Active Directory 域服务的 Privileged Access Management

MIM Privileged Access Management (PAM) 是一种解决方案,可帮助组织限制现有的独立 Active Directory 环境内的特权访问权限。

Privileged Access Management 完成了两个目标:

  • 通过维护已知不受恶意攻击影响的单独堡垒环境,重新建立对存在隐患的 Active Directory 环境的控制。
  • 隔离特权帐户的使用,以减少这些凭据被盗的风险。

注意

不建议将 MIM PAM 提供的 PAM 方法用于连接 Internet 的环境中的新部署。 MIM PAM 旨在用于无法访问 Internet、法规需要此配置的隔离 AD 环境的自定义体系结构,或者用于影响较高的隔离环境(如脱机研究实验室和断开连接的操作技术或监督控制和数据采集环境)。 MIM PAM 不同于 Microsoft Entra Privileged Identity Management (PIM) 。 Microsoft Entra PIM 是一项服务,可用于管理、控制和监视对 Microsoft Entra ID、Azure 和其他 Microsoft 联机服务(如 Microsoft 365 或 Microsoft Intune)中的资源的访问。 有关本地 Internet 连接环境和混合环境的指南,请参阅 保护特权访问 以获取详细信息。

MIM PAM 可帮助解决哪些问题?

如今,攻击者很难获取域管理员帐户凭据,而且在事后发现这些攻击太难了。 PAM 的目标是在提高你对环境的控制和感知的同时,减少恶意用户获得访问权的机会。

PAM 使攻击者更难入侵网络和获取特权帐户访问。 PAM 添加了对特权组的保护,以便控制对一系列加入域的计算机和这些计算机上的应用程序的访问权限。 它还改进了监视和可见性,并支持更精确地进行控制。 这样,组织可以知道谁是特权管理员,以及特权管理员在执行的操作。 PAM 可使组织更深入地了解如何在该环境中使用管理帐户。

MIM 提供的 PAM 方法旨在用于无法访问 Internet 的隔离环境、法规要求此配置的隔离环境,或适用于脱机研究实验室和断开连接的操作技术或监督控制和数据采集环境等高影响隔离环境。 如果 Active Directory 是连接 Internet 的环境的一部分,请参阅 保护特权访问 ,详细了解从何处开始。

设置 MIM PAM

PAM 基于实时管理准则构建,该管理与充分管理 (JEA) 相关。 JEA 是 Windows PowerShell 工具包,可定义一组用于执行特权活动的命令。 作为终结点,它可便于管理员获取运行命令的授权。 在 JEA 中,管理员决定具有特定特权的用户可以执行特定任务。 每当符合条件的用户需要执行该任务时,启用他们相应的权限。 权限在指定时间段后过期,以防恶意用户盗用访问权限。

PAM 安装和操作具有四个步骤。

PAM 步骤:准备、保护、操作、监视 - 关系图

  1. 准备:标识现有林中的哪些组具有重要权限。 在堡垒林中,重新创建这些不含成员的组。
  2. 保护:为用户请求实时管理时设置生命周期和身份验证保护。
  3. 操作:在满足身份验证要求并批准某个请求后,用户帐户即可临时添加到堡垒林中的某个特权组。 在预设时间段内,管理员具有分配给该组的所有特权和访问权限。 此时间段过后,该帐户将从该组中删除。
  4. 监视:PAM 将添加特权访问请求的审核、警报和报告。 你可以查看特权访问的历史记录,并查看执行了某个活动的人员。 你可以决定该活动是否有效并轻松标识未经授权的活动,例如尝试将用户直接添加到原始林中的某个特权组。 无论是在标识恶意软件,还是在跟踪“内部”攻击者方面,此步骤都非常重要。

MIM PAM 的工作原理是什么?

PAM 基于 AD DS 中的新功能(特别是域帐户身份验证和授权)和 Microsoft Identity Manager 中的新功能。 PAM 将特权帐户从现有 Active Directory 环境中分隔出来。 当需要使用特权帐户时,需要先请求并随后批准该帐户。 批准后,将通过新堡垒林(而不是用户或应用程序的当前林)中的外主体组向该特权帐户提供相关权限。 使用堡垒林可使组织获得更大的控制权,例如用户何时可成为特权组成员以及用户需要进行身份验证的方式。

还可以在高可用性配置中部署此解决方案的 Active Directory、MIM 服务和其他部分。

以下示例介绍了 PIM 工作原理的详细信息。

PIM 流程与参与者 - 关系图

堡垒林发布限时组成员身份,这进而生成限时票证授予票证 (TGT)。 如果应用和服务存在于信任堡垒林的林中,则基于 Kerberos 的应用程序或服务可以接受并强制执行这些 TGT。

日常用户帐户无需移动到新的林。 这同样适用于计算机、应用程序及其组。 它们保留在现有林中此时所在的位置。 例如,关注当下这些网络安全问题,但没有计划立即将服务器基础结构升级到下一版本的 Windows Server 的组织。 该组织通过使用 MIM 和新的堡垒林,仍然可以利用此合并的解决方案,并且可以更好地控制对现有资源的访问权限。

PAM 具有以下优势:

  • 隔离/划分特权范围:对于还用于非特权任务(例如查看电子邮件或浏览 Internet)的帐户,用户不持有特权。 用户需要请求权限。 所有请求都是基于 PAM 管理员定义的 MIM 策略进行批准或拒绝。 在批准请求之前,特权访问不可用。

  • 升级和证明:提供新的身份验证和授权质询,有助于管理单独的管理帐户的生命周期。 用户可以请求提升管理帐户,并使该请求通过 MIM 工作流。

  • 附加日志记录:除了内置 MIM 工作流,还有其他 PAM 日志记录,用于标识该请求、确定授权方式,以及批准后所发生的任何事件。

  • 可自定义的工作流:基于请求用户或已请求角色的参数,可以针对不同方案配置 MIM 工作流,并且可以使用多个工作流。

用户如何请求特权访问?

用户可通过多种方式提交请求,包括:

  • MIM 服务 Web 服务 API
  • REST 终结点
  • Windows PowerShell (New-PAMRequest)

获取有关 Privileged Access Management cmdlet 的详细信息。

提供了哪些工作流和监视选项?

例如,假设用户在设置 PAM 之前是管理组的成员。 作为 PAM 设置的一部分,将从管理组中删除用户,并在 MIM 中创建策略。 策略指定,如果该用户请求管理权限,则会批准该请求,并将用户的单独帐户添加到堡垒林中的特权组。

假定该请求获得批准,操作工作流将直接与堡垒林 Active Directory 通信,以将用户放入某个组中。 例如,当 Jen 请求管理 HR 数据库时,Jen 的管理帐户将在几秒内添加到堡垒林中的特权组。 她的管理帐户在该组中的成员身份将在时间限制后过期。 使用 Windows Server 2016 或更高版本时,该成员身份在 Active Directory 中关联并具有时间限制。

注意

当将新成员添加到某一组时,需要将该更改复制到堡垒林中的其他域控制器 (DC)。 复制延迟可能会影响用户访问资源的能力。 有关复制延迟的详细信息,请参阅 Active Directory 复制拓扑的工作原理

与此相反,已到期的链接由安全帐户管理器 (SAM) 实时评估。 即使组成员的添加需要由接收访问请求的 DC 重复执行,也可在任意 DC 上对组成员的重复删除直接进行评估。

此工作流专门适用于这些管理帐户。 仅需要对特权组的偶尔访问权限的管理员(甚至是脚本)可以精确请求该访问权限。 MIM 将记录请求和 Active Directory 中的更改,你可在事件查看器中查看它们或将该数据发送到企业监视解决方案中,如 System Center 2012 - Operations Manager 审核收集服务 (ACS) 或其他第三方工具。

后续步骤