微軟特權(quán)訪問(wèn)管理

2018-2022是私有云混合云在中國(guó)最火熱的時(shí)代，私有云將在中國(guó)從摸索走向成熟階段，隨著云技術(shù)的火熱，下一個(gè)企業(yè)必須要思考的將是信息安全的問(wèn)題，現(xiàn)在企業(yè)都在導(dǎo)入云計(jì)算技術(shù)，建置更多的信息應(yīng)用系統(tǒng)以從中獲取信息化帶來(lái)的價(jià)值。那么隨著帶來(lái)的一個(gè)隱患就是，管理員要管理的基礎(chǔ)架構(gòu)和應(yīng)用系統(tǒng)數(shù)量越來(lái)越多，這時(shí)候管理員賬戶就變的很重要了，如何保證管理員賬戶能夠安全，如果保證管理員賬戶的管理操作可控，可記錄，如果保證云資源管理員和租戶虛機(jī)的隱私問(wèn)題，將是企業(yè)信息化接下來(lái)必須要考慮的安全點(diǎn)

老王之前做企業(yè)咨詢實(shí)施的時(shí)候發(fā)現(xiàn)國(guó)內(nèi)企業(yè)信息化，發(fā)現(xiàn)有一些現(xiàn)象，企業(yè)IT部門的管理員，可以很輕而易舉的獲得多個(gè)高權(quán)限的管理賬號(hào)，有些企業(yè)信息項(xiàng)目外包出去，外包人員需要的管理員賬戶，做完項(xiàng)目也不回收。導(dǎo)致了Domain Admins組有大量的用戶，這其實(shí)是極大的一個(gè)安全隱患，越多的高權(quán)限賬戶就有越多的風(fēng)險(xiǎn)，Hacker或者內(nèi)部惡意管理員只要隨便破解找到一個(gè)管理員的賬號(hào)密碼，就可以利用這個(gè)賬號(hào)訪問(wèn)所有的域內(nèi)系統(tǒng)，如果沒(méi)有虛擬機(jī)保護(hù)機(jī)制，還可以利用此賬戶去窺探任意租戶虛擬機(jī)的內(nèi)容。

針對(duì)于這些云技術(shù)時(shí)代產(chǎn)生的安全隱患，微軟在Windows Server 2016開(kāi)始，正式引入 Privileged Access Management  特權(quán)訪問(wèn)管理的概念，PAM在老王看來(lái)，它不是指的某一個(gè)特定的技術(shù)，而是一套控制管理員特權(quán)執(zhí)行生命周期的方法論，通過(guò)PAM就可以控制管理員賬戶的獲取-保護(hù)-執(zhí)行-監(jiān)控，完整的管理生命周期。

下圖是PAM的方法論流程圖

1.準(zhǔn)備：這一個(gè)步驟要梳理出來(lái)，當(dāng)前生產(chǎn)林中那些組屬于特權(quán)保護(hù)組，將要在堡壘林中創(chuàng)建不存在用戶的安全主體(堡壘林概念下面會(huì)提到)，現(xiàn)有生產(chǎn)林中特權(quán)組里面，有哪些賬戶是應(yīng)該要剔除來(lái)的，可根據(jù)安全需要酌情處理，最好能夠只保留系統(tǒng)必須使用的賬號(hào)，將個(gè)人管理員從中剔除。

2.保護(hù)：控制保護(hù)管理員賬戶獲取，可以針對(duì)于特權(quán)主體設(shè)置MFA，當(dāng)用戶請(qǐng)求管理員權(quán)限時(shí)通過(guò)MFA多因子驗(yàn)證才可以獲得，WS2016開(kāi)始支持直接調(diào)用Azure MFA。

3.操作：通過(guò)身份驗(yàn)證后，用戶的特權(quán)權(quán)限申請(qǐng)請(qǐng)求將通過(guò)人為審核，或門戶工作流審核，審核通過(guò)后，用戶將獲得時(shí)效性或永久性權(quán)限，如果是時(shí)效性權(quán)限，當(dāng)時(shí)間到達(dá)時(shí)，用戶令牌將失去特權(quán)權(quán)限，不能再執(zhí)行任何特權(quán)操作。

4.審計(jì)：PAM需要特權(quán)訪問(wèn)請(qǐng)求的審計(jì)，警報(bào)和報(bào)告，每一次特權(quán)申請(qǐng)和審批結(jié)果都應(yīng)該被詳細(xì)記錄，您可以查看特權(quán)訪問(wèn)的歷史記錄，并查看執(zhí)行活動(dòng)的人員。您可以決定活動(dòng)是否有效，并輕松識(shí)別未經(jīng)授權(quán)的活動(dòng)，例如嘗試將用戶直接添加到生產(chǎn)林中的特權(quán)組。此步驟不僅對(duì)于識(shí)別惡意軟件而且對(duì)于跟蹤“內(nèi)部" 惡意管理員也很重要。

可以看到PAM提出了一套很好的對(duì)于特權(quán)賬戶的生命周期管理理論，這些理論要想要落地實(shí)現(xiàn)，還是離不開(kāi)技術(shù)工具的支持，在2008R2，2012R2時(shí)代，一些企業(yè)也認(rèn)識(shí)到了這一點(diǎn)，要控制管理員賬戶的安全，要可控，要監(jiān)控，但是那時(shí)候并沒(méi)有2016這么多的工具，因此主要還是要通過(guò)管理規(guī)范推動(dòng)，通常在2016之前，我們?nèi)ソo企業(yè)做這種安全建議的時(shí)候會(huì)這樣說(shuō)

1.針對(duì)于個(gè)人管理員賬戶，設(shè)置密碼策略，定期更改復(fù)雜性密碼

2.針對(duì)于應(yīng)用系統(tǒng)，盡量不要每個(gè)賬戶都用最高權(quán)限，去technet查詢最小需要安全權(quán)限

3.建立管理員組成員登記表

4.開(kāi)啟安全策略審計(jì)，審計(jì)管理員賬號(hào)登陸，訪問(wèn)

5.管理員操作時(shí)盡量通過(guò)工作站執(zhí)行，在工作站上安裝殺毒軟件，使用防竊取技術(shù)

6.利用第三方廠商軟件實(shí)現(xiàn)權(quán)限申請(qǐng)審批

7.利用第三方廠商軟件實(shí)現(xiàn)密碼破解檢測(cè)

其中一些方法到2016時(shí)代也并不過(guò)時(shí)，但是一些安全點(diǎn)到了2016時(shí)代，微軟自身就已經(jīng)有了更好的技術(shù)去實(shí)現(xiàn)。

2016我們有了JIT，Shadow Principal，JEA，MIM這些來(lái)控制管理員賬戶安全的新技術(shù)，下面我們就來(lái)解釋一下每項(xiàng)技術(shù)發(fā)揮的作用

Just-in-time 是微軟提出的一種即時(shí)管理的概念，希望針對(duì)于一部分管理員實(shí)現(xiàn)，只在需要的時(shí)候請(qǐng)求權(quán)限，當(dāng)所需要的時(shí)間到達(dá)后，即回收管理權(quán)限，不要給所有請(qǐng)求都分配永久管理員，這個(gè)特別適用于國(guó)內(nèi)外包公司的場(chǎng)景，外包人員需要做項(xiàng)目，可以臨時(shí)申請(qǐng)管理員權(quán)限，項(xiàng)目結(jié)束時(shí)間到達(dá)后自動(dòng)回收賬號(hào)權(quán)限，或者一個(gè)場(chǎng)景，IT管理員需要臨時(shí)登錄到租戶虛擬機(jī)或應(yīng)用系統(tǒng)虛擬機(jī)，經(jīng)過(guò)審批后，獲得一個(gè)時(shí)效性權(quán)限，時(shí)間到達(dá)時(shí)自動(dòng)回收。

微軟不僅提出概念，也有實(shí)際落地的技術(shù)工具，微軟在AD2016中引入了PAM新功能，不借助任何工具，只通過(guò)AD域本身就可以實(shí)現(xiàn)，對(duì)用戶設(shè)置有時(shí)效性的成員資格，當(dāng)時(shí)間到達(dá)時(shí)用戶將自動(dòng)失去成員資格

由域控制器來(lái)管理并在達(dá)到TTL限制時(shí)將其刪除。這也適用于復(fù)制，因?yàn)閺?fù)制了TTL值結(jié)束時(shí)間，并且將在所有域控制器上本地刪除鏈接。與此同時(shí)，還有一些Kerberos增強(qiáng)功能可以真正利用基于時(shí)間的組。當(dāng)KDC創(chuàng)建票證時(shí)，它會(huì)將Kerberos票證生命周期限制為可能的最低生存時(shí)間（TTL）值。如果用戶還剩15分鐘，直到組成員身份的TTL到期，KDC將只創(chuàng)建另外15分鐘的TGT/TGST，當(dāng)票證已過(guò)期且請(qǐng)求新票證時(shí)，過(guò)期的組成員資格的SID將不在，使用此功能，您可以臨時(shí)為用戶提供基于較小時(shí)間限制的系統(tǒng)管理員訪問(wèn)權(quán)限。DC將維護(hù)和刪除成員資格，它不會(huì)受到復(fù)制融合或Kerberos票證生命周期（默認(rèn)為10小時(shí)，可在7天內(nèi)續(xù)訂）的不利影響。

實(shí)際使用時(shí)，首先需要必須要升級(jí)域控為2016，并確保林功能級(jí)別域功能級(jí)別為2016，升級(jí)后，需要手動(dòng)在域控上面啟用PAM新功能，才能實(shí)現(xiàn)時(shí)效性的組成員資格

命令如下

Enable-ADOptionalFeature “Privileged Access Management Feature” –Scope ForestOrConfigurationSet -Target admin.com

創(chuàng)建時(shí)效性成員資格

$TTL = New-TimeSpan -Minutes 10

Add-ADGroupMember -Identity“Domain Admins”-Members “Tony”-MemberTimeToLive $TTL

由于Tony臨時(shí)獲得了Domain Admins權(quán)限，可以登錄到域控，但是查看klist可以看到票證是有時(shí)效限制的

查看管理員組時(shí)效成員資格，可以看到Tony的TTL時(shí)效資格在不斷變化

Get-ADGroup -Identity “Domain Admins” -Properties * -ShowMemberTimeToLive |fl member

當(dāng)時(shí)效到達(dá)時(shí)，Tony將自動(dòng)離開(kāi)管理員組

時(shí)效到達(dá)后使用whomi /groups雖仍可以看到屬于管理員組，但是此時(shí)已經(jīng)不能執(zhí)行網(wǎng)絡(luò)上管理操作，注銷再登錄時(shí)權(quán)限也將徹底失效

這是JIT一個(gè)最簡(jiǎn)單的示例，簡(jiǎn)單但是實(shí)用，他對(duì)現(xiàn)有環(huán)境的變動(dòng)最少，只需要升級(jí)AD2016即可實(shí)現(xiàn)，時(shí)效性資格功能也是后面PAM更復(fù)雜場(chǎng)景的基石。

如果企業(yè)不準(zhǔn)備構(gòu)建復(fù)雜的生產(chǎn)林，堡壘林場(chǎng)景，那么就可以利用此功能達(dá)到控制特權(quán)管理執(zhí)行的目的

當(dāng)有可被識(shí)別為臨時(shí)性的訪問(wèn)需求時(shí)，請(qǐng)申請(qǐng)人口頭告知組長(zhǎng)，再由組長(zhǎng)執(zhí)行命令授予臨時(shí)時(shí)效性成員資格，或者如果希望此過(guò)程更加標(biāo)準(zhǔn)化，可以借助于Sharepoint+SCO或者SCSM+SCO實(shí)現(xiàn)Web申請(qǐng)，我給個(gè)思路，在Sharepoint創(chuàng)建一個(gè)權(quán)限申請(qǐng)列表，再創(chuàng)建一個(gè)審核記錄列表，權(quán)限申請(qǐng)列表包括申請(qǐng)賬號(hào)，目標(biāo)特權(quán)組(列表或預(yù)先填充)，申請(qǐng)時(shí)效，申請(qǐng)?jiān)?，申?qǐng)拿到后，會(huì)由部門經(jīng)理或組長(zhǎng)進(jìn)行審批，SCO會(huì)監(jiān)控這樣一條新紀(jì)錄的產(chǎn)生，當(dāng)看到工作流狀態(tài)為已批準(zhǔn)的時(shí)候，將填寫的記錄轉(zhuǎn)換為變量，通過(guò)databus傳遞給下一個(gè)活動(dòng)，通過(guò)腳本操作連接到AD域，將拿到的用戶變量，目標(biāo)組變量，申請(qǐng)時(shí)效變量進(jìn)行填充，執(zhí)行成功后可郵件通知或Sharepoint站內(nèi)信通知申請(qǐng)人，同時(shí)databus將數(shù)據(jù)傳遞到下一個(gè)活動(dòng)，把申請(qǐng)人，申請(qǐng)時(shí)效，申請(qǐng)?zhí)貦?quán)組，申請(qǐng)?jiān)颍瑢徟?，這些數(shù)據(jù)，填充到另外一個(gè)特權(quán)審計(jì)表單，記錄成功后流程結(jié)束，這里只是給出大家一個(gè)思路，作為ITpro我們可以通過(guò)Sharepoint+SCO實(shí)現(xiàn)或者利用SCSM+SCO實(shí)現(xiàn)，如果有開(kāi)發(fā)人員配合更加方便，直接請(qǐng)開(kāi)發(fā)人員在Web門戶上面做好表單，將輸入的數(shù)據(jù)做成變量，調(diào)用powershell執(zhí)行即可。

那么，這是一個(gè)最基本的場(chǎng)景，在微軟的PAM規(guī)劃中，理想情況應(yīng)該是構(gòu)建一個(gè)堡壘林，如下圖所示，微軟提倡的是將特權(quán)管理賬號(hào)徹底的單獨(dú)拿出來(lái)，放到一個(gè)堡壘林中，生產(chǎn)林中只保留用戶賬戶，應(yīng)用程序所必須要的賬戶，兩個(gè)林之間僅創(chuàng)建單向傳入林信任，這樣做的好處是最大程度上減少由破解管理員造成對(duì)生產(chǎn)林的危害，因?yàn)楣芾碣~號(hào)根本就不存在生產(chǎn)的林中，惡意程序也無(wú)法掃描到生產(chǎn)林中的管理員哈希。

當(dāng)堡壘林中的管理員要管理生產(chǎn)林的時(shí)候，需要通過(guò)人為或門戶的申請(qǐng)，申請(qǐng)通過(guò)后會(huì)被時(shí)效性或永久性的加入到堡壘林中的陰影主體，我們提前會(huì)把生產(chǎn)林中的特權(quán)賬號(hào)，特權(quán)組，在堡壘林中創(chuàng)建成一個(gè)陰影主體，當(dāng)管理員需要特權(quán)的時(shí)候，會(huì)申請(qǐng)?zhí)貦?quán)組或特權(quán)用戶的權(quán)限，當(dāng)審批通過(guò)的時(shí)候，幕后會(huì)按照時(shí)效性把生產(chǎn)林中的用戶加入到陰影主體中去，這個(gè)用戶就可以連接到生產(chǎn)林中執(zhí)行管理操作，此時(shí)在管理林用戶用戶的whoami /groups命令里面可以看到生產(chǎn)林特權(quán)的SID，當(dāng)時(shí)效到期后自動(dòng)拿掉生產(chǎn)林的權(quán)限。

上面說(shuō)了很多名詞，這里再簡(jiǎn)單的科普一下

在Windows系統(tǒng)中，當(dāng)用戶登錄時(shí)，會(huì)發(fā)生以下幾個(gè)步驟

1.用戶輸入賬戶 密碼 域

2.Local Security Subsystem向域控申請(qǐng)用戶的Session Ticket

3.Local Security Subsystem向域控申請(qǐng)Workstation的Session Ticket

4.DC上的Kerberos Service確認(rèn)用戶密碼和計(jì)算機(jī)密碼正確后，回傳ticket給用戶端

5.用戶端Local Security Subsystem收到回傳的ticket產(chǎn)生Access Token

6.使用Access Token去執(zhí)行接下來(lái)的進(jìn)程

Access Token里面會(huì)包括用戶的SID，如果是域用戶SID由域SID+RID主機(jī)分發(fā)的編號(hào)構(gòu)成，用戶所屬組的SID，用戶所擁有的特權(quán)。

如果企業(yè)有采用DAC動(dòng)態(tài)訪問(wèn)控制，Token中也會(huì)包括聲明。

每一個(gè)AD里面的用戶屬性里面除了自己的SID，還會(huì)有一個(gè)sidhistory的屬性，該屬性于windows 2000時(shí)代引入，目的是為了確保當(dāng)發(fā)生域用戶跨域遷移時(shí)，讓遷移后的用戶仍然能夠訪問(wèn)遷移前能夠訪問(wèn)的資源，因?yàn)楫?dāng)用戶遷移到一個(gè)新的域，就會(huì)由所在域的RID主機(jī)產(chǎn)生一個(gè)新的編號(hào)，就會(huì)得到一個(gè)新的SID，這樣如果訪問(wèn)以前的資源時(shí)，對(duì)比文件系統(tǒng)ACL的列表發(fā)現(xiàn)沒(méi)有用戶新域SID，則訪問(wèn)被拒絕，通過(guò)sidhistory可以把用戶遷移前的SID，填充到遷移到新域后用戶的sidhistory屬性里面，這樣訪問(wèn)之前可以訪問(wèn)的資源時(shí)，發(fā)現(xiàn)用戶具備匹配的sidhistory，則訪問(wèn)被允許。

后來(lái)微軟發(fā)現(xiàn)sidhistory屬性存在安全隱患，一旦兩個(gè)域創(chuàng)建信任后，在某些情況下，受信任域中的管理員和超級(jí)用戶可以從信任域獲取特權(quán)帳戶的SID。這些SID不保密，大多數(shù)情況下，您可以通過(guò)查看信任域中資源的訪問(wèn)控制列表（ACL）來(lái)獲取此信息。獲得SID后，它將附加到受信任域中的任何用戶對(duì)象，特別是其SIDHistory屬性。當(dāng)此修改后的帳戶跨越現(xiàn)有信任關(guān)系時(shí)，從受信任域到信任域，它將有效地?fù)碛惺芨腥編舻乃袡?quán)限，可能會(huì)一直提升到域管理員或企業(yè)管理員級(jí)別

在Windows Server 2000 SP4微軟引入了SID篩選的功能，防止SID欺騙提權(quán)，SID篩選使安全信任管理員能夠丟棄使用可能是欺騙候選者的SID的憑據(jù)。在域中創(chuàng)建安全主體時(shí)，域SID包含在安全主體的SID中，以標(biāo)識(shí)創(chuàng)建它的域。域SID是安全主體的重要特征，因?yàn)閃indows安全子系統(tǒng)使用它來(lái)驗(yàn)證安全主體的真實(shí)性。

同樣，從信任域創(chuàng)建的傳出外部信任使用SID篩選來(lái)驗(yàn)證從受信任域中的安全主體發(fā)出的傳入身份驗(yàn)證請(qǐng)求是否僅包含受信任域中安全主體的SID。這是通過(guò)將傳入安全主體的SID與受信任域的域SID進(jìn)行比較來(lái)完成的。如果任何安全主體SID包括來(lái)自受信任域的域SID以外的域SID，則信任將刪除有問(wèn)題的SID。

如果用戶嘗試從受信任域升級(jí)，則用戶將從信任域添加SID到該用戶的SID歷史記錄。信任鏈接將此視為潛在的危害，并從身份驗(yàn)證請(qǐng)求過(guò)濾所有不是來(lái)自受信任域的SID。如果受信任域中的用戶是從另一個(gè)（第三個(gè)）域遷移的，則不允許通過(guò)信任鏈接從第三個(gè)域中獲取SID信息。

鋪墊都做好了，那么就可以來(lái)看主菜了，在微軟規(guī)劃的PAM模型中，理想情況下分為堡壘林和生產(chǎn)林，管理賬戶都在堡壘林，當(dāng)執(zhí)行管理操作的時(shí)候，堡壘林的管理員將臨時(shí)獲得生產(chǎn)林中特權(quán)用戶或特權(quán)組的SID，這項(xiàng)技術(shù)得以實(shí)現(xiàn)，主要?dú)w功于Windows Server 2016AD域的Shadow Principals，不論是通過(guò)Powershell獲得權(quán)限，還是通過(guò)MIM門戶獲得權(quán)限，底層都使用的Shadow Principals，通過(guò)Shadow Principals允許堡壘林管理賬戶跨林得到生產(chǎn)林SID

Shadow Principals涉及到的屬性

msDS-ShadowPrincipalContainer

msDS-ShadowPrincipalContainer是msDS-ShadowPrincipal對(duì)象的專用容器，在Configuration NC的Services容器中創(chuàng)建一個(gè)默認(rèn)容器。

CN=Shadow Principal Configuration,CN=Services,CN=Configuration,DC=admin,DC=com

可以在其他位置創(chuàng)建主體容器，但不能使用Kerberos。

msDS-ShadowPrincipal

此類表示外部林的主體。只能在Shadow Principal容器中創(chuàng)建，它必須具有msDS-ShadowPrincipalSid值。

Shadow主體可以代表任何安全主體用戶，安全組或計(jì)算機(jī)。它還有成員屬性，這里是PAM和Shadow Principals的很酷的地方，我們可以像時(shí)效組成員一樣在成員資格上設(shè)置TTL值。如果Shadow Principal駐留在默認(rèn)的CN = Shadow Principal Configuration，CN = Services，CN = Configuration，DC = X容器中，任何域用戶擁有任何Shadow Principal的成員資格將與任何其他組成員一樣添加到Kerberos票證中。一個(gè)限制是它只能在其自己的林中擁有主體成員。

如果設(shè)置了成員資格的TTL值，它將與Kerberos集成，并且票證的生命周期將設(shè)置為最短的到期TTL值。

msDS-ShadowPrincipalSid

此屬性包含外部林中主體的SID，屬性編入索引。它具有約束，因此您無(wú)法從其自己的域或其自己的林中的任何其他域添加SID。并且必須將林信任配置為能夠從其他域添加SID，確保針對(duì)兩個(gè)林之間開(kāi)啟sid history，關(guān)閉sid filtering。

具體實(shí)現(xiàn)，我們會(huì)在堡壘林中，在msDS-ShadowPrincipalContainer容器里面，創(chuàng)建生產(chǎn)林中如Domain Admins，Enterprise Admins等組或用戶的msDS-ShadowPrincipal克隆對(duì)象，當(dāng)管理員需要對(duì)生產(chǎn)林執(zhí)行特權(quán)操作的時(shí)候，會(huì)有專人手動(dòng)將堡壘林里面沒(méi)有權(quán)限的用戶加到堡壘林msDS-ShadowPrincipal對(duì)象的member成員里面，這樣這個(gè)用戶就可以獲得時(shí)效性或永久性的，生產(chǎn)林中的SID，如果有MIM，當(dāng)審批通過(guò)后會(huì)自動(dòng)添加，如果有Sharepoint和SCO，也可以做成流程審批通過(guò)自動(dòng)添加。

下面我們通過(guò)實(shí)驗(yàn)驗(yàn)證

當(dāng)前環(huán)境具備一臺(tái)2012R2的生產(chǎn)域控，一臺(tái)2016的堡壘林域控，生產(chǎn)林abc.com，堡壘林admin.com，一臺(tái)堡壘林工作站，當(dāng)前生產(chǎn)域控Domain Admins組成員已清空，堡壘林中需要臨時(shí)登錄到生產(chǎn)林域控進(jìn)行巡檢。

在此示例中，我們將創(chuàng)建單向林可傳遞信任。我們需要禁用SID 篩選和Enable sidhistory，以便當(dāng)admin域中的用戶登錄到abc中的服務(wù)器時(shí)，不會(huì)過(guò)濾掉SID，在Windows Server 2016中，此方案有一種新的信任類型，稱為PIM信任。在早期版本中，不可能將像Domain Admins和Enterprise Admins這樣的SID與SIDHistory一起使用，它們總是被過(guò)濾掉。因此我們還必須啟用PIM Trust選項(xiàng)，除此之外還需要在兩邊域控DNS配置到對(duì)方域名的DNS條件轉(zhuǎn)發(fā)器。

需要注意，如果生產(chǎn)林域控是2012R2版本，請(qǐng)按照順序安裝以下補(bǔ)丁，2012R2域控才可以擁有PIM Trust命令

Windows8.1-KB2919355-x64 

Windows8.1-KB2919442-x64 

Windows8.1-KB3021910-x64 

Windows8.1-KB3172614-x64

生產(chǎn)林域控執(zhí)行

netdom trust abc.com /Domain:admin.com /Add /UserD:administrator@admin.com /PasswordD:* /UserO:administrator@abc.com /PasswordO:*

netdom trust abc.com /domain:admin.com /ForestTRANsitive:Yes

netdom trust abc.com /domain:admin.com /EnableSIDHistory:Yes

netdom trust abc.com /domain:admin.com /EnablePIMTrust:Yes

netdom trust abc.com /domain:admin.com /Quarantine:No

如果是中文版系統(tǒng)，需要輸入chcp 437進(jìn)入英文code page，否則會(huì)出現(xiàn)命令無(wú)法執(zhí)行成功

堡壘林域控必須為Windows Server 2016及以上，林功能與域功能級(jí)別至少2016，只有2016的林域功能級(jí)別才能實(shí)現(xiàn)后面時(shí)效性的組成員資格，才能具有陰影主體屬性。確認(rèn)全部升級(jí)到2016后務(wù)必手動(dòng)開(kāi)啟PAM功能

Enable-ADOptionalFeature “Privileged Access Management Feature” –Scope ForestOrConfigurationSet -Target admin.com

堡壘林域控執(zhí)行

netdom trust admin.com /domain:abc.com /ForestTRANsitive:Yes 

并且不要忘記為Admin域中的信任啟用Kerberos AES加密，在System容器中的ABC對(duì)象上打開(kāi)屬性并標(biāo)記復(fù)選框：其他域支持Kerberos AES加密

在堡壘林為生產(chǎn)林特權(quán)組Domain Admins創(chuàng)建陰影主體

$CORPPrincipal = "Domain Admins"

$CorpDC = "12dc.abc.com"

$ShadowSuffix = "abc-"

$CorpShadowPrincipal = Get-ADGroup -Identity $CORPPrincipal -Properties ObjectSID -Server $CorpDC

$ShadowPrincipalContainer = "CN=Shadow Principal Configuration,CN=Services,"+(Get-ADRootDSE).configurationNamingContext

New-ADObject -Type "msDS-ShadowPrincipal" -Name "$ShadowSuffix$($CorpShadowPrincipal.SamAccountName)" -Path $ShadowPrincipalContainer -OtherAttributes @{'msDS-ShadowPrincipalSid'= $CorpShadowPrincipal.ObjectSID}

創(chuàng)建完成后可以在堡壘林域控連接ADSI配置分區(qū)可以在下面路徑找到創(chuàng)建的陰影主體

CN=Shadow Principal Configuration,CN=Services,CN=Configuration,DC=admin,DC=com

如果你點(diǎn)開(kāi)創(chuàng)建好的陰影主體對(duì)象，你會(huì)看到它的msDS-ShadowPrincipalSid和陰影主體在生產(chǎn)林里面的SID一模一樣，這是創(chuàng)建Domain Admins組陰影主體的做法，用戶陰影主體同樣。

下面模擬發(fā)生權(quán)限請(qǐng)求，人為批準(zhǔn)特權(quán)訪問(wèn)生產(chǎn)林操作，將堡壘林管理員用戶Mike，臨時(shí)加入到Domain Admins陰影主體，添加前Mike無(wú)任何權(quán)限，僅為普通用戶。

Set-ADObject -Identity "CN=ABC-Domain Admins,CN=Shadow Principal Configuration,CN=Services,CN=Configuration,DC=admin,DC=com" -Add @{'member'="<TTL=600,CN=Mike,OU=ITAccount,DC=admin,DC=com>"}

執(zhí)行完成后可以在堡壘林Domain Admins陰影主體對(duì)象member屬性處看見(jiàn)mike已經(jīng)作為成員

現(xiàn)在Mike用戶已經(jīng)可以登陸到生產(chǎn)林域控，到這一步其實(shí)已經(jīng)可以判斷生效

查看Kerberos部分，我們可以使用klist列出Mike用戶當(dāng)前的時(shí)效性票證

除了時(shí)效性，事實(shí)上我們也可以為mike分配一個(gè)永久性的生產(chǎn)林權(quán)限，可以直接GUI添加永久陰影主體成員，也可以使用之前PS添加的命令，將TTL設(shè)置為0即可，設(shè)置之后用戶Kerberos票證生命周期將恢復(fù)默認(rèn)十小時(shí)

如果管理員希望撤銷永久性陰影主體權(quán)限或取消還在時(shí)效中的成員權(quán)限，運(yùn)行命令

Set-ADObject -Identity "CN=ABC-Domain Admins,CN=Shadow Principal Configuration,CN=Services,CN=Configuration,DC=admin,DC=com" -Remove @{'member'="<TTL=0,CN=Mike,OU=ITAccount,DC=admin,DC=com>"}

GUI查看發(fā)現(xiàn)陰影主體member成員已經(jīng)為空

mike注銷后將失去生產(chǎn)林的一切管理權(quán)限

進(jìn)一步理解，事實(shí)上陰影主體使用的并非是SIDHistory技術(shù)，當(dāng)mike被添加到陰影主體后，SIDhistory并不會(huì)添加，因此說(shuō)明，被添加到陰影主體的成員登陸令牌里面，除了用戶SID，所屬組SID，User Right，一些默認(rèn)SID，還會(huì)包含所屬陰影主體的SID。

當(dāng)我們通過(guò)陰影主體成員訪問(wèn)生產(chǎn)林幕后發(fā)生的事情如下

• 用戶嘗試RDP到生產(chǎn)中的資源 - >資源不知道該用戶 - >需要身份驗(yàn)證和授權(quán)

• 身份驗(yàn)證請(qǐng)求將重定向到admin林中的KDC（密鑰分發(fā)中心 - > DC）

• KDC構(gòu)建如上所述的SID列表，包括來(lái)自生產(chǎn)的Domain Admins的鏡像SID

• 生產(chǎn)中的DC檢查組在其數(shù)據(jù)庫(kù)中嵌套由管理林發(fā)布的令牌呈現(xiàn)的SID

• 生產(chǎn)DC根據(jù)令牌添加組嵌套

通過(guò)這個(gè)實(shí)驗(yàn)，相信大家對(duì)于微軟提出的PAM操作模型有了更深入的理解，我更希望的是更多人能夠理解，與我討論，思考在企業(yè)里面的應(yīng)用點(diǎn)，并在企業(yè)里面試著應(yīng)用，可以看到，這是一種重新定義特權(quán)訪問(wèn)的理念，將管理權(quán)限梳理成時(shí)效性權(quán)限，將管理員梳理到單獨(dú)的堡壘林利用陰影主體提供穿透訪問(wèn)。實(shí)際應(yīng)用時(shí)候不要著急一刀切，把管理權(quán)限全部移動(dòng)到堡壘林，可以根據(jù)企業(yè)安全需求，識(shí)別出來(lái)那些是可以移動(dòng)的，逐步將管理權(quán)限移動(dòng)。

不論是單域控不構(gòu)建堡壘林的場(chǎng)景，或是堡壘林的場(chǎng)景，我們都能實(shí)現(xiàn)時(shí)效性訪問(wèn)，本文演示的是最原始的powershell操作方式，對(duì)應(yīng)到現(xiàn)實(shí)里面最后添加成員到陰影主體的操作應(yīng)該由組長(zhǎng)或者部門經(jīng)理執(zhí)行，那么我們可以看到，實(shí)際上添加也好，刪除也好，陰影主體，申請(qǐng)人，TTL時(shí)效，都可以封裝成變量，就像上面提到的思路，管理員可以借助Sharepoint+SCO或SCSM+SCO，或請(qǐng)開(kāi)發(fā)人員幫忙，通過(guò)Web實(shí)現(xiàn)流程化的權(quán)限申請(qǐng)，權(quán)限回收，權(quán)限申請(qǐng)審計(jì)。

擴(kuò)展了解，與PAM接近，Azure上面也有一個(gè)PIM服務(wù)，可以執(zhí)行以下操作，它與PAM概念不同的是，PAM是一套用于梳理數(shù)據(jù)中心基礎(chǔ)架構(gòu)特權(quán)管理模型的方法論和落地工具，PIM是微軟對(duì)租戶提供的用于租戶在Azure平臺(tái)上面使用時(shí)的特權(quán)身份管理功能。

• 查看為哪些用戶分配了特權(quán)角色來(lái)管理Azure資源，以及在Azure AD中為哪些用戶分配了管理角色

• 啟用按需，“及時(shí)”管理訪問(wèn)Microsoft Online Services（如Office 365和Intune），以及Azure資源訂閱，資源組和單個(gè)資源（如虛擬機(jī)），具備多個(gè)定義好的角色

• 自動(dòng)和Azure MFA集成，租戶申請(qǐng)激活PIM角色，經(jīng)過(guò)MFA驗(yàn)證才可以申請(qǐng)成功

• 由Azure后臺(tái)實(shí)現(xiàn)面對(duì)租戶申請(qǐng)PIM角色使用的JEA，JIT特性

• 查看管理員激活的歷史記錄，包括管理員對(duì)Azure資源所做的更改

• 獲取有關(guān)管理員分配更改的警報(bào)

• 需要批準(zhǔn)才能激活A(yù)zure AD特權(quán)管理員角色

• 檢查管理角色的成員身份，并要求用戶提供繼續(xù)成員資格的理由

• Azure PIM功能體驗(yàn)比本地PAM更好，本地PAM面對(duì)是數(shù)據(jù)中心，AzurePIM實(shí)現(xiàn)了面向多租戶，為每個(gè)租戶提供JEA、JIT、PAM體驗(yàn)。

  
  

那么MIM主要是起什么作用的呢，MIM 2016 本身這個(gè)產(chǎn)品是FIM的延續(xù)，具備跨應(yīng)用的身份同步，密碼自助重置，證書(shū)管理，密碼更改通知，PAM實(shí)現(xiàn)，和AzureAD整合混合同步及混合報(bào)告

在PAM的體系里面，MIM可以做到保護(hù)——操作——升級(jí)的三個(gè)過(guò)程，與單獨(dú)的Powershell不同，通過(guò)MIM可以配置用戶使用多因子登陸，MIM會(huì)基于Sharepoint建立一套門戶，用于權(quán)限申請(qǐng)審批，自帶工作流。

除此之外MIM門戶還原生具備報(bào)告審計(jì)的功能，可以看到每次申請(qǐng)的歷史記錄，以及審批人

MIM實(shí)現(xiàn)PAM比原生的Powershell更加標(biāo)準(zhǔn)化，但底層都使用同樣的功能實(shí)現(xiàn)，它會(huì)把每一個(gè)安全主體創(chuàng)建成一個(gè)個(gè)角色，供用戶申請(qǐng)審批

MIM架構(gòu)支持高可用部署

MIM不能部署在域控上面，可以部署多臺(tái)MIM服務(wù)器容錯(cuò)MIM服務(wù)，堡壘林域控部署多臺(tái)，后臺(tái)SQL數(shù)據(jù)庫(kù)支持AG/FC/鏡像高可用，Sharepoint支持場(chǎng)架構(gòu)

由于MIM部署門戶非常的復(fù)雜，因此如果只是為了要PAM的門戶申請(qǐng)和升級(jí)功能也未必一定要部署MIM，可以采取老王提到的Sharepoint+SCO思路嘗試

MIM PAM部署參考鏈接

https://docs.microsoft.com/zh-cn/microsoft-identity-manager/pam/configuring-mim-environment-for-pam

https://blogs.msdn.microsoft.com/connector_space/2015/08/25/installation-of-the-privileged-access-management-pam-feature/

https://blogs.technet.microsoft.com/meamcs/2018/12/26/step-by-step-mim-pam-setup-and-evaluation-guide-part-1/

這樣我們就把JIT，陰影主體，MIM的概念和邏輯關(guān)系都理理清楚，那么JEA是做什么的呢，它是Powershell5.0的一個(gè)新功能，幫助實(shí)現(xiàn)最小化特權(quán)管理

通過(guò)利用代表常規(guī)用戶執(zhí)行特權(quán)操作的虛擬帳戶或組托管服務(wù)帳戶，減少計(jì)算機(jī)上的管理員數(shù)量。我們會(huì)開(kāi)啟一個(gè)虛擬賬戶的功能，當(dāng)用戶要執(zhí)行特權(quán)操作的時(shí)候會(huì)喚醒虛擬賬戶去實(shí)際執(zhí)行，類似的技術(shù)，在微軟早期其它產(chǎn)品中也可以看到

通過(guò)創(chuàng)建配置文件，控制運(yùn)行用戶可以運(yùn)行的cmdlet，函數(shù)和外部命令操作

通過(guò)轉(zhuǎn)錄和日志更好地了解用戶正在做什么，這些轉(zhuǎn)錄和日志可以準(zhǔn)確顯示用戶在會(huì)話期間執(zhí)行的命令

刪除管理權(quán)限并不總是很容易。考慮DNS角色與Active Directory域控制器安裝在同一臺(tái)計(jì)算機(jī)上的常見(jiàn)方案。您的DNS管理員需要本地管理員權(quán)限才能解決DNS服務(wù)器的問(wèn)題，但為了做到這一點(diǎn)，您必須使他們成為具有高權(quán)限的“Domain Admins”安全組的成員。此方法有效地使DNS管理員可以控制整個(gè)域并訪問(wèn)該計(jì)算機(jī)上的所有資源。

JEA通過(guò)幫助您采用最小權(quán)限原則幫助解決此問(wèn)題。使用JEA，您可以為DNS管理員配置管理端點(diǎn)，使他們能夠訪問(wèn)完成工作所需的所有PowerShell命令，但僅此而已。這意味著您可以提供適當(dāng)?shù)脑L問(wèn)權(quán)限來(lái)修復(fù)中毒的DNS緩存或重新啟動(dòng)DNS服務(wù)器，而不會(huì)無(wú)意中授予他們Active Directory的權(quán)限，或?yàn)g覽文件系統(tǒng)或運(yùn)行潛在危險(xiǎn)的腳本。更好的是，當(dāng)JEA會(huì)話配置為使用臨時(shí)特權(quán)虛擬帳戶時(shí)，DNS管理員可以使用非管理員連接到服務(wù)器憑據(jù)并且仍然能夠運(yùn)行通常需要管理員權(quán)限的命令。此功能使您可以從具有廣泛特權(quán)的本地/域管理員角色中刪除用戶，謹(jǐn)慎控制他們?cè)诿颗_(tái)計(jì)算機(jī)上可以執(zhí)行的操作

JEA配置參考：https://docs.microsoft.com/en-us/powershell/jea/prerequisites

JEA尤其適用于一些托管執(zhí)行賬號(hào)，如VMM托管賬戶，SCOM監(jiān)控賬戶等，一些托管賬戶，任務(wù)執(zhí)行賬戶，不再必須要使用Domain Admins賬戶，只需要分配一個(gè)user，然后藏入虛擬account即可。

如果將JEA，JIT，陰影主體這幾個(gè)技術(shù)串起來(lái)我們可以完整實(shí)現(xiàn)PAM的操作效果，用戶在堡壘林申請(qǐng)權(quán)限，審批通過(guò)后會(huì)JIT時(shí)效性加入陰影主體成員，加入到的陰影主體也是JEA定義的保護(hù)組，申請(qǐng)記錄及審批記錄會(huì)通過(guò)MIM或Sharepoint審計(jì)，這個(gè)用戶登錄后會(huì)連接到一臺(tái)工作站執(zhí)行管理操作，有了JEA可能特權(quán)組都不一定非要給Domain Admins，普通的管理員組就可以完成，因?yàn)槟缓髸?huì)有藏好的虛擬賬戶執(zhí)行管理操作，當(dāng)用戶在工作站執(zhí)行生產(chǎn)林管理操作的時(shí)候，能執(zhí)行的命令操作受JEA配置文件的限制，且管理操作完全通過(guò)虛擬賬戶執(zhí)行，當(dāng)JIT時(shí)效到期后，用戶將完全失去到生產(chǎn)林及工作站的管理權(quán)限。

現(xiàn)在我們把2016的整個(gè)安全模型串起來(lái)

1. 梳理生產(chǎn)林管理員，控制管理員數(shù)量，在堡壘林建立安全主體，盡量分配時(shí)效性成員資格，針對(duì)于需要獲取權(quán)限的堡壘林用戶開(kāi)啟多因子驗(yàn)證。

2. 針對(duì)生產(chǎn)林主要服務(wù)器，堡壘林工作站，生產(chǎn)林工作站，開(kāi)啟Credential guard，Remote guard，防止哈希破解，配置Windows Defender安全防護(hù)

3. 通過(guò)MIM或Sharepoint等其它門戶，對(duì)用戶的特權(quán)操作進(jìn)行審計(jì)，通過(guò)JEA日志記錄審計(jì)執(zhí)行命令。
   

4. 通過(guò)MBAM管理加密重要服務(wù)器磁盤加密

5. 通過(guò)SCOM或公有云OMS對(duì)服務(wù)器進(jìn)行安全狀態(tài)診斷，通過(guò)APM或Application Insights對(duì)應(yīng)用程序進(jìn)行可用性/性能/安全診斷。
   

6. 通過(guò)ATA進(jìn)行入親檢測(cè)分析，預(yù)測(cè)對(duì)于生產(chǎn)林存留管理賬戶的破解，異常登錄行為，整體分析AD域及syslog

7. 通過(guò)Shielded VM對(duì)主機(jī)和虛擬機(jī)進(jìn)行安全綁定，確保虛擬機(jī)只能在允許的主機(jī)啟動(dòng)，每次虛擬機(jī)啟動(dòng)需要經(jīng)過(guò)驗(yàn)證，虛擬機(jī)無(wú)法被拷貝到其它主機(jī)啟動(dòng)。

通過(guò)PAM涉及到的JIT,JEA,陰影主體來(lái)管理控制特權(quán)執(zhí)行的生命周期，通過(guò)Shielded VM控制惡意拷貝虛擬磁盤，通過(guò)ATA對(duì)域內(nèi)賬號(hào)破解進(jìn)行入親檢測(cè)，這三個(gè)2016最外圈的安全體系，互幫互助，構(gòu)建更好的安全體系。關(guān)于Shielded VM和ATA我的好朋友ZJUNSEN已經(jīng)寫了很好的實(shí)作博客，大家感興趣可以去看。