الخطوة 3. حماية الهويات

استخدم الأقسام التالية لحماية مؤسستك من اختراق بيانات الاعتماد، والتي عادة ما تكون المرحلة الأولى من هجوم برامج الفدية الضارة الأكبر.

تعزيز مستوى أمان تسجيل الدخول

استخدم المصادقة بدون كلمة مرور لحسابات المستخدمين في معرف Microsoft Entra.

أثناء الانتقال إلى المصادقة بدون كلمة مرور، استخدم أفضل الممارسات هذه لحسابات المستخدمين التي لا تزال تستخدم مصادقة كلمة المرور:

• حظر كلمات المرور الضعيفة والمخصصة المعروفة باستخدام Microsoft Entra Password Protection.
• توسيع حظر كلمات المرور الضعيفة والمخصصة المعروفة إلى Active Directory محلي خدمات المجال (AD DS) باستخدام الحماية بكلمة المرور Microsoft Entra.
• السماح للمستخدمين بتغيير كلمات المرور الخاصة بهم باستخدام إعادة تعيين كلمة مرور الخدمة الذاتية (SSPR).

بعد ذلك، قم بتنفيذ نهج الوصول إلى الهوية والجهاز الشائعة. توفر هذه النهج أمانا أعلى للوصول إلى خدمات Microsoft 365 السحابية.

بالنسبة لتسجيل دخول المستخدم، تتضمن هذه النهج ما يلي:

• طلب مصادقة متعددة العوامل (MFA) للحسابات ذات الأولوية (على الفور) وفي النهاية جميع حسابات المستخدمين.
• تتطلب عمليات تسجيل دخول عالية المخاطر لاستخدام المصادقة متعددة العوامل.
• مطالبة المستخدمين ذوي المخاطر العالية الذين لديهم عمليات تسجيل دخول عالية المخاطر بتغيير كلمات المرور الخاصة بهم.

منع تصعيد الامتيازات

استخدم أفضل الممارسات التالية:

• تنفيذ مبدأ أقل امتياز واستخدام الحماية بكلمة مرور كما هو موضح في زيادة أمان تسجيل الدخول لحسابات المستخدمين التي لا تزال تستخدم كلمات المرور لتسجيل الدخول الخاصة بهم.
• تجنب استخدام حسابات الخدمة على مستوى المجال على مستوى المسؤول.
• تقييد الامتيازات الإدارية المحلية للحد من تثبيت أجنة طروادة الوصول عن بعد (RATs) والتطبيقات الأخرى غير المرغوب فيها.
• استخدم Microsoft Entra الوصول المشروط للتحقق صراحة من ثقة المستخدمين ومحطات العمل قبل السماح بالوصول إلى المداخل الإدارية. راجع هذا المثال لمدخل Microsoft Azure.
• تمكين إدارة كلمة مرور مسؤول المحلية.
• حدد مكان تسجيل الدخول إلى الحسابات ذات الامتيازات العالية وكشف بيانات الاعتماد. يجب ألا تكون الحسابات ذات الامتيازات العالية موجودة على محطات العمل.
• تعطيل التخزين المحلي لكلمات المرور وبيانات الاعتماد.

التأثير على المستخدمين وإدارة التغيير

يجب أن تجعل المستخدمين في مؤسستك على علم بما يلي:

• المتطلبات الجديدة لكلمات مرور أقوى.
• التغييرات في عمليات تسجيل الدخول، مثل الاستخدام المطلوب للمصادقة متعددة العوامل وتسجيل أسلوب المصادقة الثانوية للمصادقة متعددة العوامل.
• استخدام صيانة كلمة المرور مع SSPR. على سبيل المثال، لا مزيد من الاستدعاءات إلى مكتب المساعدة لإعادة تعيين كلمة المرور.
• المطالبة بمطالبة المصادقة متعددة العوامل أو تغيير كلمة المرور لتسجيلات الدخول التي تم تحديدها على أنها محفوفة بالمخاطر.

التكوين الناتج

فيما يلي حماية برامج الفدية الضارة للمستأجر الخاص بك للخطوات 1-3.

الخطوة التالية

تابع الخطوة 4 لحماية الأجهزة (نقاط النهاية) في مستأجر Microsoft 365.