为Contoso生成的安全报告建议除了使用PAW之外,还要实现跳转服务器。确定了如何使用PAW之后,您决定进一步研究跳转服务器,以了解它们如何使Contoso IT受益。

什么是跳转服务器?
跳转服务器是一种加固的服务器,用于访问和管理不同安全区域中的设备,例如内部网络和外围网络之间的设备。跳转服务器可以用作联系和管理的单点。

对于中型组织,跳转服务器可以提供一种方法来帮助提高物理安全性更具挑战性的位置的安全性。例如,在没有数据中心的分支机构中。对于大型组织,管理员可以部署数据中心内部的跳转服务器。这些跳转服务器可以提供对服务器和域控制器的高度受控的访问。

跳转服务器通常没有任何敏感数据,但是用户凭据存储在内存中,恶意黑客可以将这些凭据作为目标。因此,必须对跳转服务器进行加固。

提示

通常,您使用PAW访问跳转服务器,以帮助确保安全访问。

该服务器将在支持硬件和基于软件的安全性功能的专用硬件上运行,例如:

Credential Guard,用于加密内存中的域凭据。
Defender远程凭据保护,以防止将远程凭据发送到跳转服务器,而是使用Kerberos版本5单一登录票证。
Defender设备防护:
使用Hypervisor强制代码完整性(HVCI)以基于虚拟化的安全性来强制内核模式组件遵循代码完整性策略。
使用配置代码完整性允许管理员创建自定义代码完整性策略并指定受信任的软件。
通过使用带有或不带有PAW的跳转服务器,可以创建逻辑安全区域。在区域内,计算机具有相似的安全性和连接性配置。您可以使用GPO在域环境中配置这些设置。

提示

管理用户可以使用远程桌面协议(RDP)和智能卡连接到您的跳转服务器,以执行管理任务。

实施跳转服务器
下图描述了典型的跳转服务器和PAW部署。管理用户使用智能卡通过标准帐户向标准工作站进行身份验证。用户可以访问标准应用程序以执行日常办公室生产力任务。管理员还有一个管理帐户,并使用智能卡对其管理的PAW进行身份验证。依次连接到已配置的管理跳转服务器,该服务器具有对相应对象的管理访问权限。

实施跳转服务器时,有许多注意事项。这些包括:

远程桌面网关。如果管理员必须直接连接到目标服务器(使用RDP),请实施远程桌面网关。这使您可以实现对与跳转服务器以及将用于管理的目标服务器的连接的限制。
。考虑为跳转服务器上的每个管理员实现VM。可以将每个VM配置为允许特定或部分管理任务。因此,您应该在跳转服务器上安装Hyper-V。

提示

您可以在完成管理任务后强制关闭这些VM。通过在不使用虚拟机时关闭它们,可以减少攻击面。

服务器功能。要实现跳转服务器,您的服务器计算机必须支持以下功能:

UEFI安全启动。
虚拟化支持。
带签名的内核模式驱动程序。
远程管理工具。您应该始终使用远程管理工具来管理服务器。在管理员的VM(如果未实现Hyper-V,则为物理跳转服务器)上安装Windows Admin Center和远程服务器管理工具(RSAT)。

注意

您还应该防止在通用计算机上使用远程管理工具。

RDP连接。在执行管理任务时,请确保管理员使用RDP连接到其VM。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注