Plán rychlé modernizace zabezpečení

Tento plán rychlé modernizace (RAMP) vám pomůže rychle přijmout doporučenou strategii privilegovaného přístupu od Microsoftu .

Tento plán vychází z technických kontrol zavedených v rámci pokynů pro nasazení privilegovaného přístupu . Proveďte tyto kroky a pak pomocí kroků v této rampě nakonfigurujte ovládací prvky pro vaši organizaci.

souhrn privilegovaného přístupu RAMP

Poznámka

Mnoho z těchto kroků bude mít dynamickou zelenou/brownfieldovou dynamiku, protože organizace často mají bezpečnostní rizika způsobem, jakým jsou už nasazené nebo nakonfigurované účty. Tento plán upřednostňuje zastavení akumulace nových rizik zabezpečení nejprve a později vyčistí zbývající položky, které už byly kumulovány.

Při procházení plánu můžete pomocí bezpečnostního skóre Microsoftu sledovat a porovnávat mnoho položek na cestě s ostatními v podobných organizacích v průběhu času. Přečtěte si další informace o skóre zabezpečení společnosti Microsoft v článku Přehled skóre zabezpečení.

Každá položka v tomto RAMPu je strukturovaná jako iniciativa, která se bude sledovat a spravovat pomocí formátu, který vychází z metodologie OKR (Objectives and Key Results). Každá položka obsahuje co (cíl), proč, kdo, jak a jak měřit (klíčové výsledky). Některé položky vyžadují změny procesů a znalostí nebo dovedností lidí, zatímco jiné jsou jednodušší technologické změny. Mnoho z těchto iniciativ bude zahrnovat členy mimo tradiční IT oddělení, které by mělo být součástí rozhodování a implementace těchto změn, aby se zajistilo, že jsou úspěšně integrovány do vaší organizace.

Je důležité spolupracovat jako organizace, vytvářet partnerství a informovat lidi, kteří tradičně nebyli součástí tohoto procesu. Je zásadní získat a udržovat podporu napříč organizací, bez ní mnoho projektů selhává.

Oddělení a správa privilegovaných účtů

Účty pro nouzový přístup

  • Co: Zajistěte, abyste v nouzové situaci nebyli omylem uzamčeni z organizace Microsoft Entra.
  • Proč: Účty pro nouzový přístup jsou zřídka používané a mohou být vysoce škodlivé pro organizaci, pokud dojde k jejich kompromitaci, ale je jejich dostupnost pro organizaci zásadní pro několik scénářů, kdy jsou potřebné. Ujistěte se, že máte plán pro kontinuitu přístupu, který vyhovuje očekávaným i neočekávaným událostem.
  • Kdo: Tuto iniciativu obvykle vede Správa identity a klíčů a/nebo Bezpečnostní architektura.
  • Jak: Postupujte podle pokynů v Microsoft Entra ID - správa účtů pro nouzový přístup.
  • Měření klíčových výsledků:
    • vytvořený proces nouzového přístupu byl navržen na základě pokynů Microsoftu, které splňují potřeby organizace.
    • udržovaný nouzový přístup byl zkontrolován a testován během posledních 90 dnů.

Povolení služby Microsoft Entra Privileged Identity Management

  • Co: Zjišťování a zabezpečení privilegovaných účtů pomocí microsoft Entra Privileged Identity Management (PIM) v produkčním prostředí Microsoft Entra
  • Proč: Privileged Identity Management poskytuje aktivaci role na základě času a schválení, která zmírňují rizika nadměrného, zbytečného nebo zneužití přístupových oprávnění.
  • Kdo: Tuto iniciativu obvykle vede Správa identity a klíčů a/nebo Bezpečnostní architektura.
  • Jak: Nasazení a konfigurace služby Microsoft Entra Privileged Identity Management s využitím pokynů v článku Nasazení služby Microsoft Entra Privileged Identity Management (PIM).
  • Měření klíčových výsledků: 100% příslušných rolí privilegovaného přístupu používá Microsoft Entra PIM

Identifikace a kategorizace privilegovaných účtů (ID Microsoft Entra)

  • Co: Identifikujte všechny role a skupiny s vysokým obchodním dopadem, které budou vyžadovat úroveň privilegovaného zabezpečení (okamžitě nebo v průběhu času). Tito správci budou potřebovat samostatné účty během pozdějšího kroku pro správu privilegovaného přístupu.

  • Proč: Tento krok je nutný k identifikaci a minimalizaci počtu osob, které vyžadují samostatné účty a privilegovanou ochranu přístupu.

  • Kdo: Tuto iniciativu obvykle vede Správa identity a klíčů a/nebo Bezpečnostní architektura.

  • Jak: Po zapnutí služby Microsoft Entra Privileged Identity Management si prohlédněte uživatele, kteří jsou minimálně v následujících rolích Microsoft Entra na základě zásad rizik vaší organizace:

    • Globální správce
    • Správce privilegovaných rolí
    • Správce Exchange
    • Správce SharePointu

    Úplný seznam rolí správce najdete v tématu Oprávnění rolí správce v Microsoft Entra ID.

    Odeberte všechny účty, které už v těchto rolích nepotřebujete. Potom kategorizovat zbývající účty přiřazené k rolím správce:

    • Přiřazeno administrativním uživatelům, ale také používáno k neadministrativním účelům produktivity, jako je čtení a odpovídání na e-maily.
    • Přiřazeno administrativním uživatelům a používáno pouze pro účely správy
    • Sdíleno mezi více uživateli
    • Scénáře nouzového přístupu typu 'rozbití skla'
    • Pro automatizované skripty
    • Pro externí uživatele

Pokud ve vaší organizaci nemáte Microsoft Entra Privileged Identity Management, můžete použít rozhraní API PowerShellu. Začněte s rolí globálního správce, protože má stejná oprávnění pro všechny cloudové služby, pro které se vaše organizace přihlásila k odběru. Tato oprávnění jsou udělena bez ohledu na to, kde byla přiřazena: v Centru pro správu Microsoftu 365, na webu Azure Portal nebo v modulu Azure AD pro Microsoft PowerShell.

  • Klíčové výsledky míry: Kontrola a identifikace rolí privilegovaného přístupu byla dokončena během posledních 90 dnů.

Samostatné účty (místní účty Active Directory)

  • Co: Zabezpečte místní privilegované účty pro správu, pokud jste to ještě neudělali. Tato fáze zahrnuje:

    • Vytváření samostatných účtů správců pro uživatele, kteří potřebují provádět místní úlohy správy
    • Nasazení pracovních stanic s privilegovaným přístupem pro správce služby Active Directory
    • Vytváření jedinečných hesel místních správců pro pracovní stanice a servery

  • Proč: Posílení účtů používaných pro administrativní úkoly Účty správce by měly mít zakázané e-maily a neměly by být povoleny žádné osobní účty Microsoft.

  • Kdo: Tuto iniciativu obvykle vede Správa identity a klíčů a/nebo Bezpečnostní architektura.

  • Jak: Všichni pracovníci, kteří mají oprávnění mít oprávnění správce, musí mít samostatné účty pro funkce správy, které se liší od uživatelských účtů. Nesdílejte tyto účty mezi uživateli.

    • standardní uživatelské účty – Uděleno standardní uživatelská oprávnění pro standardní uživatelské úlohy, jako je e-mail, procházení webu a používání obchodních aplikací. Těmto účtům se neudělují oprávnění správce.
    • účty pro správu – samostatné účty vytvořené pro pracovníky, kteří mají přiřazená příslušná oprávnění správce.

  • Měřit klíčové výsledky: 100% interních privilegovaných uživatelů mají samostatné vyhrazené účty

Microsoft Defender for Identity

  • Co: Microsoft Defender for Identity kombinuje místní signály s cloudovými přehledy, které monitorují, chrání a prošetřují události ve zjednodušeném formátu a umožňují týmům zabezpečení zjišťovat pokročilé útoky na infrastrukturu identit s možností:

    • Monitorování uživatelů, chování entit a aktivit pomocí analýz založených na učení
    • Ochrana identit uživatelů a přihlašovacích údajů uložených ve službě Active Directory
    • Identifikace a zkoumání podezřelých aktivit uživatelů a pokročilých útoků v rámci řetězu kill
    • Poskytovat jasné informace o incidentech na jednoduché časové ose pro rychlé třídění

  • Proč: Moderní útočníci mohou zůstat neodhaleni na dlouhou dobu. Mnoho hrozeb je obtížné najít bez soudržného obrázku celého prostředí identit.

  • Kdo: Tuto iniciativu obvykle vede Správa identity a klíčů a/nebo Bezpečnostní architektura.

  • Jak: Nasaďte a povolte Microsoft Defenderu for Identity a zkontrolujte všechna otevřená upozornění.

  • Měření klíčových výsledků: Všechna otevřená upozornění kontrolovaná a zmírněná příslušnými týmy.

Vylepšení prostředí pro správu přihlašovacích údajů

Implementace a zdokumentování samoobslužného resetování hesla a kombinované registrace bezpečnostních informací

  • Co: Povolte a nakonfigurujte samoobslužné resetování hesla (SSPR) ve vaší organizaci a povolte kombinované prostředí registrace bezpečnostních informací.
  • Proč: Uživatelé můžou po registraci resetovat svá vlastní hesla. Kombinované prostředí registrace informací o zabezpečení poskytuje lepší uživatelské prostředí, které umožňuje registraci pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla. Tyto nástroje při společném použití přispívají ke snížení nákladů na helpdesk a spokojenějších uživatelů.
  • Kdo: Tuto iniciativu obvykle vede Správa identity a klíčů a/nebo Bezpečnostní architektura.
  • Jak: Povolit a nasadit SSPR, viz článek Plánování samoobslužného resetování hesla Microsoft Entra.
  • Měření klíčových výsledků: Samoobslužné resetování hesla je plně nakonfigurované a dostupné pro organizaci

Ochrana účtů správců – Povolení a vyžadování vícefaktorového ověřování nebo bez hesla pro privilegované uživatele Microsoft Entra ID

  • Co: Vyžadovat, aby všechny privilegované účty v Microsoft Entra ID používaly silné vícefaktorové ověřování

  • Proč: Ochrana přístupu k datům a službám v Microsoftu 365

  • Kdo: Tuto iniciativu obvykle vede Správa identity a klíčů a/nebo Bezpečnostní architektura.

  • Jak: Zapněte vícefaktorové ověřování Microsoft Entra (MFA) a nechte registrovat všechny ostatní vysoce privilegované jednoúčelové nefederované účty správců. Vyžadovat vícefaktorové ověřování při přihlášení pro všechny jednotlivé uživatele, kteří jsou trvale přiřazeni k jedné nebo více role správce Microsoft Entra.

    Vyžadovat, aby správci používali metody přihlašování bez hesla, jako jsou klíče zabezpečení FIDO2 nebo Windows Hello pro firmy ve spojení s jedinečnými, dlouhými a složitými hesly. Tuto změnu vynucujte v dokumentu zásad organizace.

Postupujte podle pokynů v následujících článcích, Plánování nasazení vícefaktorového ověřování Microsoft Entra, a Plánování nasazení bezheslového ověřování v Microsoft Entra ID.

  • Měření klíčových výsledků: 100% privilegovaných uživatelů používá ověřování bez hesla nebo silnou formu vícefaktorového ověřování pro všechna přihlášení. Podívejte se na Účty privilegovaného přístupu pro popis vícefaktorového ověřování.

Blokování starších ověřovacích protokolů pro privilegované uživatelské účty

  • Co: Blokování starší verze ověřovacího protokolu pro privilegované uživatelské účty.

  • Proč: Organizace by měly blokovat tyto starší ověřovací protokoly, protože u nich nejde vynutit vícefaktorové ověřování. Povolení starších ověřovacích protokolů může útočníkům vytvořit vstupní bod. Některé starší aplikace můžou spoléhat na tyto protokoly a organizace, které mají možnost vytvořit pro určité účty konkrétní výjimky. Tyto výjimky by se měly sledovat a implementovat další kontrolní mechanismy monitorování.

  • Kdo: Tuto iniciativu obvykle vede Správa identity a klíčů a/nebo Bezpečnostní architektura.

  • Jak: blokovat starší ověřovací protokoly ve vaší organizaci, postupujte podle pokynů v článku Jak: Blokování starších ověřovacích protokolů ve službě Microsoft Entra ID s podmíněným přístupem.

  • Měření klíčových výsledků:

    • zablokované starší protokoly: Všechny starší protokoly jsou blokované pro všechny uživatele, pouze s autorizovanými výjimkami
    • výjimky se kontrolují každých 90 dnů a platnost vyprší trvale do jednoho roku. Vlastníci aplikací musí opravit všechny výjimky do jednoho roku od schválení první výjimky.
  • Co: Zakázat souhlas koncového uživatele s aplikacemi Microsoft Entra.

Poznámka

Tato změna bude vyžadovat centralizaci rozhodovacího procesu s týmy pro správu zabezpečení a identit vaší organizace.

Vyčištění účtu a rizik přihlašování

  • What: Povolte Microsoft Entra ID Protection a vyčistěte jakákoli rizika, která najde.
  • Proč: Rizikové chování uživatele a přihlašování může být zdrojem útoků na vaši organizaci.
  • Kdo: Tuto iniciativu obvykle vede Správa identity a klíčů a/nebo Bezpečnostní architektura.
  • Jak: Vytvořte proces, který monitoruje a spravuje rizika uživatelů a přihlašování. Rozhodněte se, jestli budete automatizovat nápravu pomocí vícefaktorového ověřování Microsoft Entra a SSPR nebo blokovat a vyžadovat zásah správce. Postupujte podle pokynů v článku Postupy: Konfigurace a povolení zásad rizik.
  • Měření klíčových výsledků: Organizace nemá žádná nevyřešená rizika týkající se uživatelů a přihlášení.

Poznámka

Zásady podmíněného přístupu jsou vyžadovány, aby se zabraňovaly vzniku nových rizik přihlašování. Viz část Podmíněný přístup v rámci nasazení privilegovaného přístupu

Počáteční nasazení pracovních stanic pro správu

  • Co: Privilegované účty, jako ty spravující Microsoft Entra ID, mají vyhrazené pracovní stanice pro provádění úloh správy.
  • Proč: Zařízení, kde jsou dokončeny úlohy privilegované správy, jsou cílem útočníků. Zabezpečení nejen účtu, ale i těchto prostředků je důležité při omezení prostoru pro útoky. Toto oddělení omezuje jejich vystavení běžným útokům zaměřeným na úlohy související s produktivitou, jako je e-mail a procházení webu.
  • Kdo: Tuto iniciativu obvykle vede Správa identity a klíčů a/nebo Bezpečnostní architektura.
  • Jak: Počáteční nasazení by mělo být na úrovni Enterprise, jak je popsáno v článku nasazení privilegovaného přístupu
  • Měření klíčových výsledků: Každý privilegovaný účet má vyhrazenou pracovní stanici pro provádění citlivých úloh.

Poznámka

Tento krok rychle vytvoří standardní hodnoty zabezpečení a musí být co nejdříve zvýšen na specializované a privilegované úrovně.

Další kroky

  • Last updated on