Förbättrad säkerhetsadministratörsmiljö

Arkitekturen förbättrad säkerhetsadministratörsmiljö (ESAE) (kallas ofta röd skog, administratörsskog eller härdad skog) är en äldre metod för att tillhandahålla en säker miljö för administratörsidentiteter för Windows Server Active Directory (AD).

Microsofts rekommendation att använda det här arkitekturmönstret har ersatts av den moderna strategin för privilegierad åtkomst och vägledningen för snabb moderniseringsplan (RAMP) som standard rekommenderad metod för att skydda privilegierade användare. Den här vägledningen är avsedd att omfatta anpassning av en bredare strategi för att gå mot en Nolltillit arkitektur. Med tanke på dessa moderniserade strategier anses esae-förstärkt administrativ skogsarkitektur (lokalt eller molnbaserad) nu vara en anpassad konfiguration som endast är lämplig för undantagsfall.

Scenarier för fortsatt användning

Även om det inte längre är en rekommenderad arkitektur kan ESAE (eller enskilda komponenter däri) fortfarande vara giltig i en begränsad uppsättning undantagna scenarier. Dessa lokala miljöer är vanligtvis isolerade där molntjänster kanske inte är tillgängliga. Det här scenariot kan omfatta kritisk infrastruktur eller andra frånkopplade miljöer för driftteknik (OT). Det bör dock noteras att luftgapade segment för industriellt kontrollsystem/övervakningskontroll och dataförvärv (ICS/SCADA) i miljön vanligtvis inte använder sin egen Active Directory-distribution.

Om din organisation befinner sig i något av dessa scenarier kan det fortfarande vara giltigt att underhålla en distribuerad ESAE-arkitektur i sin helhet. Det måste dock vara underförstått att din organisation medför extra risker på grund av den ökade tekniska komplexiteten och driftskostnaderna för att underhålla ESAE. Microsoft rekommenderar att alla organisationer som fortfarande använder ESAE eller andra äldre identitetssäkerhetskontroller använder extra stränghet för att övervaka, identifiera och minimera eventuella associerade risker.

Vägledning för befintliga distributioner

För kunder som redan har distribuerat den här arkitekturen för att förbättra säkerheten och/eller förenkla hantering av flera skogar finns det ingen anledning att dra tillbaka eller ersätta en ESAE-implementering om den körs som den är utformad och avsedd. Precis som med alla företagssystem bör du underhålla programvaran i den genom att tillämpa säkerhetsuppdateringar och se till att programvaran är inom supportlivscykeln.

Microsoft rekommenderar också organisationer med ESAE/härdade skogar att anta den moderna strategin för privilegierad åtkomst med hjälp av vägledningen för snabb moderniseringsplan (RAMP). Den här vägledningen kompletterar en befintlig ESAE-implementering och ger lämplig säkerhet för roller som inte redan skyddas av ESAE, inklusive Microsoft Entra-administratörer, känsliga företagsanvändare och vanliga företagsanvändare. Mer information finns i artikeln Skydda säkerhetsnivåer för privilegierad åtkomst.

När ESAE ursprungligen utformades för mer än 10 år sedan låg fokus på lokala miljöer med Active Directory (AD) som den lokala identitetsprovidern. Den här äldre metoden baseras på makrosegmenteringstekniker för att uppnå minsta möjliga behörighet och tar inte tillräcklig hänsyn till hybrid- eller molnbaserade miljöer. Dessutom fokuserar ESAE- och härdade skogsimplementeringar bara på att skydda lokala Windows Server Active Directory-administratörer (identiteter) och tar inte hänsyn till detaljerade identitetskontroller och andra tekniker som ingår i de återstående grundpelarna i en modern Zero-Trust-arkitektur. Microsoft har uppdaterat sin rekommendation till molnbaserade lösningar eftersom de kan distribueras snabbare för att skydda en bredare omfattning av administrativa och affärskänsliga roller och system. Dessutom är de mindre komplexa, skalbara och kräver mindre kapitalinvesteringar att underhålla.

Exempel på god cyberhygienpraxis i ESAE som gäller för de flesta organisationer

• Använda privilegierade arbetsstationer (PAW) för alla administrativa aktiviteter
• Framtvinga tokenbaserad eller multifaktorautentisering (MFA) för administrativa autentiseringsuppgifter även om den inte används i stor utsträckning i hela miljön
• Framtvinga administrativ modell med minsta behörighet genom regelbunden utvärdering av grupp-/rollmedlemskap (framtvingad av en stark organisationsprincip)

Bästa praxis för att skydda lokal AD

Som beskrivs i Scenarier för fortsatt användning kan det finnas omständigheter där molnmigrering inte kan uppnås (antingen delvis eller helt) på grund av olika omständigheter. Om de inte redan har en befintlig ESAE-arkitektur rekommenderar Microsoft att du minskar angreppsytan för lokala AD genom att öka säkerheten för Active Directory och privilegierade identiteter. Även om det inte är en fullständig lista bör du överväga följande rekommendationer med hög prioritet.

• Använd en nivåindelad metod för att implementera en administrativ modell med lägsta behörighet:
  • Framtvinga absoluta minimiprivilegier.
  • Identifiera, granska och granska privilegierade identiteter (stark koppling till organisationsprincip).
    • Överdriven behörighetsbeviljande är ett av de mest identifierade problemen i utvärderade miljöer.
  • MFA för administrativa konton (även om det inte används i stor utsträckning i hela miljön).
  • Tidsbaserade privilegierade roller (minska överdrivna konton, förstärka godkännandeprocesserna).
  • Aktivera och konfigurera all tillgänglig granskning för privilegierade identiteter (meddela om aktivera/inaktivera, lösenordsåterställning, andra ändringar).
• Använd privilegierade arbetsstationer (PAW:ar):
  • Administrera inte PAW:er från en mindre betrodd värd.
  • Använd MFA för åtkomst till PAWs.
  • Glöm inte fysisk säkerhet.
  • Se alltid till att PAW:er kör de nyaste och/eller operativsystem som stöds för närvarande.
• Förstå angreppsvägar och högriskkonton/program:
  • Prioritera övervakning av identiteter och system som utgör mest risk (mål för möjligheter/hög påverkan).
  • Utrota återanvändning av lösenord, inklusive över operativsystemgränser (vanlig teknik för lateral förflyttning).
  • Tillämpa principer som begränsar aktiviteter som ökar risken (internetsurfning från skyddade arbetsstationer, lokala administratörskonton i flera system osv.).
  • Minska program i Active Directory/Domänkontrollanter (varje tillagt program är extra attackyta).
    • Eliminera onödiga program.
    • Flytta program som fortfarande behövs till andra arbetsbelastningar utanför /DC om möjligt.
• Oföränderlig säkerhetskopiering av Active Directory:
  • Kritisk komponent för återställning från utpressningstrojaninfektion.
  • Regelbundet säkerhetskopieringsschema.
  • Lagras på molnbaserad eller plats utanför platsen som styrs av en haveriberedskapsplan.
• Utför en Active Directory-säkerhetsbedömning:
  • Azure-prenumeration krävs för att visa resultatet (anpassad Log Analytics-instrumentpanel).
  • Erbjudanden på begäran eller Microsoft-tekniker som stöds.
  • Verifiera/identifiera vägledning från utvärderingen.
  • Microsoft rekommenderar att du genomför utvärderingar på årsbasis.

Omfattande vägledning om dessa rekommendationer finns i Metodtips för att skydda Active Directory.

Kompletterande Rekommendationer

Microsoft inser att vissa entiteter kanske inte kan distribuera en molnbaserad arkitektur utan förtroende på grund av varierande begränsningar. Några av dessa begränsningar nämndes i föregående avsnitt. I stället för en fullständig distribution kan organisationer hantera risker och göra framsteg mot Zero-Trust samtidigt som äldre utrustning eller arkitekturer i miljön bibehålls. Utöver den tidigare nämnda vägledningen kan följande funktioner bidra till att öka säkerheten i din miljö och fungera som utgångspunkt för att införa en Zero-Trust-arkitektur.

Microsoft Defender för identitet (MDI)

Microsoft Defender for Identity (MDI) (formellt Azure Advanced Threat Protection eller ATP) ligger till grund för Microsoft Zero-Trust-arkitekturen och fokuserar på identitetspelaren. Den här molnbaserade lösningen använder signaler från både lokal AD och Microsoft Entra-ID för att identifiera, identifiera och undersöka hot som rör identiteter. MDI övervakar dessa signaler för att identifiera onormalt och skadligt beteende från användare och entiteter. I synnerhet underlättar MDI möjligheten att visualisera en angripares väg för lateral rörelse genom att markera hur ett visst konto kan användas om det komprometteras. MDI:s funktioner för beteendeanalys och användarbaslinje är viktiga element för att fastställa onormal aktivitet i AD-miljön.

Microsoft Defender för Sakernas Internet (D4IoT)

Förutom andra riktlinjer som beskrivs i det här dokumentet kan organisationer som arbetar i något av ovan nämnda scenarier distribuera Microsoft Defender för IoT (D4IoT). Den här lösningen har en passiv nätverkssensor (virtuell eller fysisk) som möjliggör tillgångsidentifiering, lagerhantering och riskbaserad beteendeanalys för IoT- och OT-miljöer (Internet of Things). Den kan distribueras i lokala luftgapade eller molnanslutna miljöer och har kapacitet att utföra djup paketinspektion på över 100 ICS/OT-patentskyddade nätverksprotokoll.

Nästa steg

Läs följande artiklar:

1. Strategi för privilegierad åtkomst
2. Säkerhetsplan för snabb modernisering (RAMP)
3. Metodtips för att skydda Active Directory