Azure 中的 Active Directory Domain Services 特权访问管理是什么？

一种用于限制隔离的 Active Directory 环境内特权访问的解决方案，称为 MIM 特权访问管理，简称 PAM。

通过使用 PAM，我们可以实现两个主要目标：

• 通过建立一个已知对恶意攻击免疫的独立堡垒环境，我们可以重新控制被黑的 Active Directory 环境。
• 隔离特权账户的使用，以减少凭证被盗的可能性。

注意：MIM PAM 专为隔离的本地 AD 环境而设计。Azure AD PIM 是 Azure AD 中的一项服务，允许我们管理、控制和监控对 Azure AD、Azure 以及 Microsoft 365 和 Intune 等其他 Microsoft 在线服务的访问。

MIM PAM 解决了哪些问题？

如今，攻击者可以轻易地获取域管理员账户凭证，而且事后很难检测到这些攻击。PAM 的目的是降低恶意人员获取访问权限的几率，同时增强我们对环境的控制和了解。

PAM 的使用使得攻击者更难侵入网络并获取特权账户的访问权限。PAM 为特权组增加了安全性，允许它们控制对各种加入域的 PC 和应用程序的访问。此外，还提供了更多的监控、可见性和细粒度控制。PAM 使企业能够更好地了解工作场所中管理账户的使用情况。

MIM PAM

PAM 基于“Just-In-Time Administration”（JEA，即时管理）的概念，指的是“仅授予必要的管理权限”。Windows PowerShell 的 JEA 工具包定义了一组用于执行特权任务的命令。它是一个命令执行终结点，管理员可以在其中获得运行命令的权限。在 JEA 中，管理员决定哪些用户、拥有哪些权限才能完成哪些任务。

权限会在设定的时间后过期，使得恶意人员无法获得访问权限。同样，当用户满足所需条件时，权限就会被启用。

在我们的环境中设置 PAM 主要有 4 个步骤。

1. 准备：确定当前林中哪些组拥有重要特权。在堡垒林中，创建这些组，但不包含人员。
2. 保护：当用户请求即时管理时，设置生命周期和身份验证保护。
3. 操作：当身份验证要求完成且请求获得授权后，将用户账户临时添加到堡垒林中的特权组。管理员将在预定时间内拥有该组提供的所有权限和访问权限。在此时间段过后，该账户将从组中移除。
4. 监控：PAM 通过审计、警报和报告来增强特权访问请求。我们可以查找特权访问的历史记录，并找出谁做了什么。此阶段对于检测恶意软件以及追踪“内部”攻击者至关重要。

什么是 MIM PAM 及其工作原理。

PAM 基于新的 AD DS 功能构建，特别针对域账户的身份验证和授权，以及新的 Microsoft Identity Manager 功能。PAM 将特权账户与已有的 Active Directory 基础架构隔离开来。必须先请求并批准特权账户，然后才能使用它。

MIM Service、Active Directory 和此系统的其他组件也可以实现高可用性架构。

以下示例将更深入地解释 PIM。

堡垒林发出时间有限的组成员资格，从而发出时间有限的票证授予票证（TGT）。

日常使用的用户账户无需迁移到新的林。计算机、应用程序及其关联的组织也是如此。它们保留在现有的林中。考虑这样一个公司，它今天担心网络安全，但没有立即计划将其服务器基础架构升级到最新版本的 Windows Server。通过将 MIM 与新的堡垒林结合，该公司仍然可以受益于这种集成方法，并更好地限制对现有资源的访问。

PAM 的优点如下：

• 特权的隔离/范围限定：用户必须请求所需的特权，否则将不会获得。PAM 管理员定义的 MIM 策略决定请求是允许还是拒绝。在请求获得授权之前，特权访问不可用。
• 权限提升和证明：用户可以请求管理账户的提升，该请求通过 MIM 流程进行处理。
• 可自定义的工作流：MIM 工作流可以针对各种情况进行设置，并且可以根据请求用户或请求职责的规格使用多个工作流。
• 附加日志记录：PAM 除了内置的 MIM 流程外，还提供附加日志记录，用于识别请求、它如何被允许以及批准后的任何事件。

有哪些不同的流程和监控选项？

在安装 PAM 之前，假设用户是管理组的成员。作为 PAM 设置的一部分，用户随后将从管理组中移除，并在 MIM 中创建策略。该策略规定，如果用户请求管理访问权限，则请求将被授予，并且用户将被赋予堡垒林特权组中的独立账户。

PAM

Microsoft 建议实施此特权访问策略，以降低我们组织遭受高影响和高概率特权访问攻击的风险。

每个组织的最高安全优先级都应该是特权访问。 任何对这些用户的威胁几乎肯定会对公司造成严重的负面影响。当攻击者获得对特权用户账户的访问权限时，他们几乎总会对组织的业务关键资产产生重大影响。

Microsoft 提供了实施指南，以帮助我们快速部署此策略的防御措施。

重要性

没有单一的技术解决方案能够神奇地限制特权访问的危险；相反，我们必须将多种技术结合成一个整体解决方案，以防御攻击者的多个入口点。组织必须为每项任务带来合适的工具。

特权访问的重要性是什么？

由于特权访问安全是所有其他安全保障的基础，因此掌握我们特权账户的攻击者可以危害所有其他安全措施。

这些攻击方法最初用于有针对性地窃取数据，导致多家知名公司发生了多起备受瞩目的泄露事件（以及许多未报告的事件）。最近，勒索软件攻击者也采用了类似的方法，导致了大量有利可图的、由人类操作的勒索软件攻击的激增，这些攻击会损害各行各业的企业运营。

重要性

由人类控制的勒索软件与针对单个计算机或设备的单机勒索软件攻击不同。

此图描绘了利用特权访问的这种基于勒索的攻击的影响和可能性如何不断增加。

• 重大的经济影响
• 低估特权访问丢失可能造成的业务影响和损害是难以想象的。拥有特权访问的攻击者实际上拥有对所有企业资产和资源的完全控制权，这使他们能够泄露任何秘密信息、停止所有业务流程，或破坏业务流程和机器以造成财产损失、伤害，甚至更糟。在每个行业中，都产生了巨大的业务影响，包括：
  • 有针对性的数据窃取 - 攻击者利用特权访问来获取敏感的知识产权，并将其用于自身用途，或出售、转让给竞争对手或外国政府。
  • 自高级凭证窃取技术（如哈希传递技术）引入以来，特权访问攻击的普遍性有所增加。
  在人类操作的勒索软件（HumOR）引入之前，这些攻击很常见，但由于以下原因，它们常常被忽视或误解：
• 攻击者获利限制和隐性影响 - 这些攻击只能使那些知道如何将目标公司的敏感知识产权商业化的人员和团体受益。
  随着人类操作的勒索软件的出现，这些攻击的隐性影响和攻击者获利限制正在逐渐消失，其数量、影响和知名度都在不断增长，因为它既
• 喧闹且具有破坏性 - 从业务运营到勒索索要付款。
• 普遍适用 - 每个行业的每家公司都有经济上的动力来保持正常运营。

因此，任何组织的最高安全优先级都应该是特权访问。

整体实用策略

为了降低特权访问的风险，需要一种全面、整体且经过优先排序的、跨越多种技术的风险缓解措施的组合。

制定此策略需要认识到攻击者就像水一样，拥有各种各样的选择（其中一些可能一开始看起来很小），在选择使用哪种选择时很灵活，并且通常会选择阻力最小的路径来实现其目标。