Account utente e account amministratore: perché bisogna mantenerli separati

Con la divisione degli account si limiterà la superficie di attacco per una potenziale minaccia Pass-the-PRT

La maggior parte delle organizzazioni separa i normali account “utente” dagli account amministratore. Ciò significa che un amministratore IT dispone di almeno due account diversi: uno utilizzato per il lavoro d’ufficio quotidiano (incluso l’accesso alla propria workstation personale) e un altro per le attività amministrative eseguite sui server o in Active Directory.

Quando le aziende alla fine migrano al cloud, esistono molti casi in cui gli amministratori passano ad un account combinato. Spesso, le organizzazioni insistono sul perché sono ancora necessari account separati. Il motivo è che ci sono ancora problemi di sicurezza che richiedono il funzionamento di account diversi.

Di seguito spiegheremo l’importanza dell’utilizzo di account separati, descrivendo in dettaglio come prendere di mira diversi criteri di accesso condizionale per account amministratore e utente (limitando così la superficie di attacco per un potenziale “attacco Pass-the-PRT”).

Phishing

Il phishing è il modo numero uno per un utente malintenzionato di violare un account. Che si tratti di un attacco di phishing tramite e-mail o di un potenziale messaggio di Teams dannoso, gli attacchi sono onnipresenti.

Tuttavia, è possibile ridurre drasticamente le possibilità di un attacco di phishing semplicemente utilizzando un account amministratore separato. Poiché tale account non necessita di una licenza allegata e non dispone di una casella di posta o di Teams, l’account non riceverà e-mail di phishing, pertanto le e-mail non possono influire su di esso.

Se si desidera comunque ricevere e-mail destinate all’account amministratore (come Aggiornamenti del prodotto da Microsoft), è possibile configurare un’e-mail alternativa che assicurerà che le e-mail vengano inviate alla posta in arrivo degli utenti principali.

Politiche di sicurezza

Avendo due account separati, si può scegliere come target criteri di accesso condizionale diversi per gli account amministratore rispetto ai normali account utente. Sebbene è possibile utilizzare l’ accesso condizionale per indirizzare i ruoli di amministratore, questo filtro non fornisce una granularità sufficiente.

È possibile implementare una serie di “politiche di accesso condizionale dell’amministratore di base” che includono quanto segue:

• Richiedi sempre l’ autenticazione a più fattori, senza esclusioni.
• Disabilita l’autenticazione legacy. Microsoft disattiverà l’autenticazione legacy per Exchange Online a partire da ottobre 2022 ed è meglio iniziare a implementare questi controlli in anticipo per evitare un big bang.
• Consenti gli accessi solo da dispositivi conformi (dispositivi Intune che aderiscono a un criterio di conformità).
• Consenti gli accessi solo da dispositivi Windows e MacOS.
• Richiedi una modifica della password quando l’account presenta un rischio associato.

Sebbene queste politiche siano assegnabili a normali account utente, causerebbero un ostacolo perché le politiche generano richieste MFA costanti e consentono l’accesso solo da un sottoinsieme limitato di dispositivi. Avendo account separati, si può configurare l’accesso condizionale rigoroso per i tuoi account amministratore, senza ostacolare i normali account utente.

Lo stesso approccio è valido per altri criteri di sicurezza come i metodi di autenticazione consentiti e i criteri password poiché questi criteri hanno come ambito gli account utente. Se sono necessari controlli aggiuntivi per gli account utente con ruolo di amministratore, è necessario utilizzare account separati. Utilizzando account separati, ci si assicura che i criteri di sicurezza specifici possano essere applicati solo agli account amministratore.

Ad esempio, esaminiamo i metodi di autenticazione. All’interno di Azure AD è possibile abilitare o disabilitare determinati metodi di autenticazione per gli utenti. Le opzioni vanno dall’accesso con chiave di sicurezza (FIDO2) all’autenticazione senza password tramite SMS. Avendo account separati, è possibile avere criteri diversi per gli amministratori senza influire sui normali account utente.

Attacchi pass-the-PRT

Sebbene un attacco Pass-the-hash sia un noto vettore di attacco, un attacco Pass-the-PRT potrebbe risultare nuovo. PRT è l’acronimo di Primary Refresh Token e fornisce l’accesso Single Sign-On da un dispositivo ad Azure AD. Il PRT contiene il token di autenticazione usato per accedere ad Azure AD. Se si accede al proprio dispositivo con MFA, il PRT contiene anche un’attestazione MFA valida. Se qualcuno si impossessa del PRT, può accedere all’account Azure AD senza bisogno di una password o MFA.

I ricercatori hanno recentemente creato molti proof-of-concept per dimostrare la fattibilità di un tale attacco. Poiché un PRT risiede già su un dispositivo quando un utente effettua l’accesso, ogni dispositivo a cui accede un amministratore è vulnerabile. Un normale utente dell’ufficio può accedere da molti dispositivi: dispositivi mobili, un browser in un internet cafè o il computer di un amico. Ogni volta che si accede, il proprio PRT diventa vulnerabile.

È importante proteggere i PRT, in particolare quelli per gli account amministratore, ed è necessario assicurarsi che il PRT non possa essere estratto da terze parti dannose. Utilizzando controlli come Conditional Access e Credential Guard , si limita la superficie di attacco e si protegge il PRT degli amministratori.

Se si ha account utente e amministratore combinato, il PRT può essere facilmente utilizzato per passare ai portali dell’amministratore e attaccare l’azienda. Avendo account separati, tuttavia, si hanno ulteriori difese per gli account amministratore per rafforzare la sicurezza del cloud.

Solo cloud

Come procedura consigliata, gli account amministratore non devono mai essere sincronizzati da un’infrastruttura di Active Directory locale tramite Azure AD Connect . Gli account amministratore devono essere solo cloud (creati in Azure Active Directory) per garantire che non abbiano un footprint locale e non possano essere usati per spostarsi lateralmente tra la rete locale e Azure AD.

Con account separati è possibile comunque sincronizzare gli account utente dell’amministratore, il che significa che possono usare le stesse password per accedere al dominio locale e a Microsoft 365.

Sebbene questo approccio possa sembrare un po’ scomodo per l’attività di tipo utente e il lavoro di amministrazione, aumenterà la sicurezza e limiterà i potenziali vettori di attacco contro gli account amministratore.

Le informazioni presenti in questo post, sono prese dall’articolo: Why Separate Microsoft 365 Administrator Accounts are Critical to Security Posture