增強式安全性 管理員環境
增強式安全性 管理員 環境 (ESAE) 架構(通常稱為紅色樹系、系統管理樹系或強化樹系)是一種舊版方法,可為 Windows Server Active Directory (AD) 系統管理員身分識別提供安全的環境。
Microsoft 使用此架構模式的建議已由新式 特殊許可權存取策略 和 快速現代化計劃 (RAMP) 指引取代為保護特殊許可權使用者的預設建議方法。 本指南旨在納入調整更廣泛的策略,以走向 零信任 架構。 鑒於這些現代化策略,ESAE 強化的系統管理樹系架構(內部部署或雲端式)現在被視為僅適用於例外狀況的自定義設定。
繼續使用的案例
雖然它不再是建議的架構,但 ESAE(或該處的個別元件)仍可在一組有限的豁免案例中有效。 一般而言,這些內部部署環境會隔離,其中雲端服務可能無法使用。 此案例可能包括重要的基礎結構或其他中斷連線的操作技術 (OT) 環境。 不過,請注意,環境的空中控制系統/監督控制和數據擷取 (ICS/SCADA) 區段通常不會使用自己的 Active Directory 部署。
如果您的組織處於下列其中一個案例中,則維持目前部署的 ESAE 架構仍然有效。 不過,必須瞭解,由於維護 ESAE 的技術複雜度和營運成本增加,貴組織會產生額外的風險。 Microsoft 建議任何仍在使用 ESAE 或其他舊版身分識別安全性控制的組織,套用額外的嚴謹性來監視、識別及減輕任何相關聯的風險。
注意
雖然 Microsoft 不再針對大部分組織的大部分案例建議隔離強化樹系模型,但 Microsoft 仍會在內部運作類似的架構(以及相關聯的支援流程和人員),因為為世界各地的組織提供信任的雲端服務有極端的安全性需求。
現有部署的指引
對於已部署此架構以增強安全性及/或簡化多樹系管理的客戶而言,如果已依設計及預期運作,就不需要淘汰或取代 ESAE 實作。 如同任何企業系統,您應該套用安全性更新並確保軟體位於支援生命週期內,以維護其中的軟體。
Microsoft 也建議使用快速現代化計劃 (RAMP) 指引,使用 ESAE/強化樹系的組織採用現代特殊許可權存取策略。 本指南可補充現有的 ESAE 實作,併為尚未受 ESAE 保護的角色提供適當的安全性,包括 Microsoft Entra 系統管理員、敏感性商務使用者和標準企業使用者。 如需詳細資訊,請參閱保護特殊許可權存取安全性層級一文。
當 ESAE 最初設計於 10 多年前時,焦點是內部部署環境,Active Directory (AD) 是作為本機身分識別提供者。 此舊版方法是以宏分割技術為基礎,以達到最低許可權,且無法充分考慮混合式或雲端式環境。 此外,ESAE 和強化的樹系實作僅著重於保護內部部署 Windows Server Active Directory 系統管理員(身分識別),且不會考慮現代化零信任架構其餘要素中包含的精細身分識別控件和其他技術。 Microsoft 已將其建議更新為雲端式解決方案,因為它們可以更快速地部署,以保護更廣泛的系統管理和業務敏感性角色和系統範圍。 此外,它們較不複雜、可調整,而且需要較少的資本投資才能維持。
注意
雖然歐空局完全不再建議使用,但 Microsoft 發現所包含的許多個別元件都定義為良好的網路衛生(例如專用特殊許可權存取工作站)。 ESAE 的淘汰並非旨在推動組織放棄良好的網路衛生做法,而只是為了強化保護特殊許可權身分識別的更新架構策略。
ESAE 中適用於大多數組織的良好網路衛生做法範例
- 針對所有系統管理活動使用特殊權限存取工作站 (PAWs)
- 即使在整個環境中並未廣泛使用令牌型或多重要素驗證,仍會強制執行系統管理認證的令牌式或多重要素驗證
- 透過定期評估群組/角色成員資格來強制執行最低許可權 管理員 原則(由強組織原則強制執行)
保護內部部署 AD 的最佳做法
如「繼續使用案例」中所述,在某些情況下,雲端移轉可能因為不同情況而無法取得(部分或完整)。 針對這些組織,如果他們還沒有現有的 ESAE 架構,Microsoft 建議透過增加 Active Directory 和特殊許可權身分識別的安全性,減少內部部署 AD 的攻擊面。 雖然不是詳盡的清單,但請考慮下列高優先順序建議。
- 使用實作最低許可權系統管理模型的階層式方法:
- 強制執行絕對最低許可權。
- 探索、檢閱和稽核特殊許可權身分識別(與組織原則緊密結合)。
- 過度授與許可權是評估環境中最識別的問題之一。
- 系統管理帳戶的 MFA(即使在整個環境中未廣泛使用也一樣)。
- 以時間為基礎的特殊許可權角色(減少過多的帳戶,強化核准程式)。
- 啟用和設定特殊許可權身分識別的所有可用稽核(通知啟用/停用、密碼重設、其他修改)。
- 使用特殊許可權存取工作站 (PAW):
- 請勿從不太受信任的主機管理PAW。
- 使用 MFA 來存取 PAW。
- 別忘了實體安全性。
- 請務必確定PAW正在執行最新的和/或目前支援的作業系統。
- 瞭解攻擊路徑和高風險帳戶/應用程式:
- 優先監視構成最大風險的身分識別和系統(機會/高影響的目標)。
- 消除密碼重複使用,包括跨操作系統界限(常見的橫向移動技術)。
- 強制執行原則,限制增加風險的活動(從受保護的工作站流覽因特網、跨多個系統等的本機系統管理員帳戶)。
- 減少 Active Directory /域控制器上的應用程式(每個新增的應用程式都是額外的受攻擊面)。
- 排除不必要的應用程式。
- 可能的話,將應用程式移至其他工作負載時,仍需要移出 /DC。
- Active Directory 的固定備份:
- 從勒索軟體感染中恢復的重要元件。
- 定期備份排程。
- 儲存在雲端式或異地位置,由災害復原計劃決定。
- 進行 Active Directory 安全性評定:
- 需要 Azure 訂用帳戶才能檢視結果(自定義的 Log Analytics 儀錶板)。
- 隨選或 Microsoft 工程師支援的供應專案。
- 驗證/識別評量中的指引。
- Microsoft 建議每年進行評量。
如需這些建議的完整指引,請檢閱 保護 Active Directory 的最佳做法。
補充 建議
Microsoft 會辨識某些實體可能無法完全部署雲端式零信任架構,因為條件約束不同。 上一節提到其中一些條件約束。 除了完整部署之外,組織可以解決風險,並在零信任方面取得進展,同時仍維護環境中的舊版設備或架構。 除了先前提及的指引之外,下列功能可能有助於增強環境的安全性,並作為採用零信任架構的起點。
適用於身分識別的 Microsoft Defender (MDI)
適用於身分識別的 Microsoft Defender (MDI) (正式為 Azure 進階威脅防護或 ATP) 支援 Microsoft 零信任架構,並著重於身分識別的支柱。 此雲端式解決方案會使用來自內部部署 AD 和 Microsoft Entra 識別碼的訊號來識別、偵測及調查涉及身分識別的威脅。 MDI 會監視這些訊號,以識別用戶和實體的異常和惡意行為。 值得注意的是,MDI 藉由醒目提示特定帳戶在遭入侵時如何使用,協助將對手橫向移動路徑可視化的能力。 MDI 的行為分析和使用者基準功能是判斷AD環境中異常活動的重要元素。
注意
雖然 MDI 會從內部部署 AD 收集訊號,但確實需要雲端式連線。
適用於物聯網的 Microsoft Defender (D4IoT)
除了本檔中所述的其他指引之外,在上述其中一個案例中操作的組織可以部署適用於IoT的 Microsoft Defender(D4IoT)。 此解決方案具有被動網路感測器(虛擬或實體),可針對物聯網(IoT)和操作技術(OT)環境啟用資產探索、庫存管理和風險型行為分析。 它可以部署在內部部署空中隔離或雲端連線的環境中,並有能力對超過 100 個 ICS/OT 專屬網路協定執行深層封包檢查。
下一步
請檢閱下列文章: