本文介紹一種端對端的解決方案,用於實作特權存取架構。 它主要針對資安與身份規劃者及執行者。
在 Microsoft 安全採用模型中:
- 實施解決方案提供具規範性的部署指引。
- 解決方案會根據定義高優先級安全成果的 商業情境 來調整。
在開始實施前,先了解 安全特權存取架構 在商業情境中扮演的關鍵角色——透過降低風險並強化對敏感系統的控制, 保護關鍵業務資產 。
解決方案目標
特權存取是任何組織中影響最大的風險之一,因為它提供對身份系統、雲端控制平面及關鍵業務資源的直接控制。
本指南定義了一種 零信任 方法,將其視為端對端的存取路徑,涵蓋身份、裝置、介面、目標資源及監控。 此模型不再孤立保護單一元件,而是確保整個存取路徑受到規範並持續驗證。
目標是透過以下方式降低風險:
- 限制誰能執行特權行為。
- 控制這些行動的地點與方式。
- 持續監控並回應特權活動。
使用Microsoft Entra ID、Microsoft Intune及適用於端點的 Microsoft Defender實作此架構。
分階段部署解決方案。 首先建立安全的基礎(身份控制平面與受信任裝置),執行政策控制,接著設置監控與回應操作。
特權存取風險
特權身份(人類與非人類)控制高價值資產與安全執行機制。 一旦被入侵,將對業務造成嚴重影響。 透過特權存取,攻擊者可以:
- 資料外洩、加密或銷毀。
- 關閉或干擾業務運作。
- 關閉偵測與執法控制。
- 顛覆身份系統並創造持續存取。
常見攻擊
攻擊有兩種常見模式:
- 針對性資料竊取:網路攻擊者會定位並竊取敏感的智慧財產、財務資料或策略計畫。 被竊取的資料會被販售、外洩或用於競爭優勢。
- 人為勒索軟體:網路攻擊者利用特權存取來加密系統、停止運作並勒索組織,迫使高層決策在極度時間壓力下做出。
為什麼特權存取有風險
特權存取風險因其多種原因而獨特且具系統性。
| Risk | 詳細資料 |
|---|---|
| 在控制平面運作 | 特權帳號運作在控制層面,而不只是工作負載層面。 特權身份可以修改身份、變更安全設定、停用或繞過執行控制,並竄改業務關鍵資料。 一旦攻擊者取得特權存取權,就能破壞設計用來偵測並阻止他們的機制。 這使得傳統的遏制策略效果大幅降低,並使得妥協得以持續而不被察覺。 |
| 設計上對業務產生高影響 | 特權存取的存在是為了管理關鍵系統,因此濫用這種存取權會立即且嚴重的後果。 透過特權存取,攻擊者可以: - 外洩或銷毀敏感資料 - 中斷或操縱業務營運 - 加密整個環境以進行勒索(人為操作的勒索軟體) - 顛覆系統,造成現實世界的傷害。 這些結果並非理論上的。 這些現象在各行各業中屢次被觀察到,使特權存取成為攻擊者達成最大影響力的最可靠方式之一。 |
| 吵鬧又擾人 | 與隱秘資料竊取不同,許多特權存取攻擊——尤其是人為操控的勒索軟體——是故意破壞性的。 它們會中斷營運、中斷面向客戶的服務,並迫使高層決策在極度時間壓力下進行。 由於所有組織在財務與營運上都渴望迅速恢復服務,這些攻擊無論產業或規模大小,皆普遍適用且極具效能。 |
| 風險是成長,而非縮小 | 攻擊者靈活且不受技術限制。 他們不會針對單一產品或控制,而是利用當下最弱的特權存取路徑。 特權存取攻擊面廣泛且相互連結,涵蓋: - 帳戶與身份系統 - 工作站與裝置 - 中介系統,如遠端存取工具及 PAM/PIM 解決方案。 - 管理介面、入口網站、API 及高程路徑。 任何一項元素被入侵,都可能開啟企業全面控制的道路,隨著環境演進,新的存取路徑會不斷被引入。 |
| 單一解法失敗 | 僅部署一類控制措施,如 PAM/PIM、網路限制或偵測工具,無法有效降低風險。 這些控制措施只針對問題的部分,而非系統本身。 若特權存取未受到端對端保護,攻擊者便會繞過孤立防禦,利用存取路徑中未受保護的連結。 因此,特權存取必須被視為一個完整的系統——從身份與裝置信任,到提升與執行,再到監控與回應——而非一組獨立工具的集合。 |
架構原則與成果
Microsoft 建議的做法是建立一個閉環特權存取系統,該系統能:
- 立即降低風險
- 支持漸進且可持續的進步
- 避免不必要的複雜性
- 促進明確的成果與成功標準
建築成果
根據這些原則執行策略,能產生多項明確的成果與成功標準。
| 結果 | 建築 | 成功標準 |
|---|---|---|
| 特權存取會以端對端系統的方式強制執行 | 特權風險涵蓋整個存取路徑:身份、角色指派、裝置、執行環境、高程工作流程、中介系統、管理介面、監控及回應。 特權工作僅透過明確授權的高階路徑與 零信任 驗證(身份保證、裝置信任、會話上下文)進行。 | 每次會話都會驗證使用者帳號與裝置在足夠信任層級後,才允許存取。 衡量範例:% 特權登入符合多重身份驗證(MFA)及裝置信任等要求, 透過核准式權限提升工作流程執行的特權操作,相較於透過常設權限執行的比例 (%)。 |
| 保護與監控身份系統 | 保護承載或賦予權限的身份系統(目錄、身份管理、管理員帳號等)。 治理、政策執行、日誌記錄與分析皆集中管理,以減少漂移並提升可視性。 |
這些系統的保護層級都適合其託管帳戶對業務的潛在影響。 衡量指標範例:納入定期存取審查的特權身分百分比 定期特權存取審查的完成率(誰審查了,誰撤銷了)。 |
| 降低橫向移動 | 將特權工作與高曝光環境隔離開來。 保護本地管理員憑證、服務帳號秘密及升遷機制,避免單一裝置、帳號或憑證被入侵,從而無法獲得更廣泛的管理控制。 | 單一裝置遭入侵,並不會立即導致該環境中的許多或所有其他裝置遭到控制。 衡量範例:僅來自管理員工作站的特權操作百分比。 |
| 迅速回應威脅 | 特權活動是偵測與回應的優先訊號。 設計監控與事件回應機制,以阻斷針對特權存取的多階段攻擊,並縮短攻擊者的停留時間。 | 您的事件應變能可靠地在多階段攻擊進入特權存取前將其阻止,並在特權濫用發生時迅速遏止。 衡量範例:特權事件的平均修復時間(MTTR)縮短為數分鐘,而非數小時或數天。 意外或新增的特權存取路徑會被迅速識別並關閉。 |
每月追蹤這些指標以了解進度,並每季檢視一次,作為特權存取治理的一部分。
了解特權存取路徑
特權存取路徑是從身份到執行的完整鏈條,如下圖所示。
如果鏈條中有任何環節薄弱,整條路徑都會變得脆弱。
| Path | 組件 | Risk |
|---|---|---|
|
使用者存取路徑 使用者存取路徑支援標準的生產力與業務運作,如電子郵件、協作、網頁瀏覽及業務線應用程式。 |
使用者存取路徑通常包含: - 身份:標準使用者帳號 - 裝置:通用工作站 - 中介層:例如 VPN 或遠端存取等可選的中介層。 - 介面:與企業應用程式及服務的互動。 |
雖然使用者存取路徑被入侵可能會造成傷害,但與特權存取相比,潛在的影響有限。 |
|
特權存取路徑 特權存取路徑管理身份、基礎設施、安全控管及關鍵業務系統。 |
特權存取路徑通常包括: - 身份:執行特權工作的帳號。 - 裝置:特權會話所使用的終端工作站或裝置。 - 中介:任何負責代理或託管特權會話的系統或服務,例如遠端存取或管理工具。 - 介面:管理介面,行使特權控制權。 例如,入口網站、API、命令列工具或自動化。 |
雖然技術組件看起來類似使用者存取路徑,但入侵帶來的潛在損害遠高於此。 因此,特權存取路徑必須是: - 數量較少 - 明確定義 - 與使用者存取路徑隔離 - 以最強的控制措施保護。 |
範例路徑
在典型的特權存取路徑中:
- 專用的管理員帳戶登入。
- 此次登入是透過已強化的特權存取工作站(PAW)進行。
- 登入時會透過 Privileged Identity Management(PIM)啟動角色。
- 登入時會使用特定的管理介面,例如入口網站、API 或 CLI。
- 已登入的身分執行具特殊權限的操作。
解決方案元件
特權存取解決方案由三個緊密耦合的要素所構成,確保——特權操作由正確的身分從受信任的裝置發起,並在受強制執行的條件下進行。
特權身份
- 專用的管理員帳號,允許執行特權操作。
- 身份受到強認證保護,並在可能的情況下採用無密碼認證。
- 有限特權角色分配。
- 即時特權晉升並獲得批准。
特權存取工作站(PAW)
- 硬化且限制性的裝置。
- 降低裝置攻擊面。
- 防範憑證威脅與惡意軟體。
- 與高風險使用者活動隔離。
政策執行與監控
- 條件存取驗證身份、裝置及會話上下文。
- 特權提升路徑已被明確定義。
- 所有特權活動都會被記錄、監控並可審查。
身份系統與高程路徑
身份系統與升遷路徑是每個特權存取路徑的基礎組成部分。 它們定義了特權身份的建立地點、管理員角色的分配方式,以及使用者如何從非特權狀態轉換到執行特權行為。
本實作指引將身份系統與升遷路徑視為特權攻擊面與身份控制平面的一部分。
| Area | 詳細資料 | 風險緩解 |
|---|---|---|
| 身份系統 | 在此處定義並管理特權身份、角色及管理權限。 此定義包含目錄、角色指派、管理群組及租戶層級配置。 |
特權身份在控制平面中運作。 若身份系統遭到入侵,攻擊者可建立、修改或持續持有特權存取權,繞過裝置控制、存取條件及監控。 保護身份控制平面是實作中最高的優先順序。 |
| 授權的高程步道 | 使用者如何從非特權狀態轉換到執行特權操作。 例如,限時的角色啟動、核准工作流程,以及有範圍的行政會議。 |
確保升遷需要強認證,且特權升遷是有意的、暫時的、受監控的,且僅能從核准的裝置與介面發生。 透過核准的工作流程、裝置與介面強制提升,您可以避免站立特權,並減少濫用、橫向移動及沉默持續。 |
解決階段
採用與 Microsoft 最佳實務相符的分階段採用模式,實作特權存取架構。
- 以 結構化採用模式啟動採用。 採用指引協助企業領導者識別安全身份的關鍵業務成果,並了解存取與身份規範,包括推動身份計畫(如特權存取)所需的團隊與努力。
- 規劃解決方案。 規劃協助您確定設計目標、指派安全等級以決定特權存取策略,並規劃實施。
- 請依照下表摘要的實施階段進行。 每個階段都有特定目標,並透過相關文章中的具體配置步驟來實現。
實施階段
| 階段 | 降低風險 | 應用零信任原則 |
|---|---|---|
| 階段 1. 確保身分控制平面的安全 創造: - 專用管理員帳戶。 用於角色分配的安全群組。 - 如果您還沒有,請建立緊急應變帳戶。 |
降低憑證被竊、特權濫用及未經授權升級的風險。 |
明確驗證 使用強而有力的認證。 使用最低權限 限制管理員角色/啟用即時權限。 假設缺口。 使用緊急存取帳戶進行復原。 |
| 階段 2: 部署並強化特權存取裝置 配置專用的特權存取工作站(PAW)。 套用作業系統強化和安全性基準。 強制執行修補、端點保護及磁碟加密。 盡量減少安裝應用程式和服務。 |
降低憑證外洩及裝置攻擊的風險。 |
明確驗證 在授權存取前,請確保裝置已註冊、可信且符合規定。 假設洩漏 透過加強裝置防護與隔離管理憑證,將潛在的入侵路徑降到最低。 使用最低權限存取權。 限制管理員在這些專用裝置上的操作。 |
| 階段 3: 強制執行特權存取政策 為特權角色設定條件存取。 要求符合規範的裝置與強認證。 強制執行情境感知存取條件。 限制存取核准介面。 |
防止未經授權的存取與憑證重播。 |
假設缺口。 若帳號被盜,則可透過限制存取權限的地點與方式來防止憑證被濫用。 使用最低權限。 強制執行基於角色且具情境感知的權限。 |
| 第四階段。 監控並持續驗證 調查事件並迅速補救。 持續重新評估信任與保障範圍。 |
偵測、調查並回應特權威脅。 監控特權角色的啟用與會話。 偵測異常與可疑模式。 減少未被偵測的入侵與攻擊者停留時間延長的影響。 |
假設是突破。持續監控攻擊者的活動與異常行為。 明確驗證。持續評估信任並調查可疑的存取模式。 |
下一步
現在,開始 規劃執行策略。