Windows Server 中的特权访问管理

许多组织都在努力保护其系统，因为他们的 Active Directory 已经受到威胁。 AD 通常会受到内部人员的危害或对其进行成功的攻击。那么，即使您的特权帐户被黑客入侵，如何保护环境呢？

Microsoft Windows Server 2022 有许多出色的功能可以提供帮助。

用户权利

用户权限决定用户帐户可以完成哪些任务。最佳实践要求根据最小权限原则分配用户权限 - 每个用户都应拥有完成分配的任务所需的最低权限。这限制了帐户所有者有意或无意造成的损害，并最大限度地减少了获得帐户控制权的攻击者的影响范围。 最佳实践是通过将用户添加到已分配适当权限的组来分配用户权限。您还可以通过在组策略中为帐户分配权限来直接分配用户帐户权限，但不建议这样做，因为这会使跟踪权限和遵守最小权限原则变得困难。

不幸的是，组织倾向于授予帐户超出其需要的权限，因为这很方便 - 例如，将帐户添加到计算机上的本地管理员组比找出帐户所需的精确权限并添加帐户更容易将用户分配到适当的组。缺乏沟通和标准程序通常还会导致用户在组织内改变角色时无法撤销不再需要的权限。因此，这些组织面临着不必要的数据丢失、停机和合规失败风险。

控制向导的委派

组织通常希望允许某些员工执行特定的管理任务，但不授予他们完全的管理权限。例如，他们可能希望 IT 操作人员能够重置用户密码，但不能创建或删除帐户。为了提供帮助，Microsoft Windows Server 2022 提供了控制委派向导，使您能够委派以下权限：

• 创建、删除和管理用户帐户
• 重置用户密码并在下次登录时强制更改密码
• 读取所有用户信息
• 创建、删除和管理组
• 更改群组成员资格
• 管理组策略链接
• 生成政策结果集（规划）
• 生成策略结果集（日志记录）
• 创建、删除和管理 inetOrgPerson 帐户
• 重置 inetOrgPerson 密码并在下次登录时强制更改密码
• 读取所有 inetOrgPerson 信息

您可以通过阅读 Active Directory 委派权限最佳实践来了解有关此功能的更多信息。

特权访问工作站 (PAW)

保护环境的另一个不可或缺的部分是确保 IT 管理员仅使用安全的 Windows 服务器来执行需要管理权限的任务。他们应该使用其他计算机来执行日常任务，例如浏览互联网、回复电子邮件以及打开其他人编写的文件，因为这些操作会增加主机受到威胁的风险。

特权访问工作站 (PAW) 或安全管理主机是仅用于执行特权任务的特殊计算机。要创建 PAW，您必须：

• 确保只有授权用户才能登录主机。
• 使用 Device Guard 和 AppLocker 策略将应用程序执行限制为组织员工用来执行管理任务的受信任应用程序。
• 启用 Windows Defender Credential Guard 以帮助防止凭据被盗。
• 启用 BitLocker 可帮助保护启动环境和硬盘驱动器免遭篡改。
• 确保外围网络防火墙阻止 PAW 访问所有外部站点。
• 阻止来自非 PAW 的任何计算机的远程桌面协议 (RDP)、Windows PowerShell 和管理控制台连接。
• 为用于执行管理操作的帐户配置登录限制。

跳转服务器

跳转服务器是用户在想要执行管理任务时使用远程桌面连接到的特殊服务器。您应该以类似于特权访问工作站的方式配置跳转服务器。不同之处在于，IT 运营团队的成员不是在本地登录，而是与跳转服务器建立远程桌面连接，然后使用具有所需管理权限的帐户登录跳转服务器。跳转服务器的缺点是，连接到跳转服务器的计算机可能会受到恶意软件的危害，因为您使用它来浏览互联网、阅读电子邮件、打开文件等。在高度安全的环境中，您可以将跳转服务器与特权访问工作站结合使用。

足够的管理（JEA）

Just Enough Administration 是一种新的管理技术，使您能够通过 Windows PowerShell 远程会话应用基于角色的访问控制 (RBAC) 原则。您可以使用 JEA 配置特殊的 Windows PowerShell 端点，这些端点提供执行特定任务所需的功能，而不是为用户分配授予其完成工作所需的更多权限的常规角色：授权用户可以连接到端点并使用一组特定的 Windows PowerShell cmdlet、参数和参数值。这些任务由特权虚拟帐户而不是用户帐户执行。

这种方法的优点包括：

• 用户的凭据不存储在远程系统上。
• 用于连接到端点的用户帐户不需要具有特权。
• 虚拟帐户仅限于托管其的系统。
• 虚拟帐户具有本地管理员权限，但仅限于执行 JEA 定义的活动。

保护域控制器

域控制器是网络上最有价值的目标之一；破坏 DC 的攻击者可以控制所有域身份。为了保护您的 DC，请考虑采取以下步骤：

• 确保所有域控制器都运行最新版本的 Windows Server 操作系统并具有最新的安全更新。
• 使用“服务器核心”安装选项而不是“带桌面的服务器”选项部署域控制器。
• 将物理部署的域控制器保留在与其他服务器分开的专用安全机架中。
• 在包含可信平台模块 (TPM) 芯片的硬件上部署域控制器，并使用 BitLocker 驱动器加密配置所有卷。
• 在单独的虚拟化主机上运行虚拟化域控制器，或者在受保护的结构上作为受保护的虚拟机运行。
• 使用安全合规性管理器将配置基线应用到域控制器。
• 使用 AppLocker 和 Device Guard 控制域控制器上可执行文件和脚本的执行。
• 使用分配给域控制器 OU 的组策略确保只能从跳转服务器和特权访问工作站建立 RDP 连接。
• 配置外围防火墙以阻止从域控制器到 Internet 的出站连接。

增强安全管理环境 (ESAE) 森林

增强安全管理环境 (ESAE) 林也称为“红色林”，是托管特权帐户的特殊 Active Directory 林。将特权帐户放入 ESAE 林中可以更轻松地应用更具限制性的策略来保护它们。 ESAE 林配置为与生产林建立单向信任关系 — ESAE 林中的帐户可以在生产林中使用，但生产林中的帐户不能在 ESAE 林中使用。生产林已配置为只能由 ESAE 林中托管的帐户执行管理任务。

ESAE 森林具有以下优势：

• 锁定帐户。 ESAE 林中的标准用户帐户可以配置为生产林中的高权限。
• 选择性身份验证。 ESAE 林中的帐户只能登录生产林中的特定主机。
• 提高安全性的简单方法。由于特权管理帐户托管在单独的林中，因此可以轻松地对它们应用比对标准用户帐户更严格的安全要求（例如要求多因素身份验证）。生产林。

微软身份管理器（MIM）

Active Directory 域服务 (AD DS) 允许您创建、修改和删除用户帐户，但提供很少的工具来自动管理这些帐户的生命周期。 MIM 是一种本地身份和访问管理解决方案，可以填补这一空白。例如，借助 MIM，您可以使用户能够使用自助服务门户重置自己的密码，并允许本地身份存储与云应用程序中的身份存储之间进行身份同步。

您可以使用 MIM 来管理：

• 用户
• 证书
• 政策
• 使用权
• 证书
• 特权身份

MIM 提供以下功能：

• 自助密码重置。用户在回答问题验证身份后可以重置自己忘记的密码。
• 自助帐户锁定修复。用户可以通过回答问题来验证身份来解锁帐户。
• 自助用户属性管理。用户可以更新自己的某些 Active Directory 属性，例如电话号码。
• 管理 Active Directory 用户和组的生命周期。MIM 提供的工具用于管理组和用户，其功能超出了 AD DS 的创建、修改和删除功能。
• 管理智能卡和证书的生命周期。MIM 提供用于管理智能卡和证书的工具，包括证书配置和续订。
• 角色管理和分配。MIM 可帮助您管理 RBAC 功能。
• 跨目录的密码同步。您可以将密码同步到其他目录，包括 Azure Active Directory (Azure AD)。
• 特权帐户管理 (PAM)。管理员可以临时而非永久地分配权限。
• 分析和合规性报告。您可以分析和报告 MIM 2022 的所有活动。

准时制 (JIT) 管理

JIT 管理的理念是在用户需要执行特定任务时向用户授予权限，并且仅在有限的时间内而不是永久授予权限。这限制了帐户对危害帐户的攻击者的有用性，并且还最大限度地减少了帐户所有者意外或故意滥用提升的权限的机会。 JIT 是通过向用户授予具有所需权限的安全组中的临时成员身份来实现的。

如果实施得当，此方法可以提供以下安全改进：

• IT 运营团队使用的所有帐户都是标准用户帐户。
• 所有特权请求都会被记录。
• 特权是暂时的。
• 授予权限后，用户必须建立新会话（通过打开新的 Windows PowerShell 会话或注销并再次登录）才能利用新的临时组成员身份和关联的权限。