PAM в сервере 2016

Опубликовано: 5 Апреля, 2023

Нет, она не та девушка, которая была главным чирлидером в старшей школе, и не путайте ее с IPAM (управление IP-адресами), которое также является функцией Windows Server 2016. PAM означает управление привилегированным доступом, что также не является следует путать с PIM, что означает управление привилегированной идентификацией. Обратите внимание, что PAM относится к доменным службам Active Directory (AD DS) в Windows Server 2016, тогда как PIM относится к Microsoft Azure Active Directory (AAD).

И PAM, и PIM предназначены для защиты ресурсов от администраторов. Какая? Кто, я? Ну, конечно, вы заслуживаете доверия, но как насчет всех тех других людей, которые по тем или иным причинам имеют права администратора? Административная учетная запись обладает большой властью, и ею можно намеренно злоупотреблять или просто использовать небрежно, подвергая риску вашу сеть.

В этой статье мы сосредоточимся на Windows Server, поэтому поговорим о PAM, который работает с Microsoft Identity Manager (MIM) и представляет улучшения безопасности и новые возможности мониторинга. Server 2016 также помогает вам защитить привилегированный доступ с помощью таких технологий, как администрирование «точно в срок» (JIT) и «достаточное администрирование» (JEA), которые дают вам гораздо больший контроль над объемом и длительностью административных привилегий. Поскольку все мы, ИТ-специалисты, помешаны на контроле (это требование работы), это хорошо.

PAM и ДОБАВЛЕНИЯ

Active Directory (AD) была представлена еще в Windows 2000 Server в качестве решения LDAP (Lightweight Directory Access Protocol), чтобы конкурировать с популярной в то время серверной ОС NetWare, которая привлекала предприятия своей глобальной службой каталогов под названием NDS (NetWare Directory Services). AD превратилась в AD DS (доменные службы Active Directory) в более поздних версиях Windows Server. AD DS обеспечивает централизацию политик безопасности для доменных сетей Windows.

AD DS развивались с годами, приобретая новые возможности в каждой итерации. PAM основан на новых функциях AD DS Windows Server 2016, которые предназначены для обеспечения большего контроля над административными учетными записями.

Дилемма учетной записи администратора

Microsoft уже давно пытается обуздать неправомерное и чрезмерное использование учетных записей администраторов. Контроль учетных записей пользователей (UAC), представленный в Windows Vista, был одной из таких попыток, предназначенных для предотвращения ненужного использования учетных записей администратора в настольной ОС. Однако его реализация «на вашем лице» заставила многих пользователей отключить его, тем самым нарушив цель.

Использование прав администратора на сервере имеет еще более серьезные последствия. Администраторы — в зависимости от конкретных административных привилегий, предоставленных их учетным записям, — могут устанавливать программы, изменять параметры конфигурации, создавать и удалять учетные записи пользователей, назначать и изменять разрешения для файлов и многое другое. В неумелых руках такие возможности могут иметь катастрофические последствия. И независимо от того, насколько надежными могут быть ваши администраторы, всякий раз, когда используется учетная запись администратора, она уязвима для атак.

Тем не менее, во многих организациях права администратора назначены множеству разных пользователей по разным причинам. Эти привилегии могли быть необходимы для выполнения служебных обязанностей в какой-то момент, но сейчас это не так. В некоторых организациях ИТ-отдел может даже не знать точно, кто имеет административные привилегии и объем этих привилегий. Это может поставить под угрозу всю сеть.

Получение привилегированного доступа под контроль

Управление привилегированным доступом в Windows Server 2016 основано на двух концепциях:

  • Администрирование «точно вовремя» (JIT)
  • Достаточно администрирования (JEA)

(Не спрашивайте меня, почему во второй аббревиатуре есть слово «администрация», а в другой нет, потому что я не знаю. Может быть, просто чтобы держать нас в напряжении).

В любом случае, JIT и JEA дают вам гораздо более тонкий контроль над этими надоедливыми учетными записями администраторов, которые, кажется, размножаются, как кролики. Это требует небольшой работы, но оно того стоит, поскольку, когда речь идет о злоупотреблении административными привилегиями, унция предотвращения действительно стоит фунта лечения. Мы поговорим о каждом из них более подробно позже в этой статье, но сначала давайте вернемся к PAM и тому, как он работает.

PAM работает с функциями проверки подлинности и авторизации учетной записи домена AD DS в сочетании с новыми возможностями Microsoft Identity Manager (MIM). PAM включает в себя настройку среды-бастиона, которая отделена от остальной части вашей Active Directory. Среда-бастион — это выделенный административный лес Active Directory, изолированный от рабочей среды, имеющий надежную защиту и не доверяющий другим существующим лесам в организации. Существует только одностороннее доверие: корпоративный лес доверяет административному лесу, но не наоборот.

Этот административный лес используется для управления Active Directory. Из-за своей ограниченной области применения он представляет собой меньшую поверхность атаки. Среда бастиона имеет свою собственную отдельную AD DS, а ее программное обеспечение для резервного копирования и носитель также являются отдельными. MIM 2016 с компонентами PAM необходимо развернуть в среде бастиона. MIM использует PowerShell для подготовки существующих доменов к управлению средой бастиона и создания конфигурации домена PAM. Вы можете подробно прочитать об этом процессе в документе Microsoft

Понимание JIT и JEA

Администрирование Just in Time — это средство контроля администраторов административных привилегий. Большинству администраторов не нужны права администратора для всего, что они делают; многие из задач, которые они выполняют в течение дня, могут быть выполнены со стандартными привилегиями пользователя.

В старые времена нам говорили, что администраторы должны иметь две разные учетные записи, одну с правами администратора и одну, настроенную как обычный пользователь, и что они должны переключаться между учетными записями в зависимости от того, что они делают.. В теории это звучит хорошо, но на практике люди склонны поступать проще, если это возможно. Для администратора самый простой способ — просто использовать учетную запись администратора для всего и всегда, чтобы не утруждать себя переключением, когда эти привилегии необходимы. Вы можете назвать это «управлением на всякий случай» (JICA?).

JIT упрощает задачу, добавляя привилегии администратора только тогда, когда они действительно необходимы для выполнения работы, и только на ограниченный период времени, когда они действительно необходимы. Это также называется временными привилегиями. Вместо десятков или более постоянных администраторов у вас есть пользователи, которые имеют права администратора только на время, когда они им нужны. Ограничение временных рамок, в течение которых эти привилегии активируются, очевидно, снижает уязвимость и риск безопасности.

В то время как JIT ограничивает время, в течение которого пользователь имеет административные привилегии, Just Enough Administration ограничивает объем этих привилегий, когда они у пользователя есть. JEA использует ролевой подход, поэтому вы можете разрешить определенным пользователям выполнять определенные административные задачи на определенных серверах вместо предоставления всем полных административных прав, которые им не нужны. Уровень риска, когда речь идет об учетных записях администратора, коррелирует с объемом привилегий; учетная запись с более ограниченными привилегиями представляет меньший риск (с точки зрения размера ущерба, который может быть нанесен), если она будет скомпрометирована.

JEA работает, создавая платформу управления доступом на основе ролей (RBAC), чтобы вы могли ограничивать пользователей выполнением только тех задач, на выполнение которых они уполномочены, и они могут выполнять эти задачи, не становясь постоянными администраторами. Это уменьшает общее количество администраторов.

Узнайте больше о JIT и JEA в Server 2016 в этой слайд-презентации на веб-сайте Microsoft MSDN Channel 9 под названием

Заключительная мысль

В Windows Server 2016, как и во всех предыдущих версиях операционной системы Windows Server, добавлена поддержка новых улучшений безопасности, которые помогают организациям повысить безопасность своих локальных серверов и сетей. Из-за большего риска, связанного с полномочиями, связанными с административными учетными записями, Server 2016 уделяет большое внимание снижению этого риска, помогая вам сократить количество постоянных администраторов и ограничить как продолжительность действия прав администратора, так и объем этих прав. только то, что необходимо для выполнения должностных обязанностей, и не более того.

PAM с JIT и JEA — это новый мощный защитный механизм, защищающий от потенциально катастрофических последствий компрометации административной учетной записи, и вписывается в текущую стратегию безопасности Microsoft «предполагать нарушение», которая сочетает в себе превентивные меры с теми, которые уменьшают размер ущерба, если и когда атакующему удается прорвать линию обороны. PAM в первую очередь снижает вероятность неправомерного использования учетной записи администратора, а также — за счет ограничения продолжительности и объема административных привилегий — помогает ограничить степень ущерба.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023