微软安全策略：保护特权访问与降低业务风险 - CSDN文库

需积分: 1 135 浏览量更新于2024-06-26 收藏 4.84MB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

“微软文档提供了关于保护特权访问的深入指导，强调了这一安全措施的重要性，以防止恶意攻击者利用特权访问造成严重业务影响。文档详细介绍了如何通过创建隔离的虚拟区域来降低风险，并采用零信任原则进行验证、最小特权和假设泄露的保护。文档还包含了快速现代化计划（RaMP），提供最佳实践、行业标准和资源，帮助组织制定策略并衡量进展。此外，文档涵盖了帐户、设备、中介和接口的安全级别，以及企业访问模型和停用旧管理林的相关信息。” 特权访问是信息安全领域的一个关键概念，涉及到对组织内具有高级权限的用户账户和系统的保护。这些账户通常由IT管理员持有，他们能够访问和控制企业的关键资产。由于这种访问权限的特殊性，一旦被恶意攻击者利用，可能导致大规模的数据泄露、系统瘫痪甚至是勒索软件攻击。微软的文档中提出了一个综合性的策略，即创建一个隔离的特权访问工作区，这个工作区设计成低风险环境，旨在限制潜在的攻击面。这一策略的核心是零信任原则，意味着不再默认信任网络内的任何实体，而是要求每次访问请求都经过明确的验证，授予最小必要的权限，并假设内部网络可能会遭到泄露。文档详细阐述了以下几个方面： 1. **制定策略和衡量进展**：组织需要有明确的特权访问策略，并不断评估和改进，确保策略的有效性。 2. **快速现代化计划(RaMP)**：该计划旨在快速实施具有最大影响力的解决方案，以提高特权访问的安全性。 3. **最佳实践和行业标准**：文档引用了英国国家网络安全中心(NCSC)、澳大利亚网络安全中心(ACSC)和MITRE ATT&CK框架，这些机构提供的指导可以帮助组织遵循行业最佳实践。 4. **安全级别**：针对帐户、设备、中介和接口定义了不同的安全级别，以确保多层面的保护。 5. **企业访问模型**：这是一个更新的模型，用于更好地管理和保护组织内部的访问权限。 6. **ESAE停用**：对于旧的管理林，文档建议停用以减少潜在的安全风险。这份微软文档提供了一个全面的框架，帮助组织构建和维护一个安全的特权访问环境，降低因特权账户被攻击而带来的风险。通过结合技术和流程的改进，组织可以提高其整体安全态势，保护其最重要的资产免受威胁。

资源详情

资源推荐

通过提高攻击者在特权访问会话元素中的攻击成本来中断攻击者投资回报 (ROI)。特权访

问策略的成功条件一文中详细介绍了这一概念。

有关攻击者 ROI 的详细信息，请参阅简短的视频和深入的讨论中断攻击者投资回报。

“清洁源”原则要求所有安全依赖关系与受保护的对象一样可信。

控制对象的任何使用者均是该对象的安全依赖关系。如果攻击者可以控制任何控制目标

对象的物体，他们就可以控制该目标对象。由于存在这种威胁，必须确保所有安全依赖

项的保障处于或高于对象自身的所需安全级别。此原则适用于多种类型的控制关系：

）重要

特权访问策略应该是全面的，并提供深度防御，但必须避免在深度防御中花费的谬

论，即防御者只是在添加任何有意义的安全值的点上堆积更多相同（熟悉）类型的

控制（通常是网络防火墙/过滤器）。

清洁源原则

每个连续级别都会增加攻击者成本，并增加 Defender for Cloud 投资级别。这些级别的

设计目标是防御者在每项安全投资中获得最大回报（攻击者成本增加）的“最佳地带”。

环境中的每个角色都应该映射到其中一个级别（并且作为安全改进计划的一部分，可以选

择逐渐提高级别）。每个配置文件都明确地定义为技术配置和自动化，尽可能简化部署

并加快安全保护。有关实施细节，请参阅特权访问指南一文。

该策略中使用的安全级别包括：

企业安全适用于所有企业用户和生产力方案。在快速现代化计划的发展过程中，企

业还可以作为专用和特权访问的起点，因为他们会在企业安全中逐步打造安全控制

措施。

特殊安全性针对能够对业务产生更大影响的角色提供了增强的安全控制（如果被攻

击者或恶意内部人员入侵）。

你的组织应该有特殊和特权帐户的文件化标准（例如，潜在业务影响超过 100 万美

元），然后确定所有符合该标准的角色和帐户。（在整个策略中使用，包括在专门

账户中）

特殊角色通常包括：

业务关键系统的开发人员。

敏感业务角色，如 SWIFT 终端的用户、有权访问敏感数据的研究人员、在公开发

布之前有权访问财务报告的人员、工资管理员、敏感业务流程的审批者以及其他

有重大影响力的角色。

定期处理敏感信息的管理高管和个人助手/管理助手。

可能会损坏公司的声誉的有重大影响力的社交媒体帐户。

具有重要特权和重大影响力的敏感 IT 管理员（但并非企业级别）。此组通常包

括身负重任的个人管理员。（例如，企业资源规划管理员、银行管理员、服务

安全级别

Enterprise

７备注

较弱的安全配置的确存在，但考虑到攻击者现在能够利用的技能和资源，

Microsoft 并不建议企业组织采用。要了解攻击者可以在在黑市上买到哪些工

具以及平均价格，请观看 Azure 安全的十大最佳实践视频

专用

剩余85页未读，继续阅读

weixin_40191861_zj

粉丝: 67
资源: 1万+

会员权益专享

图片转文字

全年可省5，000元立即开通

最新资源

资源上传下载、课程学习等过程中有任何疑问或建议，欢迎提出宝贵意见哦~我们会及时处理！点击此处反馈