Защита привилегированного доступа с помощью PIM (управление привилегированными пользователями)

Защита привилегированного доступа с помощью PIM (управление привилегированными пользователями)

15.04.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам реализовать управление привилегированными пользователями (PIM) в Microsoft Entra ID (ранее Azure Active Directory) и управлять ими. PIM — это служба, которая позволяет вам управлять, контролировать и отслеживать доступ к важным ресурсам в вашей организации, обеспечивая доступ «точно в срок» (JIT) и «достаточный доступ» (JEA) к привилегированным функциям, сводя к минимуму риск злоупотребления привилегиями [1].

Введение

Учетные записи с правами администратора являются основной целью кибератак, поскольку их компрометация может привести к полному контролю над системами и данными организации. Традиционная модель безопасности, в которой привилегированные учетные записи назначаются на постоянной основе, увеличивает поверхность атаки и риск горизонтального перемещения злоумышленников. PIM решает эту проблему, вводя концепцию доступа «точно в срок» (JIT) и «достаточного доступа» (JEA), гарантируя, что пользователи будут иметь повышенные привилегии только в случае необходимости и в течение строго необходимого времени [2].

В этом практическом руководстве будет рассмотрена настройка PIM в Microsoft Entra ID, от активации службы до назначения ролей, настройки политик активации и процесса активации привилегированной роли. Будут предоставлены пошаговые инструкции, практические примеры и методы проверки, чтобы читатель мог реализовать и усилить безопасность привилегированного доступа в своей среде Microsoft, снижая подверженность рискам и обеспечивая соответствие требованиям.

Почему управление привилегированными пользователями так важно?

  • Сокращение поверхности атаки: минимизирует время, в течение которого привилегированные учетные записи остаются активными, уменьшая возможности для злоумышленников.
  • Доступ JIT/JEA: предоставляет временный доступ с минимальными привилегиями в соответствии с принципами нулевого доверия.
  • Видимость и аудит: предоставляет подробные журналы всех активаций привилегированных функций, что упрощает аудит и соблюдение требований.
  • Последовательность утверждения: позволяет требовать одобрения для активации критически важных функций, добавляя дополнительный уровень безопасности.
  • Проверка доступа. Обеспечивает периодическую проверку доступа, чтобы гарантировать, что предоставленные привилегии по-прежнему актуальны.

Предварительные условия

Для реализации управления привилегированными пользователями (PIM) вам потребуются следующие элементы:

  1. Лицензирование: лицензия Microsoft Enroll ID Premium P2 (ранее Azure AD Premium P2). PIM является уникальной особенностью этой лицензии [3].
  2. Административный доступ: учетная запись с ролью «Глобальный администратор» или «Администратор привилегированных ролей» в Microsoft. Введите идентификатор для настройки PIM.
  3. Пользователи и группы: пользователи и/или группы безопасности в Microsoft Entra ID, которым потребуется привилегированный доступ.

Шаг за шагом: настройка и использование PIM

Мы настроим PIM для важной административной роли, такой как «Глобальный администратор», и продемонстрируем процесс активации.

1. Активация PIM на Microsoft Entra ID

Если PIM еще не активен в вашем клиенте, вам необходимо его активировать.

  1. Откройте портал центра администрирования Microsoft Entra: https://entra.microsoft.com.
  2. На левой панели навигации выберите Управление идентификацией > Управление привилегированными идентификацией.
  3. Если вы делаете это впервые, вы увидите опцию Включить PIM. Нажмите на него.

2. Назначение прав на роль

Во-первых, давайте предоставим пользователю право на роль «Глобального администратора».

  1. На левой панели навигации PIM выберите Вводные роли Microsoft > Роли.
  2. В списке ролей найдите «Глобальный администратор» и нажмите на него.

  3. На странице сведений о роли «Глобальный администратор» нажмите Добавить роли.

  4. В разделе Добавить назначения нажмите Выбрать участников.

  5. Найдите и выберите пользователей или группы, которым вы хотите предоставить право на эту роль. Нажмите Выбрать.
  6. В разделе Тип назначения выберите «Приемлемо».
  7. В разделе Постоянное назначение вы можете установить дату начала и окончания права на участие или сделать его постоянным. Для высокопривилегированных должностей следует избегать постоянного назначения, но для этой целиВ демонстрационных целях мы можем оставить все как есть.
  8. Нажмите Назначить.

3. Настройка параметров роли

Определения ролей определяют, как пользователи могут активировать свои привилегии.

  1. На левой панели навигации PIM выберите Вводные функции Microsoft > Настройки.

  2. В списке ролей найдите «Глобальный администратор» и нажмите Изменить.

  3. В разделе Активация:

    • Максимальная продолжительность активации: укажите максимальное время, в течение которого пользователь может активировать функцию (например: «4 часа»). Рекомендуется короткий период.
    • Требовать многофакторную аутентификацию при активации: установите этот флажок. Настоятельно рекомендуется для всех привилегированных ролей.
    • Требовать обоснование при активации: выберите этот параметр. Пользователям потребуется указать причину активации.
    • Для активации требуется одобрение: установите этот флажок, чтобы добавить поток утверждения. Нажмите Выбрать утверждающих и добавьте одного или нескольких пользователей/групп, которые могут утверждать запросы на активацию.
  4. В разделе Назначение:
    • Разрешить постоянные подходящие назначения. Для «Глобального администратора» рассмотрите возможность отключения этой опции, чтобы все назначения были временными.
  5. В разделе Уведомление:
    • Настройте, кого следует уведомлять об активации функции.
  6. Нажмите Обновить, чтобы сохранить настройки.

4. Включение привилегированной функции (пользовательский опыт)

Теперь давайте продемонстрируем, как соответствующий требованиям пользователь активирует роль «Глобального администратора».

  1. Соответствующий требованиям пользователь получает доступ к порталу центра администрирования Microsoft Entra: https://entra.microsoft.com.
  2. Перейдите в раздел Управление идентификацией > Управление привилегированными идентификацией.
  3. На левой панели навигации выберите Мои роли > Роли входа в Microsoft.
  4. На вкладке Допустимые роли пользователь увидит роль «Глобальный администратор».

  5. Нажмите Включить рядом с ролью «Глобальный администратор».

  6. В окне активации:

    • Продолжительность: Пользователь может указать продолжительность активации (ограниченную максимальной продолжительностью, определенной в определениях функций).
    • Причина: пользователь должен предоставить обоснование активации (например, «Выполнить обслуживание на сервере X»).
    • (Если настроено) Проверка безопасности: пользователю может быть предложено выполнить проверку MFA.

  7. Нажмите Активировать.

  8. Если требуется одобрение, запрос будет отправлен утверждающим лицам. Пользователь увидит статус «Ожидает одобрения».

5. Утверждение запроса на активацию (опыт утверждающего)

Назначенный утверждающий получит уведомление (по электронной почте или на портале PIM) о запросе на активацию.

  1. Утверждающее лицо получает доступ к порталу центра администрирования Microsoft Entra: https://entra.microsoft.com.
  2. Перейдите в раздел Управление идентификацией > Управление привилегированными идентификацией.
  3. На левой панели навигации выберите Утвердить запросы.
  4. Утверждающий увидит ожидающий запрос. Нажмите на него, чтобы увидеть подробности.

  5. Утверждающее лицо может Одобрить или Отклонить запрос, предоставив обоснование.

  6. После одобрения запрашивающий пользователь будет иметь активную роль в течение указанного периода.

Проверка и тестирование

Проверка реализации PIM имеет решающее значение для обеспечения правильной работы элементов управления привилегированным доступом.

1. Проверка статуса активации

  1. После активации (и одобрения, если применимо) пользователь может вернуться на страницу Мои роли > Роли входа в систему Microsoft в PIM.
  2. На вкладке Активные роли должна появиться роль «Глобальный администратор» со статусом «Активен» и оставшимся временем.

2. Тестирование доступа с повышенными привилегиями

  1. При активированной функции пользователь должен попытаться получить доступ к ресурсам или выполнить действия, требующие роли «Глобального администратора» (например, создать нового пользователя в Microsoft Entra ID).
  2. Действие должно быть успешным.

3. Проверка журналов аудита PIM

  1. На левой панели навигации PIM выберите Аудит > Аудит входных ролей Microsoft.
  2. Отфильтруйте журналы, чтобы просмотреть активации ролей, утверждения и другие действия, связанные с PIM. Это обеспечивает полную запись о том, кто какую функцию активировал, когда, на какой срок и с каким основанием.

4. Проверка срока действия активации

По истечении времени активации пользователь должен потерятьавтоматически повышенные привилегии. Попробуйте выполнить привилегированное действие еще раз; она должна потерпеть неудачу.

Советы и рекомендации по безопасности

  • Принцип наименьших привилегий: назначайте только те роли, которые необходимы пользователю для выполнения его задач. Не назначайте «Глобального администратора», если достаточно менее привилегированной роли.
  • Назначение соответствия требованиям в сравнении с активным назначением. По возможности используйте назначения «Правомочие», а не постоянные «Активные» назначения для привилегированных ролей.
  • Обязательный MFA: всегда требуйте MFA для активации привилегированных функций. Это добавляет критический уровень безопасности.
  • Требуемое обоснование. Требуйте от пользователей предоставления обоснования для каждой активации. Это помогает при аудите и понимании цели доступа.
  • Потоки утверждения. Для критически важных функций настройте потоки утверждения, чтобы активации проверялись и утверждались кем-то другим.
  • Проверки доступа. Запланируйте регулярные проверки доступа в PIM, чтобы убедиться, что право на привилегированные роли по-прежнему соответствует требованиям, и удалите ненужные назначения.
  • Уведомления: настройте уведомления для администраторов при активации привилегированных ролей или возникновении подозрительной активности.
  • Интеграция с условным доступом: используйте условный доступ для применения дополнительных политик при активации функций PIM (например, требование активации с поддерживаемого устройства или из доверенного сетевого местоположения).

Распространенное устранение неполадок

  • Пользователь не может активировать функцию: проверьте, есть ли у пользователя лицензия Microsoft Entra ID Premium P2. Проверьте, есть ли он в списке претендентов на эту роль. Проверьте параметры роли (например, требуется ли MFA и не настроил ли его пользователь).
  • Ошибка активации функции: проверьте журналы аудита PIM на наличие сообщений об ошибках. Это может произойти из-за сбоя MFA, отсутствия обоснования или отклонения утверждающим лицом.
  • Утверждающие не получают уведомления. Проверьте настройки уведомлений в настройках роли. Убедитесь, что адреса электронной почты утверждающих указаны правильно и что в почтовом ящике нет правил, блокирующих уведомления.
  • Функция не отключается автоматически: проверьте максимальную продолжительность активации в настройках функции. Если проблема не устранена, возможно, это связано с задержкой синхронизации службы.
  • Конфликты разрешений: если у пользователя одинаковые разрешения через роль PIM и обычную роль, обычная роль будет иметь преимущественную силу. Хорошей практикой является удаление постоянных назначений привилегированных ролей для пользователей, которые также имеют право через PIM.

Заключение

Microsoft Entra Privileged Identity Management (PIM) — незаменимый инструмент для любой организации, стремящейся защитить свой привилегированный доступ и повысить уровень безопасности. Приняв принципы «точно в срок» и «достаточный доступ», PIM помогает значительно уменьшить поверхность атаки, обеспечивает подробный контрольный журнал и обеспечивает строгий контроль над административными функциями. Тщательное внедрение PIM в сочетании с лучшими практиками безопасности и обучением пользователей позволяет ИТ-специалистам и службам безопасности эффективно управлять привилегиями, снижая риски, связанные со скомпрометированными привилегированными учетными записями, и обеспечивая более безопасную и соответствующую требованиям среду.

Ссылки:

[1] Microsoft Learn. Что такое управление привилегированными пользователями Microsoft Entra?. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] Microsoft Learn. Руководящие принципы нулевого доверия. Доступно по адресу: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] Microsoft Learn. Требования к лицензированию для Microsoft Entra Privileged Identity Management. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements