共用方式為


特殊許可權存取安全性層級

本文件說明特殊許可權存取策略的安全性層級。如需如何採用此策略的藍圖,請參閱快速現代化計劃 (RaMP)。 如需實作指引,請參閱 特殊許可權存取部署

這些層級主要是設計來提供簡單且直接的技術指引,讓組織可以快速部署這些非常重要的保護。 特殊許可權存取策略可辨識組織具有獨特的需求,但自定義解決方案也會建立複雜度,進而產生較高的成本和隨時間降低的安全性。 為了平衡這項需求,此策略會透過允許組織選擇何時需要每個角色來符合該層級的需求,為每個層級提供堅定的規範性指引和彈性。

定義三個安全性層級

讓事情變得簡單有助於人們理解它,並降低他們會被混淆的風險,並犯錯誤。 雖然基礎技術幾乎總是很複雜,但請務必保持簡單,而不是建立難以支援的自定義解決方案。 如需詳細資訊,請參閱 安全性設計原則

設計著重於系統管理員和使用者需求的解決方案,會讓他們保持簡單。 設計安全性與IT人員輕鬆建置、評估和維護的解決方案,可降低安全性錯誤和更可靠的安全性保證。

建議的特殊許可權存取安全性策略會實作一個簡單的三層保證系統,橫跨各個區域,設計為易於部署:帳戶、裝置、媒介和介面。

透過每個安全性投資層級增加攻擊者成本

每個後續層級都會提升攻擊者的成本,並增加 適用於雲端的 Defender 投資層級。 這些層級的設計目的是針對防禦者獲得最大回報(攻擊者成本增加)的每個安全性投資的「甜點」。

您環境中的每個角色都應該對應至其中一個層級(並選擇性地隨著時間增加,作為安全性改進計劃的一部分)。 每個配置文件都會清楚地定義為技術設定,並盡可能自動化,以簡化部署及加速安全性保護。 如需實作詳細數據, 請參閱特殊許可權存取藍圖一文。

安全性層級

此原則中使用的安全性層級如下:

Enterprise

  • 企業安全性 適用於所有企業使用者和生產力案例。 在快速現代化計劃的發展過程中,企業也可作為特殊化和特殊權限存取的起點,因為它們會以企業安全性的安全性控制為基礎逐步建置。

    注意

    較弱的安全性設定確實存在,但 Microsoft 目前不建議企業組織使用,因為攻擊者有可用的技能和資源。 如需攻擊者可以在黑暗市場和平均價格上互相購買的資訊,請參閱 Azure 安全性前 10 個最佳做法影片

特殊化

  • 特製化安全性 為提高業務影響的角色提供更高的安全性控制(如果遭到攻擊者或惡意內部人員入侵)。

    您的組織應該記錄特殊化和特殊許可權帳戶的準則(例如,潛在的業務影響超過 100 萬美元),然後識別符合該準則的所有角色和帳戶。 (在整個策略中使用,包括特製化帳戶)

    特製化角色通常包括:

    • 商務關鍵系統的開發人員
    • 敏感性商務角色 ,例如 SWIFT 終端機的使用者、具有敏感數據存取權的研究人員、在公開發行前具有財務報告存取權的人員、薪資管理員、敏感性商務程式的核准者,以及其他高影響力角色。
    • 經常處理敏感性資訊的主管和個人助理/行政助理。
    • 可能會損害公司聲譽的社交媒體賬戶 產生高影響。
    • 具有重大許可權和影響的敏感性IT管理員,但並非全企業。 此群組通常包含個別高影響力工作負載的系統管理員 (例如,企業資源規劃系統管理員、銀行系統管理員、支援人員/技術支援角色等)。

    特殊化帳戶安全性也可作為特殊權限安全性的過渡性步驟,這會進一步以這些控制為基礎建置。 如需建議進展順序的詳細資訊,請參閱 特殊許可權存取藍圖

具特殊權限

  • 特殊許可權安全性 是專為角色設計的最高層級安全性,可輕易造成重大事件,以及攻擊者或惡意內部人員手中組織的潛在重大損害。 此層級通常包含大部分或所有企業系統上具有系統管理許可權的技術角色(有時包含少數業務關鍵角色)

    特殊許可權帳戶首先著重於安全性,生產力定義為能夠安全地安全地執行敏感性工作。 這些角色將無法同時使用相同帳戶或相同的裝置/工作站來執行敏感性工作和一般生產力工作(流覽Web、安裝和使用任何應用程式)。 他們會有高度限制的帳戶和工作站,並增加監視其動作是否有可能代表攻擊者活動的異常活動。

    特殊權限存取安全性角色通常包括:

    • Microsoft Entra 系統管理員角色
    • 具有企業目錄、身分識別同步處理系統、同盟解決方案、虛擬目錄、特殊許可權身分識別/存取管理系統或類似許可權的其他身分識別管理角色。
    • 這些 內部部署的 Active Directory 群組中具有成員資格的角色
      • Enterprise Admins
      • Domain Admins
      • Schema Admin
      • BUILTIN\Administrators
      • Account Operators
      • Backup Operators
      • Print Operators
      • Server Operators
      • 網域控制站
      • Read-only Domain Controllers
      • Group Policy Creator Owners
      • Cryptographic Operators
      • Distributed COM Users
      • 敏感性內部部署 Exchange 群組(包括 Exchange Windows 許可權和 Exchange 信任子系統)
      • 其他委派群組 - 貴組織可能建立的自定義群組來管理目錄作業。
      • 裝載上述功能的基礎操作系統或雲端服務租使用者的任何本機系統管理員,包括
        • 本機系統管理員群組的成員
        • 知道根密碼或內建系統管理員密碼的人員
        • 管理員 安裝在這些系統上的代理程式的任何管理或安全性工具

下一步