本文詳細介紹了實現澳大利亞網絡安全中心 (ACSC) 基本八成熟度模型的方法,以使用該Microsoft 身分識別平台限制管理權限。 限制管理權限的 ACSC 成熟度模型指導方針可在 ACSC 基本八成熟度模型中找到。
為什麼要遵循 ACSC Essential Eight 限制管理權限指南?
澳洲網路安全中心 (ACSC) 領導澳洲政府改善網路安全的努力。 ACSC 建議所有澳洲組織實施 ACSC 緩解網路安全事件策略中的八項基本緩解策略作為基準。 基線被稱為「基本八項」,是基本的網路安全措施,使對手更難破壞系統。 基本八個成熟度等級使組織能夠評估其網路安全措施針對當今互聯的 ICT 環境中常見威脅的適當性。
惡意執行者的目標是取得特殊許可權認證的存取權,尤其是可存取企業控制平面的認證。 控制平面存取提供對企業 ICT 環境中高價值資產的廣泛存取和控制。 控制平面存取的範例包括全域系統管理員和 Microsoft Entra ID 內的對等許可權,以及企業虛擬化基礎結構的特殊許可權存取。
使用多層方法限制特權存取會增加對手進行惡意活動的難度。 限制管理權限是 ACSC 緩解 網路安全事件策略中包含的一項高效控制措施。
下表概述與限制管理權限相關的 ISM 控制項。
| ISM 控制 2025 年 3 月 | 成熟度 | 控制項 | 測量 |
|---|---|---|---|
| ISM-0445 | 1, 2, 3 | 特權使用者會獲指派專用的特權使用者帳戶,僅用於需要特權存取的職責。 | 系統管理員應該使用個別的帳戶來執行特殊許可權工作和生產力工作。 在 Microsoft Entra ID、Azure 和 Microsoft 365 中具有高層級許可權的帳戶應該是僅限雲端的帳戶,而不是從 內部部署的 Active Directory 網域同步處理的帳戶。 |
| ISM-1175 號 | 1, 2, 3 | 特權使用者帳戶 (排除明確授權存取線上服務) 的帳戶將無法存取網際網路、電子郵件和 Web 服務。 | 從特殊許可權帳戶移除 Microsoft 365 授權,以封鎖使用 Office 365 電子郵件等生產力工具。 特殊許可權帳戶應該從特殊許可權存取裝置存取雲端管理入口網站。 可以使用基於主機的防火牆、雲端 Proxy 或透過在裝置上配置 Proxy 設定來執行來自特權存取裝置的網際網路和電子郵件。 |
| ISM-1507 號 | 1, 2, 3 | 系統、應用程式及資料儲存庫的特權存取要求會在第一次要求時進行驗證。 | 已針對特權存取提供權利管理程序。 Microsoft Entra 權利管理可用來自動化權利管理程式。 |
| ISM-1508 號 | 3 | 系統、應用程式及資料儲存庫的特權存取權僅限於使用者及服務履行其職責所需的內容。 | 角色型存取控制配置為限制授權使用者的存取。 Microsoft Entra Privileged Identity Management (PIM) 可確保有時限的即時存取。 |
| ISM-1509 | 2, 3 | 特權存取事件會集中記錄。 | Microsoft Entra稽核記錄和登入記錄會傳送至 Azure Log Analytics 工作區 (LAW) 進行分析。 |
| ISM-1647 號 | 2, 3 | 除非重新驗證,否則系統、應用程式和資料儲存庫的特權存取會在 12 個月後停用。 | 已針對特權存取提供權利管理程序。 Microsoft Entra 權利管理可用來自動化權利管理程式。 |
| ISM-1648 號 | 2, 3 | 系統和應用程式的特權存取權會在閒置 45 天後停用。 | 使用 Microsoft 圖形 API 來評估 lastSignInDateTime 並識別非作用中的特殊許可權帳戶。 |
| ISM-1650 號 | 2, 3 | 特殊許可權使用者帳戶和安全群組管理事件會集中記錄。 | Microsoft Entra稽核記錄和登入記錄會傳送至 Azure Log Analytics 工作區 (LAW) 進行分析。 |
| ISM-1380 號 | 1, 2, 3 | 特權使用者使用個別的特權和非特權操作環境。 | 使用不同的實體工作站是區隔系統管理者專用及非專用作業環境的最安全方法。 無法使用單獨的實體工作站來區隔特權和非特權操作環境的組織應採取基於風險的方法,並根據縱深防禦安全策略實施替代控制。 |
| ISM-1686 號 | 3 | Credential Guard 功能已啟用。 | NTLM 密碼雜湊、Kerberos 票證授與票證 (TGT) ,以及應用程式儲存為網域認證的認證,都會受到 Credential Guard 的保護,以隔離它們,因此只能由特殊許可權系統軟體使用,從而防止認證竊取攻擊。 |
| ISM-1688 號 | 1, 2, 3 | 非特殊許可權使用者帳戶無法登入特殊許可權作業環境。 | 登入限制和基於角色的存取控制用於防止非特權使用者帳戶登入特權操作環境。 |
| ISM-1689 號 | 1, 2, 3 | 特殊許可權使用者帳戶 (不包括本機系統管理員帳戶) 無法登入非特殊許可權作業環境。 | 登入限制和基於角色的存取控制用於防止特權使用者帳戶登入非特權操作環境。 |
| 國際標準主義-1883 | 1, 2, 3 | 明確授權存取線上服務的特權使用者帳戶嚴格限制為使用者和服務履行其職責所需的帳戶。 | 角色型存取控制配置為限制授權使用者的存取。 Microsoft Entra Privileged Identity Management (PIM) 可確保即時存取,這是有時限的。 |
| ISM-1897 號 | 3 | 已啟用遠端 Credential Guard 功能。 | 透過 RDP 連線的認證會受到遠端 Credential Guard 的保護,以防止認證暴露,因為認證不會透過網路傳遞。 |
| ISM-1898 號 | 2, 3 | 安全管理員工作站用於執行管理活動。 | 特殊許可權存取工作站裝置會使用 Microsoft Intune 進行管理,並使用適用於端點的 Defender、Windows Hello 企業版和 Microsoft Entra ID 控件的組合來保護。 |
限制管理權限:基本八項要求
特權存取允許管理員更改關鍵應用程式和基礎設施的配置,例如身分服務、業務系統、網路裝置、使用者工作站和使用者帳戶。 特權存取或憑證通常被稱為“王國的鑰匙”,因為它們為持有者提供了對網路內許多不同資產的控制權。
需要下列類別的控制,才能達到限制 管理權限的基本八成熟度層級 3。
- 身分治理:身分治理是驗證使用者存取需求並移除不再需要的存取權的程式。
- 最低權限:最低權限是一種存取控制方法,它將對系統、應用程式和資料儲存庫的存取限制為僅使用者和服務履行其職責所需的權限。
- 帳戶限制:帳戶限制可減少特權認證暴露給非特權環境。
- 管理裝置:管理裝置是用於執行管理活動的安全操作環境。
- 日誌記錄和監控:記錄和監控特權活動可以偵測入侵跡象。
身分識別控管
身分識別治理可協助組織在生產力與安全性之間取得平衡。 身分識別生命週期管理是身分識別治理的基礎,而大規模有效的治理需要新式身分識別生命週期管理基礎架構。
ML1) (權利管理
Essential Eight 成熟度層級 1 要求在首次請求時驗證對系統、應用程式和資料儲存庫的特殊許可權存取請求。 特權存取要求的驗證是權利管理程序的一部分。 權利管理是管理使用者對專用權的存取權的程序,以確保只有授權使用者才能存取一組資源。 權利管理程序中的關鍵步驟包括存取要求、存取檢閱、存取佈建和存取到期。
Microsoft Entra 權利管理可自動管理 Azure 內資源的存取權。 使用者可以使用存取套件 (資源套件組合) 來委派存取權。 Microsoft Entra 權利管理中的存取套件可以包含安全性群組、Microsoft 365 群組和 Teams、Microsoft Entra 企業應用程式和 SharePoint Online 網站。 存取套件包含一或多個原則。 原則會定義指派給存取套件的規則或護欄。 原則可用來確保只有適當的使用者才能要求存取權、指派存取權要求的核准者,以及資源的存取權有時間限制,且如果不續約,就會過期。
如需權利管理的詳細資訊,請參閱 Microsoft Entra 權利管理。
管理 ML2) (非作用中使用者
Essential Eight 成熟度層級 2 要求在閒置 45 天後自動停用對系統和應用程式的特權存取。 非作用中帳戶是您的組織不再需要的使用者或系統帳戶。 非活動帳戶通常可以透過登入記錄來識別,這表示它們已經有很長一段時間沒有被用來登入了。 可以使用上次登入時間戳記來偵測非使用中的帳戶。
最後一次登入可讓您深入瞭解使用者持續需要存取資源。 它可以幫助確定是否仍需要或可以刪除群組成員資格或應用程序訪問權限。 針對來賓使用者管理,您可以瞭解來賓帳戶是否在租用戶內仍處於作用中狀態,或應該清除。
您可以評估 Microsoft 圖形 API 的 signInActivity 資源類型所公開的 lastSignInDateTime 屬性來偵測非作用中的帳戶。 lastSignInDateTime 屬性會顯示使用者上次成功互動式登入 Microsoft Entra ID 的時間。 使用此屬性,您可以針對下列案例實作解決方案:
所有使用者的上次登入日期和時間:在此案例中,您需要產生所有使用者上次登入日期的報告。 您可以要求所有使用者的清單,以及每個個別使用者的最後一個 lastSignInDateTime 。
https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity依名稱的使用者:在此案例中,您會依名稱搜尋特定使用者,這可讓您評估 lastSignInDateTime:
https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'markvi')&$select=displayName,signInActivity
依日期的使用者:在此案例中,您會要求在指定日期之前具有 lastSignInDateTime 的使用者清單:
-
https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTimele 2019-06-01T00:00:00Z
-
如需管理非作用中使用者的詳細資訊,請參閱 管理非作用中使用者帳戶。
最低權限
最低專用權要求對系統和應用程式的存取僅限於使用者和系統履行其職責所需的內容。 可以使用基於角色的存取控制 (RBAC) 、特殊許可權存取管理以及即時 (JIT) 存取等控制措施來實現最低權限。
系統管理員的個別帳戶 (ML1)
Essential Eight 成熟度層級 1 要求為特權使用者指派專用的特權使用者帳戶,以僅用於需要特權存取的職責。 在 Microsoft Entra ID、Azure 和 Microsoft 365 中具有高層級許可權的帳戶應該是僅限雲端的帳戶,而不是從 內部部署的 Active Directory 網域同步處理的帳戶。 系統管理帳戶應封鎖使用生產力工具,例如電子郵件Office 365 (移除授權) 。
如需管理管理存取權的詳細資訊,請參閱保護 混合式和雲端部署的特殊許可權存取。
對系統管理員強制執行條件式存取 (ML1)
Essential Eight 成熟度層級 1 要求特權使用者使用個別的特權和非特權作業環境。 Azure 和 Microsoft 365 環境的特殊許可權存取需要比套用至一般使用者的標準更高的安全性標準。 應根據訊號和安全性屬性的組合來授與特殊許可權存取,以支援零信任策略。 具有 Azure 或 Microsoft 365 特殊許可權存取權的帳戶遭到入侵,可能會對商務程式造成重大中斷。 條件式存取可以在允許存取 Azure 管理工具之前,先強制執行特定的安全性衛生標準,以降低入侵風險。
建議實作下列控制項,以進行 Azure 入口網站 和命令列系統管理工具的系統管理存取:
- 需要多重要素驗證 (MFA)
- 封鎖來自 Microsoft 身分識別保護的高登入風險層級的存取嘗試
- 封鎖來自 Microsoft 身分識別保護的高使用者風險層級的存取嘗試
- 需要從已加入 Microsoft Entra 的裝置存取,以符合裝置健康情況、更新狀態和系統安全性狀態的 Intune 合規性需求
如需強制執行系統管理員條件式存取的詳細資訊,請參閱下列文章:
管理 ML2) (本機系統管理員帳戶
Essential Eight 成熟度等級 2 要求突破玻璃帳戶、本機管理員帳戶和服務帳戶的憑證必須長、唯一、不可預測且受管理。 攻擊者通常會使用 Windows 工作站上的作用中本機系統管理員帳戶來橫向周遊 Windows 環境。 因此,建議對已加入網域的系統上的本機系統管理員帳戶使用下列控制項:
Active Directory 已加入系統
Microsoft 的本地管理員密碼解決方案 (LAPS) 為在每台計算機上使用具有相同密碼的通用本地帳戶的問題提供了解決方案。 LAPS 會藉由在網域中每部電腦上為本機系統管理員帳戶設定不同的輪替隨機密碼來解決此問題。 密碼儲存在 Active Directory 中,並受到限制性存取控制 清單保護。 本機管理員密碼只能由符合資格的使用者擷取或重設。
如需在已加入 Active Directory 的系統上管理本機系統管理員帳戶的詳細資訊,請參閱下列文章:
- 檢閱並下載 本機管理員密碼解決方案
- 瞭解如何 設定 Microsoft LAPS
Microsoft Entra 聯結系統
當您使用 Microsoft Entra 聯結將 Windows 裝置加入 Microsoft Entra ID 時,Microsoft Entra ID 會將下列安全性原則新增至裝置上的本機 Administrators 群組:
- Microsoft Entra 全域系統管理員角色
- Azure AD 已加入裝置本機系統管理員角色
- 執行 Microsoft Entra 聯結的使用者
您可以自訂本機 Administrators 群組的成員資格,以符合您的商務需求。 建議限制本機系統管理員對工作站的存取權,並需要 PIM 核准才能使用 Azure AD 已加入裝置本機系統管理員角色。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。
在 Azure 入口網站中,您可以從 [裝置設定] 管理 [裝置系統管理員] 角色。
- 以全域管理員身分登入 Azure 入口網站。
- 流覽至 Microsoft Entra ID > 裝置裝置>設定。
- 選取 [管理所有已加入 Microsoft Entra 裝置的其他本機系統管理員]。
- 選取 [新增指派],然後選擇您要新增的其他系統管理員,然後選取 [新增]。
若要修改裝置系統管理員角色,請在所有已加入 Microsoft Entra 的裝置上設定其他本機系統管理員。
如需在 Microsoft Entra 加入系統上管理本機系統管理員的詳細資訊,請參閱下列文章:
管理服務帳戶 (ML2)
開發人員面臨的一個常見挑戰是管理用於保護服務之間通訊的秘密、憑證、憑證和金鑰。 Essential Eight 成熟度層級 2 要求服務帳戶的認證必須長、唯一、不可預測且受管理。
Active Directory 已加入系統
群組受控服務帳戶 (gMSA) 是網域帳戶,可協助保護服務。 gMSA 可以在一部伺服器或伺服器陣列中執行,例如網路負載平衡或 IIS) 伺服器 (網際網路資訊服務後方的系統。 將服務設定為使用 gMSA 主體之後,帳戶密碼管理會由 Windows 作業系統 (OS) 處理。
gMSA 是具有更高安全性的身分識別解決方案,有助於減少系統管理額外負荷:
- 設定強式密碼:240 位元組、隨機產生的密碼:gMSA 密碼的複雜性和長度可將暴力破解或字典攻擊入侵的可能性降到最低。
- 定期循環密碼:密碼管理進入 Windows 操作系統,它每 30 天更改一次密碼。 服務和網域管理員不需要排程密碼變更,或管理服務中斷。
- 支援部署至伺服器陣列:將 gMSA 部署至多部伺服器,以支援多部主機執行相同服務的負載平衡解決方案。
- 支援簡化的服務主體名稱 (SPN) 管理 - 建立帳戶時,使用 PowerShell 設定 SPN。
Microsoft Entra 聯結系統
受控識別會在 Microsoft Entra ID 中提供自動受控識別,讓應用程式在連線到支援 Microsoft Entra 驗證的資源時使用。 應用程式可以使用受控識別來取得 Microsoft Entra 權杖,而不需要管理任何認證。
受控識別有兩種類型:
- 系統指派。 服務主體會在 Microsoft Entra ID 中自動建立資源身分識別。 服務主體會繫結至該 Azure 資源的生命週期。 刪除 Azure 資源時,Azure 會自動刪除相關聯的服務主體。
- 使用者指派。 服務主體是在 Microsoft Entra ID 中手動建立資源識別。 服務主體會與使用它的資源分開管理。
即時存取系統和應用程式 (ML3)
避免為 Azure 或 Microsoft 365 中高許可權角色成員的任何帳戶指派永久常設存取權。 攻擊者經常以具有永久權限的帳戶為目標,以維持企業環境中的持久性,並對系統造成廣泛的損害。 臨時許可權會強制攻擊者等待使用者提高其許可權或起始許可權提高。 起始許可權提升活動會增加攻擊者在造成損害之前被偵測到並移除的機會。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。
僅使用下列方法視需要授與權限:
- Just-In-Time 存取:設定Microsoft Entra Privileged Identity Management (PIM) ,以要求核准工作流程來取得存取特殊許可權角色的許可權。 下列特殊許可權 Microsoft Entra 角色至少需要提高許可權:全域系統管理員、特殊許可權驗證系統管理員、特殊許可權角色系統管理員、條件式存取系統管理員和 Intune 系統管理員。 下列特殊許可權 Azure RBAC 角色至少應該需要提高許可權:擁有者和參與者。
- Breakglass 帳戶:緊急存取帳戶僅限於無法使用一般系統管理帳戶的緊急或「Breakglass」案例。 例如,所有系統管理員都被鎖定在 Microsoft Entra 租用戶之外。 確保設定強密碼,並且僅在緊急情況下使用緊急存取帳戶。 使用 *.onmicrosoft.com 網域建立緊急存取帳戶的僅限雲端帳戶,並設定監視以在登入時發出警示。
訪問評論 (ML3)
Essential Eight 成熟度層級 3 要求系統和應用程式的特權存取僅限於使用者和服務履行其職責所需的權限。 對 Azure 資源和 Microsoft Entra 角色的特殊許可權存取的需求會隨著時間而改變。 若要降低與過時角色指派相關聯的風險,您應該定期檢閱存取權。 Microsoft Entra 存取檢閱可讓組織有效率地管理 RBAC 群組成員資格、企業應用程式的存取權,以及 Microsoft Entra 角色指派。 可以定期審查使用者存取權,以確保只有合適的人員才能繼續存取。
Microsoft Entra 存取檢閱可啟用使用案例,例如:
- 識別過多的存取權限
- 識別群組何時用於新用途
- 當人們移動團隊或離開公司時,刪除不必要的訪問權限
- 啟用與資源擁有者的主動互動,以確保他們定期審查誰可以存取其資源。
根據需要檢閱的存取類型,必須在 Azure 入口網站的不同區域中建立存取檢閱。 下表顯示建立存取檢閱的特定工具:
| 使用者的存取權限 | 檢閱者可以是 | 檢閱建立於 | 檢閱者體驗 |
|---|---|---|---|
| 安全性群組成員 辦公室群組成員 |
指定的檢閱者 群組擁有者 自我審查 |
訪問評論 Microsoft Entra 群組 |
存取面板 |
| 指派給連線的應用程式 | 指定的檢閱者 自我審查 |
訪問評論 Microsoft Entra Enterprise Apps (預覽版) |
存取面板 |
| Microsoft Entra 角色 | 指定的檢閱者 自我審查 |
Privileged Identity Management (PIM) | Azure 入口網站 |
| Azure 資源角色 | 指定的檢閱者 自我審查 |
Privileged Identity Management (PIM) | Azure 入口網站 |
| 存取套件指派 | 指定的檢閱者 群組成員 自我審查 |
權利管理 | 存取面板 |
如需 Microsoft Entra 存取檢閱的詳細資訊,請參閱下列文章:
- 深入瞭解 Microsoft Entra 存取檢閱
- 瞭解如何使用 Microsoft Entra 存取檢閱來管理使用者存取權
帳戶限制
帳戶安全是保護特權存取的關鍵組成部分。 端對端零信任安全性需要確定會話中使用的帳戶實際上處於人類擁有者的控制之下,而不是冒充他們的攻擊者。
ML1) (登入限制
在 Windows Active Directory (AD) 網域中具有系統管理權限的使用者、服務或應用程式帳戶會對企業安全性構成高風險。 這些帳戶經常成為攻擊者的目標,因為它們提供對伺服器、資料庫和應用程式的廣泛存取。 當管理員登入具有較低安全性設定檔的系統時,特權憑證會儲存在記憶體中,並可以使用憑證竊取工具 (例如 Mimikatz) 來擷取。
Essential Eight 成熟度層級 1 要求特殊許可權使用者帳戶 (排除本機系統管理員帳戶) 無法登入非特殊許可權作業環境。 Microsoft 分層管理模型會將登入限制套用至已加入網域的裝置,以防止在安全性配置檔較低的裝置上暴露特殊許可權認證。 對 Active Directory 網域具有管理員存取權的管理員與控制工作站和企業應用程式的管理員是分開的。 應該強制執行登入限制,以確保高許可權帳戶無法登入安全性較低的資源。 例如:
- Active Directory Enterprise 和 Domain Admins 群組的成員無法登入商務應用程式伺服器和使用者工作站。
- Microsoft Entra 全域系統管理員角色的成員無法登入已加入 Microsoft Entra 的工作站。
您可以使用群組原則使用者權限指派或 Microsoft Intune 原則來強制執行登入限制。 建議在企業伺服器和使用者工作站上設定下列原則,以防止特殊許可權帳戶將認證公開給不太受信任的系統:
- 拒絕從網路存取此電腦
- 拒絕登入為批次作業
- 拒絕登入即服務
- 拒絕本機登入
- 拒絕透過終端機服務登入
限制對網際網路、電子郵件和網路服務的存取 (ML1)
Essential Eight 成熟度等級 1 要求特權帳戶 (排除明確授權存取線上服務) 帳戶的帳戶無法存取網際網路、電子郵件和網路服務。 系統管理帳戶應封鎖使用生產力工具,例如電子郵件Office 365 (移除授權) 。 系統管理帳戶應從特殊許可權存取裝置存取雲端管理入口網站。 特權存取裝置應拒絕所有網站,並使用允許清單來啟用對雲端管理入口網站的存取。 可以使用基於主機的防火牆、雲端 Proxy 或透過在裝置上配置 Proxy 設定來執行來自特權存取裝置的網際網路和電子郵件。
Microsoft Entra 聯結的裝置
建立 Microsoft Intune 組態配置檔,以在用於特殊許可權管理的裝置上設定網路 Proxy。 用來管理 Azure 和 Microsoft 365 雲端服務的特殊許可權存取裝置應該使用下表中的 Proxy 豁免。
| 區段 | 名稱 | Config |
|---|---|---|
| 基本功能 | 名稱 | PAW-Intune-設定-Proxy-裝置限制 |
| 基本功能 | 平台 | Windows 10 和更新版本 |
| 基本功能 | 設定檔類型 | 裝置限制 |
| 組態 | 使用手動代理伺服器 | 允許 |
| 組態 | 地址 | 127.0.0.2 |
| 組態 | 連接埠 | 8080 |
| 組態 | Proxy 例外狀況 | account.live.com;*.msft.net;*.msauth.net;*.msauthimages.net;*.msftauthimages.net;*.msftauth.net;*.azure.com;*.azure.net;*.azureedge.net;*.azurewebsites.net;*.microsoft.com;microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.microsoftonline-p.net;*.microsoftonline-p.com;*.windows.net;*.windows.com;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.azure-api.net;*.azure-devices.net;*.visualstudio.com;portal.office.com;config.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com;*.aka.ms;*.digicert.com;*.phonefactor.net;*.nuget.org;*.cloudapp.net;*.trafficmanager.net;login.live.com;clientconfig.passport.net;*.wns.windows.com;*.s-microsoft.com;www.msftconnecttest.com;graph.windows.net;*.manage.microsoft.com;*.aadcdn.microsoftonline-p.com;*.azureafd.net;*.azuredatalakestore.net;*.windows-int.net;*.msocdn.com;*.msecnd.net;*.onestore.ms;*.aspnetcdn.com;*.office.net;*.officeapps.live.com;aka.ms;*.powershellgallery.com;*.azure-apim.net;spoprod-a.akamaihd.net;*.hip.live.com |
啟用 Credential Guard 和遠端 Credential Guard (ML3)
Essential Eight 成熟度層級 3 需要啟用 Credential Guard 功能,以對抗以 NTLM 密碼雜湊、Kerberos TGT 和應用程式儲存的認證為目標的認證竊取攻擊。 Microsoft 的憑證防護使用虛擬化型安全性 (VBS) 來隔離秘密,以便只有特殊許可權系統軟體才能存取它們。 它提供硬體安全性、虛擬化型安全性以及針對進階持續性威脅的保護等優點。 預設情況下,它在 Windows 11、22H2 或更高版本以及 Windows Server 20025 或更高版本中啟用。 建議透過 Microsoft Intune 設定目錄原則來設定此專案。 如需透過 Microsoft Intune 啟用認證防護的詳細資訊,請參閱 設定認證防護。
Essential Eight 成熟度層級 3 需要啟用遠端 Credential Guard,以保護透過 RDP 連線傳遞的系統管理認證。 它會將 Kerberos 要求重新導向回要求連線的原始裝置。 憑證及其衍生憑證從來都不是網路上的密碼。 遠端 Credential Guard 也為遠端桌面會話提供單一登入體驗。 遠端 Credential Guard 可以在用戶端和遠端主機上強制執行。 建議您透過用戶端和遠端主機的 Microsoft Intune 設定目錄原則來設定此專案。 如需透過 Microsoft Intune 啟用遠端認證防護的詳細資訊,請參閱 遠端認證防護。
管理裝置
系統管理員應使用不同的裝置來管理特權和非特權操作環境。 管理活動應遵循管理過程中涉及的所有設備的乾淨源原則。
ML1) (的獨立特權和非特權操作環境
Essential Eight 成熟度層級 1 要求特權使用者使用個別的特權和非特權作業環境。 使用不同的實體工作站是區隔系統管理者專用及非專用作業環境的最安全方法。 雖然安全性保證可能會在工作階段中增強,但它們一律會受到原始裝置中保證強度的限制。 控制特殊許可權存取裝置的攻擊者可以模擬使用者或竊取使用者認證以供未來模擬。 這種風險破壞了對帳戶、跳轉伺服器等中介機構以及資源本身的其他保證。
無法使用單獨的物理工作站來分隔特權和非特權操作環境的組織應採取基於風險的方法,並根據縱深防禦安全策略實施替代控制。 Microsoft 建議將使用者角色和資產對應至敏感度層級,以評估保護特殊許可權作業環境所需的保證層級。
如需特殊許可權存取敏感度層級的詳細資訊,請參閱 特殊 許可權存取安全性層級
安全管理員工作站 (ML3)
基本八成熟度層級 3 要求使用安全管理員工作站來執行管理活動。 安全管理員工作站 (SAW) 是防止安全性較低的裝置上敏感憑證暴露的有效控制。 使用特殊許可權帳戶登入安全性較低的裝置上或執行服務會增加憑證竊取和許可權提升攻擊的風險。 特殊許可權認證應該只公開給 SAW 鍵盤,而且應該拒絕登入安全性較低的裝置。 SAW 提供安全的平臺來管理內部部署、Azure、Microsoft 365 和第三方雲端服務。 SAW 裝置會使用 Microsoft Intune 進行管理,並使用適用於端點的 Defender、商務用 Windows Hello 和 Microsoft Entra ID 控件的組合來保護。
下圖說明高階架構,包括應設定以實作整體解決方案和 SAW 架構的各種技術元件:
如需安全管理員工作站的詳細資訊,請參閱下列文章:
- 瞭解特 權存取裝置
- 瞭解如何部署 安全工作站
- 檢閱並下載 特殊許可權工作站設定檔
保護 ML2) (的中介和跳轉伺服器
中介服務的安全性是保護特權存取的關鍵組成部分。 中介可用來促進管理員與遠端系統或應用程式的會話或連線。 中介的範例包括虛擬私人網路 (VPN) 、跳躍伺服器、虛擬桌面基礎結構 ((包括 Windows 365 和 Azure 虛擬桌面) ),以及透過存取 Proxy 發佈應用程式。 攻擊者經常以中介為目標,使用存儲在中介上的憑據提升權限、獲得對公司網絡的網絡遠程訪問或利用對特權訪問設備的信任。
不同的中介類型執行獨特的功能,因此它們都需要不同的安全方法。 攻擊者可以輕鬆瞄準具有更大攻擊面的系統。 下列清單包含適用於特殊許可權存取中介的選項:
- 原生雲端服務 (例如 Microsoft Entra Privileged Identity Management (PIM) 、Azure Bastion 和 Microsoft Entra 應用程式 Proxy) 為攻擊者提供有限的攻擊面。 當它們暴露在公共網際網路上時,客戶 (和攻擊者) 無法存取底層基礎設施。 SaaS 和 PaaS 服務的底層基礎設施由雲端供應商維護和監控。 這種較小的攻擊面限制了攻擊者的可用選項,而不是必須由 IT 人員配置、修補和監控的傳統本地應用程序和設備。
- 虛擬私人網路 (VPN) 、遠端桌面和跳轉伺服器提供了重要的攻擊機會,因為這些服務需要持續的修補、強化和維護才能保持彈性的安全態勢。 雖然跳躍伺服器可能只公開幾個網路埠,但攻擊者只需要存取一個未修補的服務即可執行攻擊。
- 第三方Privileged Identity Management (PIM) 和 Privileged Access Management (PAM) 服務經常裝載在內部部署,或裝載為基礎結構即服務 (IaaS) 上的 VM,而且通常僅適用於內部網路主機。 雖然沒有直接暴露在互聯網上,但單個受損的憑據可能允許攻擊者通過 VPN 或其他遠程訪問介質訪問該服務。
如需特殊許可權存取中介的詳細資訊,請參閱 安全中介。
Intune 端點權限管理
透過 Microsoft Intune 端點權限管理 (EPM) 組織的使用者可以以標準使用者身分執行 (而不需要系統管理員權限) 並完成需要提高權限的工作。 EPM 可協助標準使用者執行需要管理權限的工作,例如應用程式安裝、更新裝置驅動程式,以及舊版應用程式的管理元件。
EPM 會控制特定使用者指定進程和二進位檔的系統管理員提高許可權,而不會為整個裝置提供不受限制的系統管理員權限。 Endpoint Privilege Management 透過協助您的組織以最低權限執行廣泛的使用者群,同時允許使用者仍執行組織允許的工作以保持生產力,從而支援 Essential 8 合規性。
如需 EPM 的詳細資訊,請參閱 EPM 概觀。
若要啟用 EPM,請參閱 設定原則以使用 Microsoft Intune 管理端點許可權管理。
對於 Essential Eight 合規性,應將兩種策略類型組合在一起,如下所示:
如需原則的詳細資訊,請參閱: EPM Windows 提高許可權設定原則設定 和 EPM Windows 提高許可權規則原則。
針對 [預設提高許可權回應],請保留 [ 拒絕所有要求 ] 設定,只允許系統管理員明確允許的進程和檔案提高許可權。
針對 [驗證選項],請確定已選擇 [商務理由] 和 [Windows 驗證],因為這分別符合 ISM-1508 和 ISM-1507。
針對 [傳送海拔資料以進行報告],針對 [傳送海拔資料進行報告] 選擇 [是]。 此函式可用來測量 EPM 用戶端元件的健全狀況。 使用量資料可用來根據您的 報告範圍 顯示組織中的提升,並協助 ISM-1509 控制。
針對 [報告範圍],請保留 [診斷資料] 的 預設 設定,並選取 所有端點提高許可權 。 此選項會將用戶端元件健康情況的診斷資料傳送給 Microsoft,以及端點上發生之所有提高許可權的資料,並協助進行 ISM-1509 控制。
對於 高程類型,大多數 (如果沒有,所有) 都 經過用戶確認 ,因為這可確保用戶保持決策過程的代理權。
| ISM 控制 2025 年 3 月 | 成熟度 | 控制項 | 測量 |
|---|---|---|---|
| ISM-1507 號 | 1, 2, 3 | 系統、應用程式及資料儲存庫的特權存取要求會在第一次要求時進行驗證。 | 授權管理程序已針對特殊許可權存取,以提升使用 EPM 的應用程式存取權。 |
| ISM-1508 號 | 3 | 系統、應用程式及資料儲存庫的特權存取權僅限於使用者及服務履行其職責所需的內容。 | 預設原則是拒絕 EPM 原則中尚未定義的所有要求。 當管理員定義原則時,EPM 中的提高許可權選項會繫結至原則和承擔職責所需的服務。 |
| ISM-1509 | 2, 3 | 特權存取事件會集中記錄。 | 會記錄存取和事件,方法是確保預設設定與診斷資料一起維護,並針對 EPM 原則啟用 所有端點提高許可權 。 |
注意事項
這項功能可作為 Intune 附加元件使用。 如需詳細資訊,請參閱 使用 Intune Suite 附加元件功能。
記錄和監視
記錄 ML2) (特殊許可權存取事件
記錄特權帳戶執行的登入和活動對於偵測企業環境中的異常行為至關重要。 Microsoft Entra 稽核記錄和登入記錄提供應用程式和服務特殊許可權存取的寶貴深入解析。
Microsoft Entra 登入記錄可讓您深入瞭解登入模式、登入頻率和登入活動狀態。 登入活動報告適用於所有版本的 Microsoft Entra ID。 具有 Microsoft Entra ID P1 或 P2 授權的組織可以透過 Microsoft 圖形 API 存取登入活動報告。
Microsoft Entra 活動記錄包含 Microsoft Entra ID 中每個記錄事件的稽核記錄。 應用程式、群組、使用者和授權的變更都會擷取在 Microsoft Entra 稽核記錄中。 根據預設,Microsoft Entra ID 會保留登入和稽核記錄最多七天。 如果租用戶中存在 Microsoft Entra ID P1 或 P2 授權,則 Microsoft Entra ID 會保留記錄最多 30 天。 Microsoft Entra稽核記錄和登入記錄應該轉送至 Azure Log Analytics 工作區 (LAW) ,以集中收集和相互關聯。
如需集中式記錄的詳細資訊,請參閱下列文章:
監控事件日誌是否有入侵跡象 (ML3)
Essential Eight 成熟度層級 3 要求監視事件記錄檔是否有入侵跡象,並在偵測到任何入侵跡象時採取行動。 監視特殊許可權活動對於及早偵測系統入侵並遏制惡意活動的範圍非常重要。
監視特殊許可權存取事件
使用 Microsoft Entra 登入記錄作為資料來源,監視所有特殊許可權帳戶登入活動。 監視下列事件:
| 要監視的內容 | 風險層級 | 其中 | 附註 |
|---|---|---|---|
| 登入失敗、密碼閾值錯誤 | 高 | Microsoft Entra 登入記錄 | 定義基準閾值,然後監控和調整以適合您的組織行為並限制產生錯誤警報。 |
| 由於條件式存取需求而失敗 | 高 | Microsoft Entra 登入記錄 | 此事件可能表示攻擊者正試圖進入帳戶。 |
| 不遵循命名原則的特殊許可權帳戶 | 高 | Azure 訂用帳戶 | 列出訂用帳戶的角色指派,並在登入名稱不符合組織格式時發出警示。 一個例子是使用 ADM_ 作為前綴。 |
| 插嘴 | 高、中 | Microsoft Entra 登入 | 此事件可能表示攻擊者擁有帳戶的密碼,但無法通過多重要素驗證挑戰。 |
| 不遵循命名原則的特殊許可權帳戶 | 高 | Microsoft Entra 目錄 | 列出 Microsoft Entra 角色的角色指派,並在 UPN 不符合組織格式的地方發出警示。 一個例子是使用 ADM_ 作為前綴。 |
| 探索未註冊多重要素驗證的特殊許可權帳戶 | 高 | Microsoft Graph API | 審核和調查以確定該事件是故意的還是疏忽。 |
| 帳戶鎖定 | 高 | Microsoft Entra 登入記錄 | 定義基準閾值,然後監控和調整以適合您的組織行為並限制產生錯誤警報。 |
| 帳戶已停用或封鎖以無法登入 | 低 | Microsoft Entra 登入記錄 | 此事件可能表示有人在離開組織後嘗試取得帳戶的存取權。 儘管帳戶已被封鎖,但記錄此活動並發出警報仍然很重要。 |
| MFA 詐騙警示或封鎖 | 高 | Microsoft Entra 登入記錄/Azure Log Analytics | 特殊許可權使用者已指出他們尚未引發多重要素驗證提示,這可能表示攻擊者擁有帳戶的密碼。 |
| MFA 詐騙警示或封鎖 | 高 | Microsoft Entra 稽核記錄記錄/Azure Log Analytics | 特殊許可權使用者已指出他們尚未引發多重要素驗證提示,這可能表示攻擊者擁有帳戶的密碼。 |
| 特殊許可權帳戶登入超出預期控制項 | 高 | Microsoft Entra 登入記錄 | 監控您定義為未核准的任何條目並發出警報。 |
| 超出正常登入時間 | 高 | Microsoft Entra 登入記錄 | 監視並在登入發生在預期時間之外時發出警示。 請務必找到每個特殊許可權帳戶的正常工作模式,並在正常工作時間之外發生計劃外變更時發出警示。 在正常工作時間之外登入可能表示入侵或可能的內部威脅。 |
| 身分保護風險 | 高 | 身分識別保護記錄 | 此事件表示在登入帳戶時偵測到異常,應發出警示。 |
| 密碼變更 | 高 | Microsoft Entra 稽核記錄 | 針對任何系統管理員帳戶密碼變更發出警示,特別是全域系統管理員、使用者系統管理員、訂用帳戶系統管理員和緊急存取帳戶。 撰寫以所有特殊許可權帳戶為目標的查詢。 |
| 舊版驗證通訊協定的變更 | 高 | Microsoft Entra 登入記錄 | 許多攻擊都使用舊版驗證,因此如果使用者的驗證通訊協定發生變更,則可能表示受到攻擊。 |
| 新裝置或位置資訊 | 高 | Microsoft Entra 登入記錄 | 大部分的系統管理活動應該來自有限數量的位置的特權存取裝置。 因此,請對新設備或位置發出警報。 |
| 稽核警示設定已變更 | 高 | Microsoft Entra 稽核記錄 | 如果發生意外,則應對核心警示進行變更。 |
| 系統管理員向其他 Microsoft Entra 租用戶進行驗證 | 中 | Microsoft Entra 登入記錄 | 當範圍限定為特殊許可權使用者時,此監視器會偵測系統管理員何時成功向另一個 Microsoft Entra 租用戶進行驗證,並在您組織的租用戶中具有身分識別。 如果資源租用戶識別碼不等於主租用戶識別碼,則發出警示 |
| 管理員使用者狀態從訪客變更為成員 | 中 | Microsoft Entra 稽核記錄 | 監控用戶類型從訪客到會員的變化並發出警報。 這種變化是預料之中的嗎? |
| 未經核准的邀請者邀請租用戶的來賓使用者 | 中 | Microsoft Entra 稽核記錄 | 監視邀請來賓使用者的未經核准的執行者並發出警示。 |
監視特殊許可權帳戶管理事件
調查特殊許可權帳戶驗證規則和許可權的變更,特別是當變更提供更大的許可權或在 Microsoft Entra ID 中執行工作的能力時。
| 要監視的內容 | 風險層級 | 其中 | 附註 |
|---|---|---|---|
| 特權帳戶建立 | 中 | Microsoft Entra 稽核記錄 | 監控任何特權帳戶的建立。 尋找建立和刪除帳戶之間時間跨度較短的相關性。 |
| 驗證方法的變更 | 高 | Microsoft Entra 稽核記錄 | 此變更可能表示攻擊者將驗證方法新增至帳戶,以便他們可以繼續存取。 |
| 特權帳戶權限變更的警示 | 高 | Microsoft Entra 稽核記錄 | 此警示特別適用於被指派未知或超出其正常職責的角色的帳戶。 |
| 未使用的特殊許可權帳戶 | 中 | Microsoft Entra 存取檢閱 | 對非作用中的特殊許可權使用者帳戶執行每月檢閱。 |
| 免於條件式存取的帳戶 | 高 | Azure 監視器記錄或存取檢閱 | 任何免於條件式存取的帳戶都很有可能略過安全性控制,而且更容易遭到入侵。 破玻璃帳戶除外。 請參閱本文稍後如何監控破碎帳戶的資訊。 |
| 將臨時訪問通行證添加到特權帳戶 | 高 | Microsoft Entra 稽核記錄 | 監控正在為特權使用者建立的臨時存取密碼並發出警報。 |
如需監視特殊許可權帳戶活動的詳細資訊,請參閱 Microsoft Entra ID 中特殊許可權帳戶的安全性作業。
保護事件記錄檔免遭未經授權的修改和刪除 (ML3)
Essential Eight 成熟度等級 3 要求保護事件日誌免遭未經授權的修改和刪除。 保護事件記錄檔免遭未經授權的修改和刪除,可確保在組織發生安全性事件時,記錄檔可用作可靠的證據來源。 在 Azure 中,來自特殊許可權存取應用程式和服務的事件記錄應該集中儲存在 Log Analytics 工作區內。
Azure 監視器是僅限附加的資料平臺,但包含為了合規性目的而刪除資料的佈建。 從特殊許可權活動收集記錄的 Log Analytics 工作區應該使用角色型存取控制來保護,並監視修改和刪除活動。
其次,在 Log Analytics 工作區上設定鎖定,以封鎖所有可能刪除資料的活動:清除、資料表刪除,以及資料表或工作區層級的資料保留變更。
若要完全防竄改事件記錄檔,請設定記錄資料自動匯出至不可變儲存體解決方案,例如 Azure Blob 儲存體的不可變儲存體。
如需保護事件記錄完整性的詳細資訊,請參閱 Azure 監視器資料安全性。