Emelt szintű hozzáférés: Fiókok

A fiókbiztonság a kiemelt hozzáférés biztosításának kritikus összetevője. A munkamenetek végpontok közötti Teljes felügyelet biztonsága megköveteli annak szigorú megállapítását, hogy a munkamenetben használt fiók valójában az emberi tulajdonos felügyelete alatt áll, és nem egy támadó, aki megszemélyesíti őket.

Az erős fiókbiztonság a biztonságos kiépítéssel és a teljes életciklus-kezeléssel kezdődik a leépítésig, és minden munkamenetnek erős biztosítékokat kell biztosítania arról, hogy a fiók jelenleg nem sérül az összes rendelkezésre álló adat alapján, beleértve az előzményszintű viselkedésmintákat, a rendelkezésre álló fenyegetésfelderítést és az aktuális munkamenetben használt használatot.

Fiókbiztonság

Ez az útmutató három biztonsági szintet határoz meg a fiókbiztonsághoz, amelyeket különböző bizalmassági szinteken használhat:

Ezek a szintek egyértelmű és végrehajtható biztonsági profilokat hoznak létre minden bizalmassági szinthez, amelyhez szerepköröket rendelhet hozzá, és gyorsan felskálázhatja őket. Ezen fiókbiztonsági szintek mindegyike a felhasználói és rendszergazdai munkafolyamatok megszakításának korlátozásával vagy megszüntetésével a felhasználók termelékenységének fenntartására vagy javítására szolgál.

Fiókbiztonság tervezése

Ez az útmutató az egyes szintek teljesítéséhez szükséges technikai vezérlőket ismerteti. A bevezetési útmutató a jogosultsági hozzáférési ütemtervben található.

Fiókbiztonsági vezérlők

Az interfészek biztonságának eléréséhez olyan technikai vezérlők kombinációjára van szükség, amelyek egyaránt védik a fiókokat, és jelzéseket adnak a Teljes felügyelet szabályzathatározatban használandó jelekről (lásd: Biztonságos felületek a szabályzatkonfigurációs referencia esetében).

Az ezekben a profilokban használt vezérlők a következők:

• Többtényezős hitelesítés – számos különböző bizonyítékforrást biztosít arra vonatkozóan, hogy a (felhasználók számára a lehető legegyszerűbb, de a támadók számára nehezen utánozható) hitelesítés.
• Fiókkockázat – Veszélyforrások és anomáliák monitorozása – az UEBA és a fenyegetésintelligencia használata a kockázatos forgatókönyvek azonosításához
• Egyéni figyelés – A bizalmasabb fiókok esetében az engedélyezett/elfogadott viselkedések/minták explicit meghatározása lehetővé teszi a rendellenes tevékenységek korai észlelését. Ez a vezérlő nem alkalmas általános célú vállalati fiókokhoz, mivel ezeknek a fiókoknak rugalmasságra van szükségük a szerepköreikhez.

A vezérlők kombinációja lehetővé teszi a biztonság és a használhatóság javítását is – például egy olyan felhasználót, aki a normál mintában marad (ugyanazon az eszközön, nap mint nap ugyanazon a helyen) nem kell minden hitelesítéskor külső MFA-t kérnie.

Vállalati biztonsági fiókok

A vállalati fiókok biztonsági vezérlői úgy lettek kialakítva, hogy biztonságos alapkonfigurációt hozzanak létre minden felhasználó számára, és biztonságos alapot biztosítsanak a speciális és kiemelt biztonsághoz:

• Erős többtényezős hitelesítés (MFA) kényszerítése – Győződjön meg arról, hogy a felhasználó hitelesítése egy nagyvállalati felügyeletű identitásrendszer által biztosított erős MFA-val történik (az alábbi ábrán látható). További információ a többtényezős hitelesítésről: Azure security best practice 6.

  Megjegyzés:

  Bár a szervezet dönthet úgy, hogy egy átmeneti időszakban egy meglévő gyengébb MFA-t használ, a támadók egyre inkább megkerülik a gyengébb MFA-védelmet, így az MFA-ba történő összes új befektetésnek a legerősebb formában kell lennie.

• Fiók-/munkamenet-kockázat kényszerítése – győződjön meg arról, hogy a fiók csak akkor hitelesíthető, ha alacsony (vagy közepes?) kockázati szinten van. A feltételes vállalati fiók biztonságának részleteiért tekintse meg az interfész biztonsági szintjeit.

• Riasztások monitorozása és megválaszolása – A biztonsági műveleteknek integrálniuk kell a fiókbiztonsági riasztásokat, és megfelelő betanítást kell kapniuk ezeknek a protokolloknak és rendszereknek a működéséről annak érdekében, hogy gyorsan megérthessék a riasztások jelentését, és ennek megfelelően reagálhassanak.

  • Microsoft Entra ID-védelem engedélyezése
  • Kockázatelemzési Microsoft Entra ID-védelem
  • Feltételes hozzáférés bejelentkezési hibáinak elhárítása/kivizsgálása

Az alábbi ábra összehasonlítja az MFA és a jelszó nélküli hitelesítés különböző formáit. A legjobb listában szereplő összes lehetőség magas biztonságnak és magas használhatóságnak minősül. Mindegyiknek különböző hardverkövetelményei vannak, ezért érdemes lehet a különböző szerepkörökre vagy egyénekre vonatkozó elemeket keverni és egyeztetni. A Feltételes hozzáférés minden jelszó nélküli megoldást többtényezős hitelesítésként ismer fel, mivel ezekhez kombinálni kell valamit a biometrikus adatokkal, az Ön által ismertekkel vagy mindkettővel.

Megjegyzés:

További információ arról, hogy miért korlátozott az SMS és más telefonos hitelesítés, olvassa el az It's Time to Lefa up on Telefon Transports for Authentication című blogbejegyzést.

Speciális fiókok

A speciális fiókok magasabb szintű védelmi szintet jelentenek a bizalmas felhasználók számára. A magasabb üzleti hatásuk miatt a speciális fiókok további figyelést és rangsorolást igényelnek a biztonsági riasztások, incidensvizsgálatok és fenyegetéskeresés során.

A speciális biztonság a vállalati biztonság erős MFA-jára épül a legérzékenyebb fiókok azonosításával, valamint a riasztások és válaszfolyamatok rangsorolásával:

1. Bizalmas fiókok azonosítása – A fiókok azonosításához tekintse meg a speciális biztonsági szintű útmutatást.
2. Specializált fiókok címkézése – Győződjön meg arról, hogy minden bizalmas fiók címkézve van
   1. A Microsoft Sentinel figyelőlistáinak konfigurálása a bizalmas fiókok azonosításához
   2. A prioritási fiókok védelmének konfigurálása Office 365-höz készült Microsoft Defender és specializált és kiemelt fiókok kijelölése prioritási fiókként –
3. Biztonsági műveleti folyamatok frissítése – annak biztosítása érdekében, hogy ezek a riasztások a legmagasabb prioritást kapják
4. Irányítás beállítása – Szabályozási folyamat frissítése vagy létrehozása annak biztosítása érdekében, hogy
   1. A rendszer minden új szerepkört kiértékel a speciális vagy emelt szintű besorolások esetében, amikor azok létrejönnek vagy módosulnak
   2. Az összes új fiók meg van címkézve a létrehozásukkor
   3. Folyamatos vagy időszakos sávon kívüli ellenőrzések annak érdekében, hogy a szerepkörök és fiókok ne maradjanak ki a normál szabályozási folyamatokból.

Kiemelt fiókok

A kiemelt fiókok a legmagasabb szintű védelemmel rendelkeznek, mivel ezek jelentős vagy jelentős potenciális hatást gyakorolnak a szervezet működésére, ha veszélybe kerülnek.

A kiemelt fiókok mindig tartalmazzák a legtöbb vagy az összes vállalati rendszerhez hozzáféréssel rendelkező informatikai Rendszergazda, beleértve a legtöbb vagy az összes üzleti szempontból kritikus rendszert is. Más, nagy üzleti hatással rendelkező fiókok is indokolhatják ezt a további szintű védelmet. További információ arról, hogy mely szerepkörök és fiókok milyen szinten legyenek védve, olvassa el a Privileged Security című cikket.

A speciális biztonság mellett a kiemelt fiókok biztonsága is nő:

• Megelőzés – vezérlők hozzáadásával korlátozhatja ezeknek a fiókoknak a használatát a kijelölt eszközökre, munkaállomásokra és közvetítőkre.
• Válasz – szorosan monitorozza ezeket a fiókokat a rendellenes tevékenységekért, és gyorsan vizsgálja meg és orvosolja a kockázatot.

Emelt szintű fiók biztonságának konfigurálása

Kövesse a Biztonsági gyors modernizálási terv útmutatását a kiemelt fiókok biztonságának növeléséhez és a kezelési költségek csökkentéséhez.

Következő lépések

• A kiemelt hozzáférés biztonságossá tétele – áttekintés
• Emelt szintű hozzáférési stratégia
• Sikeresség mérése
• Biztonsági szintek
• Közvetítők
• Felületek
• Emelt szintű hozzáférési eszközök
• Vállalati hozzáférési modell