Phase 3 : Erzwingen von Richtlinien für privilegierten Zugriff

Dieser Artikel ist Teil des Leitfadens zur Implementierung einer Architekturlösung mit privilegiertem Zugriff .

Privilegierter Zugriff stellt in den meisten Organisationen ein kritisches Sicherheitsrisiko dar, da er die direkte Kontrolle über Identitätssysteme, Cloudsteuerungsebenen und unternehmenskritische Ressourcen ermöglicht.

Erfahren Sie, wie eine Architektur für sicheren privilegierten Zugriff eine wichtige Rolle in Ihrem Geschäftsszenario spielt – Schützen kritischer Geschäftsressourcen – indem Sie dieses Risiko verringern und die Kontrolle über sensible Systeme stärken.

In diesem Artikel wird Phase 3 der Implementierung beschrieben. Er erzwingt Richtlinien für privilegierten Zugriff, um einzuschränken, wo privilegierte Identitäten verwendet werden können.

Mithilfe der in Phase 2 eingerichteten vertrauenswürdigen Gerätesignale konfigurieren Sie den bedingten Zugriff, sodass privilegierte Rollen, Portale und Verwaltungsschnittstellen nur von genehmigten, risikoarmen Privilegierten Zugriffsarbeitsstationen (PAWs) verwendet werden können.

Schutzziele

Phase 3 erzwingt die folgenden Schutzziele:

  • Stellen Sie sicher, dass privilegierte Anmeldeinformationen nicht von Nicht-PAW-Geräten verwendet werden können.
  • Verwaltungsportale und Schnittstellen können nur von kompatiblen Geräten mit geringem Risiko erreicht werden.
  • Privilegierter Zugriff erfordert eine starke Benutzerauthentifizierung und ein verifiziertes vertrauenswürdiges Gerät.
  • Einschränken des Zugriffs auf administrative Schnittstellen (Portale, APIs, PowerShell) auf genehmigte PAWs.
  • Gestohlene Anmeldeinformationen können nicht von Standard- oder nicht verwalteten Endpunkten wiederverwendet werden.
  • Privilegierte Zugriffspfade sind explizit, auditierbar und erzwingbar.

Schutzumfang

Phase 3 schützt Benutzeroberflächen und Workflows für privilegierten Zugriff, über die privilegierte Aktionen auftreten, einschließlich:

  • Cloudverwaltungsportale (Azure Portal, Microsoft Entra Admin Center, Microsoft 365 Admin Center)
  • Sicherheitsverwaltungsportale (Microsoft Defender Portale)
  • Privilegierte Rollennutzung und Aktivierung (einschließlich PIM-gesteuerter Rollen)
  • Administrative Browsersitzungen
  • Netzwerkausgangspfade, die von privilegierten Geräten verwendet werden

Phase 3 konfiguriert keine Geräte oder Identitäten neu. Sie setzt die Richtlinie anhand der Ergebnisse der Phasen 1 und 2 durch.

Risiken abgemildert

Risiko Warum es wichtig ist Entschärfung der Phase 3
Auf Nicht-PAW-Geräten wiederverwendete privilegierte Anmeldeinformationen MFA und Genehmigungen verhindern nicht, dass Angreifer gestohlene Token oder Anmeldeinformationen auf kompromittierten Standardarbeitsstationen wiederverwenden. Conditional Access erfordert, dass sich Benutzer in privilegierten Rollen nur über konforme, risikoarme PAWs authentifizieren.
Privilegierter Zugriff von geräten mit hohem Risiko oder nicht gepatchten Geräten Ein anfälliges Gerät ermöglicht Es Angreifern, sofort administrative Kontrolle auszuüben. Zugriffsentscheidungen bewerten die Intune-Compliance und die Risikostufe von Microsoft Defender for Endpoint, bevor privilegierter Zugriff gewährt wird.
Verwaltungsportale, auf die von nicht verwalteten oder BYOD-Geräten zugegriffen werden kann Cloudsteuerungsebenen werden von Geräten außerhalb der Organisationskontrolle erreichbar. Bedingter Zugriff schränkt Verwaltungsportale auf PAWs ein und blockiert den Zugriff von Nicht-PAW-Geräten.
Umgehung geschützter Portale mithilfe alternativer Schnittstellen Angreifer können Steuerelemente mithilfe von PowerShell, APIs oder alternativen Administratorendpunkten vermeiden. Die Durchsetzung gilt einheitlich über administrative Schnittstellen hinweg, nicht nur primäre Portale.
Aktivierung privilegierter Rollen von kompromittierten Arbeitsstationen aus Genehmigungsworkflows können kompromittiert werden, wenn die Rollenaktivierung auf einem unsicheren Gerät erfolgt. Die Aktivierung und Nutzung von PIM-Rollen werden durch dieselben Anforderungen an die Gerätevertrauensstellung des bedingten Zugriffs erzwungen.
Nur Anmeldeinformationen gewähren privilegierten Zugriff Ausschließlich identitätsbasierte Schutzmaßnahmen setzen eine vertrauenswürdige Ausführungsumgebung voraus. Phase 3 bindet Identitäts-, Geräte- und Schnittstellenbedingungen, sodass Anmeldeinformationen allein unzureichend sind.
Fehlende Sichtbarkeit der Durchsetzung Ohne Richtlinienerzwingung ist es schwierig, zu beweisen, dass der privilegierte Zugriff eingeschränkt ist. Entscheidungen über bedingten Zugriff und Defender Telemetrie bieten überprüfbare, feststellbare Erzwingungsnachweise.
Schnelle Eskalation nach Kompromittierung der Arbeitsstation Angreifer pivotieren schnell von einem kompromittierten Gerät zur unternehmensweiten Kontrolle. Phase 3 stellt sicher, dass gestohlene Anmeldeinformationen außerhalb von PAWs unbrauchbar sind, und unterbindet gängige Eskalationspfade.

Phasenergebnisse

Nach Abschluss der Phase 3:

  • Privilegierte Rollen und Administratorportale sind nur über kompatible, risikoarme PAWs zugänglich.
  • Bedingter Zugriff blockiert privilegierten Zugriff von Nicht-PAW-Geräten.
  • Gerätekonformität und Microsoft Defender for Endpoint-Risikosignale sind erforderliche Grundlagen für Zugriffsentscheidungen.
  • Privilegierter Zugriff wird über Identitäts-, Geräte- und Schnittstellenebenen hinweg erzwungen.
  • Zugriffsversuche werden protokolliert, feststellbar und auditierbar.

Voraussetzungen

Bevor Sie Verfahren in diesem Artikel konfigurieren:

  • Führen Sie die Anweisungen der Phase 1 aus, um die Identitätssteuerungsebene zu sichern.
  • Schließen Sie Phase 2 ab, um PAWs bereitzustellen und zu härten.
  • Stellen Sie sicher, dass die Gerätekompatibilität und Defender für die Endpunktintegration aktiv sind.

Schritt 1 – MFA und Gerätevertrauensstellung für privilegierten Zugriff erforderlich

Stellen Sie sicher, dass der privilegierte Zugriff eine starke Benutzerauthentifizierung und vertrauenswürdige Geräte erfordert.

  1. Navigieren Sie im Microsoft Entra Admin Center zu Protection>Conditional Access>Policies.
  2. Wählen Sie " Neue Richtlinie erstellen" aus.
  3. In Zuordnungen> konfigurierenBenutzer diese Einstellungen:
    • Fügen Sie privilegierte Verzeichnisrollen wie globaler Administrator, Sicherheitsadministrator ein.
    • Schließen Sie die Break-Glass-Gruppe für Notfälle aus.
  4. Unter Assignments>Cloud-Apps umfassen Cloudverwaltungsanwendungen wie das Azure-Portal, das Microsoft Entra Admin Center, das Microsoft 365 Admin Center und Defender-Portale.
  5. Gewähren Sie in Access-Steuerelementen den Zugriff mit den folgenden Einstellungen:
    • Erzwingen der mehrstufigen Authentifizierung
    • Markieren des Geräts als kompatibel erforderlich
    • Microsoft Defender for Endpoint Geräterisiko erforderlich = Niedrig
  6. Aktivieren Sie die Richtlinie.

Schritt 2: Beschränken Sie Administratorportale auf PAWs

Stellen Sie sicher, dass Verwaltungsportale nur von konformen PAWs erreichbar sind.

  1. Navigieren Sie im Microsoft Entra Admin Center zu Protection>Conditional Access>Policies.
  2. Wählen Sie " Neue Richtlinie erstellen" aus, um eine zusätzliche Richtlinie zu erstellen.
  3. In Zuordnungen> konfigurierenBenutzer diese Einstellungen:
    • Fügen Sie privilegierte Verzeichnisrollen wie globaler Administrator, Sicherheitsadministrator ein.
    • Schließen Sie die Notfallunterbrechungsglasgruppe aus.
  4. In Assignments>Cloud-Apps sind die administrativen Anwendungen enthalten, die für privilegierten Zugriff in Ihrer Umgebung verwendet werden.
  5. Gewähren Sie in Access-Steuerelementen den Zugriff mit den folgenden Einstellungen:
    • Markieren des Geräts als kompatibel erforderlich
    • Microsoft Defender for Endpoint Geräterisiko erforderlich = Niedrig
  6. Aktivieren Sie die Richtlinie.

Schritt 3 : Blockieren des privilegierten Zugriffs von Nicht-PAW-Geräten

Stellen Sie sicher, dass der privilegierte Zugriff auf Verwaltungsportale von Nicht-PAW-Geräten blockiert wird, auch wenn diese Geräte allgemeine Complianceanforderungen erfüllen.

  1. Navigieren Sie im Microsoft Entra Admin Center zu Protection>Conditional Access>Policies.
  2. Wählen Sie " Neue Richtlinie erstellen" aus, um eine dritte Richtlinie zu erstellen.
  3. In Zuordnungen> konfigurierenBenutzer diese Einstellungen:
    • Fügen Sie privilegierte Verzeichnisrollen wie globaler Administrator, Sicherheitsadministrator ein.
    • Schließen Sie bestimmte Notfallzugriffskonten aus.
  4. In Assignments>Cloud-Apps sind dieselben Verwaltungsportale enthalten.
  5. Wählen Sie unter "Bedingungen" die Option "Nach Geräten filtern" aus.
  6. Konfigurieren Sie den Gerätefilter für Nicht-PAW-Geräte:
    • Wählen Sie gefilterte Geräte einschließen aus:
    • Konfigurieren Sie einen Gerätefilter, der Nicht-PAW-Geräte basierend auf dem Attribut oder der Regel identifiziert, das Ihre Organisation zum Unterscheiden von PAWs verwendet. Stellen Sie sicher, dass dies mit der in Phase 2 festgelegten Identifikationsmethode übereinstimmt.
  7. Wählen Sie "Fertig" aus, um die Gerätefilterbedingung anzuwenden.
  8. Wählen Sie unter Zugriffssteuerungendie Option Zugriff blockieren aus.
  9. Wählen Sie Erstellen aus, um die Richtlinie zu aktivieren.

Schritt 4 : Einschränken des PAW-Netzwerkzugriffs

Beschränken Sie den PAW-Netzwerkzugriff auf die erforderlichen Administrator- und Verwaltungsendpunkte. Diese Konfiguration stützt sich auf explizite Firewallregeln, um die erforderlichen Endpunkte zuzulassen, anstatt auf allgemeine protokollbasierte Freigaben.

  1. Navigieren Sie im Microsoft Intune Admin Center zu Endpoint security>Firewall.

  2. Wählen Sie Richtlinie erstellen.

  3. Konfigurieren Sie die Richtlinie: - Platform: Windows 10 und höher. 1. Konfigurieren Sie die Firewallprofileinstellungen:

    • Eingehende Verbindungen: Blockieren
    • Ausgehende Verbindungen: Zulassen (Standard, gesteuert durch Regeln unten)

  4. Konfigurieren Sie unter "Einstellungen" Firewallregeln . Verwenden Sie Firewallregeln, um den datenverkehr zu definieren, der für die privilegierte Verwaltung erforderlich ist.

  5. Erstellen Sie ausgehende Regeln zum Zulassen für erforderliche Dienste, z. B.:

    • DNS
    • DHCP
    • NTP
    • Erforderliche Microsoft Cloudverwaltungsendpunkte wie Intune und Microsoft Entra ID.
    • Erforderliche administrative Endpunkte.

    Jede Regel sollte:

    • Richtung angeben: ausgehend.
    • Aktion angeben: Zulassen
    • Definieren von Zielendpunkten (IP-Bereiche, FQDNs oder Diensttags, sofern unterstützt)

  6. Stellen Sie sicher, dass keine allgemeinen Zulassungsregeln wie uneingeschränktes HTTP/HTTPS konfiguriert sind.

  7. Weisen Sie die Richtlinie den sicheren Arbeitsplatzgeräten (PAWs) zu.

  8. Wählen Sie Erstellen aus, um die Richtlinie bereitzustellen.

Damit ist die Ebene zur Durchsetzung privilegierter Zugriffe abgeschlossen. Der nächste Artikel kann darauf aufbauen, um Mess-, Überwachungs- und Erfolgskriterien abzudecken.

Nächste Schritte

Da die Erzwingungsebene für privilegierten Zugriff vorhanden ist, besteht der letzte Schritt darin, die Überwachung zu konfigurieren.

  • Last updated on