定义最低权限管理

5 分钟

Contoso 聘请了一家 IT 安全专家公司。他们刚刚为董事会制作了一份报告。该报告指出，最近发生在 Contoso 的大多数安全漏洞或数据丢失事件均由人为错误和/或恶意活动导致。

该报告提供了许多示例，包括使用管理权限登录和执行标准用户任务。其中一个示例显示，用户使用企业管理员权限登录并打开了运行恶意代码的电子邮件附件。之后，该代码便获得了整个 Contoso 企业的完全管理权限，因为运行它的用户具有完全管理权限。

概述

最低权限概念是指，将访问权限限制为仅执行特定任务或作业角色所需的权限。你可以将此原则应用于：

用户帐户。
服务帐户。
计算过程。

尽管此原则很容易理解，但实现起来却很复杂。因此，在许多情况下，并不遵循最低权限原则。

该原则规定，所有用户都应使用拥有完成当前任务所需的最低权限（不包含其他任何权限）的用户帐户登录。该原则可预防恶意代码及其他攻击。它适用于计算机以及这些计算机的用户。

当然，问题在于，管理员通常不希望使用标准用户帐户登录以执行日常任务，然后注销并以管理员身份重新登录以执行重置用户密码的任务。这将非常耗时且令人头疼。要解决此问题，必须找到一种方法来识别典型的安全风险。然后，必须计划最低权限原则（其操作更简单）。

识别安全主体

在本地环境中，你应该确定属于管理组的安全主体（用户和组）。在 Active Directory 域服务 (AD DS) 中，有很多敏感管理组。下表对这些筛选器进行了说明。

组	说明
企业管理员	此通用安全组位于 AD DS 林根域的 Users 文件夹中。成员可以在林中的任意位置执行任何管理任务。需要企业管理员成员身份的管理任务很少。默认情况下，只有林根域中的管理员用户帐户属于企业管理员。
域管理员	此全局安全组位于 AD DS 林中每个域的 Users 文件夹中。成员可以在本地域中的任意位置执行任何管理任务。默认情况下，只有本地域中的管理员用户帐户属于域管理员。
Schema Admins	此通用安全组位于林根域的 Users 文件夹中。成员可以修改 AD DS 架构的属性。架构更改不常发生，但影响却非常大。默认情况下，只有林根域中的管理员用户帐户属于架构管理员。
管理员	此域本地安全组位于 AD DS 中的 Builtin 文件夹中管理员本地组也存在于 AD DS 林中的所有计算机上。管理员对域（或计算机）拥有完全且不受限制的访问权限。通常，企业管理员和域管理员组将添加到林中所有计算机上的管理员组。

注意

AD DS 架构是对象及其属性的集合，有时也称为类和属性。

拥有安全权限的其他内置组包括：

帐户操作员。
服务器操作员。
密钥管理员。
企业密钥管理员。

$A screenshot of the Active Directory Administrative Center. The administrator has selected the Enterprise Admins group in Contoso (local)\Users. Also displayed are other groups in the Users folder.$

修改组成员身份

确定属于管理组的用户和组后，可以进行必要的更改。在 AD DS 环境中，可以使用组策略对象 (GPO) 来加速此过程。可使用“受限组”功能来控制受 GPO 影响的所有计算机上的组成员身份。请按以下过程操作：

打开“组策略管理”，然后创建 GPO 并将其链接到域对象。
打开 GPO 进行编辑。
找到“计算机配置”、“策略”、“Windows 设置”、“安全设置”、“受限组”。
右键单击或激活“受限组”的快捷菜单，然后选择“添加组”。
在“添加组”对话框中，添加所需的组。
将成员添加到组或将组作为成员添加到另一个组。
若要完成该过程，请单击“确定” 。

A screenshot of the Group Policy Management Editor. The administrator has navigated to Computer Configuration, Policies, Windows Settings, Security Settings, Restricted Groups. The administrator has added a group called Administrators, and added as members Domain Admins, Enterprise Admins, and ContosoAdmin.

确定当前分配的权限

在环境中修改安全主体后，必须确定这些主体已拥有的权限。显然，如果用户属于敏感管理组（如管理员），则该用户可以执行任何任务，并且可在组所在的计算机或域上行驶任何权限。

注意

权限是执行管理任务的能力。权限是访问文件系统、AD DS 或其他位置中相关对象的能力。

但是，用户可能属于已分配了权限或特权的其他组。也可能是直接向用户分配了权限。

可以使用“本地安全策略”控制台来确定所分配的权限。请按以下过程操作：

选择“开始”，然后选择“Windows 管理工具”。
选择“本地安全策略”。
在“本地安全策略”中，依次展开“本地策略”和“用户权限分配”。
查看并根据需要编辑列出的每个策略的“安全设置”值。

A screenshot of the Local Security Policy console. The administrator has selected the User Rights Assignment node, and displayed in the details pane are policies and security settings.

提示

请始终将策略分配给组，而不是直接分配给用户。这有助于后续进行管理。当某人的工作角色发生变化时，只需更改其组成员身份，而无需重新访问分配给其用户帐户的所有用户权限分配。

实现用户帐户控制

用户帐户控制 (UAC) 是一项安全功能，该功能为用户提供了一种方法，用于将其管理帐户的状态限制为标准用户帐户的状态。但是，当用户想要执行需要管理功能的任务时（称为提升），会提示用户确认该提升。默认情况下，当用户尝试提升时，UAC 会提示用户，如下所示：

如果用户是管理员，则会提示用户确认提升。
如果用户是标准用户，则会提示用户输入管理凭据。

可以通过使用 GPO 来控制 UAC 提示和行为。

打开链接的相应 GPO 进行编辑，然后导航到“计算机配置”、“策略”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”。
对于管理帐户，打开“用户帐户控制: 管理员批准模式中管理员的提升提示行为”设置，选择”定义此策略设置”，然后选择所需的设置。
对于管理帐户，打开“用户帐户控制: 标准用户的提升提示行为”设置，选择”定义此策略设置”，然后选择所需的设置。

A screenshot of the Security Options node in Group Policy Management Editor. The User Account Control values are displayed.

实现最低足量权限管理

最低足量权限管理 (JEA) 是一种管理技术，使你可以通过 Windows PowerShell 远程会话应用基于角色的访问控制 (RBAC) 原则。 JEA 的原则是不向用户分配使其可执行与工作要求无直接关系的任务（即工作要求以外的任务）的一般角色，而是通过配置特殊的 Windows PowerShell 终结点，提供执行特定任务所必需的功能。

JEA 允许你锁定管理会话，确保只能通过远程 Windows PowerShell 会话执行一组特定任务。 JEA 通过限制可以执行的任务来提高安全性。可以通过创建和修改角色功能文件及会话配置文件来配置 JEA。

重要

JEA 仅支持 Windows PowerShell 远程处理。