Rozšířené prostředí Správa zabezpečení
Architektura rozšířeného zabezpečení Správa Environment (ESAE) (často označovaná jako červená doménová struktura, doménová struktura pro správu nebo posílená doménová struktura) je starší přístup k zajištění zabezpečeného prostředí pro identity správců služby Windows Server Active Directory (AD).
Doporučení Microsoftu k použití tohoto modelu architektury nahradila moderní strategie privilegovaného přístupu a pokyny k rychlé modernizaci (RAMP) jako výchozí doporučený přístup pro zabezpečení privilegovaných uživatelů. Cílem těchto pokynů je inkluzivně přizpůsobit širší strategii pro přechod k nulová důvěra (Zero Trust) architektuře. Vzhledem k těmto modernizovaným strategiím se architektura doménové struktury pro správu (místní nebo cloudová) v ESAE považuje za vlastní konfiguraci, která je vhodná pouze pro případy výjimek.
Scénáře pro trvalé použití
I když už se nejedná o doporučenou architekturu, může být ESAE (nebo jednotlivé součásti v ní) stále platné v omezené sadě vyloučených scénářů. Tato místní prostředí jsou obvykle izolovaná, kde můžou být cloudové služby nedostupné. Tento scénář může zahrnovat kritickou infrastrukturu nebo jiná odpojená provozní prostředí (OT). Je však třeba poznamenat, že segmenty ICS/SCADA (Industrial Control System/Supervisory Control System/Supervisory Control and Data Acquisition) prostředí obvykle nevyužívají vlastní nasazení služby Active Directory.
Pokud je vaše organizace v jednom z těchto scénářů, udržování aktuálně nasazené architektury ESAE v plném rozsahu může být stále platné. Je však nutné pochopit, že vaše organizace způsobuje dodatečné riziko kvůli zvýšené technické složitosti a provozním nákladům na údržbu ESAE. Společnost Microsoft doporučuje, aby všechny organizace stále používaly ESAE nebo jiné starší kontrolní mechanismy zabezpečení identit, použily zvláštní rigorii pro monitorování, identifikaci a zmírnění souvisejících rizik.
Poznámka:
I když Microsoft už nedoporučuje izolovaný model posílené doménové struktury pro většinu scénářů ve většině organizací, Microsoft stále pracuje interně s podobnou architekturou (a přidruženými procesy a pracovníky podpory) kvůli extrémním požadavkům na zabezpečení pro poskytování důvěryhodných cloudových služeb organizacím po celém světě.
Pokyny pro existující nasazení
Pro zákazníky, kteří už tuto architekturu nasadili, aby zlepšili zabezpečení nebo zjednodušili správu více doménových struktur, není nutné vyřadit z provozu nebo nahradit implementaci ESAE, pokud je provozovaná tak, jak je navržená a zamýšlená. Stejně jako u všech podnikových systémů byste měli software udržovat v něm tak, že použijete aktualizace zabezpečení a zajistíte, aby software byl v rámci životního cyklu podpory.
Microsoft také doporučuje organizacím s esae nebo posílenými doménovými strukturami používat moderní strategii privilegovaného přístupu s využitím pokynů k rychlé modernizaci (RAMP ). Tyto pokyny doplňují stávající implementaci ESAE a poskytují odpovídající zabezpečení pro role, které ještě nejsou chráněné funkcí ESAE, včetně správců Microsoft Entra, citlivých podnikových uživatelů a standardních podnikových uživatelů. Další informace najdete v článku Zabezpečení úrovní zabezpečení privilegovaného přístupu.
Když byla služba ESAE původně navržena před více než 10 lety, zaměřila se na místní prostředí se službou Active Directory (AD), která slouží jako místní zprostředkovatel identity. Tento starší přístup je založený na technikách segmentace maker, které umožňují dosáhnout nejnižších oprávnění a nebere v úvahu adekvátně hybridní nebo cloudová prostředí. Kromě toho se funkce ESAE a posílené doménové struktury zaměřují pouze na ochranu místních správců Windows Serveru Active Directory (identit) a nepočítá se s jemně odstupňovanými ovládacími prvky identit a dalšími technikami obsaženými ve zbývajících pilířích moderní architektury nulové důvěryhodnosti. Společnost Microsoft aktualizovala své doporučení na cloudová řešení, protože je možné je nasadit rychleji, aby chránila širší rozsah rolí a systémů citlivých na správu a firmy. Kromě toho jsou méně složité, škálovatelné a vyžadují menší kapitálové investice, aby se zachovaly.
Poznámka:
I když se už ESAE nedoporučuje v plném rozsahu, Microsoft si uvědomuje, že mnoho jednotlivých součástí, které jsou v nich obsažené, jsou definovány jako dobrá kybernetická hygiena (např. vyhrazené pracovní stanice s privilegovaným přístupem). Vyřazení ESAE není určeno k tomu, aby organizace opustily dobré postupy kybernetické hygieny, pouze aby posílily aktualizované architektonické strategie pro ochranu privilegovaných identit.
Příklady osvědčených postupů pro kybernetickou hygienu v ESAE, které platí pro většinu organizací
- Používání pracovních stanic s privilegovaným přístupem pro všechny aktivity správy
- Vynucení vícefaktorového ověřování založeného na tokenech nebo vícefaktorového ověřování pro přihlašovací údaje pro správu, i když se v celém prostředí široce nepoužívá
- Vynucení minimálního oprávnění Správa istrativní model prostřednictvím pravidelného posouzení členství ve skupině nebo rolí (vynucené silnými zásadami organizace)
Osvědčený postup pro zabezpečení místní služby AD
Jak je popsáno ve scénářích pro trvalé použití, může docházet k okolnostem, kdy migrace do cloudu není dosažitelná (buď částečně, nebo v plném rozsahu) z důvodu různých okolností. Pokud tyto organizace ještě nemají stávající architekturu ESAE, Microsoft doporučuje omezit prostor pro útoky na místní službu AD zvýšením kategorie zabezpečení pro active directory a privilegované identity. I když seznam není vyčerpávající, zvažte následující doporučení s vysokou prioritou.
- Použijte vrstvený přístup, který implementuje model správy s nejnižšími oprávněními:
- Vynucujte absolutní minimální oprávnění.
- Zjišťování, kontrola a auditování privilegovaných identit (silná vazba k zásadám organizace)
- Udělení nadměrného oprávnění je jedním z nejidentifikovaných problémů v hodnocených prostředích.
- Vícefaktorové ověřování pro účty pro správu (i když se široce nepoužívá v celém prostředí).
- Privilegované role založené na čase (snížení nadměrného počtu účtů, posílení schvalovacích procesů)
- Povolte a nakonfigurujte všechny dostupné auditování privilegovaných identit (upozorněte na povolení nebo zakázání, resetování hesla, další úpravy).
- Použití pracovních stanic s privilegovaným přístupem :
- Nespravujte pracovní stanice s privilegovaným přístupem z méně důvěryhodného hostitele.
- Pro přístup k pracovní stanici s privilegovaným přístupem použijte vícefaktorové ověřování.
- Nezapomeňte na fyzické zabezpečení.
- Vždy se ujistěte, že pracovní stanice s privilegovaným přístupem používají nejnovější nebo aktuálně podporované operační systémy.
- Vysvětlení cest útoku a vysoce rizikových účtů / aplikací:
- Určete prioritu monitorování identit a systémů, které představují největší riziko (cíle příležitostí / vysokého dopadu).
- Vymýtit opakované použití hesla, včetně přes hranice operačního systému (běžná technika laterálního pohybu).
- Vynucujte zásady omezující aktivity, které zvyšují riziko (procházení internetu ze zabezpečených pracovních stanic, účtů místního správce ve více systémech atd.).
- Omezte aplikace na řadičích domény nebo Active Directory (každá přidaná aplikace je navíc prostor pro útoky).
- Eliminujte nepotřebné aplikace.
- Pokud je to možné, přesuňte aplikace do jiných úloh mimo /DC.
- Neměnné zálohování služby Active Directory:
- Kritická komponenta pro zotavení z infekce ransomwaru.
- Plán pravidelného zálohování.
- Uložené v cloudovém nebo off-site umístění diktovaném plánem zotavení po havárii.
- Provedení posouzení zabezpečení služby Active Directory:
- K zobrazení výsledků (přizpůsobený řídicí panel Log Analytics) se vyžaduje předplatné Azure.
- Podporované nabídky na vyžádání nebo technik Microsoftu
- Ověřte nebo identifikujte pokyny z posouzení.
- Microsoft doporučuje provádět hodnocení na roční bázi.
Komplexní pokyny k těmto doporučením najdete v osvědčených postupech pro zabezpečení služby Active Directory.
Doplňková doporučení
Microsoft rozpozná, že některé entity nemusí být schopné plně nasadit cloudovou architekturu nulové důvěryhodnosti kvůli různým omezením. Některá z těchto omezení byla zmíněna v předchozí části. Organizace můžou místo úplného nasazení řešit rizika a postupovat směrem k nulové důvěryhodnosti a zároveň udržovat starší zařízení nebo architektury v prostředí. Kromě výše uvedených pokynů vám následující možnosti můžou pomoct zvýšit zabezpečení vašeho prostředí a sloužit jako výchozí bod pro přijetí architektury nulové důvěryhodnosti.
Microsoft Defender for Identity (MDI)
Microsoft Defender for Identity (MDI) (formálně Azure Advanced Threat Protection nebo ATP) podporuje architekturu nulové důvěry Microsoftu a zaměřuje se na pilíř identity. Toto cloudové řešení používá signály z místní služby AD i ID Microsoft Entra k identifikaci, zjišťování a prošetřování hrozeb zahrnujících identity. MDI monitoruje tyto signály a identifikuje neobvyklé a škodlivé chování uživatelů a entit. MdI zejména usnadňuje možnost vizualizovat cestu laterálního pohybu nežádoucího uživatele tím, že zvýrazňuje způsob použití daného účtu v případě ohrožení zabezpečení. Analýza chování MDI a funkce standardních hodnot uživatelů jsou klíčovými prvky pro určení neobvyklé aktivity v rámci vašeho prostředí AD.
Poznámka:
I když MDI shromažďuje signály z místní služby AD, vyžaduje cloudové připojení.
Microsoft Defender for Internet of Things (D4IoT)
Kromě dalších pokynů popsaných v tomto dokumentu můžou organizace provozované v jednom z výše uvedených scénářů nasadit Microsoft Defender for IoT (D4IoT). Toto řešení obsahuje pasivní síťový senzor (virtuální nebo fyzický), který umožňuje zjišťování prostředků, správu inventáře a analýzu chování na základě rizik pro prostředí Internetu věcí (IoT) a provozní technologie (OT). Je možné ho nasadit v místních prostředích, která jsou mimo provoz, nebo v cloudových prostředích a má kapacitu k provedení hloubkové kontroly paketů na více než 100 vlastnických síťových protokolech ICS/OT.
Další kroky
Projděte si následující články: