Sdílet prostřednictvím


Plán rychlé modernizace zabezpečení

Tento plán rychlé modernizace (RAMP) vám pomůže rychle přijmout doporučenou strategii privilegovaného přístupu od Microsoftu.

Tento plán vychází z technických kontrol vytvořených v pokynech k nasazení privilegovaného přístupu. Proveďte tyto kroky a pak pomocí kroků v této rampě nakonfigurujte ovládací prvky pro vaši organizaci.

Souhrn privilegovaného přístupu RAMP

Poznámka:

Mnoho z těchto kroků bude mít dynamickou zelenou/brownfieldovou dynamiku, protože organizace často mají bezpečnostní rizika způsobem, jakým jsou už nasazené nebo nakonfigurované účty. Tento plán upřednostňuje zastavení akumulace nových rizik zabezpečení nejprve a později vyčistí zbývající položky, které už byly kumulovány.

Při procházení plánu můžete pomocí bezpečnostního skóre Microsoftu sledovat a porovnávat mnoho položek na cestě s ostatními v podobných organizacích v průběhu času. Další informace o skóre zabezpečení microsoftu najdete v článku Přehled skóre zabezpečení.

Každá položka v této rampě je strukturovaná jako iniciativa, která se bude sledovat a spravovat pomocí formátu, který vychází z cílů a klíčové metodologie výsledků (OKR). Každá položka obsahuje co (cíl), proč, kdo, jak a jak měřit (klíčové výsledky). Některé položky vyžadují změny procesů a znalostí nebo dovedností lidí, zatímco jiné jsou jednodušší technologické změny. Mnoho z těchto iniciativ bude zahrnovat členy mimo tradiční IT oddělení, které by mělo být součástí rozhodování a implementace těchto změn, aby se zajistilo, že jsou úspěšně integrovány do vaší organizace.

Je důležité spolupracovat jako organizace, vytvářet partnerství a informovat lidi, kteří tradičně nebyli součástí tohoto procesu. Je důležité vytvářet a udržovat nákupy v celé organizaci, aniž by se nezdařilo mnoho projektů.

Oddělení a správa privilegovaných účtů

Nouzové přístupové účty

  • Co: Ujistěte se, že jste omylem nezamknuli z vaší organizace Microsoft Entra v nouzové situaci.
  • Proč: Účty pro nouzový přístup zřídka používané a vysoce škodlivé pro organizaci, pokud dojde k ohrožení zabezpečení, ale jejich dostupnost pro organizaci je důležitá i pro několik scénářů, kdy jsou potřeba. Ujistěte se, že máte plán pro kontinuitu přístupu, který vyhovuje očekávaným i neočekávaným událostem.
  • Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
    • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
    • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
  • Postupy: Postupujte podle pokynů v části Správa účtů pro nouzový přístup v Microsoft Entra ID.
  • Měření klíčových výsledků:
    • Zavedený proces nouzového přístupu byl navržen na základě pokynů Microsoftu, které splňují potřeby organizace.
    • Udržovaný nouzový přístup byl zkontrolován a testován během posledních 90 dnů.

Povolení služby Microsoft Entra Privileged Identity Management

  • Co: Použití microsoft Entra Privileged Identity Management (PIM) v produkčním prostředí Microsoft Entra k zjišťování a zabezpečení privilegovaných účtů
  • Proč: Privileged Identity Management poskytuje aktivaci role na základě času a schválení, která zmírňují rizika nadměrného, zbytečného nebo zneužití přístupových oprávnění.
  • Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
    • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
    • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
  • Postupy: Nasazení a konfigurace služby Microsoft Entra Privileged Identity Management s využitím pokynů v článku Nasazení služby Microsoft Entra Privileged Identity Management (PIM)
  • Klíčové výsledky měření: 100 % platných privilegovaných přístupových rolí používá Microsoft Entra PIM

Identifikace a kategorizace privilegovaných účtů (ID Microsoft Entra)

  • Co: Identifikace všech rolí a skupin s vysokým obchodním dopadem, které budou vyžadovat úroveň privilegovaného zabezpečení (okamžitě nebo v průběhu času). Tito správci budou potřebovat samostatné účty v pozdějším kroku správy privilegovaného přístupu.

  • Proč: Tento krok je nutný k identifikaci a minimalizaci počtu lidí, kteří vyžadují samostatné účty a ochranu privilegovaného přístupu.

  • Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.

    • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
    • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
  • Postupy: Po zapnutí služby Microsoft Entra Privileged Identity Management zobrazte uživatele, kteří jsou minimálně v následujících rolích Microsoft Entra, na základě zásad rizik vaší organizace:

    • Globální správce
    • Správce privilegovaných rolí
    • Správce Exchange
    • SharePoint Správa istrator

    Úplný seznam rolí správce najdete v tématu Správa istrator role oprávnění v Microsoft Entra ID.

    Odeberte všechny účty, které už v těchto rolích nepotřebujete. Potom kategorizovat zbývající účty přiřazené k rolím správce:

    • Přiřazeno administrativním uživatelům, ale používá se také pro nesprávě pro účely produktivity, jako je čtení a odpovídání na e-maily.
    • Přiřazeno administrativním uživatelům a používáno pouze pro účely správy
    • Sdíleno mezi více uživateli
    • Scénáře nouzového přístupu
    • Pro automatizované skripty
    • Pro externí uživatele

Pokud ve vaší organizaci nemáte Microsoft Entra Privileged Identity Management, můžete použít rozhraní API PowerShellu. Začněte s rolí Globální Správa istrator, protože má stejná oprávnění pro všechny cloudové služby, pro které se vaše organizace přihlásila k odběru. Tato oprávnění jsou udělena bez ohledu na to, kde byla přiřazena: na webu Centrum pro správu Microsoftu 365, na webu Azure Portal nebo v modulu Azure AD pro Microsoft PowerShell.

  • Klíčové výsledky měření: Kontrola a identifikace rolí privilegovaného přístupu byla dokončena během posledních 90 dnů.

Samostatné účty (místní účty AD)

  • Co: Zabezpečte místní privilegované účty pro správu, pokud jste to ještě neudělali. Tato fáze zahrnuje:

    • Vytváření samostatných účtů správců pro uživatele, kteří potřebují provádět místní úlohy správy
    • Nasazení pracovních stanic s privilegovaným přístupem pro správce služby Active Directory
    • Vytváření jedinečných hesel místních správců pro pracovní stanice a servery
  • Proč: Posílení zabezpečení účtů používaných pro úlohy správy Účty správce by měly mít zakázané e-maily a neměly by být povoleny žádné osobní účty Microsoft.

  • Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.

    • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
    • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
  • Postupy: Všichni pracovníci, kteří mají oprávnění mít oprávnění správce, musí mít samostatné účty pro funkce správy, které se liší od uživatelských účtů. Tyto účty nesdílejte mezi uživateli.

    • Standardní uživatelské účty – udělena standardní uživatelská oprávnění pro standardní uživatelské úkoly, jako je například e-mail, prohlížení webu a použití obchodních aplikací. Těmto účtům se neudělují oprávnění správce.
    • Účty správců – samostatné účty vytvořené pro pracovníky, kteří mají přiřazená příslušná oprávnění ke správě.
  • Klíčové výsledky měření: 100 % místních privilegovaných uživatelů má samostatné vyhrazené účty.

Microsoft Defender for Identity

  • Co: Microsoft Defender for Identity kombinuje místní signály s cloudovými přehledy, které monitorují, chrání a prošetřují události ve zjednodušeném formátu, což týmům zabezpečení umožňuje zjišťovat pokročilé útoky na infrastrukturu identit s možností:

    • Monitorování uživatelů, chování entit a aktivit pomocí analýz založených na učení
    • Ochrana identit uživatelů a přihlašovacích údajů uložených v Active Directory
    • Identifikace a zkoumání podezřelých aktivit uživatelů a pokročilých útoků v rámci řetězu kill
    • Poskytnutí jasných informací oincidentch
  • Proč: Moderní útočníci můžou zůstat nezjištění po dlouhou dobu. Mnoho hrozeb je obtížné najít bez soudržného obrázku celého prostředí identit.

  • Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.

    • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
    • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
  • Postupy: Nasaďte a povolte Microsoft Defender for Identity a zkontrolujte všechna otevřená upozornění.

  • Měření klíčových výsledků: Všechna otevřená upozornění kontrolovaná a zmírněná příslušnými týmy.

Vylepšení prostředí pro správu přihlašovacích údajů

Implementace a zdokumentování samoobslužného resetování hesla a kombinované registrace bezpečnostních informací

  • Co: Povolte a nakonfigurujte samoobslužné resetování hesla (SSPR) ve vaší organizaci a povolte kombinované prostředí registrace bezpečnostních informací.
  • Proč: Uživatelé můžou po registraci resetovat svá vlastní hesla. Kombinované prostředí registrace informací o zabezpečení poskytuje lepší uživatelské prostředí, které umožňuje registraci pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla. Tyto nástroje při společném použití přispívají ke snížení nákladů na helpdesk a spokojenějších uživatelů.
  • Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
  • Postupy: Povolení a nasazení SSPR najdete v článku Plánování samoobslužného resetování hesla Microsoft Entra.
  • Klíčové výsledky měření: Samoobslužné resetování hesla je plně nakonfigurované a dostupné pro organizaci

Ochrana účtů správců – Povolení a vyžadování vícefaktorového ověřování nebo bez hesla pro privilegované uživatele Microsoft Entra ID

  • Co: Vyžadování všech privilegovaných účtů v MICROSOFT Entra ID k použití silného vícefaktorového ověřování

  • Proč: Ochrana přístupu k datům a službám v Microsoftu 365

  • Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.

  • Postupy: Zapněte vícefaktorové ověřování Microsoft Entra (MFA) a zaregistrujte všechny ostatní vysoce privilegované účty správců bez federovaného uživatele. Vyžadovat vícefaktorové ověřování při přihlášení pro všechny jednotlivé uživatele, kteří jsou trvale přiřazeni k jedné nebo více rolím správce Microsoft Entra.

    Vyžadovat, aby správci používali metody přihlašování bez hesla, jako jsou klíče zabezpečení FIDO2 nebo Windows Hello pro firmy ve spojení s jedinečnými, dlouhými a složitými hesly. Tuto změnu vynucujte v dokumentu zásad organizace.

Postupujte podle pokynů v následujících článcích, naplánujte nasazení vícefaktorového ověřování Microsoft Entra a naplánujte nasazení ověřování bez hesla v Microsoft Entra ID.

  • Klíčové výsledky měření: 100 % privilegovaných uživatelů používá ověřování bez hesla nebo silnou formu vícefaktorového ověřování pro všechna přihlášení. Popis vícefaktorového ověřování najdete v tématu Účty privilegovaného přístupu.

Blokování starších ověřovacích protokolů pro privilegované uživatelské účty

  • Co: Blokování starší verze ověřovacího protokolu pro privilegované uživatelské účty

  • Proč: Organizace by měly blokovat tyto starší ověřovací protokoly, protože u nich nejde vynutit vícefaktorové ověřování. Povolení starších ověřovacích protokolů může útočníkům vytvořit vstupní bod. Některé starší aplikace můžou spoléhat na tyto protokoly a organizace, které mají možnost vytvořit pro určité účty konkrétní výjimky. Tyto výjimky by se měly sledovat a implementovat další kontrolní mechanismy monitorování.

  • Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.

    • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
    • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
  • Postupy: Blokování starších ověřovacích protokolů ve vaší organizaci postupujte podle pokynů v článku Postupy: Blokování starší verze ověřování pro Microsoft Entra ID pomocí podmíněného přístupu.

  • Měření klíčových výsledků:

    • Blokované starší verze protokolů: Všechny starší protokoly jsou blokované pro všechny uživatele s pouze autorizovanými výjimkami.
    • Výjimky se kontrolují každých 90 dnů a platnost vyprší trvale do jednoho roku. Vlastníci aplikací musí opravit všechny výjimky do jednoho roku od schválení první výjimky.
  • Co: Zakažte souhlas koncového uživatele s aplikacemi Microsoft Entra.

Poznámka:

Tato změna bude vyžadovat centralizaci rozhodovacího procesu s týmy pro správu zabezpečení a identit vaší organizace.

Vyčištění účtu a rizik přihlašování

  • Co: Povolte ochranu Microsoft Entra ID Protection a vyčistěte všechna rizika, která najde.
  • Proč: Rizikové chování uživatele a přihlašování může být zdrojem útoků na vaši organizaci.
  • Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
    • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
    • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
  • Postupy: Vytvoření procesu, který monitoruje a spravuje rizika uživatelů a přihlašování. Rozhodněte se, jestli budete automatizovat nápravu pomocí vícefaktorového ověřování Microsoft Entra a SSPR nebo blokovat a vyžadovat zásah správce. Postupujte podle pokynů v článku Postupy: Konfigurace a povolení zásad rizik.
  • Klíčové výsledky měření: Organizace má nulová neadresovaná rizika uživatelů a přihlášení.

Poznámka:

Zásady podmíněného přístupu se vyžadují, aby se blokovaly nabíhání nových rizik přihlašování. Viz část Podmíněný přístup nasazení privilegovaného přístupu.

počáteční nasazení pracovních stanic Správa

  • Co: Privilegované účty, jako jsou účty, které spravují ID Microsoft Entra, mají vyhrazené pracovní stanice pro provádění úloh správy z.
  • Proč: Zařízení, kde jsou dokončeny úlohy privilegované správy, jsou cílem útočníků. Zabezpečení nejen účtu, ale i těchto prostředků je důležité při omezení prostoru pro útoky. Toto oddělení omezuje jejich vystavení běžným útokům zaměřeným na úlohy související s produktivitou, jako je e-mail a procházení webu.
  • Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
  • Postupy: Počáteční nasazení by mělo být na úrovni Podniku, jak je popsáno v článku Nasazení privilegovaného přístupu
  • Měření klíčových výsledků: Každý privilegovaný účet má vyhrazenou pracovní stanici pro provádění citlivých úloh z.

Poznámka:

Tento krok rychle vytvoří standardní hodnoty zabezpečení a musí být co nejdříve zvýšen na specializované a privilegované úrovně.

Další kroky