阶段 1 - 保护身份控制平面

本文是 实现特权访问体系结构解决方案指南的一 部分。

特权访问在大多数组织中都存在严重安全风险,因为它能够直接控制标识系统、云控制平面和业务关键型资产。

了解 安全特权访问体系结构 在业务场景中如何发挥关键作用- 保护关键业务资产 -通过降低此风险和加强对敏感系统的控制。

本文可帮助你实现 特权访问体系结构 解决方案的第 1 阶段。 此阶段通过定义和保护特权标识、角色分配和授权提升路径来保护标识控制平面。

首先实施第 1 阶段非常重要。 确保特权访问设备安全、强制执行条件访问策略以及监控特权访问的后续各阶段,都依赖于一个干净且治理良好的身份控制平面。

保护目标

阶段 1 确保特权访问为:

  • 显式:仅通过定义的提升路径授予权限。 绝不要让它变成隐式或意外的。
  • 临时:权限自动过期。
  • 强身份验证:要求在提升权限时进行强身份验证。
  • 可审核:记录所有权限更改和提升。
  • 可恢复:在不削弱控制的情况下提供紧急访问。

保护范围

第 1 阶段侧重于特权访问的两个基础组件:

  • 特权标识:可以执行特权操作的标识,包括:

    • 专用管理用户帐户
    • 管理组
    • 服务主体和托管标识
    • Azure RBAC 角色分配
    • 紧急(应急)访问账户(如果尚不存在)。

  • 授权提升路径:允许用户从非特权状态移动到特权状态的机制,例如:

    • 使用 - Privileged Identity Management (PIM) 进行时间限制的角色激活
    • 敏感角色的审批工作流
    • 显式管理会话

  • 紧急恢复访问权限:如果尚不存在此类应急访问帐户,请进行配置。

这些组件在控制平面中运行。 如果遭到入侵,攻击者可以在不接触设备或访问策略的情况下授予自己特权访问权限。

已缓解风险

风险 为什么它很重要 阶段 1 缓解
不受控制的特权标识的创建 攻击者以无提示方式创建新的管理员或角色分配。 建立权威特权标识和角色。
限制谁可以管理标识系统。
将标识系统视为特权资产。
静默权限提升 通过组、RBAC 或嵌套分配获得的权限。 精简角色,使用基于组的分配,移除永久访问权限。
持久性(常设)管理访问权限 被盗凭据保留永久特权。 将长期权限替换为限时权限提升。
弱或隐式提升路径 攻击者使用与管理员相同的路径。 定义安全、显式、可审核的提升工作流
绕过下游保护 在实施设备或策略之前获得的权限。 标识控制平面首先受到保护。
不可恢复的标识泄露 没有安全的方法可以重新获得控制权。 创建受保护的紧急访问帐户。
低身份安全态势 弱标识控制会破坏所有后续阶段。 将标识系统提升到最高安全级别。

阶段结果

完成此阶段后:

  • 所有特权访问都绑定到已知和显式标识和角色。
  • 所有特权都是临时的、可审核的,也是有意的。
  • 将删除长期管理访问权限。
  • 标识系统被视为特权资产。
  • 无需削弱控制即可从标识泄露中恢复。
  • 在现代化过程中不会引入新的特权风险。

此阶段还会在审核和现代化过程中停止创建新的特权风险。

先决条件

在开始配置阶段 1 之前,请注意以下先决条件:

查看文档:

在你的组织中:

  • 请确保您拥有一个处于活动状态且归您所有的 Microsoft Entra ID 租户。 建议Microsoft Entra ID P2(用于特权标识治理)。
  • 此解决方案假定你有Microsoft 365 企业版 E5。 有关详细信息,请参阅Microsoft 365企业许可
  • 请确保至少定义了两个 紧急访问帐户
  • 明确身份治理和角色管理的职责归属。
  • 创建安全管理员帐户会将这些帐户公开给安装期间使用的工作站。 确保从已知安全设备执行初始配置。

步骤 1:审核特权访问

建立特权标识和访问路径的完整清单。 审核以下源。

Source 详细信息
Microsoft Entra 目录角色 识别可通过更改身份控制平面中的标识、访问或信任边界而直接或间接获得租户控制权的 特权角色

对于每个角色:
- 识别直接分配与基于组的分配。
- 识别永久分配与符合 PIM 条件的分配
- 捕获当前激活状态。
基于组的权限 找出哪些对象间接拥有特权,以及哪些对象如果只查看用户就会被遗漏。

- 查看嵌套组成员身份
- 标识用户、服务主体和托管标识
- 记录如何继承特权。
Azure RBAC 角色 了解这些特权标识可以在目录本身之外执行哪些操作。

审核管理组、订阅和资源范围内的分配情况。

识别具有广泛权限或级联式权限的身份。
非人类身份 了解哪些非人类标识是特权访问路径的一部分,包括:

服务主体和托管标识
自动化帐户和脚本
受租户或资源控制的应用程序权限

结果是一个权威的特权身份清单。

识别目录角色

审核谁可以更改标识、身份验证或租户范围的配置。

  1. Microsoft Entra 管理中心中,转到 Entra ID>角色和管理员

  2. 选择 “所有角色”。 此页面列出了所有内置和自定义Microsoft Entra目录角色,包括租户范围的管理员角色,例如全局管理员和特权角色管理员。

    • 特权角色是可以分配角色、修改安全/身份验证或管理应用、设备或安全策略的任何角色。
    • 文档中还提供了特权内置角色的完整列表。

  3. 对于每个特权角色,请先检查直接分配。 对于每个直接分配的主体(用户、组或服务主体(应用/托管标识)),请检查角色的授予方式和当前状态。

    • 永久指派意味着该角色始终处于启用状态。 身份登录时,已拥有 激活(永久) 状态。 这显然是高风险的。
    • 符合 PIM 条件的分配意味着该角色已可供使用,但在激活之前不会处于活动状态。 用户必须激活角色。 这通常是有限的,通常需要理由。 如果用户可以获得特权,但当前未激活状态,则状态可以是 “活动 ”或“ 符合条件 ”。

  4. 现在切换到组分配。 这一点很重要,因为它会检查通过组间接分配的权限。

  5. 打开分配有特权角色的每个组。

  6. 展开组成员、展开嵌套组以及记录用户、服务主体和托管标识。

  7. 对于每个标识,请确认其以何种方式持有该权限:

    • 该角色是否经由组或嵌套组分配?
    • 该角色是永久分配还是符合 PIM 条件?
    • 当前状态是什么?

完成此步骤后,你已将身份控制平面纳入管控,并拥有 Microsoft Entra 的权威特权身份清单。

识别 Azure RBAC 角色

现在你已经知道哪些身份属于特权身份了,接下来让我们看看这些身份在 Microsoft Entra Directory 之外能执行哪些操作。 他们在哪里拥有控制权,在什么范围内?

  1. 对于已标识的每个特权主体,请确定角色。

  2. 从最高范围(管理组)开始。

    1. 在 Azure 门户 >管理组中,转到 **访问控制(IAM) >角色分配
    2. 使用筛选器>分配到并搜索主体名称。
    3. 记录任何结果,包括角色名称和范围。

    如果在此处发现这些标识,则表明它们对 Azure 具有广泛的控制权限,因为在管理组范围分配的 Azure RBAC 角色会级联到所有子级订阅和资源。

  3. 现在,请对 Azure 门户中的 >订阅 按照相同的步骤操作。

    在订阅级别被分配了 Azure RBAC 角色的标识具有特权,可以授予或委派访问权限。

  4. 如果在管理组或订阅级别未找到标识,可以在 Azure 门户的 >Resource groups 中按照相同的步骤在资源组级别进行检查。

  5. 可能还需要检查主体是否控制密钥保管库、存储帐户、虚拟机或自动化帐户等战略单个资源。 为此,请检查分配给每个单个资源的>)。

记录结果

  1. 对于你识别出的每个账户,请在映射表中记录审计详细信息。

  2. 识别具有广泛特权的高风险帐户,并创建一个映射表,用于提供有关角色范围(爆炸半径)和工作类型的信息。

    帐户 Entra 角色 Azure RBAC 角色 Scope 特权工作
    alice@contoso.com 全局管理员 Owner Sub1、Sub2 管理用户、角色、订阅。

  3. 如果要添加有关帐户观察到行为的详细信息,可以:

    1. 查看登录日志,了解有关应用、客户端终结点和身份验证流的信息。
    2. 将信息与审计日志和活动日志关联起来,以检查某个帐户是否被使用过,以及它是否更改了策略、修改了资源/订阅,或执行了其他活动。

步骤 2:评估现有配置

在库存到位后,可以使用 零信任 评估工具评估如何在整个环境中配置特权访问并识别控制差距。

虽然评估工具不会替换完整清单,但它使用角色和策略数据作为输入来帮助了解是否:

  • 特权角色受到保护(MFA、条件性访问)。
  • 特权访问受管理(PIM、JIT/JEA 模式)。
  • 策略得到一致执行。
  • 标识、设备和访问策略之间存在差距。

详细了解如何使用该工具评估身份。

步骤 3:建立专用的管理标识

从标准用户帐户中删除特权角色。

创建专用管理帐户,以便:

  • 仅用于特权任务
  • 无法访问生产力工具(电子邮件、Teams、网页浏览)
  • 有资格通过 PIM 获得特权,而不是永久分配

从标准用户标识中删除所有特权角色分配。

创建管理员帐户

  1. Microsoft Entra 管理中心中,导航到 Microsoft Entra ID>Users
  2. 选择 “新建用户 ”并配置用户设置。 然后选择“ 创建”。
    • 名称:安全工作站管理员。
    • 用户主体名称:secure-ws-admin@contoso.com
    • 身份验证方法:密码(临时)。
    • 目录角色:不分配。
    • 使用位置:设置为操作位置。

这会为你提供一个不具备任何权限的干净管理员身份。

步骤 4:为 PAW 创建身份

在后续步骤中,你将设置特权管理员工作站(PAW)。

如果要定义可以访问 PAW 但无法执行特权操作的标识,可以:

  • 创建一个只能登录到 PAW 的标识。
  • 创建一个安全组,用于控制允许谁登录到 PAW。
    • 此组从不授予管理员权限。 它用于:
      • 条件访问,包括 仅允许安全工作站用户登录到 PAW,并 阻止其他用户
      • 应用特定的基于组的 PAW 许可。
    • 此组的典型成员包括 SOC 分析师、操作员和审核员。

创建登录标识

  1. Microsoft Entra 管理中心中,导航到 Microsoft Entra ID>Users
  2. 选择 “新建用户 ”并配置用户设置。 然后选择“创建”
    • 名称:安全工作站用户
    • 用户主体名称:secure-ws-user@contoso.com
    • 目录角色:不分配

创建 PAW 访问安全组

配置一个组,用于控制谁可以登录到 PAW

  1. Microsoft Entra 管理中心中,导航到 Microsoft Entra ID>Groups>New group

  2. 配置组设置,然后选择“ 创建”。

    • 组类型:安全
    • 组名称:安全工作站用户
    • 成员身份:已分配

  3. 默认情况下,仅向组添加 PAW 登录标识,而不是管理员。

步骤 5:创建管理控制组

创建安全组,用于定义哪些人有资格担任特权角色。 这些组:

  • 被标记为可分配角色
  • 由 PIM 管理
  • 不单独通过成员身份授予权限
  • 作为权限提升的授权边界

成员身份更改被视为特权操作并定期审阅

  1. Microsoft Entra 管理中心中,导航到 Microsoft Entra ID>Groups>New group

  2. 配置组设置,然后选择“ 创建”。

    • 组类型:安全
    • 名称:安全工作站管理员
    • 成员身份类型:已分配

  3. 添加专用管理员标识。 不要使用标准账户,并将成员资格变更视为敏感操作。 定期审阅。

此组稍后将为:

  • 标记为 可分配角色
  • 通过 PIM 分配的目录角色符合 条件 (未处于活动状态)
  • 用作特权访问策略的主要定位机制

步骤 6:配置 PIM

如果尚未启用Privileged Identity Management,请立即执行此操作。

确保以全局管理员或特权角色管理员身份登录。

为目录角色启用 PIM

  1. Microsoft Entra 管理中心中,导航到 Identity governance>Privileged Identity Management
  2. 选择 Microsoft Entra 角色

移除永久角色

  1. Microsoft Entra 角色中,选择 Roles

  2. 打开为你的组织识别的特权访问角色。

    Microsoft建议的最低集如下: - 全局管理员 - 特权角色管理员 - 安全管理员 - Exchange 管理员 - SharePoint管理员

  3. 选择任务

  4. 对于每个有效(永久)分配:

    • 删除永久分配
    • 将用户或组重新添加为 “符合条件”。

之后,除非用户激活管理员权限,否则用户不具有管理员权限。

配置激活设置

对于每个特权角色,请执行以下操作:

  1. PIM>Microsoft Entra 角色中,选择 设置

  2. 选择>“编辑”角色。

  3. 配置设置:

    • 需要激活
    • 激活时要求使用 MFA
    • 要求提供正当理由
    • 设置最大激活持续时间(例如:高影响角色的 1-4 小时)
    • 需要批准(对于全局管理员、特权角色管理员、安全管理员)
    • 选择一个或多个审批者

  4. 选择更新

使用基于组的角色分配

我们建议将角色分配给用户组,而不是单个用户,以实现可扩展性和便于治理。

创建可分配角色的安全组并将其分配给 Entra 角色(例如Exchange管理员)。 然后,通过你的治理流程管理成员资格(即哪些人可以获得该角色),并且还可以选择通过 PIM for Groups 进行管理。

  1. 创建一个安全组,并启用可将 Microsoft Entra 角色分配给此组设置。
  2. 在 PIM >Microsoft Entra 角色中,选择 添加分配
  3. 将组分配为 “符合角色条件 ”。
  4. 添加或删除组中的用户,而不是直接修改角色分配。

此组将成为特权访问的授权边界。

完成步骤 6 时,将配置以下内容:

  • 无长期管理员访问权限
  • 请求特权、已批准、有时间限制、已记录
  • 提升路径是显式且可查看的

步骤 7:配置紧急帐户

如果还没有紧急访问帐户,请立即对其进行配置。 它们需要从条件访问、MFA 中断或配置错误导致的标识锁定方案中进行恢复。

确保以全局管理员或特权角色管理员身份登录,以创建至少两个紧急访问帐户。

  1. Microsoft Entra 管理中心中,导航到 Users>所有用户
  2. 选择 “新建用户”,并创建仅限云的用户。
  • 使用 *.onmicrosoft.com 域
  • 使用非明显名称(而不是“破玻璃”)
  1. 分配全局管理员角色。
  • 不要使此角色符合 PIM 条件 — 它必须是永久性的。
  • 使用高强度的长密码,并将其安全地离线保存。
  • 配置防钓鱼身份验证(例如 FIDO2/passkey 或基于证书的身份验证)
  • 不要将 MFA 绑定到个人电话或电子邮件地址。

重复创建第二个紧急帐户。

从条件访问中排除紧急帐户

这可确保始终能够恢复。

  1. Microsoft Entra 管理中心中,导航到 Protection>Conditional Access

  2. 对于每个策略:

    • 编辑 工作分配
    • 至少排除一个紧急访问帐户。

请确保不要排除常规管理员帐户 - 仅排除紧急帐户。

监视紧急帐户使用情况

  1. 为以下项启用警报:

    • 按紧急帐户登录
    • 涉及这些账户的角色更改

  2. 除非事先获得批准,否则任何使用都应视为安全事件。

  3. 定期查看使用情况。

完成步骤 7 后,将配置以下内容:

  • 身份控制平面可恢复
  • 后续阶段(PAW、条件访问)不会面临永久锁定的风险
  • 紧急访问处于隔离状态、受到监控,且极少使用

后续步骤

在保护身份控制平面后,应使用安全的特权访问工作站(PAW)来限制特权可在何处行使。

  • Last updated on