共用方式為

特殊許可權存取安全性層級

  • 發行項

本文件說明 特殊許可權存取策略的安全性層級 如需如何採用此策略的藍圖,請參閱 快速現代化計劃 (RaMP)。 如需實作指引,請參閱 特殊許可權存取部署

這些層級主要是設計來提供簡單且直接的技術指引,讓組織可以快速部署這些非常重要的保護。 特殊許可權存取策略可辨識組織具有獨特的需求,但自定義解決方案也會建立複雜度,進而產生較高的成本和隨時間降低的安全性。 為了平衡這項需求,此策略會透過允許組織選擇何時需要每個角色來符合該層級的需求,為每個層級提供堅定的規範性指引和彈性。

定義三個安全性層級

讓事情變得簡單有助於人們理解它,並降低他們會被混淆的風險,並犯錯誤。 雖然基礎技術幾乎總是很複雜,但請務必保持簡單,而不是建立難以支援的自定義解決方案。 如需詳細資訊,請參閱 安全性設計原則

設計著重於系統管理員和使用者需求的解決方案,會讓他們保持簡單。 設計安全性與IT人員輕鬆建置、評估和維護的解決方案,可降低安全性錯誤和更可靠的安全性保證。

建議的特殊許可權存取安全性策略會實作一個簡單的三層保證系統,橫跨各個區域,設計為易於部署:帳戶、裝置、媒介和介面。

透過每個層級的安全性投資增加攻擊者成本

每個後續層級都會提升攻擊者的成本,並增加適用於雲端的Defender投資層級。 這些層級的設計目的是針對防禦者在每個安全性投資中獲得最有利回報(攻擊者成本增加)的最佳位置。

您環境中的每個角色都應該對應至其中一個層級(並選擇性地隨著時間增加,作為安全性改進計劃的一部分)。 每個配置文件都會清楚地定義為技術設定,並盡可能自動化,以簡化部署及加速安全性保護。 如需實作詳細數據,請參閱 特殊許可權存取藍圖一文。

安全性層級

此原則中使用的安全性層級如下:

企業

  • 企業安全性 適用於所有企業使用者和生產力案例。 在快速現代化計劃的進展中,企業也成為專門和特權存取的起點,因為它們逐步建立了企業安全控制。

    注意

    較弱的安全性組態確實存在,但目前因為攻擊者有可用的技能和資源,因此不建議Microsoft企業組織使用。 如需了解攻擊者在暗網市場上能夠彼此購買的產品及其平均價格資訊,請參閱影片 Azure 安全性的前 10 個最佳實踐

專業

  • 專門化安全 為在業務中具有高影響力的角色提供更高的安全控制(如果遭到攻擊者或惡意內部人員入侵)。

    您的組織應該記錄特殊化和特殊許可權帳戶的準則(例如,潛在的業務影響超過 100 萬美元),然後識別符合該準則的所有角色和帳戶。 (在整個策略中使用,包括專用帳戶)

    專業化角色通常包括:

    • 開發人員 商務關鍵系統。
    • 敏感性商務角色,例如 SWIFT 終端的使用者、具有敏感數據存取權的研究人員、在公開發行前具有財務報告存取權的人員、薪資管理員、敏感性商務程式的核准者,以及其他高影響力角色。
    • 主管 和個人助理/行政助理,這些助理會定期處理敏感性資訊。
    • 具有高影響力的社交媒體帳戶 可能會損害公司的聲譽。
    • 敏感性IT系統管理員 擁有重要的權限和影響力,但不影響整個企業。 此群組通常包含個別高影響工作負載的系統管理員。 (例如,企業資源規劃系統管理員、銀行系統管理員、技術支援中心/技術支持人員等)

    專業化帳戶安全性也作為特權安全性的中間步驟,進一步建立在這些控制措施之上。 如需建議進展順序的詳細資訊,請參閱 特殊許可權存取藍圖

特權

  • 特殊許可權安全性 是最高層級的安全性,專為那些若遭攻擊者或惡意內部人員掌握後可能輕易造成組織重大事件和潛在重大損害的角色設計。 此層級通常包含大部分或所有企業系統上具有系統管理許可權的技術角色(有時包含少數業務關鍵角色)

    特權帳戶首先著重於安全性,生產力則被定義為能夠輕鬆且安全地執行敏感工作。 這些角色將無法同時使用相同帳戶或相同的裝置/工作站來執行敏感性工作和一般生產力工作(流覽Web、安裝和使用任何應用程式)。 他們將會有高度限制的帳戶和工作站,並且會增加監控他們的行動,以查找可能代表攻擊行為的異常活動。

    特權存取安全性角色通常包括:

    • Microsoft Entra 系統管理員角色
    • 具有企業目錄、身分識別同步處理系統、同盟解決方案、虛擬目錄、特殊許可權身分識別/存取管理系統或類似許可權的其他身分識別管理角色。
    • 具有這些本地 Active Directory 群組成員資格的角色
      • 企業系統管理員
      • 網域管理員
      • 架構管理員
      • BUILTIN\Administrators
      • 帳戶操作員
      • 備份操作員
      • 列印操作員
      • 伺服器運算元
      • 域控制器
      • 唯讀域控制器
      • 群組原則建立者擁有者
      • 密碼編譯運算符
      • 分散式 COM 使用者
      • 敏感的內部部署 Exchange 群組(包括 Exchange Windows 權限和 Exchange 信任子系統)
      • 其他委派群組 - 貴組織可能建立的自定義群組來管理目錄作業。
      • 在裝載上述功能的基礎作業系統或雲服務承租者的任何在地系統管理員,包括
        • 本地管理員群組的成員
        • 知道根密碼或內建系統管理員密碼的人員
        • 在那些系統上安裝了代理程式的任何管理或安全性工具的系統管理員

後續步驟