مدیریت دسترسی ممتاز برای خدمات دامنه Active Directory

MIM Privileged Access Management (PAM) راه حلی است که به سازمان ها کمک می کند دسترسی ممتاز را در یک محیط اکتیو دایرکتوری موجود و ایزوله محدود کنند.

مدیریت دسترسی ممتاز دو هدف را انجام می دهد:

• کنترل مجدد محیط اکتیو دایرکتوری در معرض خطر را با حفظ یک محیط استحکامات جداگانه ای که مشخص است تحت تأثیر حملات مخرب قرار نمی گیرد، برقرار کنید.
• استفاده از حساب های ممتاز را جدا کنید تا خطر سرقت آن اعتبارنامه ها کاهش یابد.

MIM PAM از Azure Active Directory Privileged Identity Management (PIM) متمایز است. MIM PAM برای محیط های AD ایزوله در محل در نظر گرفته شده است. Azure AD PIM سرویسی در Azure AD است که به شما امکان می دهد دسترسی به منابع را در Azure AD، Azure و سایر سرویس های آنلاین مایکروسافت مانند Microsoft 365 یا Microsoft Intune مدیریت، کنترل و نظارت کنید. برای راهنمایی در مورد محیط های متصل به اینترنت و محیط های ترکیبی، برای اطلاعات بیشتر به ایمن کردن دسترسی ممتاز مراجعه کنید.

MIM PAM به حل چه مشکلاتی کمک می کند؟

امروزه، دستیابی به اعتبار حساب کاربری Domain Admins برای مهاجمان بسیار آسان است، و کشف این حملات پس از واقعیت بسیار دشوار است. هدف PAM کاهش فرصت های دسترسی کاربران مخرب و افزایش کنترل و آگاهی شما از محیط است.

PAM نفوذ به شبکه و دسترسی ممتاز به حساب کاربری را برای مهاجمان دشوارتر می کند. PAM به گروه های ممتازی که دسترسی به طیف وسیعی از رایانه ها و برنامه های متصل به دامنه را در آن رایانه ها کنترل می کنند، محافظت می کند. همچنین نظارت بیشتر، دید بیشتر و کنترل های دقیق تری را اضافه می کند. این به سازمان ها اجازه می دهد تا ببینند مدیران ممتاز آنها چه کسانی هستند و چه می کنند. PAM به سازمان ها بینش بیشتری در مورد نحوه استفاده از حساب های اداری در محیط می دهد.

رویکرد PAM ارائه شده توسط MIM برای استفاده در یک معماری سفارشی برای محیط های ایزوله که در آن دسترسی به اینترنت در دسترس نیست، جایی که این پیکربندی توسط مقررات مورد نیاز است، یا در محیط های ایزوله شده با تأثیر زیاد مانند آزمایشگاه های تحقیقاتی آفلاین و فناوری عملیاتی قطع شده یا کنترل نظارتی استفاده می شود. و محیط های جمع آوری داده هااگر اکتیو دایرکتوری شما بخشی از یک محیط متصل به اینترنت است، برای اطلاعات بیشتر در مورد اینکه از کجا شروع کنید، به امنیت دسترسی ممتاز مراجعه کنید.

راه اندازی MIM PAM

PAM بر اساس اصل مدیریت فقط به موقع ، که مربوط به اداره کافی (JEA) است ، بنا می کند. JEA یک ابزار ابزار Windows PowerShell است که مجموعه ای از دستورات را برای انجام فعالیت های ممتاز تعریف می کند. این یک نقطه پایانی است که مدیران می توانند مجوز اجرای دستورات را دریافت کنند. در JEA ، یک مدیر تصمیم می گیرد که کاربران با یک امتیاز خاص می توانند یک کار خاص را انجام دهند. هر بار که یک کاربر واجد شرایط نیاز به انجام آن کار داشته باشد ، این مجوز را فعال می کند. مجوزها پس از یک دوره زمانی مشخص منقضی می شوند ، به طوری که یک کاربر مخرب نمی تواند دسترسی را سرقت کند.

راه اندازی و عملیات PAM چهار مرحله دارد.

1. آماده سازی: مشخص کنید که کدام گروه ها در جنگل موجود شما امتیازات قابل توجهی دارند. این گروه ها را بدون عضو در جنگل زیرزمین بازآفرینی کنید.
2. Protect: هنگامی که کاربران درخواست مدیریت فقط در زمان را دارند ، از چرخه عمر و حفاظت از احراز هویت تنظیم کنید.
3. کار: پس از برآورده شدن الزامات تأیید اعتبار و درخواست تأیید ، یک حساب کاربری به طور موقت به یک گروه ممتاز در جنگل زیرزمین اضافه می شود. برای مدت زمان قبل ، سرپرست تمام امتیازات و مجوزهای دسترسی را که به آن گروه اختصاص داده شده است ، دارد. پس از آن زمان ، حساب از گروه حذف می شود.
4. مانیتور: PAM حسابرسی ، هشدارها و گزارش های درخواست های ممتاز دسترسی را اضافه می کند. می توانید تاریخچه دسترسی ممتاز را مرور کنید و ببینید چه کسی فعالیت را انجام داده است. شما می توانید تصمیم بگیرید که آیا این فعالیت معتبر است یا خیر و به راحتی فعالیت غیرمجاز را شناسایی کنید ، مانند تلاش برای اضافه کردن کاربر به طور مستقیم به یک گروه ممتاز در جنگل اصلی. این مرحله نه تنها برای شناسایی نرم افزار مخرب بلکه برای ردیابی مهاجمان "در داخل" نیز مهم است.

MIM PAM چگونه کار می کند؟

PAM مبتنی بر قابلیت های جدید در AD DS ، به ویژه برای تأیید اعتبار و مجوز حساب دامنه و قابلیت های جدید در مدیر هویت مایکروسافت است. PAM حساب های ممتاز را از یک محیط موجود در فهرست فعال جدا می کند. هنگامی که از یک حساب ممتاز استفاده می شود ، ابتدا باید درخواست شود و سپس تصویب شود. پس از تصویب ، به حساب ممتاز از طریق یک گروه اصلی خارجی در یک جنگل زیرزمین جدید اجازه داده می شود تا در جنگل فعلی کاربر یا برنامه. استفاده از یک جنگل زیرزمینی به سازمان کنترل بیشتری می دهد ، مانند زمانی که کاربر می تواند عضو یک گروه ممتاز باشد و نحوه نیاز کاربر برای تأیید اعتبار.

Active Directory ، سرویس MIM و سایر بخش های این راه حل نیز می توانند در یک پیکربندی در دسترس بالا مستقر شوند.

مثال زیر نشان می دهد که چگونه PIM با جزئیات بیشتری کار می کند.

The Bastion Forest عضویت در گروه محدود به زمان را صادر می کند ، که به نوبه خود بلیط های اعطای بلیط محدود به زمان (TGTS) را تولید می کند. برنامه ها یا خدمات مبتنی بر Kerberos می توانند این TGT ها را افتخار و اجرای کنند ، اگر برنامه ها و خدمات در جنگل هایی که به جنگل سنگر اعتماد دارند وجود داشته باشد.

حسابهای کاربری روزانه نیازی به انتقال به یک جنگل جدید ندارند. در مورد رایانه ها ، برنامه ها و گروه های آنها نیز همین مسئله صادق است. آنها در جایی که امروز در یک جنگل موجود قرار دارند ، می مانند. نمونه ای از سازمانی را در نظر بگیرید که امروز به این مسائل مربوط به امنیت سایبری نگران است ، اما هیچ برنامه ای فوری برای ارتقاء زیرساخت های سرور به نسخه بعدی ویندوز سرور ندارد. این سازمان هنوز هم می تواند با استفاده از MIM و یک جنگل Bastion جدید از این راه حل ترکیبی استفاده کند و می تواند دسترسی به منابع موجود را بهتر کنترل کند.

PAM مزایای زیر را ارائه می دهد:

جداسازی/scoping امتیازات: کاربران امتیازاتی را در حساب هایی که برای کارهای غیرقانونی مانند بررسی ایمیل یا مرور اینترنت استفاده می شود ، ندارند. کاربران باید از امتیازات درخواست کنند. درخواست ها بر اساس سیاست های MIM تعریف شده توسط یک مدیر PAM تأیید یا رد می شوند. تا زمانی که درخواست تأیید نشود ، دسترسی ممتاز در دسترس نیست.

قدم و اثبات: اینها چالش های جدید احراز هویت و مجوز برای کمک به مدیریت چرخه حیات حسابهای اداری جداگانه هستند. کاربر می تواند درخواست افزایش یک حساب اداری را داشته باشد و آن درخواست از طریق گردش کار MIM پیش می رود.

ورود به سیستم اضافی: همراه با گردش کار داخلی MIM ، ورود به سیستم اضافی برای PAM وجود دارد که درخواست ، نحوه مجاز بودن آن و هرگونه وقایعی را که پس از تصویب رخ می دهد ، مشخص می کند.

گردش کار قابل تنظیم: گردش کار MIM را می توان برای سناریوهای مختلف پیکربندی کرد و براساس پارامترهای کاربر درخواست کننده یا نقش های درخواست شده می توان از گردش کار های متعدد استفاده کرد.

چگونه کاربران درخواست دسترسی ممتاز را می دهند؟

چندین روش وجود دارد که کاربر می تواند درخواست را ارسال کند ، از جمله:

• API خدمات وب خدمات MIM
• نقطه پایانی استراحت
• Windows PowerShell (New-PamRequest)

چه گردش کار و گزینه های نظارت در دسترس است؟

به عنوان مثال، فرض کنید یک کاربر قبل از راه اندازی PAM عضو یک گروه مدیریتی بوده است. به عنوان بخشی از راه اندازی PAM، کاربر از گروه مدیریت حذف می شود و یک خط مشی در MIM ایجاد می شود. این خط مشی مشخص می کند که اگر آن کاربر امتیازات مدیریتی را درخواست کند، درخواست تأیید می شود و یک حساب جداگانه برای کاربر به گروه ممتاز در جنگل سنگر اضافه می شود.

با فرض تأیید درخواست، گردش کار Action مستقیماً با دایرکتوری فعال bastion forest ارتباط برقرار می کند تا کاربر را در یک گروه قرار دهد. به عنوان مثال، هنگامی که جن درخواست مدیریت پایگاه داده منابع انسانی را می دهد، حساب اداری جن در عرض چند ثانیه به گروه ممتاز در جنگل سنگر اضافه می شود. عضویت حساب اداری او در آن گروه پس از یک محدودیت زمانی منقضی می شود. با Windows Server 2016 یا جدیدتر، این عضویت در Active Directory با محدودیت زمانی همراه است.

هنگامی که یک عضو جدید را به یک گروه اضافه می کنید، این تغییر باید به سایر کنترل کننده های دامنه (DC) در جنگل سنگر تکرار شود. تأخیر تکرار می تواند بر توانایی کاربران برای دسترسی به منابع تأثیر بگذارد. برای کسب اطلاعات بیشتر در مورد تأخیر تکرار، به نحوه عملکرد توپولوژی تکرار دایرکتوری فعال مراجعه کنید.

در مقابل، یک پیوند منقضی شده در زمان واقعی توسط مدیر حساب های امنیتی (SAM) ارزیابی می شود. حتی اگر اضافه شدن یک عضو گروه باید توسط DC که درخواست دسترسی را دریافت می کند تکرار شود، حذف یک عضو گروه فوراً در هر DC ارزیابی می شود.

این گردش کار به طور خاص برای این حساب های اداری در نظر گرفته شده است. مدیران (یا حتی اسکریپت ها) که فقط به دسترسی گاه به گاه برای گروه های ممتاز نیاز دارند، می توانند دقیقاً این دسترسی را درخواست کنند. MIM درخواست و تغییرات را در Active Directory ثبت می کند و می توانید آنها را در Event Viewer مشاهده کنید یا داده ها را به راه حل های نظارت سازمانی مانند System Center 2012 - Operations Manager Audit Collection Services (ACS) یا سایر ابزارهای شخص ثالث ارسال کنید.