Předdefinované klasifikace
Správa míry rizika zabezpečení poskytuje předem připravený katalog předdefinovaných kritických klasifikací prostředků pro prostředky, které zahrnují zařízení, identity a cloudové prostředky.
Kritické prostředky můžete kontrolovat a klasifikovat a podle potřeby je zapínat a vypínat.
Pokud chcete navrhnout nové klasifikace kritických prostředků, použijte tlačítko Váš názor .
Typy aktuálních aktiv jsou:
Device
Klasifikace | Typ prostředku | Výchozí úroveň závažnosti | Popis |
---|---|---|---|
Microsoft Entra ID Connect | Device | Střední | Server Microsoft Entra ID Connect (dříve označovaný jako AAD Connect) zodpovídá za synchronizaci dat a hesel místního adresáře s tenantem Microsoft Entra ID. |
ADCS | Device | Střední | Server ADCS umožňuje správcům plně implementovat infrastrukturu veřejných klíčů (PKI) a vydávat digitální certifikáty, které lze použít k zabezpečení více prostředků v síti. ADCS je navíc možné použít pro různá řešení zabezpečení, jako je šifrování SSL, ověřování uživatelů a zabezpečený e-mail. |
AD FS | Device | High (Vysoká) | Server AD FS poskytuje uživatelům přístup k systémům a aplikacím umístěným přes hranice organizace s jednotným přihlašováním. Používá model autorizace řízení přístupu na základě deklarací identity k zajištění zabezpečení aplikací a implementaci federované identity. |
Zálohování | Device | Střední | Zálohovací server zodpovídá za ochranu dat prostřednictvím pravidelného zálohování a zajišťuje ochranu dat a připravenost na zotavení po havárii. |
Zařízení Správa domény | Device | High (Vysoká) | Zařízení správce domény jsou zařízení, ke kterým je často přihlášen jeden nebo více správců domény. Na těchto zařízeních se pravděpodobně ukládají související soubory, dokumenty a přihlašovací údaje používané správci domény. |
Řadič domény | Device | High (Vysoká) | Server řadiče domény zodpovídá za ověřování uživatelů, autorizaci a centralizovanou správu síťových prostředků v rámci domény služby Active Directory. |
DNS | Device | Nízký | Server DNS je nezbytný pro překlad názvů domén na IP adresy, což umožňuje síťovou komunikaci a přístup k prostředkům interně i externě. |
Exchange | Device | Střední | Server Exchange zodpovídá za veškerý poštovní provoz v rámci organizace. V závislosti na nastavení a architektuře může každý server obsahovat několik poštovních databází, které ukládají vysoce citlivé informace organizace. |
SCCM | Device | Střední | SCCM slouží ke správě koncových bodů ve velké síti, včetně správy oprav, distribuce softwaru a správy inventáře. |
Zařízení Správa IT | Device | Střední | Kritická zařízení používaná ke konfiguraci, správě a monitorování prostředků v organizaci jsou nezbytná pro správu IT a jsou vystavena vysokému riziku kybernetických hrozeb. Vyžadují zabezpečení nejvyšší úrovně, aby se zabránilo neoprávněnému přístupu. |
Zařízení Správa sítě | Device | Střední | Kritická zařízení používaná ke konfiguraci, správě a monitorování síťových prostředků v organizaci jsou nezbytná pro správu sítě a jsou vystavena vysokému riziku kybernetických hrozeb. Vyžadují zabezpečení nejvyšší úrovně, aby se zabránilo neoprávněnému přístupu. |
VMware ESXi | Device | High (Vysoká) | Hypervisor VMware ESXi je nezbytný pro provoz a správu virtuálních počítačů v rámci vaší infrastruktury. Jako holý hypervisor poskytuje základ pro vytváření a správu virtuálních prostředků. |
VMware vCenter | Device | High (Vysoká) | VMware vCenter Server je zásadní pro správu virtuálních prostředí. Poskytuje centralizovanou správu virtuálních počítačů a hostitelů ESXi. Pokud selže, může to narušit správu a kontrolu vaší virtuální infrastruktury, včetně zřizování, migrace, vyrovnávání zatížení virtuálních počítačů a automatizace datacenter. Vzhledem k tomu, že existují často redundantní servery vCenter a konfigurace vysoké dostupnosti, nemusí dojít k okamžitému zastavení všech operací. Jeho selhání může stále způsobovat značné potíže a potenciální problémy s výkonem. |
Hyper-V Server | Device | High (Vysoká) | Hypervisor Hyper-V je nezbytný pro provozování a správu virtuálních počítačů v rámci vaší infrastruktury a slouží jako základní platforma pro jejich vytváření a správu. Pokud hostitel Hyper-V selže, může to vést k nedostupnosti hostovaných virtuálních počítačů, což může způsobit výpadky a narušit obchodní provoz. Kromě toho může vést k významnému snížení výkonu a provozním problémům. Zajištění spolehlivosti a stability hostitelů Hyper-V je proto důležité pro zachování bezproblémového provozu ve virtuálním prostředí. |
Identita
Klasifikace | Typ prostředku | Výchozí úroveň závažnosti | Popis |
---|---|---|---|
Identita s privilegovanou rolí Azure | Identita | High (Vysoká) | Následující identity (uživatel, skupina, instanční objekt nebo spravovaná identita) mají přiřazenou integrovanou nebo vlastní privilegovanou roli Azure RBAC v oboru předplatného, která obsahuje kritický prostředek. Role může zahrnovat oprávnění pro přiřazení rolí Azure, úpravy zásad Azure, spouštění skriptů na virtuálním počítači pomocí příkazu Spustit, přístup pro čtení k účtům úložiště a svazkům klíčů a další. |
Správce aplikací | Identita | Velmi vysoká | Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. |
Vývojář aplikací | Identita | High (Vysoká) | Uživatelé v této roli můžou vytvářet registrace aplikací nezávisle na nastavení Uživatelé můžou registrovat aplikace. |
Správce ověřování | Identita | Velmi vysoká | Uživatelé s touto rolí můžou nastavit a resetovat metodu ověřování (včetně hesel) pro uživatele bez oprávnění správce. |
Správce sady klíčů B2C IEF | Identita | High (Vysoká) | Uživatelé v této roli můžou spravovat tajné kódy pro federaci a šifrování v rozhraní Identity Experience Framework (IEF). |
Správce cloudových aplikací | Identita | Velmi vysoká | Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací kromě proxy aplikací. |
Správce cloudových zařízení | Identita | High (Vysoká) | Uživatelé v této roli mají omezený přístup ke správě zařízení v Microsoft Entra ID. Můžou povolit, zakázat a odstranit zařízení v Microsoft Entra ID a číst Windows 10 klíče nástroje BitLocker (pokud existují) v Azure Portal. |
Správce podmíněného přístupu | Identita | High (Vysoká) | Uživatelé s touto rolí mají možnost spravovat Microsoft Entra nastavení podmíněného přístupu. |
Účty synchronizace adresářů | Identita | Velmi vysoká | Uživatelé s touto rolí mají možnost spravovat všechna nastavení synchronizace adresářů. Měla by být používána pouze službou Microsoft Entra Connect. |
Tvůrci adresářů | Identita | High (Vysoká) | Uživatelé v této roli můžou číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele. |
Globální správce | Identita | Velmi vysoká | Uživatelé v této roli můžou spravovat všechny aspekty Microsoft Entra ID a služeb Microsoftu, které používají Microsoft Entra identity. |
Globální čtenář | Identita | High (Vysoká) | Uživatelé v této roli můžou číst všechno, co může globální správce, ale ne aktualizovat nic. |
Správce helpdesku | Identita | Velmi vysoká | Uživatelé s touto rolí můžou resetovat hesla nesprávců a správců helpdesku. |
Správce hybridní identity | Identita | Velmi vysoká | Uživatelé v této roli můžou spravovat službu Active Directory tak, aby Microsoft Entra zřizování cloudu, Microsoft Entra Connect, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. |
správce Intune | Identita | Velmi vysoká | Uživatelé v této roli můžou spravovat všechny aspekty Intune produktu. |
Partneři z 1. vrstvy poskytující podporu | Identita | Velmi vysoká | Uživatelé s touto rolí můžou resetovat hesla pro uživatele, kteří nejsou správci, aktualizovat přihlašovací údaje pro aplikace, vytvářet a odstraňovat uživatele a vytvářet udělení oprávnění OAuth2. Tato role je zastaralá a v budoucnu se z Microsoft Entra ID odebere. Nepoužívejte – není určeno pro obecné použití. |
Partneři ze 2. vrstvy poskytující podporu | Identita | Velmi vysoká | Uživatelé s touto rolí můžou resetovat hesla pro všechny uživatele (včetně globálních správců), aktualizovat přihlašovací údaje pro aplikace, vytvářet a odstraňovat uživatele a vytvářet udělení oprávnění OAuth2. Tato role je zastaralá a v budoucnu se z Microsoft Entra ID odebere. Nepoužívejte – není určeno pro obecné použití. |
Správce hesel | Identita | Velmi vysoká | Uživatelé s touto rolí můžou resetovat hesla pro nesprávce a správce hesel. |
Správce privilegovaného ověřování | Identita | Velmi vysoká | Uživatelé v této roli můžou zobrazovat, nastavovat a resetovat informace o metodách ověřování pro libovolného uživatele (správce nebo správce). |
Správce privilegovaných rolí | Identita | High (Vysoká) | Uživatelé v této roli můžou spravovat přiřazení rolí v Microsoft Entra ID a všechny aspekty Privileged Identity Management. |
Správce zabezpečení | Identita | High (Vysoká) | Uživatelé v této roli můžou číst informace o zabezpečení a sestavy a spravovat konfiguraci v Microsoft Entra ID a Office 365. |
Operátor zabezpečení | Identita | High (Vysoká) | Uživatelé v této roli můžou vytvářet a spravovat události zabezpečení. |
Čtenář zabezpečení | Identita | High (Vysoká) | Uživatelé v této roli můžou číst informace o zabezpečení a sestavy v Microsoft Entra ID a Office 365. |
Správce uživatelů | Identita | Velmi vysoká | Uživatelé v této roli můžou spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce. |
Správce Exchange | Identita | High (Vysoká) | Uživatelé v této roli můžou spravovat všechny aspekty produktu Exchange. |
Správce SharePointu | Identita | High (Vysoká) | Uživatelé v této roli můžou spravovat všechny aspekty služby SharePoint. |
Správce dodržování předpisů | Identita | High (Vysoká) | Uživatelé v této roli můžou číst a spravovat konfigurace a sestavy dodržování předpisů v Microsoft Entra ID a Microsoft 365. |
správce Skupiny | Identita | High (Vysoká) | Uživatelé s touto rolí můžou vytvářet a spravovat skupiny a nastavení skupin, jako jsou zásady pojmenování a vypršení platnosti, a zobrazovat sestavy aktivit skupiny a auditů. |
Správce externího zprostředkovatele identity | Identita | Velmi vysoká | Uživatelé v této roli můžou nakonfigurovat zprostředkovatele identit pro použití v přímé federaci. |
Správce názvů domén | Identita | Velmi vysoká | Uživatelé v této roli můžou spravovat názvy domén v cloudu i místně. |
správce Správa oprávnění | Identita | Velmi vysoká | Uživatelé v této roli můžou spravovat všechny aspekty Správa oprávnění Microsoft Entra (EPM). |
Správce fakturace | Identita | High (Vysoká) | Uživatelé v této roli můžou provádět běžné úlohy související s fakturací, jako je aktualizace platebních údajů. |
Správce licencí | Identita | High (Vysoká) | Uživatelé v této roli můžou spravovat licence na produkty pro uživatele a skupiny. |
Správce Teams | Identita | High (Vysoká) | Uživatelé v této roli můžou spravovat službu Microsoft Teams. |
správce toku uživatelů Externí ID | Identita | High (Vysoká) | Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty toků uživatelů. |
správce atributů toku uživatele Externí ID | Identita | High (Vysoká) | Uživatelé v této roli můžou vytvářet a spravovat schéma atributů, které je dostupné pro všechny toky uživatelů. |
B2C IEF Policy Administrator | Identita | High (Vysoká) | Uživatelé v této roli můžou vytvářet a spravovat zásady architektury důvěryhodnosti v rozhraní IEF (Identity Experience Framework). |
Správce dat dodržování předpisů | Identita | High (Vysoká) | Uživatelé v této roli můžou vytvářet a spravovat obsah dodržování předpisů. |
Správce zásad ověřování | Identita | High (Vysoká) | Uživatelé v této roli můžou vytvářet a spravovat zásady metod ověřování, nastavení vícefaktorového ověřování pro celého tenanta, zásady ochrany heslem a ověřitelné přihlašovací údaje. |
Správce znalostí | Identita | High (Vysoká) | Uživatelé v této roli můžou konfigurovat znalosti, učení a další inteligentní funkce. |
Knowledge Manager | Identita | High (Vysoká) | Uživatelé v této roli můžou organizovat, vytvářet, spravovat a propagovat témata a znalosti. |
Správce definic atributů | Identita | High (Vysoká) | Uživatelé v této roli můžou definovat a spravovat definici vlastních atributů zabezpečení. |
Správce přiřazení atributů | Identita | High (Vysoká) | Uživatelé v této roli můžou k podporovaným Microsoft Entra objektům přiřadit vlastní klíče a hodnoty atributů zabezpečení. |
Správce zásad správného řízení identit | Identita | High (Vysoká) | Uživatelé s touto rolí můžou spravovat přístup pomocí Microsoft Entra ID pro scénáře zásad správného řízení identit. |
správce Cloud App Security | Identita | High (Vysoká) | Uživatelé v této roli můžou spravovat všechny aspekty Defender for Cloud Apps produktu. |
správce Windows 365 | Identita | High (Vysoká) | Uživatelé v této roli můžou zřizovat a spravovat všechny aspekty cloudových počítačů. |
Správce Yammeru | Identita | High (Vysoká) | Uživatelé v této roli můžou spravovat všechny aspekty služby Yammer. |
Správce rozšiřitelnosti ověřování | Identita | High (Vysoká) | Uživatelé s touto rolí můžou přizpůsobit prostředí pro přihlašování a registraci uživatelů vytvořením a správou vlastních rozšíření ověřování. |
Správce pracovních postupů životního cyklu | Identita | High (Vysoká) | Uživatelé v této roli vytvářejí a spravují všechny aspekty pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v Microsoft Entra ID. |
Cloudový prostředek
Klasifikace | Typ prostředku | Výchozí úroveň závažnosti | Popis |
---|---|---|---|
Databáze s citlivými daty | Cloudový prostředek | High (Vysoká) | Toto je úložiště dat, které obsahuje citlivá data. Citlivost dat může být v rozsahu tajných kódů, důvěrných dokumentů, identifikovatelných osobních údajů a dalších. |
Důvěrné virtuální počítač Azure | Cloudový prostředek | High (Vysoká) | Toto pravidlo platí pro důvěrné virtuální počítače Azure. Důvěrné virtuální počítače poskytují zvýšenou izolaci, ochranu osobních údajů a šifrování a používají se pro kritická nebo vysoce citlivá data a úlohy. |
Uzamčený virtuální počítač Azure | Cloudový prostředek | Střední | Jedná se o virtuální počítač, který je chráněn zámkem. Zámky slouží k ochraně prostředků před odstraněním a úpravami. Správci obvykle používají zámky k ochraně důležitých cloudových prostředků ve svém prostředí a k ochraně před náhodným odstraněním a neoprávněnými úpravami. |
Virtuální počítač Azure s vysokou dostupností a výkonem | Cloudový prostředek | Nízký | Toto pravidlo platí pro virtuální počítače Azure, které používají službu Azure Storage úrovně Premium a jsou nakonfigurované se sadou dostupnosti. Premium Storage se používá pro počítače s vysokými požadavky na výkon, jako jsou produkční úlohy. Skupiny dostupnosti zlepšují odolnost a často se označují pro důležité obchodní virtuální počítače, které potřebují vysokou dostupnost. |
Neměnná služba Azure Storage | Cloudový prostředek | Střední | Toto pravidlo platí pro účty úložiště Azure, které mají povolenou podporu neměnnosti. Neměnnost ukládá obchodní data do stavu zápisu po přečtení N (WORM) a obvykle značí, že účet úložiště obsahuje kritická nebo citlivá data, která je potřeba chránit před úpravami. |
Neměnné a uzamčené úložiště Azure | Cloudový prostředek | High (Vysoká) | Toto pravidlo platí pro účty úložiště Azure, které mají povolenou podporu neměnnosti pomocí uzamčených zásad. Neměnnost ukládá obchodní data do zápisu po přečtení n (WORM). Ochrana dat se zvyšuje pomocí uzamčených zásad, aby se zajistilo, že data nelze odstranit nebo zkrátit dobu jejich uchovávání. Tato nastavení obvykle indikují, že účet úložiště uchovává důležitá nebo citlivá data, která je potřeba chránit před úpravami nebo odstraněním. Data můžou také potřebovat zajistit soulad se zásadami dodržování předpisů kvůli ochraně dat. |
Virtuální počítač Azure s přihlášeným kritickým uživatelem | Cloudový prostředek | High (Vysoká) | Toto pravidlo platí pro virtuální počítače chráněné defenderem for Endpoint, kde je přihlášený uživatel s vysokou nebo velmi vysokou úrovní důležitosti. Přihlášený uživatel může být prostřednictvím připojeného nebo registrovaného zařízení, aktivní relace prohlížeče nebo jiných prostředků. |
Azure Key Vault s mnoha připojenými identitami | Cloudový prostředek | High (Vysoká) | Toto pravidlo identifikuje trezory klíčů, ke kterým má ve srovnání s jinými službami Key Vault přístup velký počet identit. Často to značí, že Key Vault používají kritické úlohy, jako jsou produkční služby. |