Emelt szintű hozzáférés: Fiókok

A fiókbiztonság a kiemelt hozzáférés biztosításának kritikus összetevője. A munkamenetek végpontok közötti Teljes felügyelet biztonsága megköveteli annak szigorú megállapítását, hogy a munkamenetben használt fiók valójában az emberi tulajdonos felügyelete alatt áll, és nem egy támadó, aki megszemélyesíti őket.

Az erős fiókbiztonság a biztonságos kiépítéssel és a teljes életciklus-kezeléssel kezdődik a leépítésig, és minden munkamenetnek erős biztosítékokat kell biztosítania arról, hogy a fiók jelenleg nem sérül az összes rendelkezésre álló adat alapján, beleértve az előzményszintű viselkedésmintákat, a rendelkezésre álló fenyegetésfelderítést és az aktuális munkamenetben használt használatot.

Fiókbiztonság

Ez az útmutató három biztonsági szintet határoz meg a fiókbiztonsághoz, amelyeket különböző bizalmassági szinteken használhat:

Ezek a szintek egyértelmű és végrehajtható biztonsági profilokat hoznak létre minden bizalmassági szinthez, amelyhez szerepköröket rendelhet hozzá, és gyorsan felskálázhatja őket. Ezen fiókbiztonsági szintek mindegyike a felhasználói és rendszergazdai munkafolyamatok megszakításának korlátozásával vagy megszüntetésével a felhasználók termelékenységének fenntartására vagy javítására szolgál.

Fiókbiztonság tervezése

Ez az útmutató az egyes szintek teljesítéséhez szükséges technikai vezérlőket ismerteti. A bevezetési útmutató a jogosultsági hozzáférési ütemtervben található.

Fiókbiztonsági vezérlők

Az interfészek biztonságának eléréséhez olyan technikai vezérlők kombinációjára van szükség, amelyek egyaránt védik a fiókokat, és jelzéseket adnak a Teljes felügyelet szabályzathatározatban használandó jelekről (lásd: Biztonságos felületek a szabályzatkonfigurációs referencia esetében).

Az ezekben a profilokban használt vezérlők a következők:

• Többtényezős hitelesítés – számos különböző bizonyítékforrást biztosít arra vonatkozóan, hogy a (felhasználók számára a lehető legegyszerűbb, de a támadók számára nehezen utánozható) hitelesítés.
• Fiókkockázat – Veszélyforrások és anomáliák monitorozása – az UEBA és a fenyegetésintelligencia használata a kockázatos forgatókönyvek azonosításához
• Egyéni figyelés – A bizalmasabb fiókok esetében az engedélyezett/elfogadott viselkedések/minták explicit meghatározása lehetővé teszi a rendellenes tevékenységek korai észlelését. Ez a vezérlő nem alkalmas általános célú vállalati fiókokhoz, mivel ezeknek a fiókoknak rugalmasságra van szükségük a szerepköreikhez.

A vezérlők kombinációja lehetővé teszi a biztonság és a használhatóság javítását is – például egy olyan felhasználót, aki a normál mintában marad (ugyanazon az eszközön, nap mint nap ugyanazon a helyen) nem kell minden hitelesítéskor külső MFA-t kérnie.

Vállalati biztonsági fiókok

A vállalati fiókok biztonsági vezérlői úgy lettek kialakítva, hogy biztonságos alapkonfigurációt hozzanak létre minden felhasználó számára, és biztonságos alapot biztosítsanak a speciális és kiemelt biztonsághoz:

• Erős többtényezős hitelesítés (MFA) kényszerítése – Győződjön meg arról, hogy a felhasználó hitelesítése egy nagyvállalati felügyeletű identitásrendszer által biztosított erős MFA-val történik (az alábbi ábrán látható). További információ a többtényezős hitelesítésről: Azure security best practice 6.

  Feljegyzés

  Bár a szervezet dönthet úgy, hogy egy átmeneti időszakban egy meglévő gyengébb MFA-t használ, a támadók egyre inkább megkerülik a gyengébb MFA-védelmet, így az MFA-ba történő összes új befektetésnek a legerősebb formában kell lennie.

• Fiók-/munkamenet-kockázat kényszerítése – győződjön meg arról, hogy a fiók csak akkor hitelesíthető, ha alacsony (vagy közepes?) kockázati szinten van. A feltételes vállalati fiók biztonságának részleteiért tekintse meg az interfész biztonsági szintjeit.

• Riasztások monitorozása és megválaszolása – A biztonsági műveleteknek integrálniuk kell a fiókbiztonsági riasztásokat, és megfelelő betanítást kell kapniuk ezeknek a protokolloknak és rendszereknek a működéséről annak érdekében, hogy gyorsan megérthessék a riasztások jelentését, és ennek megfelelően reagálhassanak.

  • Microsoft Entra ID-védelem engedélyezése
  • Kockázatelemzési Microsoft Entra ID-védelem
  • Feltételes hozzáférés bejelentkezési hibáinak elhárítása/kivizsgálása

Az alábbi ábra összehasonlítja az MFA és a jelszó nélküli hitelesítés különböző formáit. A legjobb listában szereplő összes lehetőség magas biztonságnak és magas használhatóságnak minősül. Mindegyiknek különböző hardverkövetelményei vannak, ezért érdemes lehet a különböző szerepkörökre vagy egyénekre vonatkozó elemeket keverni és egyeztetni. A Feltételes hozzáférés minden jelszó nélküli megoldást többtényezős hitelesítésként ismer fel, mivel ezekhez kombinálni kell valamit a biometrikus adatokkal, az Ön által ismertekkel vagy mindkettővel.

Feljegyzés

További információ arról, hogy miért korlátozott az SMS és más telefonos hitelesítés, olvassa el az It's Time to Lefa up on Telefon Transports for Authentication című blogbejegyzést.

Speciális fiókok

A speciális fiókok magasabb szintű védelmi szintet jelentenek a bizalmas felhasználók számára. A magasabb üzleti hatásuk miatt a speciális fiókok további figyelést és rangsorolást igényelnek a biztonsági riasztások, incidensvizsgálatok és fenyegetéskeresés során.

A speciális biztonság a vállalati biztonság erős MFA-jára épül a legérzékenyebb fiókok azonosításával, valamint a riasztások és válaszfolyamatok rangsorolásával:

1. Bizalmas fiókok azonosítása – A fiókok azonosításához tekintse meg a speciális biztonsági szintű útmutatást.
2. Specializált fiókok címkézése – Győződjön meg arról, hogy minden bizalmas fiók címkézve van
   1. A Microsoft Sentinel figyelőlistáinak konfigurálása a bizalmas fiókok azonosításához
   2. A prioritási fiókok védelmének konfigurálása Office 365-höz készült Microsoft Defender és specializált és kiemelt fiókok kijelölése prioritási fiókként –
3. Biztonsági műveleti folyamatok frissítése – annak biztosítása érdekében, hogy ezek a riasztások a legmagasabb prioritást kapják
4. Irányítás beállítása – Szabályozási folyamat frissítése vagy létrehozása annak biztosítása érdekében, hogy
   1. A rendszer minden új szerepkört kiértékel a speciális vagy emelt szintű besorolások esetében, amikor azok létrejönnek vagy módosulnak
   2. Az összes új fiók meg van címkézve a létrehozásukkor
   3. Folyamatos vagy időszakos sávon kívüli ellenőrzések annak érdekében, hogy a szerepkörök és fiókok ne maradjanak ki a normál szabályozási folyamatokból.

Kiemelt fiókok

A kiemelt fiókok a legmagasabb szintű védelemmel rendelkeznek, mivel ezek jelentős vagy jelentős potenciális hatást gyakorolnak a szervezet működésére, ha veszélybe kerülnek.

A kiemelt fiókok mindig tartalmazzák a legtöbb vagy az összes vállalati rendszerhez hozzáféréssel rendelkező informatikai Rendszergazda, beleértve a legtöbb vagy az összes üzleti szempontból kritikus rendszert is. Más, nagy üzleti hatással rendelkező fiókok is indokolhatják ezt a további szintű védelmet. További információ arról, hogy mely szerepkörök és fiókok milyen szinten legyenek védve, olvassa el a Privileged Security című cikket.

A speciális biztonság mellett a kiemelt fiókok biztonsága is nő:

• Megelőzés – vezérlők hozzáadásával korlátozhatja ezeknek a fiókoknak a használatát a kijelölt eszközökre, munkaállomásokra és közvetítőkre.
• Válasz – szorosan monitorozza ezeket a fiókokat a rendellenes tevékenységekért, és gyorsan vizsgálja meg és orvosolja a kockázatot.

Emelt szintű fiók biztonságának konfigurálása

Kövesse a Biztonsági gyors modernizálási terv útmutatását a kiemelt fiókok biztonságának növeléséhez és a kezelési költségek csökkentéséhez.

Következő lépések

• A kiemelt hozzáférés biztonságossá tétele – áttekintés
• Emelt szintű hozzáférési stratégia
• Sikeresség mérése
• Biztonsági szintek
• Közvetítők
• Felületek
• Emelt szintű hozzáférési eszközök
• Vállalati hozzáférési modell