Table of contents
TOC
摺疊目錄
展開目錄

保護特殊權限存取

Corey Plett|上次更新日期: 2016/12/6
|
1 投稿人

適用於︰Windows Server 2016

保護特殊權限存取是針對現代組織中的企業資產建立安全性保證時重要的第一個步驟。 組織中大部分或所有企業資產的安全性都需仰賴管理 IT 系統的特殊權限帳戶的完整性。 這些帳戶和迅速取得特定對象的資料和使用的認證竊取攻擊的系統存取權的具有特殊權限存取的其他元素的目標充滿網路攻擊 階段--雜湊與階段票證

為保護系統管理存取的安全以對抗這些積極的攻擊者,您需要採取完整且深思熟慮的方法來隔絕這些系統風險。 此圖針對區分並保護這份藍圖中的管理說明三個建議階段:

此圖針對區分並保護這份藍圖中的管理顯示三個建議階段

藍圖目標︰

  • 2 到 4 週計劃︰ 快速減少最常用的攻擊技術

  • 1-3 月計劃︰ 建置可見度及控制項的系統管理員活動

  • 6 + 月份計劃︰ 繼續建置防禦以更主動的安全性姿勢

Microsoft 建議您遵循這份藍圖來保護特殊權限存取以對抗積極的攻擊者。 您可能需要調整這份藍圖以容納您現有的功能以及您組織中的特定需求。

注意事項

保護特殊權限存取需要更廣泛的項目,包括技術元件 (主機防禦、帳戶保護、身分識別管理等) 以及處理程序的變更,和系統管理實務與知識。

保護特殊權限存取為何如此重要?

在多數組織中,大部分或所有企業資產的安全性都仰賴管理 IT 系統的特殊權限帳戶的完整性。 網路攻擊者會重點攻擊系統的特殊權限存取 (例如 Active Directory) 以快速取得所有組織目標資料的存取權。

傳統的安全性方法著重於使用組織網路的輸入和輸出點做為主要安全性範疇,但網路安全性的有效性已經因為兩個趨勢而明顯降低︰

  • 組織要在傳統網路界限之外,於行動企業電腦 (像是行動電話與平板電腦、雲端服務,以及 BYOD 裝置等裝置) 上裝載資料與資源

  • 攻擊者已透過網路釣魚和其他網路與電子郵件攻擊,取得網路界限內部工作站存取權,展現出一致且持續的攻擊能力。

在複雜的現代化企業中,能夠自然取代網路安全性範疇的是組織身分識別層級中的驗證與授權控制項。 特殊權限的系統管理帳戶可以有效地控制這個新的「安全性範疇」,因此保護特殊權限存取非常重要:

此圖顯示組織的身分識別層級

取得系統管理帳戶控制權的攻擊者可以使用那些權限,靠犧牲目標組織如下所述的代價來追求其個人目的:

此圖顯示取得系統管理帳戶控制權的攻擊者可以使用那些權限,靠犧牲目標組織的代價來追求其個人目的

如需有關的攻擊,通常會導致攻擊者在系統管理員帳戶的控制項類型的詳細資訊,請瀏覽 傳送雜湊網站 傳達資訊的白皮書、 影片及更多。

此圖會說明藍圖所建立,用於系統管理的個別「通道」,以隔離特殊權限存取作業和高風險標準使用者作業 (例如網頁瀏覽與存取電子郵件)。

此圖顯示藍圖所建立,用於系統管理的個別「通道」,以隔離特殊權限存取工作和高風險標準使用者工作 (例如網頁瀏覽與存取電子郵件)

因為攻擊者可以使用各種方法來取得特殊權限存取的控制權,所以降低此風險需要周密而詳細的技術方法,如本藍圖中所述。 藍圖會透過在此圖中防禦資料行各個區域中建置防護功能,來隔離並強化您環境中啟用特殊權限存取的項目:

此表格顯示攻擊和防禦欄

特殊權限存取的安全性藍圖

該藍圖的設計目的是要充分運用您可能已經部署的技術、利用目前與即將推出的重要安全性技術,以及整合任何您可能已經部署的協力廠商安全性工具。

Microsoft 建議的藍圖分成 3 個階段︰

  • 2-4 週計劃︰快速減輕受到最常用攻擊技術攻擊的風險

  • 1-3 個月計劃︰建置管理活動的可視性及控制權

  • 6 個月以上計畫:繼續建置更積極主動的安全性防護功能

藍圖每一個階段的設計目的是提高攻擊者攻擊您內部部署與雲端資產特殊權限存取的成本與困難度。 藍圖已根據我們對這些攻擊的經驗和解決方案的實作經驗,優先排定最有效、最快速的實作。

注意事項

藍圖的時間表為估計值,並且依我們的經驗與客戶實作為根據。 根據您的環境與變更管理處理程序的複雜程度,組織中的持續時間會有所不同。

特殊權限存取的安全性藍圖:第 1 階段

第 1 階段的藍圖著重在快速減輕受到最常用的認證竊取與不當使用攻擊技術攻擊的風險。 第 1 階段是設計為在大約 2-4 週的時間內實作,如此圖中所示:

此圖顯示第 1 階段是設計為在大約 2-4 週的時間內實作

第 1 階段特殊權限存取的安全性藍圖包含下列元件︰

1.分隔系統管理工作的系統管理員帳戶

若要分隔系統管理權限和網際網路風險 (網路釣魚攻擊、網頁瀏覽),請為所有具備系統管理權限的人員建立專用帳戶。 在此的其他指導方針包含在發佈的爪指示 以下

2.具有特殊權限存取工作站 (腳印) 階段 1: Active Directory 系統管理員 」

若要分隔網域系統管理權限和網際網路風險 (網路釣魚攻擊、網頁瀏覽),請為所有具備 AD 系統管理權限的人員建立專用特殊權限存取工作站 (PAW)。 這是爪程式的第一個步驟,而且是發佈的指導方針的階段 1 以下

3.唯一的本機系統管理員密碼工作站

4.唯一的本機系統管理員密碼的伺服器

若要減輕攻擊者從本機 SAM 資料庫竊取本機系統管理員帳戶密碼雜湊,並濫用它攻擊其他電腦的風險,您應該使用 LAPS 工具在各個工作站與伺服器上設定唯一的隨機密碼,並在 Active Directory 中註冊這些密碼。 您可以取得工作站及伺服器上使用本機系統管理員密碼方案 以下

您可以找到的其他指導方針作業系統的環境與圈和腳印 以下

特殊權限存取的安全性藍圖:第 2 階段

第 2 階段是以第 1 階段的防護功能為建置基礎,且是設計為在約 1-3 個月的時間內實作完成。 此階段的步驟會在此圖表中說明︰

此圖顯示第 2 階段的步驟

1.爪階段 2 與 3︰ 所有系統管理員 」 和其他強化

若要分隔所有特殊權限系統管理帳戶和網際網路風險,請繼續使用您在第 1 階段中開始的 PAW,並針對所有具備特殊權限存取的人員實作專用的工作站。 此對應到階段 2 與 3 的指導方針發佈 以下

2.時間繫結權限 (沒有永久的系統管理員)

若要降低權限的公開時間並增加使用的可見性,請使用如下所示的其中一個適當解決方案即時提供權限 (JIT):

3.多重要素時間繫結提高的權限

若要提高系統管理員驗證的保證層級,您應該在授予權限之前要求多重要素驗證 。 這可以使用 Azure 多重要素驗證 (MFA) 透過 MIM PAM 以及 Azure AD PIM 完成。

4.DC 維護剛好足以系統管理員 (JEA)

若要降低具備網域系統管理權限的帳戶數量與暴露在相關風險的機率,請使用 PowerShell 中的 Just Enough Administration (JEA) 功能,來執行網域控制站上的一般維護作業。 JEA 技術可讓特定使用者執行伺服器 (例如網域控制站) 上的特定系統管理作業,而不需要提供他們系統管理員權限。 下載從這個指導方針 TechNet

5.較低的網域和網域控制站的攻擊面

若要降低攻擊者可控制樹系的機會,您應該減少攻擊者可控制網域控制站的路徑,或是控制網域的物件。 請依照下列指導方針,以降低風險發佈 以下

6.攻擊偵測

為使用中的認證竊取和身分識別取得可見度攻擊,這樣您可以快速地回應事件,並包含損毀,部署和設定 Microsoft 進階威脅分析 (ATA)

安裝 ATA 之前,您應該確定您具備處理程序,可處理 ATA 可能會偵測到的主要安全問題。

  • 如需有關設定事件回應程序的詳細資訊,請參閱 IT 安全性事件的回應 和 「 回應可疑活動 」 和 「 從此破壞 」 區段 安全防護階段--雜湊與其他認證竊取, ,第 2 版。

  • 上吸引人的 Microsoft 服務,以協助進行 ATA 產生事件與部署 ATA 準備您的紅外線程序的詳細資訊,請連絡您的 Microsoft 代表連絡,透過存取 此頁面

  • 存取 此頁面 上吸引人的 Microsoft 服務,以協助調查和從事件修復的更多資訊

  • 若要實作 ATA,請依照可用的部署指南 以下

特殊權限存取的安全性藍圖:第 3 階段

藍圖的第 3 階段是以第 1 階段和第 2 階段的防護功能為建置基礎,來強化並新增跨範圍的防護功能。 第 3 階段會以視覺化的方式在此圖中說明︰

此圖顯示第 3 階段

這些功能將會以之前各個階段的防護功能為建置基礎,並讓您的防護成為更積極主動的防護。

1.現代化角色和委派模型

若要降低安全性風險,您應該重新設計您的角色和委派模型的所有層面以符合階層模型的規則、容納雲端服務系統管理角色,並以系統管理員可用性做為關鍵原則。 此模型應該利用先前各階段中已部署的 JIT 與 JEA 功能,以及作業自動化技術來完成這些目標。

2.智慧卡或 Passport 驗證所有系統管理員 」

若要提高系統管理員驗證的保證層級與可用性,您應該針對 Azure Active Directory 以及您 Windows Server Active Directory (包括聯盟至雲端服務的帳戶) 中託管的所有系統管理帳戶要求增強式驗證。

3.系統管理員樹系 Active Directory 的系統管理員

若要為 Active Directory 系統管理員提供最強大的保護,請建置和您的正式生產用 Active Directory 沒有安全相依性的環境,並且與除了您正式生產環境中最受信任的系統之外的所有系統隔離,以避免受到來自那些系統的攻擊。 如需詳細資訊,ESAE 架構上瀏覽 本頁

4.程式碼完整性 」 原則 dc (伺服器 2016)

若要降低您網域控制站上未經授權程式的風險,以避免攻擊者攻擊作業與意外的管理錯誤,請針對核心 (驅動程式) 與使用者模式 (應用程式) 設定 Windows Server 2016 程式碼完整性,以僅允許授權的可執行檔在該電腦上執行。

5.護套 Vm 虛擬 dc (伺服器 2016 HYPER-V 構造)

若要保護虛擬網域控制站避免受到利用虛擬電腦缺乏實體安全性作為攻擊媒介的攻擊,請使用這個新的 Server 2016 Hyper-V 功能,協助防止從虛擬網域控制站竊取 Active Directory 密碼。 使用此解決方案,您就可以將第 2 代 VM 加密來保護 VM 資料避免被儲存體與網路系統管理員檢查、竊取與竄改,並強化 VM 存取以避免受到 Hyper-V 主機系統管理員攻擊。

我完成了嗎?

完成這份藍圖,將會讓您取得增強式特殊權限存取保護能力,對抗目前攻擊者已知且可取得的攻擊方式。 不過,由於安全性威脅將會不斷地發展及演變,因此我們建議您將安全性視為一項持續的過程,並將重點放在提高攻擊者以您的環境做為攻擊目標時須付出的成本並降低其攻擊成功率。

保護特殊權限存取是針對現代化組織中的企業資產建立安全性保證時非常重要的第一個步驟,但是它並不是完整安全性計劃的唯一一部份,計劃中還需要包括像是原則、作業、資訊安全性、伺服器、應用程式、電腦、裝置、雲端網狀架構以及其他元件,來提供您需要的安全性保證。

如需建立完整的安全性藍圖的詳細資訊,請參閱 「 客戶責任及藍圖 」 一節,可用的企業架構文件的 Microsoft 雲端安全性 以下

如需有關吸引人的 Microsoft 服務,以協助使用任何這些主題的詳細資訊,請連絡您的 Microsoft 代表連絡或瀏覽 此頁面

相關主題

頂級體驗︰如何減輕傳遞雜湊和其他形式認證竊取的風險

Microsoft 進階威脅分析

使用 Credential Guard 保護衍生的網域認證

Device Guard 概觀

使用安全的系統管理工作站保護高價值的資產

Windows 10 中隔離的使用者模式 - Dave Probert (Channel 9)

Logan Gabriel 主講:Windows10 中隔離的使用者模式程序和功能 (第 9 頻道)

Dave Probert 主講:深入探討 Windows10 隔離的使用者模式中的程序和功能 (第 9 頻道)

使用 Windows10 隔離的使用者模式來減少認證竊取 (第 9 頻道)

在 Windows Kerberos 中啟用嚴格 KDC 驗證

WindowsServer 2012 之 Kerberos 驗證的新功能

WindowsServer 2008 R2 中 AD DS 的驗證機制保證逐步指南

信賴平台模組

© 2017 Microsoft