本文档介绍特权访问策略的安全级别。有关如何采用此策略的路线图,请参阅快速现代化计划(RaMP)。 有关实现指南,请参阅 特权访问部署
这些级别主要用于提供简单直接的技术指导,以便组织可以快速部署这些至关重要的保护。 特权访问策略可识别组织具有独特的需求,但也认为自定义解决方案会创建复杂性,从而在一段时间内提高成本和降低安全性。 为了平衡这一需求,该策略通过允许组织选择何时需要每个角色来满足该级别的要求,为每个级别提供坚定的规范性指导和灵活性。
使事情变得简单有助于人们理解它,并降低他们将感到困惑和犯错误的风险。 虽然基础技术几乎总是很复杂,但必须保持简单,而不是创建自定义解决方案,而难以支持。 有关详细信息,请参阅 安全设计原则。
设计专注于管理员和最终用户需求的解决方案将使它们保持简单。 设计安全与 IT 人员易于构建、评估和维护的解决方案(尽可能使用自动化),可减少安全错误和更可靠的安全保证。
建议的特权访问安全策略跨区域实施简单的三级保证系统,旨在轻松部署帐户、设备、中介和接口。
每个连续级别都会增加攻击者的成本,并增加 Defender for Cloud 投资级别。 这些级别旨在针对你获得最高回报(攻击者成本增加)的每个安全投资的“甜点”。
环境中的每个角色都应映射到其中一个级别,并选择性地随着时间推移而增加,作为安全改进计划的一部分。 每个配置文件明确定义为技术配置,并在可能的情况下自动执行,以简化部署并加快安全保护。 有关 实现的信息,请阅读有关特权访问路线图的信息。
安全级别
在整个策略中使用的安全级别包括:
Enterprise
企业安全性 适用于所有企业用户和生产力方案。 在快速现代化计划的进展中,企业也作为专用和特权访问的起点,因为它们逐渐建立在企业安全的安全控制之上。
注释
安全性配置较弱,但目前不建议为企业组织Microsoft,因为技能和资源攻击者已可用。 有关攻击者可以在黑暗市场和平均价格中相互购买的信息,请参阅 视频《Azure 安全前 10 个最佳做法》
专业
专用安全性 为具有提升的业务影响的角色提供更高的安全控制(如果遭到攻击者或恶意内部人员入侵)。
你的组织应该为专用帐户和特权帐户记录条件(例如,潜在的业务影响超过 100 万美元),然后确定满足该条件的所有角色和帐户。 (在整个策略中使用,包括在专用帐户中)
专用角色通常包括:
- 业务关键系统的开发人员。
- 敏感业务角色 ,如 SWIFT 终端的用户、有权访问敏感数据的研究人员、在公开发布之前有权访问财务报告的人员、工资管理员、敏感业务流程审批者和其他影响重大角色。
- 经常处理敏感信息的高管和个人助理/行政助理。
- 高影响社交媒体帐户 ,可能会损害公司的声誉。
- 具有重大特权和影响的敏感 IT 管理员,但并非企业范围。 此组通常包括单个高影响工作负荷的管理员。 (例如,企业资源规划管理员、银行管理员、技术支持/技术支持角色等)
专用帐户安全性还充当特权安全性的临时步骤,进一步建立在这些控制之上。 有关建议进度顺序的详细信息,请参阅 特权访问路线图 。
特权
特权安全 是专为角色设计的最高安全级别,它很容易在攻击者或恶意内部人员手中对组织造成重大事件和潜在物质损害。 此级别通常包括对大多数或所有企业系统具有管理权限的技术角色(有时包括一些业务关键角色)
特权帐户首先侧重于安全性,工作效率定义为能够安全地轻松安全地执行敏感作业任务。 这些角色将无法使用同一帐户或同一设备/工作站执行敏感工作和常规生产力任务(浏览 Web、安装和使用任何应用)。 他们将拥有高度受限的帐户和工作站,并增加了对可能表示攻击者活动的异常活动作的监视。
特权访问安全角色通常包括:
- Microsoft Entra 管理员角色
- 对企业目录、标识同步系统、联合解决方案、虚拟目录、特权标识/访问管理系统或类似的管理权限的其他标识管理角色。
- 这些本地 Active Directory 组中具有成员身份的角色
- 企业管理员
- 域管理员
- 架构管理员
- BUILTIN\Administrators
- 帐户操作员
- 备份运算符
- 打印运算符
- 服务器操作员
- 域控制器
- 只读域控制器
- 组策略创建者所有者
- 加密运算符
- 分布式 COM 用户
- 敏感的本地 Exchange 组(包括 Exchange Windows 权限和 Exchange 受信任的子系统)
- 其他委派组 - 组织可以创建的自定义组来管理目录作。
- 托管上述功能的基础作系统或云服务租户的任何本地管理员,包括
- 本地管理员组的成员
- 知道根密码或内置管理员密码的人员
- 安装在这些系统上的代理的任何管理或安全工具的管理员