特權存取橫跨 企業存取模型 ,並提供通往控制平面的唯一管理路徑。 它定義了誰能配置系統、管理身份、執行安全,並最終塑造組織的科技環境。
在現代企業中,只有相對少數的身分——例如管理員、服務帳戶及控制平面角色——對大多數業務資產擁有權限與存取權。 這些身分可以:
- 修改存取控制
- 變更系統配置
- 存取敏感資料
- 停用或繞過安全防護
攻擊者會察覺這點。 他們不針對每個系統逐一攻擊,而是專注於:
- 偷取證件。
- 提升權限。
- 橫向轉向高價值職位。
一旦取得特權存取權,攻擊者就能以快速且規模的行動方式運作。
這也是為什麼現代安全模型對特權存取有不同看待:
- 必須明確控制。 例如,定義特權角色與透過身份治理與特權身份管理(PIM)進行入職,要求核准與限時晉升,而非永久角色指派。
- 必須與正常活動隔離。 例如,使用獨立的管理帳號和專用的特權存取裝置(PAW),這樣標準使用者會話或未受管理的裝置就不會發生特權操作。
- 必須持續監控。 例如,將特權登入、角色啟用及政策變更傳送至監控工具如 Microsoft Sentinel,以偵測異常使用模式並觸發警示或自動回應。
- 必須同意,特權存取是主要的入侵目標。 例如,假設攻擊者試圖竊取憑證或權限升級,應使用強多重驗證(MFA)、無常態存取權及破碎帳戶控制來保護所有特權帳號。
保護特權存取權需要超越角色和帳號,理解所有擁有特權存取權的元件。 這包括:
- 身份控制平面。
- 特權裝置、應用程式與介面。
- 中介系統如 VPN、PIM 及特權存取管理(PAM)系統。
這些共同定義了控制的行使方式——以及必須如何保護控制權。
以下圖表展示了特權存取入侵的潛在攻擊面。
身份控制平面
身份控制層是定義並管理誰可以擁有特權角色,以及這些特權如何在組織中分配、提升和撤銷的層級。 在特權存取情境中,它包含特權身份、角色指派及核准的升高路徑,構成所有其他控制所依賴的基礎。
確保身分控制平面的安全,代表權限是明確授予、具時效限制、採用強式驗證,且可稽核,從而防止對那些最終控制整個環境的系統進行未經授權或不受控的存取。
下圖顯示控制平面由雲端服務(Microsoft Entra ID、Intune、Defender for Endpoint)集中管理,且只能透過特權存取工作站(PAW)存取,強制隔離、控制及安全管理所有特權操作。
控制平面角色
Microsoft Entra ID 具有已識別為特殊權限的角色和權限。
這些角色和權限可用來將目錄資源的管理委派給其他使用者、修改認證、驗證或授權原則,或存取受限制的資料。 如果未以安全且預定的方式使用,特殊權限角色指派可能會導致權限提高。
- 檢視 Microsoft Entra 特權角色。
- 了解更多 關於觀看及使用特權角色的資訊。
特權存取工作站
特權存取工作站(PAW)是一種專用且強化的裝置,僅用於執行管理任務。 它與一般使用者裝置分開,且受到嚴格保護,以降低憑證盜用、惡意軟體或橫向移動的風險。 PAWs 執行關鍵保護措施,例如:
- 強認證(例如 Windows Hello 企業版)
- 裝置強化(憑證守護、裝置守護、漏洞防護、AppLocker)
- 限制使用(禁止一般瀏覽或生產力活動)
目標是確保特權憑證與行為永遠不會暴露在不受信任的環境中。
下圖顯示 PAW 如何成為進入控制平面的唯一受信任接取點。
如圖所示,所有系統管理動作皆透過 PAW 進行,並如表中所彙整般受到控制。
| 控制 | 實作 |
|---|---|
| 明確控制 | 管理存取權限僅能透過以政策為基礎的身分控制授與,且需採用強式驗證以及經核准且有時限的權限提升。 裝置狀態也必須符合合規要求,才能允許存取。 |
| 與正常活動隔離 | 特權操作僅限於專用的 PAW 裝置,使用與連線受到嚴格控制。 PAW 不會用於一般生產力工作,且其網際網路存取受到限制,並可安全地遠端連線至敏感系統。 |
| 持續監控 | 所有身份活動、裝置狀態及端點行為都會持續被收集與分析,使異常特權活動能被偵測並迅速回應。 |
| 被認為是攻擊目標 | 此環境已經過強化,並持續進行驗證,且假設攻擊者會以特權存取為目標。 裝置會保持在最新狀態,並強制執行安全啟動程序。 |
下一步
部署特 權存取架構。