Расширенная среда администрирования безопасности
Архитектура расширенной среды администрирования безопасности (ESAE) (часто называемая красным лесом, лесом администрирования или защищенным лесом) — это устаревший подход для обеспечения безопасной среды для удостоверений администраторов Windows Server Active Directory (AD).
Рекомендация Майкрософт по использованию этого архитектурного шаблона заменена современной стратегией привилегированного доступа и плана быстрой модернизации (RAMP) рекомендациями по умолчанию для защиты привилегированных пользователей. Это руководство предназначено для инклюзивной адаптации более широкой стратегии для перехода к архитектуре Нулевого доверия. Учитывая эти модернизированные стратегии, архитектура ESAE защищенного административного леса (локальная или облачная) теперь считается настраиваемой конфигурацией, подходящей только для случаев исключения.
Сценарии непрерывного использования
Хотя это уже не рекомендуемая архитектура, ESAE (или отдельные компоненты) по-прежнему могут быть допустимыми в ограниченном наборе исключенных сценариев. Как правило, эти локальные среды изолированы, где облачные службы могут быть недоступны. Этот сценарий может включать критически важную инфраструктуру или другие отключенные операционные технологии (OT). Однако следует отметить, что сегменты системы управления промышленными системами управления и надзором и приобретением данных (ICS/SCADA) среды обычно не используют собственное развертывание Active Directory.
Если ваша организация находится в одном из этих сценариев, поддержка развернутой в настоящее время архитектуры ESAE в целом может быть допустимой. Однако необходимо понимать, что ваша организация несет дополнительный риск из-за повышенной технической сложности и операционных затрат на обслуживание ESAE. Корпорация Майкрософт рекомендует любой организации по-прежнему использовать ESAE или другие устаревшие элементы управления безопасностью удостоверений, применять дополнительную строгость для мониторинга, выявления и устранения связанных рисков.
Заметка
Хотя корпорация Майкрософт больше не рекомендует изолированную модель защищенного леса для большинства сценариев в большинстве организаций, корпорация Майкрософт по-прежнему управляет аналогичной архитектурой (и связанными процессами поддержки и персоналом) из-за экстремальных требований к безопасности для предоставления доверенных облачных служб организациям по всему миру.
Руководство по существующим развертываниям
Для клиентов, которые уже развернули эту архитектуру для повышения безопасности и (или) упрощения управления несколькими лесами, не требуется срочно выйти из эксплуатации или заменить реализацию ESAE, если она работает как разработанная и предназначенная. Как и в любых корпоративных системах, вы должны поддерживать программное обеспечение в нем, применяя обновления безопасности и гарантируя, что программное обеспечение находится в жизненном цикле поддержки.
Корпорация Майкрософт также рекомендует организациям с ESAE / защищенными лесами принять современную стратегию привилегированного доступа с помощью плана быстрой модернизации (RAMP). Это руководство дополняет существующую реализацию ESAE и обеспечивает соответствующую безопасность для ролей, которые еще не защищены ESAE, включая администраторов Microsoft Entra, конфиденциальных бизнес-пользователей и стандартных корпоративных пользователей. Дополнительные сведения см. в статье защита уровней безопасности привилегированного доступа.
Когда ESAE изначально был разработан более 10 лет назад, фокус был локальным средам с Active Directory (AD), выступающей в качестве локального поставщика удостоверений. Этот устаревший подход основан на методах сегментации макросов для достижения наименьших привилегий и не учитывается в гибридных или облачных средах. Кроме того, реализации ESAE и защищенных лесов сосредоточены только на защите локальных администраторов Windows Server Active Directory (удостоверений) и не учитывают подробные элементы управления удостоверениями и другие методы, содержащиеся в оставшихся основных принципах современной архитектуры Zero-Trust. Корпорация Майкрософт обновила свою рекомендацию к облачным решениям, так как их можно быстрее развернуть для защиты более широкой области административных и бизнес-ролей и систем. Кроме того, они менее сложны, масштабируемы и требуют меньше капитальных инвестиций для поддержания.
Заметка
Хотя ESAE больше не рекомендуется в целом, корпорация Майкрософт понимает, что многие отдельные компоненты, содержащиеся в нем, определяются как хорошая кибер-гигиена (например, выделенные рабочие станции привилегированного доступа). Отказ от ESAE не предназначен для того, чтобы организации отказаться от хорошей практики кибербезопасности, только для укрепления обновленных архитектурных стратегий защиты привилегированных удостоверений.
Примеры хорошей практики кибербезопасности в ESAE, которые применимы к большинству организаций
- Использование рабочих станций привилегированного доступа (PAW) для всех административных действий
- Принудительное применение многофакторной проверки подлинности на основе маркеров (MFA) для учетных данных администратора даже в том случае, если оно широко не используется во всей среде.
- Применение модели администрирования с минимальными привилегиями путем регулярной оценки членства в группах и ролях (применяется строгой политикой организации)
Рекомендации по защите локальной службы AD
Как описано в сценариях для непрерывного использования, могут возникнуть обстоятельства, когда миграция в облако не достигается (частично или полностью) из-за различных обстоятельств. Для этих организаций, если у них еще нет существующей архитектуры ESAE, корпорация Майкрософт рекомендует сократить область атаки локальной службы AD путем повышения строгости безопасности для удостоверений Active Directory и привилегированных удостоверений. Хотя и не исчерпывающий список, рассмотрите следующие рекомендации с высоким приоритетом.
- Используйте многоуровневый подход, реализующий модель администрирования с минимальными привилегиями:
- Применение абсолютных минимальных привилегий.
- Обнаружение, проверка и аудит привилегированных удостоверений (строжная привязка к политике организации).
- Чрезмерное предоставление привилегий является одним из наиболее выявленных проблем в оцененных средах.
- Многофакторная проверка подлинности для учетных записей администратора (даже если она широко не используется во всей среде).
- Привилегированные роли на основе времени (сокращение чрезмерных учетных записей, усиление процессов утверждения).
- Включите и настройте все доступные аудиты для привилегированных удостоверений (уведомление о включении и отключении, сбросе пароля, других изменениях).
- Использование рабочих станций привилегированного доступа (PAW):
- Не администрировать PAW из менее доверенного узла.
- Используйте MFA для доступа к PAW.
- Не забывайте о физической безопасности.
- Всегда убедитесь, что рабочие станции работают с новейшими и/или поддерживаемыми в настоящее время операционными системами.
- Общие сведения о путях атаки и учетных записях с высоким риском и приложениях:
- Приоритеты мониторинга удостоверений и систем, которые представляют наибольший риск (целевые объекты возможностей или большого влияния).
- Искоренить повторное использование пароля, включая границы операционной системы (распространенный метод бокового перемещения).
- Применение политик, ограничивающих действия, повышающие риск (просмотр в Интернете с защищенных рабочих станций, учетных записей локального администратора в нескольких системах и т. д.).
- Уменьшите количество приложений в Active Directory или контроллерах домена (каждое добавленное приложение является дополнительной областью атаки).
- Исключить ненужные приложения.
- Если это возможно, переместите приложения на другие рабочие нагрузки или контроллер домена.
- Неизменяемое резервное копирование Active Directory:
- Критически важный компонент для восстановления от инфекции программ-шантажистов.
- Регулярное расписание резервного копирования.
- Хранится в облачном расположении или вне сайта, определяемом планом аварийного восстановления.
- Проведение оценки безопасности Active Directory:
- Подписка Azure необходима для просмотра результатов (настраиваемая панель мониторинга Log Analytics).
- По запросу или инженер Майкрософт поддерживает предложения.
- Проверьте и определите рекомендации по оценке.
- Корпорация Майкрософт рекомендует проводить оценки на ежегодной основе.
Полные рекомендации по этим рекомендациям см. в рекомендации по защитеActive Directory.
Дополнительные рекомендации
Корпорация Майкрософт признает, что некоторые сущности не могут полностью развертывать облачную архитектуру нулевого доверия из-за различных ограничений. Некоторые из этих ограничений упоминались в предыдущем разделе. Вместо полного развертывания организации могут решать риски и добиваться прогресса в Zero-Trust при сохранении устаревшего оборудования или архитектуры в среде. Помимо упомянутых выше рекомендаций, следующие возможности могут помочь в укреплении безопасности вашей среды и служить отправной точкой для внедрения архитектуры Zero-Trust.
Microsoft Defender для удостоверений (MDI)
Microsoft Defender для удостоверений (MDI) (официально Azure Advanced Threat Protection или ATP) поддерживает архитектуру Microsoft Zero-Trust и фокусируется на основе удостоверений. Это облачное решение использует сигналы от локального AD и идентификатора Microsoft Entra для выявления, обнаружения и исследования угроз, связанных с удостоверениями. MDI отслеживает эти сигналы для выявления ненормального и вредоносного поведения пользователей и сущностей. В частности, MDI упрощает визуализацию пути злоумышленника бокового перемещения, подчеркивая, как можно использовать заданные учетные записи, если скомпрометировано. Аналитика поведения MDI и базовые функции пользователей являются ключевыми элементами для определения аномальных действий в среде AD.
Заметка
Несмотря на то что MDI собирает сигналы из локальной службы AD, для этого требуется облачное подключение.
Microsoft Defender для Интернета вещей (D4IoT)
Помимо других рекомендаций, описанных в этом документе, организации, работающие в одном из описанных выше сценариев, могут развернуть Microsoft Defender для Интернета вещей (D4IoT). Это решение включает пассивный сетевой датчик (виртуальный или физический), который обеспечивает обнаружение активов, управление инвентаризацией и аналитику поведения на основе рисков для сред Интернета вещей (IoT) и операционных технологий (OT). Он может быть развернут в локальных средах, подключенных к воздуху или в облачных средах, и имеет емкость для выполнения глубокой проверки пакетов на более чем 100 сетевых протоколах ICS/OT.
Дальнейшие действия
Ознакомьтесь со следующими статьями: