若要檢視英文版的文章,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

Active Directory 網域服務 (AD DS) 的特殊權限身分識別管理

 

「特殊權限身分識別管理」是基於 Microsoft Identity Manager (MIM) 和 Windows Server 2012 R2 與 Windows Server Technical Preview 的解決方案。它可協助組織限制現有的 Active Directory 環境內的特殊權限存取。

注意:PIM 內部部署 Active Directory 功能稱為 Privileged Access Manager (PAM)。

設定 PIM 的程序包括建立新的防禦 Active Directory 樹系。防禦樹系與您的現有樹系具有信任關係。它會建立一個原有環境,該環境已知由於稍早的惡意使用者或特殊權限的認證竊取而免除構件,可協助 Active Directory 環境可能已遭感染的組織具備用於重新建立控制權的基礎。它也會隔離特殊權限帳戶的使用,並減少這些認證遭竊的對應風險,因為它們不是非系統管理工作所需。

由於這項設計,PIM 不需要對 Active Directory 環境中現有的應用程式或使用者進行任何變更。不需要在該環境中升級任何伺服器或提高網域或樹系功能等級,即可開始使用 PIM。

現今企業真正的顧慮是有關 Active Directory 環境內資源存取的不確定性。特別煩人的是關於安全性弱點、未經授權的特殊權限擴大和其他類型未經授權的存取,包括 pass-the-hash (傳遞密碼雜湊)、pass-the-ticket (傳遞票證)、魚叉式網路釣魚和 Kerberos 洩露等消息。這所有的攻擊功能都是企業的顧慮。

他們的 Active Directory 環境可能已受到洩露嗎?如果沒有,攻擊者找出並接著洩露網域系統管理員帳戶要多久?攻擊者達成這類存取之後,有什麼可以阻擋他們?他們會利用該存取在網路上潛伏多久?在偵測到洩露之前,環境會處於風險中多久?攻擊者可能留下後門 (建立一種方式,讓他們以回來,但不是使用一般程序)、執行資料滲透,以及執行其他入侵。

PIM 的目標是要變更這些弱點可能被入侵的時段。現在,攻擊者要取得網域系統管理員帳戶認證太過容易,並且事後很難探索到這些攻擊。隨著其他的投資,PIM 將讓攻擊者更難以滲入網路及取得特殊權限帳戶的存取。PIM 加入對特殊權限群組的保護,可跨許多加入網域的電腦和在這些電腦上的應用程式控制存取。它也加入更多監視功能、更多的可見性和更多更細緻的控制,讓組織能夠查看誰是他們的特殊權限系統管理員,以及他們在做什麼。對於在環境中這類系統管理帳戶的使用方式,PIM 為組織提供更多見解。

PIM 以 Just-In-Time 管理的原則為基礎建置,可與 Just Enough Administration (JEA) 的相關功能結合使用。JEA 是一項 Windows PowerShell 工具組,定義了一組命令用來執行特殊權限的活動和端點,在其中系統管理員可以取得授權來執行這些命令。如果 JEA 允許具有特定權限使用者的特定工作,使用者可以要求權限並能在限定的時間內執行工作。系統管理員可以指定該時間週期,以及在這段期間之後,特殊權限的帳戶不再可用。PIM Just-in-Time 和 Just Enough Administration 可獨立或同時部署。

PIM 設定與作業分成四個步驟。

MIM_PIM_SetupProcess
  1. 準備:找出您現有的樹系中具有顯著權限的群組。隨著 PIM 的設定,會將這些群組目前樹系中的成員移除,並且在防禦樹系中建立群組但沒有任何成員。

  2. 保護:設定使用者要求 Just-in-Time 管理時的生命週期和驗證保護,例如 Multi-Factor Authentication (MFA)。MFA 有助於防止來自惡意軟體或後續認證竊取的程式設計攻擊。

  3. 作業:符合驗證需求並核准要求之後,會將使用者帳戶加入防禦樹系中的特殊權限群組。例如,Microsoft SharePoint 系統管理員可以要求權限。該要求可能需要 MFA,之後才能加以核准。SharePoint 系統管理員透過電話進行驗證之後,會將系統管理員的帳戶加入防禦樹系中的特殊權限群組達指定的時間,例如 4 小時。在這段時間,系統管理員將擁有所有的特殊權限,以及指派給該群組的存取權限。4 小時之後,會從群組中移除帳戶。

  4. 監視:PIM 加入特殊權限存取要求的稽核、警示和報告。您隨時可以檢閱特殊權限存取記錄,並查看執行活動的人員。您可以了解活動是否有效,並輕鬆地找出未經授權的活動,例如在原始樹系中嘗試直接將使用者加入特殊權限群組。這個步驟不僅對找出惡意軟體很重要,對於追蹤「內部」攻擊者也很重要。

PIM 是基於 AD DS 中的新功能,尤其是網域帳戶驗證與授權,以及 MIM 中的新功能。PIM 提供方法將特殊權限帳戶從現有的 Active Directory 環境中分隔。需要使用特殊權限帳戶時,就必須先要求,然後等待核准。核准之後,特殊權限帳戶會提供透過新防禦樹系 (而不是使用者或應用程式目前的樹系) 中的外部主體群組取得權限。使用防禦樹系可提供組織更大控制權,例如當使用者可以是特殊權限的群組的成員,以及使用者需要的驗證方式。

Active Directory、MIM 服務和此解決方案的其他部分也可以部署在高可用性組態。

下列範例會示範 PIM 更詳細的運作方式。

MIM_PIM_howitworks

這種系統管理存取模式可讓防禦樹系發出時間有限的群組成員資格,如此可產生時間有限的 TGT,供現有的 Kerberos 式應用程式或服務遵守並實施,包括其他樹系中信任防禦樹系的應用程式和服務。

使用者的日常帳戶不需要移至以特定功能層級運作的新樹系。不論其功能等級為何,這些帳戶都會留在其現有樹系。電腦、應用程式和其群組也是如此。它們會保持在目前現有的樹系中。它們不需要升級。考慮對這些網路安全性問題有顧慮,但沒有立即計劃將伺服器基礎結構升級到新版的 Windows Server 的組織範例。該組織仍可使用 MIM 和新的防禦樹系來運用這項結合的解決方案,並可以對現有資源的存取有更好的控制權。

PIM 提供下列優點:

  • 權限的隔離/約制:對於可執行不需特殊權限存取之工作的帳戶,使用者不需持有特殊權限。例如,如果使用者有用於檢查電子郵件或瀏覽網頁之類的日常活動的帳戶,這些帳戶沒有任何系統管理員權限。使用者必須要求權限。要求是依據 PIM 系統管理員所定義的 MIM 原則來核准或拒絕。在核准要求之後,特殊權限存取才可供使用。

  • 升級和提升證明:這些是新的驗證和授權挑戰,可協助您管理不同系統管理帳戶的生命週期。使用者可以要求提高系統管理帳戶的權限,而該要求會透過 MIM 工作流程。

  • 額外的記錄功能:除了內建的 MIM 工作流程,還有 PIM 的額外記錄功能,可識別要求、其授權方式,以及在核准之後發生的任何事件。

  • 可自訂的工作流程:可以針對不同的案例設定 MIM 工作流程,而且可以根據提出要求之使用者或要求的角色的參數,使用多個工作流程。

使用者可以提交要求的方式有多種:使用傳統選項,例如 MIM Services Web 服務 API,以及使用新的介面:透過 REST 端點和 Windows PowerShell (New-PAMRequest),它可以讓使用者輕鬆建立新要求。

例如,假設使用者在設定 PIM 之前是系統管理群組的成員。隨著 PIM 的設定,會從系統管理群組移除使用者,並在 MIM 中建立原則。原則會指定如果該使用者要求系統管理權限並透過 MFA 驗證,會核准要求並且將使用者的個別帳戶加入至防禦樹系中的特殊權限群組。

假設核准要求之後,動作工作流程會直接與防禦樹系 Active Directory 通訊,以將使用者放在群組中。例如,當 Jen 要求管理 HR 資料庫,Jen 的系統管理帳戶會在數秒內被加入至防禦樹系中的特殊權限群組。她在該群組中的系統管理帳戶成員資格會在某個時間限制之後到期,例如一小時、一天、一週或是適合該要求的特定時間。對於 Windows Server Technical Preview,該成員資格會與 Active Directory 相關聯達限定的時間;對於在防禦樹系中的 Windows Server 2012 R2,該時間限制是由 MIM 實施。

System_CAPS_note注意事項

當您將新成員加入至群組時,變更必須複寫到防禦樹系中的其他網域控制站 (DC)。複寫延遲可能會影響使用者存取資源的能力。如需有關複寫延遲的詳細資訊,請參閱 Active Directory 複寫拓撲的運作方式

相較之下,安全性帳戶管理員 (SAM) 會即時評估即將到期的連結。這表示,即使加入群組成員是一項需要由接收存取要求的 DC 進行複寫的變更,移除群組成員則不需要進行複寫。它會在任何 DC 上立即進行評估。

此工作流程專供這些系統管理帳戶使用。僅偶爾需要特殊權限群組存取的系統管理員 (或甚至是指令碼) 可以精確地要求該存取。MIM 會在 Active Directory 中記錄要求和變更,然後您可以在事件檢視器中檢視它們。您可以輕鬆將此系統的輸出傳送至企業監視解決方案,例如 System Center 2012 - Operations Manager Audit Collection Services (ACS) 或其他協力廠商工具。

工作流程完成之後,使用者可以確認他們在防禦樹系中的帳戶位於相同群組,在該群組中其現有 (在上圖中的 "Corp") 的樹系帳戶原先為其成員,就好像它們一直以來是其成員。然後他們可以在防禦樹系中使用其帳戶來存取現有樹系中的現有應用程式。當票證到期之後,除非將權限更新,否則這些存取權限將會自動消失,且其所有群組成員資格也會到期。

顯示: