共用方式為


系統管理

系統管理是監視、維護及操作資訊技術 (IT) 系統,以滿足企業所需服務等級的實務。 管理員 管理引進一些影響最高的安全性風險,因為執行這些工作需要特殊許可權存取一組非常廣泛的這些系統和應用程式。 攻擊者知道,取得具有系統管理許可權之帳戶的存取權,可以讓他們存取其目標的大部分或所有數據,讓系統管理的安全性成為最重要的安全性領域之一。

例如,Microsoft 針對我們的雲端系統和 IT 系統,對系統管理員的保護與訓練進行大量投資:

A screenshot of a cell phone Description automatically generated

Microsoft 建議的系統管理許可權核心策略是使用可用的控件來降低風險

降低風險暴露 (範圍和時間) – 最低許可權的原則最好是透過提供隨選許可權的新式控件來完成。 這有助於藉由透過下列方式限制系統管理許可權公開來限制風險:

  • 範圍Just Enough Access (JEA) 僅針對所需的系統管理作業提供必要許可權(與一次對許多或所有系統具有直接和直接許可權,這幾乎並非必要)。

  • 時間Just In Time (JIT) 方法會視需要提供所需的特殊許可權。

  • 降低剩餘的風險 – 使用預防性和偵測控件的組合,降低風險,例如將系統管理員帳戶與最常見的網路釣魚和一般網頁瀏覽隔離、簡化和優化其工作流程、增加驗證決策的保證,以及識別可封鎖或調查的一般基準行為異常。

Microsoft 擷取並記錄了保護系統管理帳戶的最佳做法,並已發佈優先的藍圖,以保護特殊許可權存取權,這些藍圖可用來將具有特殊許可權存取權的帳戶排定優先順序。

將重大影響管理員的數目降到最低

將最少的帳戶數目授與可能會對業務造成重大影響的許可權

每個系統管理員帳戶都代表攻擊者可以鎖定的潛在攻擊面,因此將具有該許可權的帳戶數目降至最低,有助於限制整體組織風險。 經驗告訴我們,如果成員資格不受主動限制和管理,這些特殊許可權群組的成員資格會隨著時間而自然成長。

我們建議一種方法可降低此攻擊面風險,同時確保發生系統管理員的商務持續性:

  • 將至少兩個帳戶指派給特殊許可權群組以取得商務持續性

  • 需要兩個或多個帳戶時,請為每個成員提供理由,包括原始的兩個帳戶

  • 定期檢閱每個群組成員的成員資格和理由

系統管理員的受管理帳戶

請確定 中的所有重要影響系統管理員都會由企業目錄管理,以遵循組織原則強制執行。

消費者帳戶,例如 @Hotmail.com、@live.com、@outlook.com 等 Microsoft 帳戶,不提供足夠的安全性可見度和控制,以確保組織的原則和任何法規需求都遵循。 由於 Azure 部署通常會在成長為企業管理的租使用者之前,先從小型和非正式開始,因此某些取用者帳戶會保留為系統管理帳戶,例如原始 Azure 專案經理、建立盲點和潛在風險。

系統管理員的個別帳戶

請確定所有重大影響管理員都有個別的系統管理工作帳戶(與其用於電子郵件、網頁流覽和其他生產力工作的帳戶)。

網路釣魚和網頁瀏覽器攻擊代表入侵帳戶最常見的攻擊媒介,包括系統管理帳戶。

為具有需要重要許可權之角色的所有使用者建立個別的系統管理帳戶。 針對這些系統管理帳戶,封鎖 Office 365 電子郵件等生產力工具(移除授權)。 可能的話,請封鎖任意網頁流覽(使用 Proxy 和/或應用程控),同時允許瀏覽至系統管理工作所需的 Azure 入口網站 和其他網站例外狀況。

沒有常設存取權 / Just in Time 許可權

避免針對任何重大影響帳戶提供永久的「常設」存取

永久許可權可藉由增加攻擊者使用帳戶來造成損害的時間來增加商務風險。 暫時許可權會強制攻擊者在系統管理員已使用帳戶的有限時間內運作,或起始許可權提升許可權(這會增加偵測到並從環境移除的機會)。

使用下列其中一種方法,僅視需要授與所需的許可權:

  • Just In Time - 啟用 Microsoft Entra Privileged Identity Management (PIM) 或第三方解決方案,以要求遵循核准工作流程以取得重大影響帳戶的許可權

  • 打破玻璃 – 對於很少使用的帳戶,請遵循緊急存取程式以取得帳戶的存取權。 對於不需要定期運作使用的許可權,例如全域系統管理員帳戶的成員,這是慣用的。

緊急存取或「打破玻璃」帳戶

請確定您有一個機制,可在發生緊急狀況時取得系統管理存取權

雖然很少見,但有時極端的情況是,所有一般系統管理存取方式都無法使用。

建議您遵循管理 Microsoft Entra ID 中緊急存取系統管理帳戶的指示,並確保安全性作業會仔細監視這些帳戶。

管理員 工作站安全性

確保重大影響系統管理員使用具有提升安全性保護與監視功能的工作站

使用網路釣魚等瀏覽和電子郵件的攻擊媒介便宜且常見。 隔離重大影響系統管理員與這些風險,將大幅降低重大事件的風險,其中一個帳戶遭到入侵,並用來嚴重損害您的業務或任務。

根據可用的選項,選擇系統管理工作站安全性層級 https://aka.ms/securedworkstation

  • 高度安全的生產力裝置(增強式安全性工作站或特製化工作站)
    您可以藉由為系統管理員提供更高的安全性工作站,讓系統管理員可以開始此安全性旅程,讓其能夠進行一般流覽和生產力工作。 使用這個做為過渡步驟有助於簡化對系統管理員和支援這些使用者及其工作站之IT人員之重要影響的完全隔離工作站的轉換。

  • 特殊權限存取工作站 (特製化工作站或安全工作站)
    這些設定代表對系統管理員造成重大影響的理想安全性狀態,因為它們嚴重限制對網路釣魚、瀏覽器和生產力應用程式攻擊媒介的存取。 這些工作站不允許一般因特網流覽,只允許瀏覽器存取 Azure 入口網站 和其他系統管理網站。

對系統管理員相依性造成重大影響 – 帳戶/工作站

仔細選擇內部部署安全性相依性,以取得重大影響帳戶及其工作站

若要包含內部部署發生重大事件的風險,以成為雲端資產的重大危害,您必須消除或最小化內部部署資源對雲端帳戶造成重大影響的控制手段。 例如,入侵內部部署 Active Directory 的攻擊者可以存取和入侵依賴 Azure 中資源、Amazon Web Services (AWS)、ServiceNow 等帳戶的雲端式資產。 攻擊者也可以使用已加入這些內部部署網域的工作站,從中取得帳戶和服務存取權。

針對重大影響帳戶,選擇與內部部署隔離等級的控制方式,也稱為安全性相依性

  • 用戶帳戶 – 選擇要裝載重要影響帳戶的位置

    • 原生 Microsoft Entra 帳戶 -*建立未與內部部署 Active Directory 同步處理的原生 Microsoft Entra 帳戶

    • 從 內部部署的 Active Directory 同步處理 (不建議)- 利用裝載在內部部署 Active Directory 中的現有帳戶。

  • 工作站 – 選擇您將如何管理和保護重要系統管理員帳戶所使用的工作站:

    • 原生雲端管理與安全性 (建議) - 將工作站加入 Microsoft Entra ID & Manage/Patch 它們與 Intune 或其他雲端服務。 使用 Windows Microsoft Defender ATP 或其他不受內部部署帳戶管理的雲端服務進行保護和監視。

    • 使用現有系統管理 - 加入現有的 AD 網域,並利用現有的管理/安全性。

系統管理員的密碼或多重要素驗證

需要所有重大影響,系統管理員才能使用無密碼驗證或多重要素驗證(MFA)。

攻擊方法已演進到密碼本身無法可靠地保護帳戶的地步。 這在 Microsoft Ignite 會話記載得很好。

管理員 原則帳戶和所有重要帳戶都應該使用下列其中一個驗證方法。 這些功能依最高成本/攻擊難度(最強/慣用選項)以喜好設定順序列出,以最低成本/難以攻擊:

  • 無密碼 (例如 Windows Hello)
    https://aka.ms/HelloForBusiness

  • 無密碼 (Authenticator 應用程式)
    </azure/active-directory/authentication/howto-authentication-phone-sign-in>

  • 多重要素驗證
    </azure/active-directory/authentication/howto-mfa-userstates>

請注意,SMS 簡訊型 MFA 對於攻擊者而言已變得非常便宜,因此我們建議您避免依賴它。 這個選項仍然比密碼更強,但比其他 MFA 選項弱得多

為系統管理員強制執行條件式存取 - 零信任

所有系統管理員和其他重大影響帳戶的驗證都應該包括測量和強制執行密鑰安全性屬性,以支援 零信任 策略。

攻擊者危害 Azure 管理員 帳戶可能會造成重大傷害。 條件式存取可藉由強制執行安全性衛生來大幅降低該風險,再允許存取 Azure 管理。

符合組織風險偏好和營運需求的 Azure 管理 設定條件式存取原則。

  • 需要來自指定工作網路的多重要素驗證和/或連線

  • 需要 Microsoft Defender ATP 的裝置完整性(強保證)

避免細微和自定義許可權

避免特別參考個別資源或用戶的許可權

特定許可權會建立不必要的複雜度和混淆,因為它們不會將意圖用於新的類似資源。 然後,這會累積成複雜的舊版設定,而不必擔心「中斷某些專案」,而對安全性和解決方案靈活度造成負面影響。

不要指派特定的資源特定許可權,請使用任一

  • 適用於全企業許可權的管理群組

  • 訂用帳戶內許可權的資源群組

不要將許可權授與特定使用者,而是在 Microsoft Entra ID 中指派群組的存取權。 如果沒有適當的群組,請與身分識別小組合作來建立一個群組。 這可讓您在 Azure 外部新增和移除群組成員,並確保許可權是最新的,同時允許群組用於其他用途,例如郵件清單。

使用內建角色

盡可能使用內建角色來指派許可權。

自定義會導致複雜度增加混淆,並讓自動化更加複雜、具有挑戰性且脆弱。 這些因素都會對安全性造成負面影響

建議您評估 內建角色 ,其設計目的是要涵蓋大部分的一般案例。 自定義角色是功能強大且有時有用的功能,但當內建角色 無法運作時,應該保留這些角色。

建立重大影響帳戶的生命週期管理

請確定您在系統管理員人員離開組織時停用或移除系統管理帳戶的程式(或離開系統管理職位)

如需詳細資訊,請參閱 使用存取權檢閱 管理用戶和來賓使用者存取權。

重大影響帳戶的攻擊模擬

使用目前的攻擊技術定期模擬對系統管理用戶的攻擊,以教育並賦予他們權力。

人員 是您防禦的重要部分,尤其是具有重大影響帳戶存取權的人員。 確保這些使用者(在理想情況下所有用戶)具備避免和抵制攻擊的知識和技能,將降低整體組織風險。

您可以使用 Office 365 攻擊模擬 功能或任何數目的第三方供應專案。

下一步

如需 Microsoft 的其他安全性指引,請參閱 Microsoft 安全性檔