שלב 3: הגן על זהויות

השתמש בסעיפים הבאים כדי להגן על הארגון שלך מפני פשרה באישור, שהוא בדרך כלל השלב הראשון של התקפה גדולה יותר של תוכנת כופר.

הגבר את אבטחת הכניסה

השתמש באימות ללא סיסמה עבור חשבונות משתמשים Microsoft Entra זהה.

במהלך המעבר לאימות ללא סיסמה, השתמש בשיטות עבודה מומלצות אלה עבור חשבונות משתמשים שעדיין משתמשים באימות סיסמה:

• חסום סיסמאות חלשות ות מותאמות אישית מוכרות באמצעות Microsoft Entra סיסמה.
• הרחב את חסימת הסיסמאות החלשה והסיסמאות המותאמות אישית הידועות לסיסמאות Active Directory מקומי Domain Services (AD DS) באמצעות Microsoft Entra סיסמה.
• אפשר למשתמשים לשנות את הסיסמאות שלהם באמצעות איפוס סיסמה בשירות עצמי (SSPR).

לאחר מכן, יישם את מדיניות הגישה הנפוצה לזהות ולמכשירים. מדיניות זו מספקת אבטחה גבוהה יותר לגישה לשירותי ענן של Microsoft 365.

עבור פרטי כניסה של משתמשים, פריטי מדיניות אלה כוללים:

• דרישת אימות רב-גורמי (MFA) עבור חשבונות עדיפות (מיד) ובסופו של דבר כל חשבונות המשתמשים.
• נדרשות כניסה בסיכון גבוה כדי להשתמש ב- MFA.
• נדרשים משתמשים בעלי סיכון גבוה עם כניסה בסיכון גבוה כדי לשנות את הסיסמאות שלהם.

מנע הסלמת הרשאות

השתמש בשיטות עבודה מומלצות אלה:

• יישם את העיקרון של רמת ההרשאה המעטה ביותר והשתמש בהגנה באמצעות סיסמה כמתואר בנושא הגברת אבטחת הכניסה עבור חשבונות משתמשים שעדיין משתמשים בסיסמאות עבור הכניסה שלהם.
• הימנע מהשימוש בחשבונות שירות ברמת הניהול של התחום.
• הגבל הרשאות ניהול מקומיות כדי להגביל את ההתקנה של סוסים טרויאניים של גישה מרחוק (RATs) ויישומים לא רצויים אחרים.
• השתמש Microsoft Entra מותנה כדי לאמת במפורש את האמון של משתמשים ותחנות עבודה לפני שתאפשר גישה לפורטלים ניהוליים. עיין בדוגמה זו עבור פורטל Azure.
• הפוך ניהול סיסמאות מרכז הניהול מקומי לזמין.
• קבע היכן חשבונות עם הרשאות מלאות נכנסות וחשיפת אישורים. אין להציג חשבונות עם הרשאות גבוהה בתחנות עבודה.
• הפוך את האחסון המקומי של סיסמאות ואישורים ללא זמין.

השפעה על משתמשים וניהול שינויים

עליך להפוך את המשתמשים בארגון שלך למודעים ל:

• הדרישות החדשות עבור סיסמאות חזקות יותר.
• השינויים בתהליכי הכניסה, כגון השימוש הנדרש ב- MFA ורישום שיטת האימות המשני של MFA.
• השימוש בתחזוקה באמצעות סיסמה באמצעות SSPR. לדוגמה, אין עוד שיחות לצוות התמיכה לאיפוס סיסמה.
• הבקשה לדרוש MFA או שינוי סיסמה עבור כניסה שנקבעה כסיכון.

תצורה המתווצאת

להלן הגנת תוכנת הכופר עבור הדייר שלך עבור שלבים 1-3.

השלב הבא

המשך לשלב 4 כדי להגן על מכשירים (נקודות קצה) בדייר Microsoft 365 שלך.