当前位置:网站首页 > 更多 > 玩电脑 > 正文

[玩转系统] 使用 ESAE 保护特权访问

作者:精品下载站 日期:2024-12-14 06:08:38 浏览:13 分类:玩电脑

使用 ESAE 保护特权访问


确保系统得到修补以及深度防御安全保护有效发挥作用,是 IT 部门最关心的问题。但尽管做出了这些努力,安全漏洞仍然在增加,因为操作问题通常被忽视。

最佳实践表明,特权 AD 组在大部分时间应保持为空。实际上,这意味着只有当批准的更改应用于 Active Directory 时,才应填充域管理员、内置管理员和企业管理员等组。但现实情况是,许多组织向 IT 员工发放的帐户是上述组之一的成员或其他特权 AD 组的成员。

在这篇博文中,我们将讨论 ESAE 所基于的分层管理模型,以更智能地重组组织中特权访问的分配流程。

分析安全依赖性

但在需要访问之前且在有限的时间内未能授予权限并不是唯一的卑鄙先生。清洁来源原则指出,系统可以依赖于较高信任度的系统,但不能依赖于较低信任度的系统。如果IT人员以域管理员权限登录他们的笔记本电脑,用于浏览互联网和阅读电子邮件等日常任务,那么干净来源原则就被打破了,因为用户帐户的安全依赖于设备的安全他们登录到。

受损的设备会使登录用户的帐户面临风险。黑客经常以用户工作站为目标,目的是获取特权 Active Directory 帐户的访问权限。一旦黑客能够访问加入域的设备,就可以获取凭据来访问网络上的其他设备,最终导致域控制器。

由于安全依赖性可能会危及域,因此域管理员帐户只能用于登录域控制器或配置为与域控制器具有相同信任级别的设备。为了实现此目标,请设置专门配置用于管理域控制器的 PC。跳转服务器还打破了干净源原则,因为它们依赖于发起远程桌面会话的设备的安全性。

如果预算紧张或者您不想部署专门用于管理域控制器的设备,另一种选择是将 IT 员工的 PC 配置为与域控制器相同的级别,并在 PC 上部署来宾虚拟机 (VM)。这些虚拟机可用于执行日常计算任务。但部署虚拟机来管理域控制器违反了清洁源原则,因为虚拟机的安全性依赖于主机。

根据 ESAE Microsoft 模型进行管理分离

作为 Active Directory 增强安全管理环境 (ESAE) 模型或 Active Directory 中所谓的红森林的一部分,Microsoft 建议使用分层管理来创建分隔管理的区域高风险最终用户设备和关键业务系统。 AD 对象,包括用户帐户和计算机,应分为三层。第 0 层代表最高级别的信任,第 2 层代表最低级别的信任。

域管理员帐户、特权 AD 组、域控制器以及对 AD 林具有直接或间接管理控制权的域应归类为第 0 层。这些对象可以跨所有三个层管理资产,但只能以交互方式登录到第 0 层资产,这再次意味着域管理员永远不应该以交互方式登录最终用户设备。

域成员服务器、应用程序、托管敏感业务数据的系统以及用于管理这些系统的帐户被归类为第 1 层对象。第 1 层用户帐户可以访问和管理第 1 层对象。第 1 层用户帐户可以使用网络登录类型访问第 0 层对象,但无法交互登录到第 0 层设备。他们可以管理第 1 层和第 2 层对象,但只能以交互方式登录到第 1 层设备。

[玩转系统] 使用 ESAE 保护特权访问

图 1(图片来源:Microsoft)

第 2 层保留给最终用户 PC 和笔记本电脑。除了最终用户之外,IT 帮助台员工也被归类为第 2 层对象,可以对所有层中的设备执行网络登录,但仅限于管理第 2 层设备。同样,第 2 层用户也可以交互式登录到第 2 层设备。

为了帮助实施分层模型,可以使用受保护用户组等安全控制来防止具有域管理员权限的用户登录到第 0 层设备。其他安全控制(例如身份验证策略和孤岛)可以提供更精细的控制。有关如何使用受保护用户组的详细信息,请参阅 Netwrix 博客上的将敏感用户帐户添加到 Active Directory 受保护用户组。

特权访问管理

组织需要更加严格地规定如何将管理权限分配给用户、在何处使用这些权限以及它们的用途。通过实施特权帐户管理最佳实践,可以防止跨网络的横向移动,例如不在每台设备上使用相同的本地管理员密码、不使用域管理员帐户登录最终用户设备、使用分层管理模型对资产进行分类以及执行持续的用户活动监控。

基于分级管理模式的ESAE,只要有一定的规划,实施起来并不困难。不仅要考虑分配给用户的权限,还要考虑他们是否使用这些权限来访问或管理资源。如果您无法实施自动化 IT 管理,请设置手动流程来管理对特权 AD 组的访问。

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

关灯