Beskerm bevoorregte toegang met PIM (Privileged Identity Management)

Beskerm bevoorregte toegang met PIM (Privileged Identity Management)

15/04/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering en bestuur van Privileged Identity Management (PIM) in Microsoft Entra ID (voorheen Azure Active Directory). PIM is 'n diens wat jou in staat stel om toegang tot belangrike hulpbronne in jou organisasie te bestuur, te beheer en te monitor, wat Just-In-Time (JIT) en Just-Enough Access (JEA) toegang tot bevoorregte funksies bied, wat die risiko van misbruik van voorregte verminder [1].

Inleiding

Rekeninge met administratiewe voorregte is die belangrikste teikens vir kuberaanvalle, aangesien hul kompromie kan lei tot volledige beheer oor 'n organisasie se stelsels en data. Die tradisionele sekuriteitsmodel, waar bevoorregte rekeninge permanent toegewys word, verhoog die aanvaloppervlak en die risiko van laterale beweging deur aanvallers. PIM spreek hierdie uitdaging aan deur die konsep van "net-betyds" (JIT) en "net-genoeg-toegang" (JEA) toegang bekend te stel, om te verseker dat gebruikers verhoogde voorregte het slegs wanneer nodig en vir die streng vereiste tyd [2].

Hierdie praktiese gids sal PIM-konfigurasie in Microsoft Entra ID dek, van die aktivering van die diens tot die toekenning van geskiktheid vir rolle, die opstel van aktiveringsbeleide en die proses om 'n bevoorregte rol te aktiveer. Stap-vir-stap instruksies, praktiese voorbeelde en valideringsmetodes sal verskaf word sodat die leser geprivilegieerde toegangsekuriteit in hul Microsoft-omgewing kan implementeer en versterk, wat risikoblootstelling verminder en voldoening kan verseker.

Hoekom is Bevoorregte Identiteitsbestuur van kardinale belang?

  • Aanvaloppervlakvermindering: Verminder die tyd wat bevoorregte rekeninge aktief bly, wat geleenthede vir aanvallers verminder.
  • JIT/JEA Toegang: Verleen tydelike toegang met die minste voorregte, in ooreenstemming met Zero Trust-beginsels.
  • Sigbaarheid en oudit: Verskaf gedetailleerde logs van alle bevoorregte funksie-aktiverings, wat ouditering en nakoming vergemaklik.
  • Goedkeuringsvloei: Laat jou toe om goedkeuring te vereis vir die aktivering van kritieke funksies, wat 'n ekstra laag sekuriteit byvoeg.
  • Toegangresensies: Fasiliteer periodieke toegangsoorsigte om te verseker dat voorregte wat verleen word, steeds toepaslik is.

Voorvereistes

Om Privileged Identity Management (PIM) te implementeer, sal jy die volgende items benodig:

  1. Lisensiëring: 'n Microsoft Enroll ID Premium P2 (voorheen Azure AD Premium P2) lisensie. PIM is 'n unieke kenmerk van hierdie lisensie [3].
  2. Administratiewe toegang: 'n Rekening met die rol van Global Administrator of Privileged Roles Administrator in Microsoft Enter ID om PIM op te stel.
  3. Gebruikers en Groepe: Gebruikers en/of sekuriteitsgroepe op Microsoft Entra ID wat bevoorregte toegang sal vereis.

Stap vir stap: opstel en gebruik van PIM

Ons sal PIM opstel vir 'n kritieke administratiewe rol, soos 'Global Administrator', en die aktiveringsproses demonstreer.

1. Aktivering van PIM op Microsoft Entra ID

As PIM nie reeds aktief in jou huurder is nie, sal jy dit moet aktiveer.

  1. Gaan na die Microsoft Entra-administrasiesentrumportaal: https://entra.microsoft.com.
  2. In die linkernavigasievenster, kies Identiteitsbestuur > Bevoorregte identiteitsbestuur.
  3. As dit jou eerste keer is, sal jy 'n opsie sien om PIM te aktiveer. Klik daarop.

2. Toewysing van geskiktheid vir 'n rol

Kom ons maak eers 'n gebruiker geskik vir die 'Global Administrator'-rol.

  1. Kies Microsoft Entra Rolle > Rolle in die linker PIM-navigasiepaneel.
  2. In die lys van rolle, soek Global Administrator en klik daarop.

  3. Op die 'Global Administrator'-rolbesonderhedebladsy, klik Voeg rolle by.

  4. In die Voeg opdragte by-afdeling, klik Kies lede.

  5. Soek en kies die gebruiker(s) of groep(e) wat jy vir hierdie rol wil kwalifiseer. Klik Kies.
  6. Onder Type werkopdrag, kies "Kwalifiseer".
  7. Onder Permanente Opdrag kan jy 'n begin- en einddatum vir geskiktheid stel, of dit permanent maak. Vir hoogs bevoorregte rolle moet permanente toewysing vermy word, maar vir die doelVir demonstrasiedoeleindes kan ons dit laat soos dit is.
  8. Klik Assign.

3. Opstel van rolinstellings

Roldefinisies beheer hoe gebruikers hul voorregte kan aktiveer.

  1. Kies Microsoft Entra Functions > Instellings in die linker PIM-navigasiepaneel.

  2. Soek in die lys rolle vir Global Administrator en klik Redigeer.

  3. In die Aktivering-afdeling:

    • Maksimum aktiveringsduur: Definieer die maksimum tyd wat 'n gebruiker die funksie aktief kan hê (byvoorbeeld: 4 uur). 'n Kort tydperk word aanbeveel.
    • Vereis multi-faktor stawing by aktivering: Merk hierdie opsie. Hoogs aanbeveel vir alle bevoorregte rolle.
    • Vereis regverdiging by aktivering: Kies hierdie opsie. Daar sal van gebruikers vereis word om 'n rede vir aktivering te verskaf.
    • Vereis goedkeuring om te aktiveer: Merk hierdie opsie om 'n goedkeuringvloei by te voeg. Klik Kies Goedkeurders en voeg een of meer gebruikers/groepe by wat aktiveringsversoeke kan goedkeur.
  4. In die Opdrag-afdeling:
    • Laat permanente kwalifiserende opdragte toe: Vir Global Admin, oorweeg dit om hierdie opsie te deaktiveer om alle opdragte te dwing om tydelik te wees.
  5. In die Kennisgewing-afdeling:
    • Stel in wie in kennis gestel moet word oor die aktivering van die funksie.
  6. Klik Dateer op om die instellings te stoor.

4. Aktiveer 'n bevoorregte funksie (gebruikerservaring)

Kom ons demonstreer nou hoe 'n kwalifiserende gebruiker die 'Globale Administrateur'-rol aktiveer.

  1. Gekwalifiseerde gebruiker kry toegang tot die Microsoft Entra-administrasiesentrumportaal: https://entra.microsoft.com.
  2. Gaan na Identiteitsbestuur > Bevoorregte identiteitsbestuur.
  3. Kies My Rolle > Microsoft-aanmeldrolle in die linkernavigasiepaneel.
  4. In die Kwalifiserende rolle-oortjie sal die gebruiker die Globale Administrateur-rol sien.

  5. Klik Aktiveer langs die Global Administrator-rol.

  6. In die aktiveringsvenster:

    • Duur: Die gebruiker kan die aktiveringsduur spesifiseer (beperk deur die maksimum duur wat in die funksiedefinisies gedefinieer word).
    • Rede: Die gebruiker moet 'n regverdiging vir aktivering verskaf (bv. Voer onderhoud op bediener X uit).
    • (Indien opgestel) Sekuriteitkontrole: Die gebruiker kan gevra word om 'n MFA-kontrole uit te voer.

  7. Klik Aktiveer.

  8. Indien goedkeuring vereis word, sal die versoek aan goedkeurders gestuur word. Die gebruiker sal die status as Hangende goedkeuring sien.

5. Goedkeuring van 'n aktiveringsversoek (goedkeurder-ervaring)

'n Aangewese goedkeurder sal 'n kennisgewing (via e-pos of in die PIM-portaal) oor die aktiveringsversoek ontvang.

  1. Die goedkeurder kry toegang tot die Microsoft Entra-administrasiesentrumportaal: https://entra.microsoft.com.
  2. Gaan na Identiteitsbestuur > Bevoorregte identiteitsbestuur.
  3. Kies Goed versoeke in die linkernavigasiepaneel.
  4. Die goedkeurder sal die hangende versoek sien. Klik daarop om besonderhede te sien.

  5. Die goedkeurder kan die versoek goedkeur of weier, met 'n regverdiging.

  6. Na goedkeuring sal die versoekende gebruiker die aktiewe rol vir die gespesifiseerde tydperk hê.

Bekragtiging en toetsing

Die validering van jou PIM-implementering is noodsaaklik om te verseker dat bevoorregte toegangskontroles werk soos verwag.

1. Kontroleer aktiveringstatus

  1. Na aktivering (en goedkeuring, indien van toepassing), kan die gebruiker terugkeer na die My Rolle > Microsoft Login Rolle-bladsy in PIM.
  2. In die Aktiewe rolle-oortjie, moet die Globale Administrateur-rol verskyn met die status Aktief en die oorblywende tyd.

2. Toets Verhoogde Voorregtoegang

  1. Met die funksie geaktiveer, moet die gebruiker probeer om toegang tot hulpbronne te verkry of aksies uit te voer wat die Global Administrator-rol vereis (bv. skep 'n nuwe gebruiker in Microsoft Entra ID).
  2. Die aksie moet suksesvol wees.

3. Kontroleer PIM Oudit Logs

  1. Kies Oudit > Microsoft Entra Role Oudit in die linker PIM-navigasiepaneel.
  2. Filtreer die logs om rolaktiverings, goedkeurings en ander PIM-verwante aktiwiteite te sien. Dit verskaf 'n volledige rekord van wie watter funksie geaktiveer het, wanneer, vir hoe lank en met watter regverdiging.

4. Toets aktivering verval

Nadat die aktiveringstyd verstryk het, moet die gebruiker verlooroutomaties verhoogde voorregte. Probeer weer die bevoorregte aksie uitvoer; sy moet misluk.

Sekuriteitswenke en beste praktyke

  • Beginsel van die minste voorreg: Ken slegs die rolle toe wat nodig is vir 'n gebruiker om hul take uit te voer. Vermy die toewys van Globale Administrateur as 'n minderbevoorregte rol voldoende sal wees.
  • Geskiktheidstoewysing vs. Aktiewe Opdrag: Gebruik 'Kwalifiserende' eerder as permanente 'Aktiewe' opdragte vir bevoorregte rolle, waar moontlik.
  • MFA verpligtend: Vereis altyd MFA om bevoorregte funksies te aktiveer. Dit voeg 'n kritieke laag sekuriteit by.
  • Vereiste regverdiging: Vereis dat gebruikers 'n regverdiging vir elke aktivering verskaf. Dit help met ouditering en begrip van die doel van toegang.
  • Goedkeuringsvloei: Stel goedkeuringvloeie op vir kritieke funksies om te verseker dat aktiverings deur iemand anders hersien en gemagtig word.
  • Toegangresensies: Skeduleer gereelde toegangsbeoordelings in PIM om te verseker dat geskiktheid vir bevoorregte rolle steeds gepas is en verwyder onnodige opdragte.
  • Kennisgewings: Stel kennisgewings vir administrateurs op wanneer bevoorregte rolle geaktiveer word of verdagte aktiwiteit plaasvind.
  • Integrasie met Voorwaardelike Toegang: Gebruik Voorwaardelike Toegang om bykomende beleide af te dwing wanneer PIM-funksies geaktiveer word (bv. vereis dat aktivering vanaf 'n ondersteunde toestel of 'n vertroude netwerkligging plaasvind).

Algemene probleemoplossing

  • Gebruiker kan nie die funksie aktiveer nie: Kyk of die gebruiker 'n Microsoft Entra ID Premium P2-lisensie het. Kyk of hy op die lys is van diegene wat vir die rol in aanmerking kom. Gaan die rolinstellings na (bv. of MFA vereis word en die gebruiker dit nie opgestel het nie).
  • Funksie-aktivering het misluk: Gaan PIM-ouditloglêers na vir foutboodskappe. Dit kan wees as gevolg van 'n MFA-mislukking, 'n gebrek aan regverdiging, of verwerping deur 'n goedkeurder.
  • Goedkeurders ontvang nie kennisgewings nie: Gaan kennisgewinginstellings in rolinstellings na. Maak seker dat goedkeurders se e-posadresse korrek is en dat daar geen inkassiereëls is wat kennisgewings blokkeer nie.
  • Funksie deaktiveer nie outomaties nie: Kontroleer die maksimum aktiveringsduur in die funksie-instellings. As die probleem voortduur, kan dit wees as gevolg van 'n vertraging in die dienssinchronisasie.
  • Toestemmingskonflikte: As 'n gebruiker dieselfde toestemming het deur 'n PIM-rol en 'n gewone rol, sal die gewone rol geld. Dit is goeie praktyk om permanente bevoorregte roltoewysings te verwyder vir gebruikers wat ook via PIM in aanmerking kom.

Gevolgtrekking

Microsoft Entra Privileged Identity Management (PIM) is 'n onontbeerlike hulpmiddel vir enige organisasie wat sy bevoorregte toegang wil beskerm en sy sekuriteitsposisie wil versterk. Deur Net-betyds en net-genoeg toegang-beginsels aan te neem, help PIM om die aanvaloppervlak aansienlik te verminder, verskaf 'n gedetailleerde ouditspoor en stel streng beheer oor administratiewe funksies op. Versigtige implementering van PIM, gekombineer met beste sekuriteitspraktyke en gebruikersopleiding, bemagtig IT- en sekuriteitspanne om voorregte doeltreffend te bestuur, wat die risiko's verbonde aan gekompromitteerde bevoorregte rekeninge versag en 'n veiliger en voldoenende omgewing verseker.

Verwysings:

[1] Microsoft Learn. Wat is Microsoft Entra Privileged Identity Management?. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] Microsoft Learn. Nul vertroue riglyne. Beskikbaar by: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] Microsoft Learn. Lisensiëringsvereistes vir Microsoft Entra Privileged Identity Management. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements