適用於分割系統管理權限的階層模型

 

雖然周邊仍是大型策略的有效元件,但現今的威脅環境已使周邊重點防禦的效率崩解。 失去此周邊會要求組織假設已發生漏洞,並據此設計運算和商務資源的防禦功能。 為了讓組織能夠大規模進行管理,本文件說明用來防止提高權限的安全性模型,以提供良好的使用者經驗 (同時仍符合最佳作法和安全性原則)。

將系統管理權限分割成不同層,可簡化決定哪些使用者和群組適合包含在防禦環境中的程序。

已獲得 Windows Server Active Directory 樹系的永久完整系統管理權限的使用者、服務或應用程式帳戶,為組織的任務和業務帶來了大量的風險。 這些帳戶通常會成為攻擊者的目標,如果遭到入侵,攻擊者通常會立即擁有權限來連線至網域中的任何其他伺服器或應用程式。

在某些部署中,已透過這些角色可以有效地控制的帳戶、伺服器和應用程式來設定網域,這樣帳戶操作員和伺服器操作員便是有效的完全系統管理員。 在大部分情況下,這些設定可支援應用程式對網域中的所有用戶端及/或伺服器,或網域中的所有使用者或電腦帳戶行使系統管理權限的需求。 但有少數應用程式需要這兩種權限,因此授與目錄管理員這兩種權限,可產生對攻擊者或惡意內部人士有利的過多權限狀態。

下列指導方針提供簡單的模型,以便快速將現有的資源分類以及設定區域來限制帳戶使用。 此模型會使 Biba 和 Bell-LaPadula 階層式模型適應系統管理控制,並由三層系統管理權限 (加上一層適用於不是整個網域之系統管理員的一般使用者) 表示。 若要更妥善分割和管理系統管理存取權限,可根據對組織作業和任務的影響程度,將帳戶與應用程式分類成四個權限層:

  • 第 0 層:樹系管理員 - Active Directory 樹系、網域或網域控制站的直接或間接系統管理控制

  • 第 1 層:伺服器管理員 - 對於一部或多部伺服器的直接或間接系統管理控制

  • 第 2 層:工作站管理員 - 對於多個裝置的直接或間接系統管理控制

  • 第 3 層: – 對於單一裝置的非特殊權限使用者或系統管理控制

特定商務需求可能需要其他層或其他分割,但此模型可以做為起點。

pam-tiers

分層式權限模型指導方針

此模型主要是為了阻止使用失竊認證的攻擊者的權限提高路徑,並由下列規則所定義:

  1. 所要管理的所有資源 (群組、帳戶、伺服器、工作站、Active Directory 物件或應用程式) 將會歸類為一層,以阻止使用認證竊取技術的攻擊者的權限提高路徑。

  2. 負責登入並管理多層資源的人員,會擁有針對每個必要層所建立的個別系統管理帳戶。 目前登入多個類別的帳戶將會分割成多個帳戶,而每個帳戶僅符合一層定義。 這些帳戶也必須有不同的密碼。

  3. 系統管理帳戶無法透過系統管理存取權來控制較高層資源,例如存取控制清單 (ACL)、應用程式代理程式或服務帳戶的控制。 控制較高層的帳戶無法登入較低層的電腦,因為登入這類電腦可能會公開已指派給該帳戶的帳戶認證和權限,以及不小心地授與其控制權。 在某些特定例外狀況下,可以使用遠端桌面連線 (搭配使用 RDP 與受限的系統管理模式),而不會暴露認證。

  4. 系統管理帳戶可以控制其角色所需的較低層資源,但只能透過位於較高層且不會公開認證的管理介面 — 例如,透過網域控制站 (第 0 層) 上的 Active Directory 管理主控台來管理伺服器管理員 Active Directory 帳戶物件 (第 1 層) 的網域系統管理員帳戶 (第 0 層)。

  5. 每個包含電腦帳戶的組織單位 (OU) 只能包含該特定一層的電腦帳戶。 如果 OU 包含多層的電腦帳戶,則某一層的電腦帳戶將會移至另一個網域、OU,或著會建立個別的子 OU 以容納個別一層。

第 0 層 – 網域/樹系管理員

可控制這一層中的群組、帳戶、網域控制站、特殊 Active Directory 物件和應用程式的任何人員,都能夠在網域或樹系中隨處執行任意程式碼。 第 0 層的範圍相對於單一 Active Directory 網域,但某些帳戶或其他元素可能會影響多個網域中的第 0 層。 第 0 層包含:

伺服器和工作站

  • 網域控制站
  • 伺服器,其裝載可在網域控制站上控制代理程式的管理應用程式
  • 第 0 層帳戶登入的伺服器或工作站,包括任何已公開第 0 層認證的伺服器或工作站 (例如使用相同帳戶認證來執行服務的伺服器/工作站,其在第 0 層伺服器上執行服務,不然用來管理第 0 層伺服器)

Active Directory 物件

  • 每個網域的系統容器中的 AdminSDHolder 物件
  • 網域命名內容中的系統容器
  • 網域控制站 OU
  • 包含第 0 層物件的任何 OU (包括父系 OU)
  • 連結至第 0 層 OU 的任何群組原則

Active Directory 群組

  • 內建和預先定義的 AD 群組,以及這些群組的成員包含:

  • Domain Admins

  • Enterprise Admins

  • Schema Admins

  • Builtin\Administrators

  • Account Operators

  • Backup Operators

  • 已被委派等同於第 0 層群組之權限 (以上所列) 的群組,包含下列權限:

  • 能夠在 Active Directory 中修改任何或幾乎任何的物件

  • 能夠在任何第 0 層帳戶上重設密碼

  • 已被授與任何其他第 0 層物件 (使用者、群組、電腦、OU、群組原則或特殊物件) 之修改或完整控制權限的群組

帳戶

  • 內建的 Administrator 帳戶
  • 身為任何第 0 層群組成員的帳戶
  • 對任何第 0 層物件具有寫入或完整控制權限的帳戶
  • 已被委派等同於第 0 層群組之權限 (包含以上第 0 層群組中所列的權限) 的群組
  • 對第 0 層中的應用程式具有系統管理權限的帳戶

應用程式

  • 在網域控制站上以服務方式執行的應用程式
  • 在網域控制站上控制代理程式的應用程式

硬體與裝置

  • 第 0 層系統執行所在的硬體 (請注意,這可能取決於是否已針對網域控制站部署有防護的 VM)
  • 具有網域控制站實體硬體存取權的任何人員,類似系統和備份
  • 對裝載第 0 層虛擬化電腦的虛擬機器主機有系統管理權限的任何人員
  • 在其中輸入或儲存第 0 層認證的裝置 (例如用於遠端存取的行動裝置)

第 1 層 – 伺服器和應用程式管理員

可在生產 Active Directory 網域環境中控制非網域控制站的伺服器和系統管理群組及其帳戶的任何人員,都能夠在這些伺服器上隨處執行任意程式碼。 第 1 層的範圍相對於單一 Active Directory 網域。 第 1 層資源包括符合下列準則 (並不歸類為第 0 層) 的所有資源:

伺服器和工作站

  • 已加入網域的伺服器
  • 第 1 層帳戶登入的工作站,包括任何已公開第 1 層認證的工作站 (例如使用相同帳戶認證來執行服務的工作站,其在第 1 層伺服器上執行服務,不然用來管理第 1 層伺服器)

Active Directory 物件

  • 包含第 1 層物件的任何 OU
  • 連結至第 1 層 OU 的任何群組原則

Active Directory 群組

  • 伺服器操作員群組 (或其成員的群組)
  • 成員已被授與任何第 1 層物件之寫入或完整控制權限的群組,或已被授與任何第 1 層物件 (使用者、群組、電腦、OU 或群組原則物件) 之修改或完整控制權限的群組

帳戶

  • 身為任何第 1 層群組成員的帳戶
  • 具有任何其他第 1 層物件之寫入或完整控制權限的帳戶 (經常是技術支援帳戶),包含已被委派等同於第 1 層群組之權限 (包含以上第 1 層群組中所列的權限) 的帳戶
  • 在一或多部伺服器上身為本機 Administrators 群組成員的帳戶
  • 對第 1 層應用程式具有系統管理權限的帳戶

應用程式

  • 在第 1 層伺服器上以服務方式執行的應用程式
  • 在第 1 層伺服器上控制代理程式的應用程式

硬體與裝置

  • 第 1 層系統執行所在的硬體
  • 可存取伺服器的實體硬體的任何人員
  • 對裝載第 1 層虛擬化電腦的虛擬機器主機有系統管理權限的任何人員
  • 在其中輸入或儲存第 1 層認證的裝置 (例如用於遠端存取的行動裝置)

第 2 層 - 工作站和一般使用者系統管理員

可在生產 Active Directory 網域環境中控制工作站和標準使用者的任何人員,都能夠在這些工作站上隨處執行任意程式碼或以標準使用者的身分執行。 第 2 層的範圍相對於單一 Active Directory 網域。 第 2 層資源包括符合下列準則 (並不歸類為第 0 層或第 1 層) 的所有資源:

工作站

  • 環境中任何使用者可能登入的工作站 (不包括第 1 層或第 0 層帳戶所使用的系統管理工作站)

Active Directory 物件

  • 包含第 2 層物件的任何 OU
  • 連結至第 2 層 OU 的任何群組原則

Active Directory 群組

  • 已被授與任何第 2 層或第 3 層物件 (使用者、群組、電腦、OU 或群組原則物件) 之修改或完整控制權限的群組
  • 在一或多個工作站上身為本機 Administrators 群組成員的群組 (例如技術支援管理員及其他電腦和一般使用者支援群組)。

帳戶

  • 身為任何第 2 層群組成員的帳戶
  • 在一或多個工作站上身為本機 Administrators 群組成員的帳戶

{這可能包括已被授與其工作站之系統管理權限的所有一般使用者。}

  • 對任何其他第 2 層物件具有寫入或完整控制權限的帳戶
  • 對第 2 層中的應用程式具有系統管理權限的帳戶

應用程式

  • 在工作站上以服務方式執行的應用程式
  • 在工作站上控制代理程式的應用程式

硬體與裝置

  • 第 2 層系統執行所在的硬體
  • 可存取工作站的實體硬體的任何人員
  • 對裝載第 2 層虛擬化電腦的虛擬機器主機有系統管理權限的任何人員
  • 在其中輸入或儲存第 2 層認證的裝置 (例如用於遠端存取的行動裝置)

第 3 層 – 標準使用者

這一層描述對網域中的多部電腦沒有系統管理權限的標準使用者。

通常需要重新制定系統管理作法,以限制對攻擊者暴露認證,才可遏制系統管理帳戶的認證竊盜風險。 第一個步驟,建議組織:

  • 限制會暴露系統管理認證的主機數目。
  • 將角色權限限制為所需的最小權限。
  • 切勿在用於標準使用者活動 (例如,電子郵件及網頁瀏覽) 的主機上執行系統管理工作。

下一個步驟是實作登入限制,並且讓處理程序和作法遵守階層模型需求。 在理想情況下,認證暴露也應該減少為角色在各層內所需的最小權限:

應強制執行登入限制以確保:

  • 網域系統管理員 (第 0 層) 無法登入企業伺服器 (第 1 層) 和標準使用者工作站 (第 2 層)。
  • 伺服器管理員 (第 1 層) 無法登入標準使用者工作站 (第 2 層)。

[注意] {伺服器管理員不得在網域系統管理員群組中。 負責管理網域控制站和企業伺服器的人員應該具備不同的帳戶。}

透過下列方式來強制執行登入限制:

  • 群組原則登入權限限制,包括 [拒絕從網路存取這台電腦]、[拒絕以批次工作登入]、[拒絕以服務方式登入]、[拒絕本機登入]、[拒絕透過遠端桌面登入] 設定
  • 驗證原則和定址接收器 (如果使用 Windows Server 2012 或更新版本)
  • 選擇性驗證 (如果帳戶在專用的系統管理樹系中)

下一份文件 (規劃防禦環境) 說明如何為 Microsoft Identity Manager 新增專用的系統管理樹系,以便建立系統管理帳戶。

顯示: