Fase 3- Applicare i criteri di accesso con privilegi

Questo articolo fa parte della guida implementare una soluzione di architettura con accesso con privilegi .

L'accesso con privilegi presenta un rischio critico per la sicurezza nella maggior parte delle organizzazioni perché consente il controllo diretto sui sistemi di identità, sui piani di controllo cloud e sugli asset critici per l'azienda.

Informazioni su come un'architettura di accesso con privilegi sicuri svolge un ruolo fondamentale nello scenario aziendale: proteggere gli asset aziendali critici , riducendo questo rischio e rafforzando il controllo sui sistemi sensibili.

Questo articolo descrive la fase 3 dell'implementazione. Applica i criteri di accesso con privilegi per limitare la posizione in cui è possibile usare le identità con privilegi.

Utilizzando i segnali dei dispositivi attendibili definiti nella fase 2, si configura l'accesso condizionale in modo che i ruoli privilegiati, i portali e le interfacce di gestione possano essere usati solo da workstation per l'accesso privilegiato (PAW) approvate e a basso rischio.

Obiettivi di protezione

La fase 3 applica gli obiettivi di protezione seguenti:

  • Assicurarsi che le credenziali con privilegi non possano essere usate dai dispositivi non PAW.
  • I portali e le interfacce di amministrazione sono raggiungibili solo da dispositivi conformi a basso rischio.
  • L'accesso con privilegi richiede l'autenticazione avanzata dell'utente e l'attendibilità del dispositivo verificata.
  • Restringere l'accesso alle interfacce amministrative (portali, API, PowerShell) alle PAW autorizzate.
  • Le credenziali rubate non possono essere riutilizzate da endpoint standard o non gestiti.
  • I percorsi di accesso con privilegi sono espliciti, controllabili e applicabili.

Ambito di protezione

La fase 3 protegge le interfacce di accesso con privilegi e i flussi di lavoro attraverso i quali si verificano azioni con privilegi, tra cui:

  • Portali di gestione cloud (portale di Azure, Interfaccia di amministrazione di Microsoft Entra, interfaccia di amministrazione di Microsoft 365)
  • Portali di gestione della sicurezza (portali Microsoft Defender)
  • Utilizzo e attivazione dei ruoli con privilegi (inclusi i ruoli controllati da PIM)
  • Sessioni del browser di amministrazione
  • Percorsi di uscita di rete usati dai dispositivi con privilegi

La fase 3 non riconfigura i dispositivi o le identità. Applica i criteri usando gli output delle fasi 1 e 2.

Rischi mitigati

Rischio Perché è importante Mitigazione della fase 3
Credenziali con privilegi riutilizzate da dispositivi non PAW L'autenticazione a più fattori e le approvazioni non impediscono agli utenti malintenzionati di riutilizzare token o credenziali rubati nelle workstation standard compromesse. L'accesso condizionale richiede che gli utenti con ruoli privilegiati si autentichino solo da PAW conformi e a basso rischio.
Accesso con privilegi da dispositivi ad alto rischio o senza patch Un dispositivo vulnerabile consente agli utenti malintenzionati di esercitare immediatamente il controllo amministrativo. Le decisioni di accesso valutano la conformità di Intune e il livello di rischio di Microsoft Defender per endpoint prima di concedere l'accesso privilegiato.
Portali amministrativi accessibili da dispositivi BYOD o non gestiti I piani di controllo cloud diventano raggiungibili dai dispositivi esterni al controllo dell'organizzazione. Accesso condizionale limita l'accesso ai portali amministrativi alle PAW, bloccando l'accesso da dispositivi non PAW.
Ignorare i portali protetti usando interfacce alternative Gli utenti malintenzionati possono evitare controlli usando PowerShell, API o endpoint di amministrazione alternativi. L'applicazione è coerente in tutte le interfacce amministrative, non soltanto nei portali principali.
Attivazione dei ruoli con privilegi dalle workstation compromesse I flussi di lavoro di approvazione possono essere dirottati se si verifica l'attivazione dei ruoli in un dispositivo non sicuro. L'attivazione dei ruoli PIM e l'utilizzo dei ruoli vengono applicati tramite gli stessi requisiti di attendibilità dei dispositivi per l'accesso condizionale.
Le credenziali concedono solo l'accesso con privilegi Le protezioni basate esclusivamente sull’identità presuppongono un ambiente di esecuzione affidabile. La fase 3 associa le condizioni di identità, dispositivo e interfaccia, in modo che le credenziali da sole non siano sufficienti.
Mancanza di visibilità nell'applicazione Senza l'imposizione dei criteri, è difficile dimostrare che l'accesso con privilegi è vincolato. Le decisioni sull'accesso condizionale e i dati di telemetria Defender forniscono prove di applicazione osservabili e controllabili.
Escalation rapida dopo la compromissione della workstation Gli attaccanti passano rapidamente da un dispositivo compromesso al controllo dell’intera azienda. La fase 3 garantisce che le credenziali rubate non possano essere utilizzate al di fuori delle PAW, interrompendo i comuni percorsi di escalation.

Risultati della fase

Dopo aver completato la fase 3:

  • I ruoli privilegiati e i portali di amministrazione sono accessibili solo da workstation PAW conformi e a basso rischio.
  • L'accesso condizionale blocca l'accesso con privilegi da dispositivi non PAW.
  • La conformità dei dispositivi e i segnali di rischio di Microsoft Defender per endpoint sono elementi necessari per le decisioni di accesso.
  • L'accesso con privilegi viene applicato tra i livelli di identità, dispositivo e interfaccia.
  • I tentativi di accesso vengono registrati, osservabili e controllabili.

Prerequisiti

Prima di configurare le procedure in questo articolo:

  • Completare le istruzioni della fase 1 per proteggere il piano di controllo delle identità.
  • Completate Fase 2 per implementare e mettere in sicurezza le workstation PAW.
  • Assicurarsi che la conformità del dispositivo e l'integrazione con Defender for Endpoint siano attive.

Passaggio 1: Richiedere l'autenticazione a più fattori e l'attendibilità dei dispositivi per l'accesso con privilegi

Assicurarsi che l'accesso con privilegi richieda l'autenticazione avanzata degli utenti e i dispositivi attendibili.

  1. Nell'interfaccia di amministrazione Microsoft Entra passare a Protection>Accesso condizionale>Policies.
  2. Selezionare Crea nuovo criterio.
  3. In Assegnazioni>Gli utenti configurano queste impostazioni:
    • Includere ruoli della directory con privilegi, ad esempio Amministratore globale, Amministratore della sicurezza.
    • Escludere il gruppo break-glass di emergenza.
  4. In Assignments>Cloud apps sono incluse applicazioni di gestione del cloud come portale di Azure, Interfaccia di amministrazione di Microsoft Entra, interfaccia di amministrazione di Microsoft 365 e i portali di Defender.
  5. In Controlli di accesso, concedi l'accesso con queste impostazioni:
    • Richiedere l'autenticazione a più fattori
    • Richiedere che i dispositivi vengano contrassegnati come conformi
    • Richiedere che il rischio del dispositivo in Microsoft Defender per endpoint = Basso
  6. Abilitare la politica.

Passaggio 2 - Limitare i portali amministrativi alle PAW

Assicurarsi che i portali amministrativi siano raggiungibili solo da PAW conformi.

  1. Nell'interfaccia di amministrazione Microsoft Entra passare a Protection>Accesso condizionale>Policies.
  2. Selezionare Crea nuovo criterio per creare un criterio aggiuntivo.
  3. In Assegnazioni>Gli utenti configurano queste impostazioni:
    • Includere ruoli della directory con privilegi, ad esempio Amministratore globale, Amministratore della sicurezza.
    • Escludere il gruppo break-glass di emergenza.
  4. In Assegnazioni>App cloud includono le applicazioni amministrative usate per l'accesso con privilegi nell'ambiente in uso.
  5. In Controlli di accesso, concedi l'accesso con queste impostazioni:
    • Richiedere che i dispositivi vengano contrassegnati come conformi
    • Richiedi Microsoft Defender per endpoint rischio del dispositivo = basso
  6. Abilitare la politica.

Passaggio 3- Bloccare l'accesso con privilegi da dispositivi non PAW

Assicurarsi che l'accesso con privilegi ai portali amministrativi sia bloccato dai dispositivi non PAW, anche se tali dispositivi soddisfano i requisiti di conformità generali.

  1. Nell'interfaccia di amministrazione Microsoft Entra passare a Protection>Accesso condizionale>Policies.
  2. Selezionare Crea nuovo criterio per creare un terzo criterio.
  3. In Assegnazioni>Gli utenti configurano queste impostazioni:
    • Includere ruoli della directory con privilegi, ad esempio Amministratore globale, Amministratore della sicurezza.
    • Escludere gli account di accesso di emergenza designati.
  4. In Assegnazioni>App cloud sono inclusi gli stessi portali amministrativi.
  5. In Condizioni selezionare Filtra per i dispositivi.
  6. Configurare il filtro del dispositivo per i dispositivi non PAW:
    • Selezionare Includi dispositivi filtrati:
    • Configura un filtro per i dispositivi che identifica i dispositivi non PAW in base all'attributo o alla regola che l'organizzazione usa per distinguere i PAW. Assicurarsi che corrisponda al metodo di identificazione stabilito nella fase 2.
  7. Selezionare Fine per applicare la condizione di filtro del dispositivo.
  8. In Controlli di accesso selezionare Blocca accesso.
  9. Selezionare Crea per abilitare il criterio.

Passaggio 4- Limitare l'accesso alla rete PAW

Limitare l'accesso alla rete PAW solo agli endpoint amministrativi e di gestione necessari. Questa configurazione si basa su regole firewall esplicite per consentire gli endpoint necessari, piuttosto che su autorizzazioni generiche basate sul protocollo.

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare a Endpoint security>Firewall.

  2. Seleziona Crea politica.

  3. Configurare il criterio: - Platform: Windows 10 e versioni successive. 1. Configurare le impostazioni del profilo del firewall:

    • Connessioni in ingresso: Blocca
    • Connessioni in uscita: consenti (impostazione predefinita, controllata dalle regole seguenti)

  4. In Impostazioni configurare le regole del firewall . Usare le regole del firewall per definire il traffico necessario per l'amministrazione con privilegi.

  5. Creare regole di autorizzazione in uscita per i servizi necessari, ad esempio:

    • DNS
    • DHCP
    • NTP
    • Endpoint Microsoft necessari per la gestione del cloud, come Intune e Microsoft Entra ID.
    • Endpoint di amministrazione necessari.

    Ogni regola deve:

    • Specifica direzione: in uscita.
    • Specifica Azione: Consenti
    • Definire gli endpoint di destinazione (intervalli IP, FQDN o tag di servizio, se supportati)

  6. Assicurarsi che non siano configurate regole di accesso generico, ad esempio HTTP/HTTPS senza restrizioni.

  7. Assegnare il criterio a Dispositivi per workstation sicure (PAWs).

  8. Selezionare Crea per distribuire i criteri.

Questo completa il livello di applicazione dell'accesso privilegiato. L'articolo successivo può essere compilato in base a questo argomento per comprendere i criteri di misurazione, monitoraggio e esito positivo.

Passaggi successivi

Una volta implementato il livello di applicazione dell'accesso privilegiato, il passaggio finale consiste nel configurare il monitoraggio.

  • Last updated on