Active Directory 红森林模型：评估替代方案

在最近的开发中，Microsoft 发布了有关组织应如何处理 Active Directory (AD) 内的特权访问的新指南。这些准则的一个重要方面涉及从分层访问模型 (TAM) 和增强安全管理环境(ESAE)（通常称为 >Active Directory 红森林。相反，现在的重点是实施企业访问模型 (EAM)。这篇信息丰富的文章揭示了旧模型的局限性，并概述了 EAM 的基本原则。

什么是 Active Directory 红森林模型？

Active Directory (AD) 红森林，也称为增强安全管理环境 (ESAE)，通过限制管理凭据的暴露来帮助防止凭据盗窃攻击。它在 AD 管理层模型上运行，该模型涉及环境的完全控制（第 0 层）和经常成为攻击者目标的高风险工作站资产之间的缓冲区。该模型具有三个级别，仅包括管理帐户，不包括标准用户帐户。

• 第 0 层：此层涉及对系统内的企业身份进行直接控制。对 Active Directory 林、域或域控制器具有管理控制权的所有帐户、组和资产都属于第 0 层。由于它们相互控制，因此所有第 0 层资产在安全性方面都被视为同等敏感。
• 第 1 层：此层包括对企业服务器和应用程序的控制。这一层的管理员帐户有权控制大量的业务价值。例如，维护操作系统的服务器管理员可以显着影响企业服务。
• 第 2 层：此层包括对用户工作站和设备的管理控制。任何能够控制大量用户工作站和设备的管理员帐户都属于第 2 层。此类角色的示例包括帮助台和计算机支持管理员，他们可能会严重损害用户数据的完整性。

红森林模型的局限性

组织可能会选择使用 AD 红色森林来保护其最敏感的凭据。然而，如果他们这样做，他们可能会面临两个重大挑战。第一个问题是实施成本高昂。使用红森林模型可能会给时间和资源带来压力，需要创建管理林、设置适当的帐户、安排系统访问、仔细管理林并维护用于修补、备份和监控的单独基础设施。第二个挑战涉及保护现代 IT 环境的难度。红森林模型专为本地 AD 环境而设计。然而，如今，公司使用多个云平台和身份管理提供商，这些都超出了 AD 的范围。由于必须在整个 IT 环境中控制特权访问，因此仅覆盖本地环境的安全模型通常是不够的。

分层访问模型

与 ESAE 一样，分层访问模型 (TAM) 的基础也是建立在 70 年代建立的 Bell LaPadula 模型之上。尽管进行了修改，TAM 仍然在使用，并且可以通过将不同的访问级别映射到各个 Azure AD 功能来集成到 Azure AD 中。尽管 Azure AD 具有多个具有高级权限的有影响力的角色，例如启用了 PIM 的纯云帐户、FIDO2 身份验证令牌和 Azure 托管工作站，但条件访问策略的应用使安全过程变得复杂。此外，缺乏从 AD 到 Azure AD 的转换会导致混乱的过渡。

什么是企业访问模型？

使用企业访问模型的一大好处是 Active Directory 不完全控制访问。相反，访问由三个基本层决定：

控制平面 - 身份系统、网络和其他访问管理位置都有一个控制平面，只有高度可信的设备和凭证才能管理。

管理平面 - 此层管理数据、应用程序和服务（类似于第一层）。访问权限分布到各种载体，例如基于云的系统、组织层次结构和数据/工作负载平面。

数据/工作负载平面 - 此级别处理用户访问，包括员工、承包商、合作伙伴和客户以及他们使用的设备。 Microsoft Intune 是 Microsoft Endpoint Manager 的一部分，可以帮助管理这些设备。

企业接入模型核心原则

企业访问模型承认 Active Directory 的范围是有限的，因此结合了以下安全原则来保护敏感数据：

最小权限原则 (PoLP)：虽然使用 AI/ML 的先进的基于云的控制可以有效地检测和响应攻击，但我们仍然需要使用最小权限模型严格控制访问，并且不仅关注管理用户访问，还关注管理、服务和应用程序帐户。

永远不要信任，总是验证：在当今 IT 环境是分布式和动态的世界中，需要零信任架构。零信任使用信号来做出有关访问的决策，同时还提供无缝且安全的用户体验。例如，如果具有正确权限的某人尝试访问系统，但设备过时或禁用了屏幕锁定，则他们的访问可能会被彻底阻止，可能需要额外的验证，或者只能访问非敏感信息。

一致的策略执行：为所有用户和资源制定一致的策略非常重要，即使在不同的位置也是如此。对资源的访问应主要通过 Azure AD，与 AD 等旧基础设施的交互最少。设备管理应通过 Microsoft Intune 完成（如上所述）。无密码访问是一种控制访问的现代方式，可以创造更好的用户体验。

防止权限升级：除了实施严格的访问控制外，我们还应该使用网络隔离并限制服务帐户的重用。在 Azure AD 中管理服务主体和企业应用程序并仔细审查提升权限的请求非常重要，因为供应商可能会请求超出必要的权限。我们还应该谨慎授予域管理员成员身份，以防止对手获得更大的访问权限。

如何改进 Active Directory 林设计以提高安全性

NIST 网络安全框架可以帮助我们制定强大的安全策略，包括识别和保护敏感数据、监控可疑活动、制定快速响应威胁并从攻击中恢复的计划。为了实现这些目标，公司应该加密数据、控制网络访问、定期更新安全软件并对员工进行网络安全培训。他们还应该制定正式的设备处置政策，通知相关方，调查和遏制攻击，并在恢复期间保持业务运营正常运行。