Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Säkra administrativa värdar är arbetsstationer eller servrar som har konfigurerats specifikt för att skapa säkra plattformar som privilegierade konton kan utföra administrativa uppgifter från i Active Directory eller på domänkontrollanter, domänanslutna system och program som körs på domänanslutna system. I det här fallet refererar "privilegierade konton" inte bara till konton som är medlemmar i de mest privilegierade grupperna i Active Directory, utan även till konton som har delegerats rättigheter och behörigheter som gör att administrativa uppgifter kan utföras.
Dessa konton kan vara supportkonton som har möjlighet att återställa lösenord för de flesta användare i en domän, konton som används för att administrera DNS-poster och zoner eller konton som används för konfigurationshantering. Säkra administrativa värdar är dedikerade till administrativa funktioner och de kör inte programvara som e-postprogram, webbläsare eller produktivitetsprogram som Microsoft Office.
Även om de "mest privilegierade" kontona och grupperna därför bör vara strikt skyddade, eliminerar detta inte behovet av att skydda konton och grupper som har behörighet över standardanvändarkonton har beviljats.
En säker administrativ värd kan vara en dedikerad arbetsstation som endast används för administrativa uppgifter, en medlemsserver som kör serverrollen Fjärrskrivbordsgateway och som IT-användare ansluter till för att utföra administration av målvärdar eller en server som kör rollen Hyper-V och som tillhandahåller en unik virtuell dator som varje IT-användare kan använda för sina administrativa uppgifter. I många miljöer kan kombinationer av alla tre metoderna implementeras.
För att implementera säkra administrativa värdar krävs planering och konfiguration som överensstämmer med organisationens storlek, administrativa metoder, riskaptit och budget. Överväganden och alternativ för att implementera säkra administrativa värdar finns här som du kan använda för att utveckla en administrativ strategi som passar din organisation.
Principer för att skapa säkra administrativa värdar
För att effektivt skydda system mot attacker bör några allmänna principer beaktas:
Du bör aldrig administrera ett betrott system (t.ex. en säker server, till exempel en domänkontrollant) från en mindre betrodd värd (alltså en arbetsstation som inte skyddas i samma grad som de system som den hanterar).
Du bör inte förlita dig på en enda autentiseringsfaktor när du utför privilegierade aktiviteter. Det innebär att kombinationer av användarnamn och lösenord inte bör betraktas som acceptabel autentisering eftersom endast en enda faktor (något du vet) representeras. Du bör överväga var autentiseringsuppgifter genereras och cachelagras eller lagras i administrativa scenarier.
Även om de flesta attacker i det aktuella hotlandskapet utnyttjar skadlig kod och skadlig hackning, utelämnar du inte fysisk säkerhet när du utformar och implementerar säkra administrativa värdar.
Kontokonfiguration
Även om din organisation för närvarande inte använder smartkort bör du överväga att implementera dem för privilegierade konton och säkra administrativa värdar. Administrativa värdar ska konfigureras för att kräva smartkortsinloggning för alla konton genom att ändra följande inställning i ett grupprincipobjekt som är länkat till de organisationsenheter som innehåller administrativa värdar:
Datorkonfiguration\Principer\Windows-inställningar\Lokala principer\Säkerhetsalternativ\Interaktiv inloggning: Kräv smartkort
Den här inställningen kräver att alla interaktiva inloggningar använder ett smartkort, oavsett konfiguration på ett enskilt konto i Active Directory.
Du bör också konfigurera säkra administrativa värdar för att endast tillåta inloggningar av auktoriserade konton, som kan konfigureras i:
Datorkonfiguration\Principer\Windows-inställningar\Lokala principer\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter
Detta ger interaktiva (och vid behov Fjärrskrivbordstjänster) inloggningsrättigheter endast till behöriga användare av den säkra administrativa värd.
Fysisk säkerhet
För att administrativa värdar ska betraktas som tillförlitliga måste de konfigureras och skyddas i samma grad som de system som de hanterar. De flesta rekommendationerna i Skydda domänkontrollanter mot angrepp gäller även för värdar som används för att administrera domänkontrollanter och AD DS-databasen. En av utmaningarna med att implementera säkra administrativa system i de flesta miljöer är att fysisk säkerhet kan vara svårare att implementera eftersom dessa datorer ofta finns i områden som inte är lika säkra som servrar som finns i datacenter, till exempel administrativa användares skrivbord.
Fysisk säkerhet omfattar kontroll av fysisk åtkomst till administrativa värdar. I en liten organisation kan det innebära att du har en dedikerad administrativ arbetsstation som hålls låst på ett kontor eller en skrivbordslåda när den inte används. Eller så kan det innebära att när du behöver utföra administrationen av Active Directory eller dina domänkontrollanter loggar du in direkt på domänkontrollanten.
I medelstora organisationer kan du överväga att implementera säkra administrativa "jump-servrar" som finns på en säker plats på ett kontor och som används när hantering av Active Directory eller domänkontrollanter krävs. Du kan också implementera administrativa arbetsstationer som är låsta på säkra platser när de inte används, med eller utan hoppservrar.
I stora organisationer kan du distribuera datacenterbaserade hoppservrar som ger strikt kontrollerad åtkomst till Active Directory. Domänkontrollanter; och fil-, utskrifts- eller programservrar. Implementering av en jump server-arkitektur är troligtvis en kombination av säkra arbetsstationer och servrar i stora miljöer.
Oavsett organisationens storlek och utformningen av dina administrativa värdar bör du skydda fysiska datorer mot obehörig åtkomst eller stöld och använda BitLocker-diskkryptering för att kryptera och skydda enheterna på administrativa värdar. Genom att implementera BitLocker på administrativa värdar, även om en värd blir stulen eller om dess diskar tas bort, kan du se till att data på enheten inte är tillgängliga för obehöriga användare.
Operativsystemversioner och konfiguration
Alla administrativa värdar, oavsett om de är servrar eller arbetsstationer, ska köra det senaste operativsystem som används i din organisation av de skäl som beskrivs tidigare i det här dokumentet. Genom att köra aktuella operativsystem drar din administrativa personal nytta av nya säkerhetsfunktioner, fullständig leverantörssupport och ytterligare funktioner som introduceras i operativsystemet. När du utvärderar ett nytt operativsystem måste du dessutom bekanta dig med de nya funktioner, inställningar och hanteringsmekanismer som det erbjuder genom att först distribuera det till administrativa värdar, vilket senare kan användas för att planera en bredare distribution av operativsystemet. Då är de mest avancerade användarna i din organisation också de användare som är bekanta med det nya operativsystemet och som är bäst positionerade för att stödja det.
Microsoft Security Configuration-guiden
Om du implementerar jump-servrar som en del av din administrativa värdstrategi bör du använda den inbyggda guiden Säkerhetskonfiguration för att konfigurera tjänst-, register-, gransknings- och brandväggsinställningar för att minska serverns attackyta. När konfigurationsinställningarna för guiden för säkerhetskonfiguration har samlats in och konfigurerats kan inställningarna konverteras till ett grupprincipobjekt (GPO) som används för att upprätthålla en konsekvent standardkonfiguration på alla jump-servrar. Du kan redigera grupprincipobjektet ytterligare för att implementera säkerhetsinställningar som är specifika för snabbservrar och kombinera alla inställningar med ytterligare baslinjeinställningar som extraherats från Microsoft Security Compliance Manager.
Ansvarig för Microsofts säkerhets- och efterlevnadshantering
Microsoft Security Compliance Manager är ett kostnadsfritt verktyg som integrerar säkerhetskonfigurationer som rekommenderas av Microsoft, baserat på operativsystemsversion och rollkonfiguration, och samlar in dem i ett enda verktyg och användargränssnitt som kan användas för att skapa och konfigurera säkerhetsinställningar för baslinje för domänkontrollanter. Microsoft Security Compliance Manager-mallar kan kombineras med inställningar för guiden Säkerhetskonfiguration för att skapa omfattande konfigurationsbaslinjer för jumpservrar som distribueras och framtvingas av gruppolicyobjekt som distribueras på de organisationsenheter där jumpservrar finns i Active Directory.
Note
När detta skrivs innehåller Microsoft Security Compliance Manager inte inställningar som är specifika för jump-servrar eller andra säkra administrativa värdar, men Security Compliance Manager (SCM) kan fortfarande användas för att skapa inledande baslinjer för dina administrativa värdar. För att skydda värdarna korrekt bör du dock tillämpa ytterligare säkerhetsinställningar som är lämpliga för högskyddade arbetsstationer och servrar.
AppLocker
Administrativa värdar och virtuella datorer ska konfigureras med skript, verktyg och program via AppLocker eller en programvara för programbegränsning från tredje part. Alla administrativa program eller verktyg som inte följer säkra inställningar bör uppgraderas eller ersättas med verktyg som följer säker utveckling och administrativa metoder. När nya eller ytterligare verktyg behövs på en administrativ värd bör program och verktyg testas noggrant, och om verktygen är lämpliga för distribution på administrativa värdar kan de läggas till i systemens.
RDP-begränsningar
Även om den specifika konfigurationen varierar beroende på arkitekturen i dina administrativa system bör du inkludera begränsningar för vilka konton och datorer som kan användas för att upprätta RDP-anslutningar (Remote Desktop Protocol) till hanterade system, till exempel att använda fjärrskrivbordsgateway (RD Gateway) för att styra åtkomsten till domänkontrollanter och andra hanterade system från behöriga användare och system.
Du bör tillåta interaktiva inloggningar av behöriga användare och bör ta bort eller till och med blockera andra inloggningstyper som inte behövs för serveråtkomst.
Korrigerings- och konfigurationshantering
Mindre organisationer kan förlita sig på erbjudanden som Windows Update eller Windows Server Update Services (WSUS) för att hantera distribution av uppdateringar till Windows-system, medan större organisationer kan implementera programvara för företagskorrigering och konfigurationshantering, till exempel Microsoft Endpoint Configuration Manager. Oavsett vilka mekanismer du använder för att distribuera uppdateringar till den allmänna server- och arbetsstationspopulationen bör du överväga separata distributioner för mycket säkra system som domänkontrollanter, certifikatutfärdare och administrativa värdar. Genom att särskilja dessa system från den allmänna hanteringsinfrastrukturen kan kompromissen inte enkelt utökas till de säkraste systemen i infrastrukturen om dina hanteringsprogram eller tjänstkonton komprometteras.
Även om du inte bör implementera manuella uppdateringsprocesser för säkra system bör du konfigurera en separat infrastruktur för uppdatering av säkra system. Även i mycket stora organisationer kan den här infrastrukturen vanligtvis implementeras via dedikerade WSUS-servrar och GPO:er för skyddade system.
Blockera Internetåtkomst
Administrativa värdar bör inte tillåtas att få åtkomst till Internet, och de bör inte heller kunna bläddra i en organisations intranät. Webbläsare och liknande program bör inte tillåtas på administrativa värdar. Du kan blockera Internetåtkomst för säkra värdar via en kombination av brandväggsinställningar för perimeter, WFAS-konfiguration och proxykonfiguration för "svart hål" på säkra värdar. Du kan också använda programlistan för att förhindra att webbläsare används på administrativa värdar.
Virtualization
Om möjligt bör du överväga att implementera virtuella datorer som administrativa värdar. Med hjälp av virtualisering kan du skapa administrativa system per användare som lagras centralt och hanteras och som enkelt kan stängas av när de inte används, vilket säkerställer att autentiseringsuppgifterna inte lämnas aktiva i de administrativa systemen. Du kan också kräva att virtuella administrativa värdar återställs till en ursprunglig ögonblicksbild efter varje användning, vilket säkerställer att de virtuella datorerna förblir orörda. Mer information om alternativ för virtualisering av administrativa värdar finns i följande avsnitt.
Exempel på metoder för att implementera säkra administrativa värdar
Oavsett hur du utformar och distribuerar din administrativa värdinfrastruktur bör du tänka på riktlinjerna i "Principer för att skapa säkra administrativa värdar" tidigare i det här avsnittet. Var och en av de metoder som beskrivs här ger allmän information om hur du kan separera "administrativa" och "produktivitetssystem" som används av IT-personalen. Produktivitetssystem är datorer som IT-administratörer använder för att kontrollera e-post, bläddra på Internet och använda allmän produktivitetsprogramvara som Microsoft Office. Administrativa system är datorer som är härdade och dedikerade att använda för daglig administration av en IT-miljö.
Det enklaste sättet att implementera säkra administrativa värdar är att förse IT-personalen med skyddade arbetsstationer som de kan utföra administrativa uppgifter från. I en implementering endast för arbetsstationer används varje administrativ arbetsstation för att starta hanteringsverktyg och RDP-anslutningar för att hantera servrar och annan infrastruktur. Implementeringar av endast arbetsstationer kan vara effektiva i mindre organisationer, även om större, mer komplexa infrastrukturer kan dra nytta av en distribuerad design för administrativa värdar där dedikerade administrativa servrar och arbetsstationer används, enligt beskrivningen i "Implementera säkra administrativa arbetsstationer och jump-servrar" senare i det här avsnittet.
Implementera separata fysiska arbetsstationer
Ett sätt att implementera administrativa värdar är att utfärda två arbetsstationer för varje IT-användare. En arbetsstation används med ett "vanligt" användarkonto för att utföra aktiviteter som att kontrollera e-post och använda produktivitetsprogram, medan den andra arbetsstationen är strikt dedikerad till administrativa funktioner.
För produktivitetsarbetsstationen kan IT-personalen få vanliga användarkonton i stället för att använda privilegierade konton för att logga in på oskyddade datorer. Den administrativa arbetsstationen bör konfigureras med en strikt kontrollerad konfiguration och IT-personalen bör använda ett annat konto för att logga in på den administrativa arbetsstationen.
Om du har implementerat smartkort bör administrativa arbetsstationer konfigureras för att kräva smartkortsinloggning, och IT-personalen bör ges separata konton för administrativ användning, även konfigurerade för att kräva smartkort för interaktiv inloggning. Den administrativa värdenheten bör härdas enligt tidigare beskrivning och endast utsedda IT-användare ska tillåtas att logga in lokalt på den administrativa arbetsstationen.
Pros
Genom att implementera separata fysiska system kan du se till att varje dator är korrekt konfigurerad för sin roll och att IT-användare inte oavsiktligt kan utsätta administrativa system för risker.
Cons
Om du implementerar separata fysiska datorer ökar maskinvarukostnaderna.
När du loggar in på en fysisk dator med autentiseringsuppgifter som används för att administrera fjärrsystem cachelagrar autentiseringsuppgifterna i minnet.
Om administrativa arbetsstationer inte lagras på ett säkert sätt kan de vara sårbara för intrång via mekanismer som fysiska maskinvarunyckelloggare eller andra fysiska attacker.
Implementera en säker fysisk arbetsstation med en virtualiserad produktivitetsarbetsstation
I den här metoden får IT-användare en säker administrativ arbetsstation från vilken de kan utföra dagliga administrativa funktioner med hjälp av RSAT-anslutningar (Remote Server Administration Tools) eller RDP-anslutningar till servrar inom deras ansvarsområde. När IT-användare behöver utföra produktivitetsuppgifter kan de ansluta via RDP till en fjärrproduktiv arbetsstation som körs som en virtuell dator. Separata autentiseringsuppgifter ska användas för varje arbetsstation och kontroller som smartkort bör implementeras.
Pros
Administrativa arbetsstationer och produktivitetsarbetsstationer separeras.
IT-personal som använder säkra arbetsstationer för att ansluta till produktivitetsarbetsstationer kan använda separata autentiseringsuppgifter och smartkort, och privilegierade autentiseringsuppgifter deponeras inte på den mindre säkra datorn.
Cons
Implementering av lösningen kräver design- och implementeringsarbete och robusta virtualiseringsalternativ.
Om de fysiska arbetsstationerna inte lagras säkert kan de vara sårbara för fysiska attacker som äventyrar maskinvaran eller operativsystemet och gör dem känsliga för kommunikationsavlyssning.
Implementera en enda säker arbetsstation med anslutningar till separata "produktivitet" och "administrativa" virtuella datorer
I den här metoden kan du utfärda en enskild fysisk arbetsstation till IT-användare som är låst enligt tidigare beskrivning och som IT-användare inte har privilegierad åtkomst till. Du kan tillhandahålla fjärrskrivbordstjänster anslutningar till virtuella datorer som finns på dedikerade servrar, vilket ger IT-personalen en virtuell dator som kör e-post och andra produktivitetsprogram och en andra virtuell dator som är konfigurerad som användarens dedikerade administrativa värd.
Du bör kräva smartkort eller annan multifaktorinloggning för de virtuella datorerna, med andra konton än det konto som används för att logga in på den fysiska datorn. När en IT-användare har loggat in på en fysisk dator kan de använda sitt produktivitetssmartkort för att ansluta till sin fjärrproduktivitetsdator och ett separat konto och smartkort för att ansluta till sin fjärradministratörsdator.
Pros
IT-användare kan använda en enda fysisk arbetsstation.
Genom att kräva separata konton för de virtuella värdarna och använda Fjärrskrivbordstjänster-anslutningar till de virtuella datorerna cachelagras inte IT-användarnas autentiseringsuppgifter i minnet på den lokala datorn.
Den fysiska värden kan skyddas i samma grad som administrativa värdar, vilket minskar risken för att den lokala datorn komprometteras.
I fall där en IT-användares virtuella dator för produktivitet eller deras administrativa virtuella dator kan ha komprometterats kan den virtuella datorn enkelt återställas till ett "känt bra" tillstånd.
Om den fysiska datorn komprometteras cachelagras inga privilegierade autentiseringsuppgifter i minnet och användningen av smartkort kan förhindra att autentiseringsuppgifter komprometteras av tangenttryckningsloggare.
Cons
Implementering av lösningen kräver design- och implementeringsarbete och robusta virtualiseringsalternativ.
Om de fysiska arbetsstationerna inte lagras säkert kan de vara sårbara för fysiska attacker som äventyrar maskinvaran eller operativsystemet och gör dem känsliga för kommunikationsavlyssning.
Implementera säkra administrativa arbetsstationer och jump-servrar
Som ett alternativ till att skydda administrativa arbetsstationer, eller i kombination med dem, kan du implementera säkra jump-servrar, och administrativa användare kan ansluta till hoppservrarna med RDP och smartkort för att utföra administrativa uppgifter.
Jump-servrar bör konfigureras för att köra rollen Fjärrskrivbordsgateway så att du kan implementera begränsningar för anslutningar till hoppservern och till målservrar som ska hanteras från den. Om möjligt bör du även installera Hyper-V-rollen och skapa personliga virtuella skrivbord eller andra virtuella datorer per användare som administrativa användare kan använda för sina uppgifter på hoppservrarna.
Genom att ge de administrativa användarna virtuella datorer per användare på hoppservern ger du fysisk säkerhet för de administrativa arbetsstationerna och administrativa användare kan återställa eller stänga av sina virtuella datorer när de inte används. Om du föredrar att inte installera rollen Hyper-V och fjärrskrivbordsgatewayen på samma administrativa värd kan du installera dem på separata datorer.
När det är möjligt bör fjärradministrationsverktyg användas för att hantera servrar. Funktionen RSAT (Remote Server Administration Tools) bör installeras på användarnas virtuella datorer (eller på hoppservern om du inte implementerar virtuella datorer per användare för administration) och administrativ personal bör ansluta via RDP till sina virtuella datorer för att utföra administrativa uppgifter.
I de fall då en administrativ användare måste ansluta via RDP till en målserver för att hantera den direkt, bör RD Gateway konfigureras så att anslutningen endast kan göras om rätt användare och dator används för att upprätta anslutningen till målservern. Körning av RSAT-verktyg (eller liknande) ska förbjudas på system som inte är specificerade hanteringssystem, till exempel allmänna arbetsstationer och delservrar som inte är jump-servrar.
Pros
Genom att skapa hoppservrar kan du mappa specifika servrar till "zoner" (samlingar av system med liknande konfiguration, anslutning och säkerhetskrav) i nätverket och kräva att administration av varje zon uppnås av administrativ personal som ansluter från säkra administrativa värdar till en utsedd "zon"-server.
Genom att mappa hoppservrar till zoner kan du implementera detaljerade kontroller för anslutningsegenskaper och konfigurationskrav och enkelt identifiera försök att ansluta från obehöriga system.
Genom att implementera virtuella datorer per administratör på hoppservrar framtvingar du avstängning och återställning av de virtuella datorerna till ett känt rent tillstånd när administrativa uppgifter slutförs. Genom att framtvinga avstängning (eller omstart) av de virtuella datorerna när administrativa uppgifter har slutförts kan de virtuella datorerna inte riktas mot angripare, och stöldattacker med autentiseringsuppgifter är inte heller möjliga eftersom minnescachelagrade autentiseringsuppgifter inte bevaras utöver en omstart.
Cons
Dedikerade servrar krävs för jump-servrar, oavsett om de är fysiska eller virtuella.
Implementering av avsedda hoppservrar och administrativa arbetsstationer kräver noggrann planering och konfiguration som mappar till alla säkerhetszoner som konfigurerats i miljön.