3. lépés: Identitások védelme

Az alábbi szakaszok segítségével megvédheti szervezetét a hitelesítő adatok sérülésétől, amely általában egy nagyobb zsarolóprogram-támadás első szakasza.

Bejelentkezési biztonság növelése

Használjon jelszó nélküli hitelesítést Microsoft Entra azonosítójú felhasználói fiókokhoz.

A jelszó nélküli hitelesítésre való áttérés során használja az alábbi ajánlott eljárásokat a jelszó-hitelesítést továbbra is használó felhasználói fiókok esetében:

• Tiltsa le az ismert gyenge és egyéni jelszavakat a Microsoft Entra Password Protection használatával.
• Az ismert gyenge és egyéni jelszavak blokkolásának kiterjesztése a helyi Active Directory Tartományi szolgáltatások (AD DS) számára a Microsoft Entra Password Protection használatával.
• Lehetővé teszi a felhasználóknak, hogy saját jelszavukat új jelszó önkiszolgáló kérésével (SSPR) módosíthassák.

Ezután implementálja a közös identitás- és eszközhozzáférés-szabályzatokat. Ezek a szabályzatok nagyobb biztonságot nyújtanak a Microsoft 365-felhőszolgáltatásokhoz való hozzáféréshez.

A felhasználói bejelentkezések esetében ezek a szabályzatok a következők:

• Többtényezős hitelesítés (MFA) megkövetelése a prioritásos fiókokhoz (azonnal) és végül az összes felhasználói fiókhoz.
• Magas kockázatú bejelentkezések megkövetelése az MFA használatához.
• Magas kockázatú, magas kockázatú bejelentkezéssel rendelkező felhasználók megkövetelése a jelszavuk módosításához.

Jogosultságok eszkalálásának megakadályozása

Kövesse az alábbi ajánlott eljárásokat:

• Implementálja a minimális jogosultsági szint elvét, és használja a jelszóvédelmet azoknak a felhasználói fiókoknak a bejelentkezési biztonságának növelése című cikkben leírtak szerint, amelyek továbbra is jelszavakat használnak a bejelentkezésekhez.
• Kerülje a tartományszintű, rendszergazdai szintű szolgáltatásfiókok használatát.
• Korlátozza a helyi rendszergazdai jogosultságokat a távelérési trójai programok (RAT-k) és más nemkívánatos alkalmazások telepítésének korlátozásához.
• A Microsoft Entra feltételes hozzáféréssel explicit módon ellenőrizheti a felhasználók és munkaállomások bizalmát, mielőtt engedélyezi a felügyeleti portálokhoz való hozzáférést. Tekintse meg ezt a példát a Azure Portal.
• Engedélyezze a Helyi Rendszergazda jelszókezelést.
• Határozza meg, hogy a kiemelt jogosultságú fiókok hol jelentkeznek be, és hol adhatja meg a hitelesítő adatokat. A kiemelt jogosultságú fiókok nem lehetnek jelen a munkaállomásokon.
• Tiltsa le a jelszavak és hitelesítő adatok helyi tárolását.

A felhasználókra és a változáskezelésre gyakorolt hatás

Tájékoztatnia kell a szervezet felhasználóit a következőkről:

• Az erősebb jelszavakra vonatkozó új követelmények.
• A bejelentkezési folyamatok változásai, például az MFA szükséges használata és az MFA másodlagos hitelesítési módszer regisztrációja.
• Jelszókarbantartás használata az SSPR-vel. Például nincs több hívás a segélyszolgálathoz az új jelszó kéréséhez.
• A kockázatosnak ítélt bejelentkezésekhez MFA vagy jelszómódosítás megkövetelését kérő üzenet.

Az eredményként kapott konfiguráció

Az 1–3. lépéshez itt találja a bérlő zsarolóprogram-védelmét.

További lépés

Folytassa a 4. lépéssel a Microsoft 365-bérlőben lévő eszközök (végpontok) védelméhez.