行系統管理工作 (相對於他們用於電子郵件、網頁瀏覽和其他生產力工作的帳戶)。

網路釣魚和網頁瀏覽器攻擊是代表的是危害帳戶 (包括系統管理帳戶) 最常見的攻擊媒介。

為具有的角色需要重要權限的所有使用者，建立個別的系統管理帳戶。 針對這些系統管理帳戶，請封鎖 Office 365 電子郵件等生產力工具 (移除授權)。 可能的話，請封鎖任意網頁瀏覽 (使用 Proxy 和/或應用程式控制)，同時允許瀏覽至 Azure 入口網站和系統管理工作所需的其他網站的例外狀況。

沒有常設存取權/Just In Time 許可權

避免為任何重大影響帳戶提供永久「常設」存取權

永久權限會藉由增加攻擊者可以使用帳戶來造成損害的時間，以提高業務風險。 暫時權限會強制以帳戶為目標的攻擊者在系統管理員已在使用帳戶的有限時間內作業，或起始提高權限 (這會增加他們被偵測到並將其從環境移除的機會)。

只在必要時授與所需的權限，使用下列其中一個方法：

• 恰好及時-啟用 Azure AD Privileged Identity Management (PIM) 或協力廠商解決方案，以要求遵循核准工作流程以取得重大影響帳戶的許可權

• 分鏡 – 對於很少使用的帳戶，請遵循緊急存取程式來存取帳戶。 對於較不需要定期操作使用的權限，例如全域系統管理員帳戶的成員，這是偏好的選項。

緊急存取或'Break Glass' 帳戶

確保您有在發生緊急狀況時取得系統管理存取權的機制

在罕見的情況下，有時候會發生極端情況，其中的系統管理存取權的所有一般方法都無法使用。

建議您遵循在 Azure AD 中管理緊急存取系統管理帳戶的指示，並確保安全性作業會謹慎監視這些帳戶。

系統管理員工作站安全性

確保重要影響系統管理員使用具有更高安全性保護和監視的工作站

使用瀏覽和電子郵件的攻擊媒介 (例如網路釣魚) 成本既低廉又常見。 將重要影響系統管理員與這些風險隔離，可大幅降低重大事件的風險，也就是其中一個帳戶遭到危害，並用來對您的業務或任務造成重大損害。

根據 https://aka.ms/securedworkstation 提供的選項，選擇系統管理工作站安全性的等級

• 高度安全的生產力裝置 (增強的安全性工作站或特製化工作站)
  您可以讓重要影響系統管理員開始此安全性旅程，方法是提供他們仍會允許一般瀏覽和生產力工作的較高安全性工作站。 使用此方式做為過渡步驟，可協助您同時為重要影響系統管理員以及支援這些使用者及其工作站的 IT 人員，輕鬆地轉換成完全隔離的工作站。

• 權限存取工作站 (特殊工作站或受保護的工作站)
  這些設定代表重要影響系統管理員的理想安全性狀態，因為它們會大幅限制對網路釣魚、瀏覽器和生產力應用程式攻擊媒介的存取。 這些工作站不允許一般網際網路流覽，只允許瀏覽器存取Azure 入口網站和其他系統管理網站。

重要影響管理員相依性 - 帳戶/工作站

針對重要影響帳戶及其工作站，謹慎選擇內部部署安全性相依性

若要管理從內部部署的重大事件溢出成為雲端資產的重大危害的風險，您必須消除或最小化控制內部部署資源對雲端中的重要影響帳戶的控制方法。 例如，入侵內部部署 Active Directory 的攻擊者可以存取和入侵雲端式資產，這些帳戶依賴這些帳戶，例如 Azure 中的資源、Amazon Web Services (AWS) 、ServiceNow 等等。 攻擊者也可以使用已加入這些內部部署網域的工作站，以存取透過其管理的帳戶和服務。

選擇從內部部署控制方式的隔離等級，也就是重要影響帳戶的安全性相依性

• 使用者帳戶 – 選擇要裝載重大影響帳戶的位置

  • 原生 Azure AD 帳戶 - *建立未與內部部署 Active Directory 同步的原生 Azure AD 帳戶

  • 從內部部署的 Active Directory (不建議同步處理) - 利用裝載在內部部署 Active Directory 中的現有帳戶。

• 工作站 – 選擇您將如何管理及保護重要系統管理員帳戶所使用的工作站：

  • 原生雲端管理 & 安全性 (建議) - 使用Intune或其他雲端服務將工作站加入 Azure AD & 管理/修補。 使用 Windows Microsoft Defender ATP 或其他非由內部部署帳戶管理的雲端服務來保護和監視。

  • 使用現有系統管理 - 加入現有的 AD 網域 & 會利用現有的管理/安全性。

系統管理員的密碼無密碼或多重要素驗證

需要所有重大影響，系統管理員才能使用無密碼驗證或多重要素驗證， (MFA) 。

攻擊方法已發展到密碼本身無法可靠地保護帳戶的點。 這在 Microsoft Ignite 研討會中有妥善記載。

系統管理帳戶和所有重要帳戶都應該使用下列其中一個驗證方法。 這些功能會依喜好設定順序列出，依攻擊的最高成本/困難度 (最強/偏好的選項) 到攻擊的最低成本/困難度來排序：

• 無密碼 (例如 Windows Hello)
  https://aka.ms/HelloForBusiness

• 無密碼 (驗證器應用程式)
  </azure/active-directory/authentication/howto-authentication-phone-sign-in>

• 多重要素驗證
  </azure/active-directory/authentication/howto-mfa-userstates>

請注意，以 SMS 文字訊息為基礎的 MFA 對於要讓攻擊者略過而言變得非常便宜，因此建議您避免依賴它。 此選項仍然比單獨使用密碼稍強，但遠比其他 MFA 選項更弱

對系統管理員強制執行條件式存取 - 零信任

所有系統管理員和其他重要影響帳戶的驗證都應該包含重要安全性屬性的測量與強制執行，以支援零信任策略。

危害 Azure 系統管理員帳戶的攻擊者可能會造成嚴重的傷害。 條件式存取可在允許存取 Azure 管理之前，先強制執行安全性檢疫，藉此大幅降低該風險。

設定 Azure 管理的條件式存取原則，以符合貴組織的風險和操作需求。

• 要求多重要素驗證和/或連線來自指定的工作網路

• 需要具有MICROSOFT DEFENDER ATP 的裝置完整性 (強式保證)

請避免細微且自訂的權限

避免明確參考個別資源或使用者的權限

特定許可權會建立不必要的複雜度和混淆，因為它們不打算使用新的類似資源。 這接著會累積到難以維護或變更的複雜舊版設定，而不必擔心「中斷專案」–對安全性和解決方案靈活度造成負面影響。

不要指派特定的資源特定權限，而是可以使用下列其中一種方式

• 用於整個企業權限的管理群組

• 用於訂用帳戶內權限的資源群組

將存取權指派給 Azure AD 中的群組，而不是將權限授與特定使用者。 如果沒有適當的群組，請與身分識別小組合作來建立一個群組。 這可讓您在 Azure 外部新增和移除群組成員，並確保權限是最新的，同時也允許將群組用於其他用途，例如郵寄清單。

使用內建角色

盡可能使用內建角色來指派權限。

自訂會導致複雜度，其會增加混淆，並使得自動化更為複雜、具挑戰和脆弱。 這些因素都會對安全性造成負面影響

建議您評估內建角色，其設計目的是要涵蓋大部分的一般案例。 自訂角色 是功能強大且有時很有用的功能，但當內建角色無法運作時，應該保留給案例。

為重大影響帳戶建立生命週期管理

當系統管理人員離開組織 (或離開系統管理職務) 時，請確保您有停用或刪除系統管理帳戶的程序

如需詳細資訊，請參閱 使用存取權檢閱管理使用者和來賓使用者存取 權。

重要影響帳戶的攻擊模擬

使用最新的攻擊技術針對系統管理使用者定期模擬攻擊，以教育及強化這些使用者的能力。

人員是您的防禦的重要部分，尤其是可存取重要影響帳戶的人員。 確保這些使用者 (理想情況下是所有使用者) 具有可避免和對抗攻擊的知識與技能，將可降低整體組織風險。

您可以使用 Office 365 攻擊模擬功能或任何數量的第三方供應項目。

下一步

如需 Microsoft 的其他安全性指引，請參閱 Microsoft 安全性檔案。