特权访问贯穿整个企业访问模型,并且是访问控制平面的唯一管理路径。 它定义谁可以配置系统、管理标识、强制实施安全性,并最终塑造组织的技术环境。
在现代企业中,数量相对较少的一类身份(如管理员、服务账户和控制平面角色)却拥有对大多数业务资产的高权限和访问权。 这些身份可以:
- 修改访问控制
- 更改系统配置
- 访问敏感数据
- 禁用或绕过安全保护
攻击者可识别这一点。 他们不单独攻击每个系统,而是专注于:
- 窃取凭据。
- 提升特权。
- 横向迁移到高价值角色。
获取特权访问后,攻击者就可以以速度和规模进行操作。
这就是新式安全模型以不同的方式对待特权访问的原因:
- 必须显式控制它。 例如,通过身份治理和特权身份管理(PIM)来定义特权角色并管理入职流程,要求进行审批和限时权限提升,而不是采用永久性的角色分配。
- 它必须与正常活动隔离。 例如,使用单独的管理帐户和专用特权访问设备(PAW),以便从标准用户会话或非托管设备中永远不会发生特权操作。
- 必须持续监视它。 例如,向监视工具(如Microsoft Sentinel)发送特权登录、角色激活和策略更改,以检测异常使用模式并触发警报或自动响应。
- 必须承认,特权访问权限是攻击者入侵的主要目标。 例如,应假定攻击者会尝试窃取凭据并提升权限,因此要使用强多因素身份验证(MFA)、无常设访问权限以及紧急账户控制措施来保护所有特权账户。
保护特权访问不仅需要关注角色和账户,还需要了解所有具有特权访问权限的组件。 这包括:
- 身份控制平面。
- 特权设备、应用和接口。
- VPN、PIM 和特权访问管理(PAM)系统等中介系统。
它们共同界定了如何行使控制权,以及必须如何加以保护。
下图说明了特权访问泄露的潜在攻击面。
身份控制平面
标识控制平面是一个层,用于定义和管理谁可以持有特权角色,以及如何在整个组织中分配、提升和撤销这些特权。 在特权访问上下文中,它包括特权标识、角色分配和已批准的提升路径,构成了所有其他控件所依赖的基础。
保护标识控制平面可确保特权是显式的、有时间限制的、经过强身份验证且可审核的,从而防止对最终控制整个环境的系统进行未经授权的或不受控制的访问。
下图显示,控制平面在云服务(Microsoft Entra ID、Intune、Defender for Endpoint)中进行集中管理,并且只能通过特权访问工作站(PAW)访问,从而确保所有特权操作都在隔离、受控且安全的环境下进行管理。
控制平面角色
Microsoft Entra ID 具有被标识为特权的角色和权限。
这些角色和权限可用于将目录资源的管理委托给其他用户、修改凭据、身份验证或授权策略,或访问受限数据。 如果未以安全且预期的方式使用特权角色分配,则可能会导致特权提升。
- 查看Microsoft Entra 特权角色。
- 详细了解 如何查看和使用特权角色。
特权访问工作站
特权访问工作站(PAW)是专用的强化设备,仅用于执行管理任务。 它独立于常规用户设备,受到严格保护,以减少凭据盗窃、恶意软件或横向移动的风险。 PAW 强制实施密钥保护,例如:
- 强身份验证(例如,Windows Hello 企业版)
- 设备加固(Credential Guard、Device Guard、Exploit Guard、AppLocker)
- 受限使用(无常规浏览或生产力活动)
目标是确保特权凭据和操作永远不会向不受信任的环境公开。
下图显示了 PAW 如何成为进入控制平面的唯一受信任接入点。
如图所示,所有管理操作都流经 PAW,并按表中汇总的方式进行控制。
| Control | 实现 |
|---|---|
| 显式控制 | 管理访问权限仅可通过基于策略的身份控制机制授予,并要求采用强身份验证机制以及经批准且有时限的权限提升。 在允许访问之前,设备状态还必须满足符合性要求。 |
| 与正常活动隔离 | 特权操作仅限在专用 PAW 设备上进行,且该设备的使用和连接均受到严格控制。 PAW 不用于日常办公,其互联网访问受到限制,并且只能通过安全的远程连接访问敏感系统。 |
| 持续监视 | 将持续收集和分析所有标识活动、设备状态和终结点行为,从而检测异常特权活动和快速响应。 |
| 假定为目标 | 假设攻击者以特权访问为目标,环境已强化并持续验证。 设备始终保持最新状态,并强制执行安全初始化。 |
后续步骤
部署 特权访问体系结构。