Kockázatok orvoslása és a felhasználók tiltásának feloldása

A vizsgálat befejezése után lépéseket kell tennie a kockázatos felhasználók szervizeléséhez vagy a letiltásuk feloldásához. A szervezetek kockázatalapú szabályzatok beállításával engedélyezhetik az automatikus szervizelést. A szervezeteknek meg kell próbálniuk kivizsgálni és kijavítani az összes kockázatos felhasználót egy olyan időszakban, amelyben a szervezet jól érzi magát. A Microsoft azt javasolja, hogy gyorsan cselekedjenek, mert a kockázatok használatakor az idő számít.

Kockázatkezelés

Minden aktív kockázatészlelés hozzájárul a felhasználó kockázati szintjének kiszámításához. A felhasználói kockázati szint annak a valószínűségnek a mutatója (alacsony, közepes, magas), hogy a felhasználó fiókját feltörték. Rendszergazdaként a kockázatos felhasználók és a megfelelő kockázatos bejelentkezések és észlelések alapos vizsgálata után érdemes kijavítani a kockázatos felhasználókat, hogy ne legyenek többé veszélyben, és ne legyenek letiltva.

Microsoft Entra ID-védelem megjelöl néhány kockázatészlelést és a megfelelő kockázatos bejelentkezéseket a kockázati állapottal elvetettként Az elutasított és a kockázat részletei Microsoft Entra ID-védelem értékelt bejelentkezés biztonságos. Ezt a műveletet azért hajtja végre, mert ezek az események már nem voltak kockázatosak.

Rendszergazda istratorok a következő lehetőségeket kínálják a szervizeléshez:

• Állítson be kockázatalapú szabályzatokat , amelyek lehetővé teszik a felhasználók számára a kockázatok önjavítását.
• Manuálisan állítsa alaphelyzetbe a jelszavát.
• A felhasználói kockázat elvetése.
• Szervizelés a Microsoft Defender for Identity szolgáltatásban.

Önjavítás kockázatalapú szabályzattal

Kockázatalapú szabályzatok beállításával engedélyezheti a felhasználók számára a bejelentkezési kockázatok és a felhasználói kockázatok önjavítását. Ha a felhasználók átadják a szükséges hozzáférés-vezérlést, például a többtényezős hitelesítést vagy a biztonságos jelszómódosítást, akkor a rendszer automatikusan elhárítja a kockázatokat. A megfelelő kockázatészleléseket, kockázatos bejelentkezéseket és kockázatos felhasználókat a Kockázat helyett a Szervizelt kockázati állapot jelenti.

A kockázatalapú szabályzatok alkalmazása előtt a felhasználók előfeltételei a következők:

• MFA végrehajtása a bejelentkezési kockázat önjavításához:
  • A felhasználónak regisztrálta magát a Microsoft Entra többtényezős hitelesítésre.
• Ha biztonságos jelszómódosítást szeretne végrehajtani a felhasználói kockázat önjavításához:
  • A felhasználónak regisztrálta magát a Microsoft Entra többtényezős hitelesítésre.
  • A helyszíniről a felhőbe szinkronizált hibrid felhasználók esetében engedélyezni kell a jelszóvisszaírást.

Ha a fenti előfeltételek teljesülése előtt a bejelentkezés során kockázatalapú szabályzatot alkalmaz egy felhasználóra, akkor a rendszer letiltja a felhasználót. Ez a blokkművelet azért van, mert nem tudják végrehajtani a szükséges hozzáférés-vezérlést, és rendszergazdai beavatkozásra van szükség a felhasználó letiltásának feloldásához.

A kockázatalapú szabályzatok kockázati szintek alapján vannak konfigurálva, és csak akkor érvényesek, ha a bejelentkezés vagy a felhasználó kockázati szintje megegyezik a konfigurált szinttel. Előfordulhat, hogy egyes észlelések nem jelentenek kockázatot arra a szintre, ahol a szabályzat érvényes, és a rendszergazdáknak manuálisan kell kezelnie ezeket a kockázatos felhasználókat. Rendszergazda istratorok megállapíthatják, hogy további intézkedésekre van szükség, például a helyekről való hozzáférés blokkolására vagy a szabályzataik elfogadható kockázatának csökkentésére.

Önkiszolgáló szervizelés önkiszolgáló jelszó-visszaállítással

Ha egy felhasználó regisztrált az önkiszolgáló jelszó-visszaállításra (SSPR), akkor önkiszolgáló jelszó-visszaállítással elháríthatja saját felhasználói kockázatát.

Manuális jelszó-visszaállítás

Ha a jelszó-visszaállítás felhasználói kockázati szabályzattal történő megkövetelése nem lehetséges, vagy az idő a lényeg, a rendszergazdák jelszó-visszaállítással elháríthatják a kockázatos felhasználókat.

Rendszergazda istratorok a következő lehetőségek közül választhatnak:

• Ideiglenes jelszó létrehozása – Ideiglenes jelszó létrehozásával azonnal visszaállíthatja az identitást biztonságos állapotba. Ehhez a módszerhez kapcsolatba kell lépnie az érintett felhasználókat, mert tudniuk kell, hogy mi az ideiglenes jelszó. Mivel a jelszó ideiglenes, a rendszer arra kéri a felhasználót, hogy módosítsa a jelszót valami újra a következő bejelentkezés során.

  • Jelszavakat hozhatnak létre a felhőbeli és hibrid felhasználók számára a Microsoft Entra felügyeleti központban.

  • A hibrid felhasználók számára jelszavakat hozhatnak létre egy helyszíni címtárból, ha engedélyezve van a jelszókivonat-szinkronizálás és a helyszíni jelszómódosítás engedélyezése a felhasználói kockázati beállítások alaphelyzetbe állításához.

    Figyelmeztetés

    Ne válassza ki azt a lehetőséget , a következő bejelentkezéskor a felhasználónak módosítania kell a jelszót. Ez nem támogatott.

• Kérje meg a felhasználót, hogy állítsa alaphelyzetbe a jelszót – A jelszó kérése lehetővé teszi az önkiszolgáló helyreállítást anélkül, hogy kapcsolatba kellene lépnie az ügyfélszolgálattal vagy a rendszergazdával.

  • A felhőbeli és hibrid felhasználók biztonságos jelszómódosítást végezhetnek. Ez a módszer csak azokra a felhasználókra vonatkozik, akik már el tudják végezni az MFA-t. A még nem regisztrált felhasználók esetében ez a beállítás nem érhető el.
  • A hibrid felhasználók a Ctrl+Alt+Del billentyűkombináció lenyomásával és a jelszó helyszíni vagy hibrid csatlakoztatott Windows-eszközről történő módosításával hajthatják végre a jelszómódosítást, ha engedélyezve van a jelszókivonat-szinkronizálás és a helyszíni jelszómódosítás engedélyezése a felhasználói kockázati beállítás alaphelyzetbe állításához.

A helyszíni jelszó-visszaállítás engedélyezése a felhasználói kockázatok elhárításához (előzetes verzió)

Azok a szervezetek, amelyek engedélyezték a jelszókivonat-szinkronizálást, engedélyezhetik a helyszíni jelszómódosításokat a felhasználói kockázatok elhárításához.

Ez a konfiguráció két új képességet biztosít a szervezeteknek:

• A kockázatos hibrid felhasználók rendszergazdai beavatkozás nélkül is önállóan szervizelhetnek. A jelszó helyszíni módosításakor a rendszer automatikusan elhárítja a felhasználói kockázatot a Microsoft Entra ID-védelem belül, és visszaállítja az aktuális felhasználói kockázati állapotot.
• A szervezetek proaktív módon helyezhetnek üzembe felhasználói kockázati szabályzatokat, amelyek jelszómódosítást igényelnek a hibrid felhasználók biztonságos védelme érdekében. Ez a lehetőség erősíti a szervezet biztonsági állapotát, és leegyszerűsíti a biztonságkezelést azáltal, hogy biztosítja a felhasználói kockázatok azonnali kezelését, még összetett hibrid környezetekben is.

A beállítás konfigurálása

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági operátorként.
2. Keresse meg a Protection>Identity Protectiont> Gépház.
3. Jelölje be a jelölőnégyzetet a helyszíni jelszóváltoztatás engedélyezéséhez a felhasználói kockázat alaphelyzetbe állításához.
4. Válassza a Mentés parancsot.

Feljegyzés

Ha engedélyezi a helyszíni jelszómódosítást a felhasználói kockázat alaphelyzetbe állításához, az csak egy bejelentkezési funkció. Az éles környezetekben való engedélyezés előtt az ügyfeleknek ki kell értékelnie ezt a funkciót. Javasoljuk, hogy az ügyfelek biztonságossá tegye a helyszíni jelszómódosítást vagy a visszaállítási folyamatokat. Ha például többtényezős hitelesítést szeretne igényelni, mielőtt lehetővé tenné a felhasználók számára a helyszíni jelszó módosítását egy olyan eszközzel, mint a Microsoft Identity Manager önkiszolgáló jelszóátállítási portálja.

Felhasználói kockázat elvetése

Ha a vizsgálat és annak ellenőrzése után, hogy a felhasználói fiók nem kerül veszélybe, dönthet úgy, hogy bezárja a kockázatos felhasználót.

Ha legalább biztonsági operátorként szeretné megszüntetni a felhasználói kockázatot a Microsoft Entra felügyeleti központban, keresse meg a Protection>Identity Protection>kockázatos felhasználóit, jelölje ki az érintett felhasználót, és válassza a Felhasználói kockázat elvetése lehetőséget.

Ha a Felhasználói kockázat elvetése lehetőséget választja, a felhasználó már nem lesz veszélyben, és a felhasználó összes kockázatos bejelentkezése és a megfelelő kockázatészlelések is el lesznek utasítva.

Mivel ez a módszer nem befolyásolja a felhasználó meglévő jelszavát, nem hozza vissza identitását biztonságos állapotba.

Kockázat állapota és részletessége a kockázat elvetése alapján

• Kockázatos felhasználó:
  • Kockázati állapot: "Veszélyben" –> "Elbocsátva"
  • Kockázat részletei (a kockázatkezelés részletei): "-" –> "Rendszergazda a felhasználóra vonatkozó összes kockázat elvetése"
• A felhasználó összes kockázatos bejelentkezése és a megfelelő kockázatészlelések:
  • Kockázati állapot: "Veszélyben" –> "Elbocsátva"
  • Kockázat részletei (a kockázatkezelés részletei): "-" –> "Rendszergazda a felhasználóra vonatkozó összes kockázat elvetése"

Felhasználó biztonságának megerősítése

Ha a vizsgálat után a fiók biztonsága sérül:

1. Válassza ki az eseményt vagy felhasználót a Kockázatos bejelentkezések vagy Kockázatos felhasználók jelentéseiben, és válassza a "Feltört megerősítése" lehetőséget.
2. Ha egy kockázatalapú szabályzat nem aktiválódott, és a kockázat nem lett önjavító, hajtsa végre az alábbi műveletek egyikét:
   1. kérjen egy új jelszót.
   2. Tiltsa le a felhasználót, ha gyanítja, hogy a támadó alaphelyzetbe állíthatja a jelszót, vagy többtényezős hitelesítést végezhet a felhasználó számára.
   3. Frissítési tokenek visszavonása.
   4. Tiltsa le a sérültnek ítélt eszközöket .
   5. Folyamatos hozzáférés-kiértékelés használata esetén vonja vissza az összes hozzáférési tokent.

További információ arról, hogy mi történik a kompromisszum megerősítésekor, olvassa el a Hogyan adjak kockázati visszajelzést, és mi történik a motorháztető alatt?.

Törölt felhasználók

A rendszergazdák nem hagyhatják figyelmen kívül a címtárból törölt felhasználók kockázatát. A törölt felhasználók eltávolításához nyisson meg egy Microsoft-támogatási esetet.

Felhasználók letiltásának feloldása

A rendszergazdák a kockázati szabályzatuk vagy vizsgálatuk alapján letilthatják a bejelentkezést. A blokkok bejelentkezési vagy felhasználói kockázat alapján is előfordulhatnak.

A felhasználói kockázat alapján történő letiltás feloldása

A rendszergazdáknak az alábbi lehetőségeik vannak a felhasználói kockázat miatt letiltott fiókok feloldására:

1. Jelszó alaphelyzetbe állítása – Alaphelyzetbe állíthatja a felhasználó jelszavát. Ha egy felhasználó fiókját feltörték, vagy fennáll a feltörés kockázata, a felhasználó jelszavát alaphelyzetbe kell állítani a fiók és a szervezet védelme érdekében.
2. Felhasználói kockázat elvetése – A felhasználói kockázati szabályzat letiltja a felhasználót, ha elérte a hozzáférés letiltására vonatkozó konfigurált felhasználói kockázati szintet. Ha a vizsgálat után biztos abban, hogy a felhasználó nem kerül veszélybe, és biztonságosan engedélyezheti a hozzáférést, akkor csökkentheti a felhasználó kockázati szintjét a felhasználói kockázat elvetésével.
3. A felhasználó kizárása a szabályzatból – Ha úgy gondolja, hogy a bejelentkezési szabályzat jelenlegi konfigurációja problémákat okoz bizonyos felhasználók számára, és biztonságos hozzáférést biztosítani ezekhez a felhasználókhoz anélkül, hogy ezt a szabályzatot alkalmaznánk rájuk, akkor kizárhatja őket ebből a szabályzatból. További információ: A kockázati szabályzatok konfigurálása és engedélyezése című cikk Kizárások című szakasza.
4. Szabályzat letiltása – Ha úgy gondolja, hogy a szabályzatkonfiguráció problémát okoz az összes felhasználója számára, letilthatja a szabályzatot. További információ: Útmutató: Kockázati szabályzatok konfigurálása és engedélyezése.

Tiltás feloldása bejelentkezési kockázat alapján

A rendszergazdáknak az alábbi lehetőségeik vannak a bejelentkezési kockázat miatt blokkolt fiókok feloldására:

1. Ismerős helyről vagy eszközről való bejelentkezés – A gyanús bejelentkezések vagy bejelentkezési kísérletek letiltásának egyik gyakori oka az ismeretlen helyek vagy eszközök. A felhasználók gyorsan megállapíthatják, hogy ez-e a blokkolás oka, ha egy ismerős helyről vagy eszközről próbálnak bejelentkezni.
2. Felhasználó kizárása a szabályzatból – Ha úgy gondolja, hogy a bejelentkezési szabályzat jelenlegi konfigurációja problémát okoz bizonyos felhasználók számára, kizárhatja őket a szabályzatból. További információ: A kockázati szabályzatok konfigurálása és engedélyezése című cikk Kizárások című szakasza.
3. Szabályzat letiltása – Ha úgy gondolja, hogy a szabályzatkonfiguráció problémát okoz az összes felhasználója számára, letilthatja a szabályzatot. További információ: Útmutató: Kockázati szabályzatok konfigurálása és engedélyezése.

PowerShell –előzetes verzió

A Microsoft Graph PowerShell SDK előzetes verziójú moduljának segítségével a szervezetek a PowerShell-lel kezelhetik a kockázatokat. Az előzetes verziójú modulok és a mintakód a Microsoft Entra GitHub adattárban található.

Az Invoke-AzureADIPDismissRiskyUser.ps1 adattárban található szkript lehetővé teszi, hogy a szervezetek kizárják a címtárukba tartozó összes kockázatos felhasználót.

Következő lépések

Magas felhasználói kockázat szimulálása