阶段 3 - 强制实施特权访问策略

本文是 实现特权访问体系结构解决方案指南的一 部分。

特权访问在大多数组织中都存在严重安全风险,因为它能够直接控制标识系统、云控制平面和业务关键型资产。

了解 安全特权访问体系结构 在业务场景中如何发挥关键作用- 保护关键业务资产 -通过降低此风险和加强对敏感系统的控制。

本文介绍实现的第 3 阶段。 它强制实施特权访问策略来限制可以使用特权标识的位置。

使用阶段 2 中建立的受信任设备信号,可以配置条件访问,以便特权角色、门户和管理接口只能从批准的低风险特权访问工作站(PAW)使用。

保护目标

第 3 阶段强制实施以下保护目标:

  • 确保无法在非 PAW 设备上使用特权凭据。
  • 管理门户和界面只能从合规的低风险设备访问。
  • 特权访问需要强用户身份验证和已验证的设备信任。
  • 将管理接口(门户、API、PowerShell)的访问限制为已批准的 PAW。
  • 被盗凭据无法在标准或非托管设备上再次使用。
  • 特权访问路径是显式、可审核和可强制执行的。

保护范围

阶段 3 保护特权访问接口和工作流,通过这些接口和工作流执行特权操作,包括:

  • 云管理门户(Azure门户、Microsoft Entra 管理中心、Microsoft 365 管理中心)
  • 安全管理门户(Microsoft Defender门户)
  • 特权角色使用和激活(包括受 PIM 控制的角色)
  • 管理员浏览器会话
  • 特权设备使用的网络出口路径

阶段 3 不会重新配置设备或标识。 它使用阶段 1 和 2 的输出强制实施策略。

已缓解风险

风险 为什么它很重要 阶段 3 缓解
在非 PAW 设备上重复使用特权凭据 MFA 和批准不会阻止攻击者在被入侵的标准工作站上重用被盗的令牌或凭据。 条件访问要求特权角色账户只能通过合规且低风险的 PAW 进行身份验证。
来自高风险或未打补丁设备的特权访问 易受攻击的设备允许攻击者立即执行管理控制。 访问决策在授予特权访问权限之前评估 Intune 合规性和Microsoft Defender for Endpoint风险级别。
可从非托管或 BYOD 设备访问的管理门户 云控制平面可被组织管控范围之外的设备访问。 条件访问将管理门户限制为 PAW,阻止来自非 PAW 设备的访问。
使用备用接口绕过受保护的门户 攻击者可以使用 PowerShell、API 或备用管理员终结点来避免控制。 强制措施在管理界面上一致地应用,而不仅仅是主要门户。
来自已遭入侵工作站的特权角色激活 如果角色激活发生在不安全的设备上,则可以劫持审批工作流。 PIM 角色激活和角色使用通过相同的条件访问设备信任要求强制执行。
仅凭据即可授予特权访问权限 仅依赖身份的保护机制以可信的执行环境为前提。 阶段 3 绑定标识、设备和接口条件,因此仅凭据就不足。
缺乏对强制措施的可见性 如果不强制实施策略,很难证明特权访问受到限制。 条件访问决策和Defender遥测提供可审核的可观察强制证据。
工作站泄露后快速升级 攻击者将快速从受入侵的设备转向企业范围的控制。 阶段 3 确保被盗的凭据在 PAW 外部不可用,从而打破了常见的升级路径。

阶段结果

完成第 3 阶段后:

  • 特权角色和管理门户仅可通过合规的低风险 PAW 访问。
  • 条件访问阻止来自非 PAW 设备的特权访问。
  • 设备合规性和 Microsoft Defender for Endpoint 风险信号是访问决策所需的输入条件。
  • 跨标识、设备和接口层强制实施特权访问。
  • 记录访问尝试、可观察和可审核。

先决条件

在配置本文中的过程之前:

  • 完成 第一阶段说明,以保护身份控制平面。
  • 完成 阶段 2 以部署和强化 PAW。
  • 请确保设备合规性以及与 Defender for Endpoint 的集成已启用。

步骤 1 — 要求使用 MFA 和设备信任来保护特权访问

确保特权访问需要强用户身份验证和受信任的设备。

  1. Microsoft Entra 管理中心中,导航到 Protection>Conditional Access>Policies
  2. 选择“创建新策略”。
  3. “分配>用户 ”中配置以下设置:
    • 包括特权目录角色,例如全局管理员、安全管理员。
    • 排除紧急破窗组。
  4. Assignments>云应用中,包括云管理应用程序,例如 Azure 门户、Microsoft Entra 管理中心、Microsoft 365 管理中心和 Defender 门户。
  5. 访问控制中,使用以下设置授予访问权限:
    • 要求多重身份验证
    • 要求将设备标记为合规
    • 要求 Microsoft Defender for Endpoint 设备风险级别 = 低
  6. 启用这项策略。

步骤 2 - 将管理门户的访问限制为仅可通过 PAW 进行

确保只能从合规的 PAW 访问管理门户。

  1. Microsoft Entra 管理中心中,导航到 Protection>Conditional Access>Policies
  2. 选择“ 创建新策略 ”以创建其他策略。
  3. “分配>用户 ”中配置以下设置:
    • 包括特权目录角色,例如全局管理员、安全管理员。
    • 排除紧急破窗组。
  4. 分配>云应用中,包括用于对你的环境进行特权访问的管理应用程序。
  5. 访问控制中,使用以下设置授予访问权限:
    • 要求将设备标记为合规
    • 要求 Microsoft Defender for Endpoint 设备风险级别 = 低
  6. 启用这项策略。

步骤 3 - 阻止来自非 PAW 设备的特权访问

确保阻止非 PAW 设备对管理门户的特权访问,即使这些设备符合一般合规性要求。

  1. Microsoft Entra 管理中心中,导航到 Protection>Conditional Access>Policies
  2. 选择“ 创建新策略 ”以创建第三个策略。
  3. “分配>用户 ”中配置以下设置:
    • 包括特权目录角色,例如全局管理员、安全管理员等。
    • 排除指定的紧急访问帐户。
  4. 分配>云应用中,包含相同的管理门户。
  5. “条件”下, 为设备选择“筛选器”。
  6. 将设备筛选器配置为以非 PAW 设备为目标:
    • 选择“包括已筛选的设备”
    • 配置一个设备筛选器,该筛选器基于组织用于区分 PAW 的属性或规则来识别非 PAW 设备。 请确保这与 阶段 2 中建立的标识方法匹配。
  7. 选择 “完成 ”以应用设备筛选器条件。
  8. “访问控制”下,选择“ 阻止访问”。
  9. 选择“ 创建 ”以启用策略。

步骤 4 - 限制 PAW 网络访问

将 PAW 的网络访问仅限于所需的管理和运维端点。 此配置依赖于明确的防火墙规则来放行所需端点,而不是采用宽泛的、基于协议的放行方式。

  1. 在Microsoft Intune管理中心,导航到 Endpoint security>Firewall

  2. 选择“创建策略”

  3. 配置策略:- Platform:Windows 10及更高版本。 1. 配置防火墙配置文件设置:

    • 入站连接:阻止
    • 出站连接:允许(默认,由以下规则控制)

  4. “设置”下,配置 防火墙 规则。 使用防火墙规则定义特权管理所需的流量。

  5. 为所需服务创建 出站允许规则 ,例如:

    • DNS
    • DHCP
    • NTP
    • 所需的 Microsoft 云管理终结点,例如 Intune 和 Microsoft Entra ID。
    • 所需的管理端点。

    每个规则都应:

    • 指定 方向出站
    • 指定 操作允许
    • 定义目标终结点(IP 范围、FQDN 或在受支持的情况下使用服务标记)

  6. 确保未配置过于宽泛的允许规则,例如允许不受限制的 HTTP/HTTPS 流量的规则。

  7. 将策略分配给 安全工作站设备(PAWs)

  8. 选择“ 创建 ”以部署策略。

至此,特权访问强制执行层已完成。 下一篇文章可以基于此来涵盖度量、监视和成功条件。

后续步骤

设置特权访问强制层后,最后一步是 配置监视

  • Last updated on