增强的安全管理环境
增强的安全管理环境 (ESAE) 体系结构(通常称为红色林、管理林或强化林)是一种为 Windows Server Active Directory (AD) 管理员标识提供安全环境的旧方法。
Microsoft 针对使用此体系结构模式提出的建议已被新式特权访问策略和快速现代化计划 (RAMP) 指导所取代,成为保护特权用户的默认推荐方法。 本指南旨在包括调整更广泛的策略,以过渡到零信任体系结构。 基于这些现代策略,ESAE 强制管理林体系结构(本地或基于云)现被视为仅适用于例外情况的自定义配置。
继续使用应用场景
尽管它不再是推荐的体系结构,但在有限的豁免场景中,ESAE(或其中的各个组件)仍然有效。 通常,这些本地环境在云服务可能不可用时会被隔离。 此应用场景可能包括关键基础结构或其他断开连接的运营技术 (OT) 环境。 然而应当注意的是,环境的实体隔离工业控制系统/监督控制和数据采集 (ICS/SCADA) 分段通常不使用自己的 Active Directory 部署。
组织处于其中一种场景,则保持当前已部署的 ESAE 体系结构仍然有效。 不过必须了解的是,由于维护 ESAE 的技术复杂性和运营成本增加,组织会产生额外的风险。 对于仍在使用 ESAE 或其他旧有标识安全控制的组织,Microsoft 建议应用要格外严格地监视、识别和缓解任何相关的风险。
注意
虽然 Microsoft 不建议针对大多数组织中的大多数方案继续采用独立的强制林模型,但 Microsoft 仍会在内部采用类似地体系架构(和关联的支持过程和人员),这是向全球各地的组织提供受信任的云服务面临极端安全要求所致。
现有部署指南
对于已经部署此体系结构来增强安全性和/或简化多林管理的客户,如果正在按照设计和预期的方式操作 ESAE 实现,则无需紧急停用或替换该 ESAE 实现。 与任何企业系统一样,你应通过应用安全更新程序并确保软件位于支持生命周期内来维护软件。
此外,Microsoft 建议使用 ESAE/强制林的组织借助快速现代化计划 (RAMP) 指导采纳现代化特权访问策略。 此指导可以补充现有 ESAE 实现,并为不受 ESAE 保护的角色(包括 Microsoft Entra 管理员、敏感业务用户和标准企业用户)提供适当的安全防护。 有关详细信息,请参阅保护特权访问安全级别一文。
10 多年前最初设计 ESAE 时,其重点是在本地环境中以 Active Directory (AD) 作为本地标识提供者。 这种旧方法基于宏分段技术来实现最低特权,并且无法充分考虑混合或基于云的环境。 此外,ESAE 和强化林实现仅侧重于保护本地 Windows Server Active Directory 管理员(标识),并且不考虑现代零信任体系结构的其余支柱中包含的精细标识控制和其他技术。 Microsoft 已更新对基于云的解决方案的建议,原因在于你可以更快地部署这些解决方案,来保护更多管理和业务敏感角色和系统。 此外,它们复杂性较低、可缩放,而且需要更少的资本投资即可维持。
注意
尽管不再推荐整个 ESAE,但 Microsoft 意识到,其中包含的许多单个组件都定义为网络卫生良好(例如专用特权访问工作站)。 弃用 ESAE 并非旨在推动组织放弃良好的网络卫生做法,而只是为了加强更新的体系结构策略以保护特权标识。
ESAE 中适用于大多数组织的良好网络卫生做法示例
- 为所有管理活动使用特权访问工作站 (PAW)
- 强制实施基于令牌或多重身份验证 (MFA) 的管理凭据,即使它未在整个环境中广泛使用
- 通过定期评估群组/角色成员身份(由强组织政策强制实施)强制实施最小特权管理模型
保护本地 AD 的最佳做法
如继续使用应用场景中所述,在某些情况下,云迁移由于不同情况而无法(部分或完全)实现。 对于这些组织,如果他们还没有现有的 ESAE 体系结构,Microsoft 建议通过提高 Active Directory 和特权标识的安全性来减少本地 AD 的攻击面。 虽然不是详尽列表,但请考虑以下高优先级建议。
- 使用分层方法实现最低特权管理模型:
- 强制实施绝对最低特权。
- 发现、审查和审核特权标识(与组织政策密切相关)。
- 过度授予特权是所评估环境中发现的最突出的问题之一。
- 管理帐户的 MFA(即使未在整个环境中广泛使用)。
- 基于时间的特权角色(减少过多的帐户,强化审批流程)。
- 为特权标识启用和配置所有可用的审核(通知启用/禁用、密码重置、其他修改情况)。
- 使用特权访问工作站 (PAW):
- 不要从受信程度较低的主机管理 PAW。
- 使用 MFA 访问 PAW。
- 别忘了物理安全性。
- 始终确保 PAW 在运行最新的和/或当前支持的操作系统。
- 了解攻击路径和高风险帐户/应用程序:
- 优先监视构成最大风险的标识和系统(有机会/高影响的目标)。
- 消除包括跨操作系统边界的密码重用(常见的横向移动技术)。
- 强制实施策略以限制增加风险的活动(从安全工作站进行 Internet 浏览、跨多个系统的本地管理员帐户等)。
- 减少 Active Directory/域控制器上的应用程序(添加的每个应用程序都是额外的攻击面)。
- 消除不必要的应用程序。
- 如果可能,将仍需要的应用程序移到 DC 外的其他工作负荷。
- Active Directory 的不可变备份:
- 从勒索软件感染中恢复的关键组件。
- 常规备份计划。
- 存储在基于云的或由灾难恢复计划指示的异地。
- 执行 Active Directory 安全性评估:
- 需要 Azure 订阅才能查看结果(自定义的 Log Analytics 仪表板)。
- 按需或 Microsoft 工程师支持的产品/服务。
- 通过评估验证/识别指导。
- Microsoft 建议每年进行一次评估。
有关这些建议的综合指导,请查看保护 Active Directory 的最佳做法。
补充建议
Microsoft 认识到,由于各种约束,某些实体可能无法完全部署基于云的零信任体系结构。 上一部分提及了其中一些约束。 为了替代完全部署,组织可以在环境中维护旧有设备或体系结构的同时,解决风险并逐步实现零信任。 除了之前提及的指南之外,还有以下功能有助于增强环境的安全性,并作为采用零信任体系结构的起点。
Microsoft Defender for Identity (MDI)
Microsoft Defender for Identity (MDI)(正式的 Azure 高级威胁防护或 ATP)巩固了 Microsoft 零信任体系结构,重点针对标识这个支柱。 此基于云的解决方案使用来自本地 AD 和 Microsoft Entra ID 的信号来识别、检测和调查涉及标识的威胁。 MDI 监视这些信号,以识别用户和实体的异常和恶意行为。 值得注意的是,MDI 可以突出显示给定帐户在被盗用时如何使用给定帐户,从而提升可视化对手横向移动路径的能力。 MDI 的行为分析和用户基线功能是确定 AD 环境中异常活动的关键要素。
注意
尽管 MDI 从本地 AD 采集信号,但它确实需要基于云的连接。
Microsoft Defender for Internet of Things (D4IoT)
除了本文档中所述的其他指南之外,在上述提及应用场景中运行的组织还可以部署 Microsoft Defender for IoT (D4IoT)。 此解决方案采用被动网络传感器(虚拟或物理),可针对物联网 (IoT) 和运营技术 (OT) 环境实现资产发现、库存管理和基于风险的行为分析。 它可以部署在本地的实体隔离或云连接环境中,并能够对超过 100 个 ICS/OT 专有网络协议执行深度数据包检查。
后续步骤
请参阅以下文章: