使用跳转服务器
除使用 PAW 外,为 Contoso 出具的安全报告建议实现跳转服务器。 确定如何使用 PAW 后,你决定进一步调查跳转服务器,以确定它们可为 Contoso IT 带来哪些好处。
什么是跳转服务器?
跳转服务器是一种强化的服务器,用于访问和管理其他安全区域(例如内部网络和外围网络之间的区域)中的设备。 跳转服务器可用作单一联系和管理点。
对于中型组织,跳转服务器可以提供一种方法来帮助增强物理安全性更具挑战的位置的安全性。 例如,在没有数据中心的分支机构。 对于大型组织,管理员可以部署数据中心内部的跳转服务器;这些跳转服务器可以提供对服务器和域控制器的高度受控访问。
跳转服务器通常不包含任何敏感数据,但用户凭据存储在内存中,恶意黑客可能会将这些凭据作为目标。 因此,必须对跳转服务器进行加固。
提示
通常使用 PAW 来访问跳转服务器,以帮助确保安全访问。
此服务器将在同时支持基于硬件和软件的安全功能的专用硬件上运行,例如:
- Windows Defender Credential Guard,用于对内存中的域凭据进行加密。
- Windows Defender Remote Credential Guard,用于防止将远程凭据发送到跳转服务器,转而使用 Kerberos 版本 5 单一登录票证。
- Windows Defender Device Guard:
- 使用虚拟机监控程序强制代码完整性 (HVCI) 来实现基于虚拟化的安全性,以强制内核模式组件遵循代码完整性策略。
- 使用配置代码完整性来允许管理员创建自定义代码完整性策略并指定受信任的软件。
通过使用带或不带 PAW 的跳转服务器,可以创建逻辑安全区域。 在一个区域内,计算机的安全性和连接性配置类似。 你可以使用 GPO 在域环境中配置这些设置。
提示
管理用户可以使用远程桌面协议 (RDP) 和智能卡连接到跳转服务器,以执行管理任务。
实现跳转服务器
下图描绘了典型的跳转服务器和 PAW 部署。 管理用户使用智能卡通过标准帐户向标准工作站进行身份验证。 用户可以访问标准应用来执行日常办公任务。 管理员还有一个管理帐户,并使用智能卡来向其管理 PAW 进行身份验证。 这继而将连接到配置的管理跳转服务器,该服务器具有对相应对象的管理访问权限。
实现跳转服务器时,有一些注意事项。 这些方法包括:
- 远程桌面网关。 如果管理员必须直接连接到目标服务器(使用 RDP),请实现远程桌面网关。 通过远程桌面网关,你可以对跳转服务器的连接以及将用于管理的目标服务器实施限制。
- Hyper-V。 请考虑为跳转服务器上的每个管理员实现 VM。 每个 VM 都可以配置为允许特定管理任务或其子集。 因此,应该在跳转服务器上安装 Hyper-V。
提示
完成管理任务后,可以强制关闭这些 VM。 通过在不使用 VM 时关闭它们,可以减少攻击面。
服务器功能。 要实现跳转服务器,服务器计算机必须支持以下功能:
- UEFI 安全启动。
- 虚拟化支持。
- 签名的内核模式驱动程序。
角色管理工具。 应始终使用远程管理工具来管理服务器。 在管理员的 VM(如果未实现 Hyper-V,则为物理跳转服务器)上安装 Windows Admin Center 和远程服务器管理工具 (RSAT)。
注意
还应禁止在一般用途计算机上使用远程管理工具。
RDP 连接。 确保在执行管理任务时,管理员使用 RDP 连接到 VM。