Mengamankan akses dengan hak istimewa untuk penggunaan hibrid dan cloud di Azure Active Directory

Keamanan aset bisnis tergantung pada integritas akun dengan hak istimewa yang mengelola sistem TI Anda. Penyerang siber menggunakan serangan pencurian kredensial untuk menargetkan akun administrator dan akses hak istimewa lainnya untuk mencoba mendapatkan akses ke data sensitif.

Untuk layanan cloud, pencegahan dan respons adalah tanggung jawab bersama penyedia layanan cloud dan pelanggan. Untuk informasi selengkapnya tentang ancaman terbaru terhadap titik akhir dan awan, lihat Laporan Kecerdasan Keamanan Microsoft. Artikel ini dapat membantu Anda mengembangkan peta jalan menuju penutupan kesenjangan antara paket Anda saat ini dan panduan yang dijelaskan di sini.

Catatan

Microsoft berkomitmen pada tingkat kepercayaan, transparansi, kesesuaian standar, dan kepatuhan terhadap peraturan tertinggi. Pelajari selengkapnya tentang bagaimana tim respons insiden global Microsoft mengurangi efek serangan terhadap layanan cloud, dan bagaimana keamanan dibangun ke dalam produk bisnis Microsoft dan layanan cloud di Microsoft Trust Center - Keamanan dan Target kepatuhan Microsoft di Microsoft Trust Center - Kepatuhan.

Secara tradisional, keamanan organisasi difokuskan pada titik masuk dan keluar jaringan sebagai perimeter keamanan. Namun, aplikasi SaaS dan perangkat pribadi di Internet telah membuat pendekatan ini kurang efektif. Di AAD, kami mengganti perimeter keamanan jaringan dengan autentikasi di lapisan identitas organisasi Anda, dengan pengguna yang ditetapkan untuk peran administratif hak istimewa yang memegang kendali. Akses mereka harus dilindungi, baik lingkungan lokal, cloud, atau hibrid.

Mengamankan akses hak istimewa memerlukan perubahan pada:

  • Proses, praktik administrasi, dan manajemen pengetahuan
  • Komponen teknis seperti pertahanan host, perlindungan akun, dan manajemen identitas

Amankan akses istimewa Anda dengan cara yang dikelola dan dilaporkan dalam layanan Microsoft yang penting. Jika Anda memiliki akun administrator lokal, lihat panduan untuk akses istimewa lokal dan hibrid di Active Directory di Mengamankan Akses Hak Istimewa.

Catatan

Panduan dalam artikel ini terutama mengacu pada fitur Azure Active Directory yang disertakan dalam Azure AD Premium P1 dan P2. Azure AD Premium P2 disertakan dalam rangkaian produk EMS E5 dan rangkaian produk Microsoft 365 E5. Panduan ini mengasumsikan organisasi Anda sudah memiliki lisensi Azure AD Premium P2 yang dibeli untuk pengguna Anda. Jika Anda tidak memiliki lisensi ini, beberapa panduan mungkin tidak berlaku untuk organisasi Anda. Selain itu, sepanjang artikel ini, istilah Administrator Global berarti hal yang sama seperti "administrator perusahaan" atau "administrator penyewa."

Mengembangkan roadmap

Microsoft menyarankan agar Anda mengembangkan dan mengikuti peta jalan untuk mengamankan akses istimewa terhadap penyerang cyber. Anda selalu dapat menyesuaikan peta jalan untuk mengakomodasi kemampuan dan persyaratan khusus yang ada dalam organisasi Anda. Setiap tahap peta jalan harus menaikkan biaya dan kesulitan bagi musuh untuk menyerang akses hak istimewa untuk aset lokal, cloud, dan hibrid Anda. Microsoft merekomendasikan empat tahap roadmap berikut ini. Jadwalkan implementasi yang paling efektif dan tercepat terlebih dahulu. Artikel ini dapat menjadi panduan Anda, berdasarkan pengalaman Microsoft dengan insiden serangan cyber dan implementasi respons. Garis waktu untuk roadmap ini adalah perkiraan.

Stages of the roadmap with time lines

  • Tahap 1 (24-48 jam): Item penting yang kami sarankan segera Anda lakukan

  • Tahap 2 (2-4 minggu): Mitigasi teknik serangan yang paling sering digunakan

  • Tahap 3 (1-3 bulan): Membangun visibilitas dan membangun kontrol penuh atas aktivitas administrator

  • Tahap 4 (enam bulan ke atas): Lanjutkan membangun pertahanan untuk lebih mengeraskan platform keamanan Anda

Kerangka kerja roadmap ini dirancang untuk memaksimalkan penggunaan teknologi Microsoft yang mungkin telah Anda sebarkan. Pertimbangkan untuk masuk ke alat keamanan apa pun dari vendor lain yang telah Anda terapkan atau sedang mempertimbangkan untuk menyebarkan.

Tahap 1: Item penting untuk dilakukan saat ini

Stage 1 Critical items to do first

Tahap 1 roadmap difokuskan pada tugas penting yang cepat dan mudah dilaksanakan. Sebaiknya segera lakukan beberapa item ini dalam 24-48 jam pertama untuk memastikan tingkat dasar akses hak istimewa yang aman. Tahap peta jalan Akses Hak Istimewa Aman ini mencakup tindakan berikut:

Persiapan umum

Gunakan Azure AD Privileged Identity Management

Sebaiknya mulai menggunakan Azure Active Directory Privileged Identity Management (PIM) di lingkungan produksi Azure Active Directory Anda. Setelah Anda mulai menggunakan PIM, Anda akan menerima pesan email pemberitahuan untuk perubahan peran akses istimewa. Pemberitahuan memberikan peringatan dini ketika pengguna tambahan ditambahkan ke peran hak istimewa yang tinggi.

Azure AD Privileged Identity Management disertakan dalam Azure AD Premium P2 atau EMS E5. Untuk membantu Anda melindungi akses ke aplikasi dan sumber daya lokal dan di cloud, daftar untuk coba gratis 90 hari Enterprise Mobility + Security. Azure AD Privileged Identity Management dan Azure AD Identity Protection memantau aktivitas keamanan menggunakan pelaporan, pengauditan, dan pemberitahuan AAD.

Setelah Anda mulai menggunakan Azure Active Directory Privileged Identity Management:

  1. Masuk ke portal Microsoft Azure dengan akun yang merupakan Administrator Global organisasi produksi AAD Anda.

  2. Untuk memilih organisasi AAD tempat Anda ingin menggunakan Privileged Identity Management, pilih nama pengguna Anda di sudut kanan atas portal Microsoft Azure.

  3. Pada menu portal Microsoft Azure, pilih Semua layanan dan filter daftar untuk Azure AD Privileged Identity Management.

  4. Buka Privileged Identity Management dari daftar Semua layanan dan sematkan ke dasbor Anda.

Pastikan orang pertama yang menggunakan PIM di organisasi Anda ditetapkan ke peran Administrator Keamanan dan Administrator Peran Istimewa. Hanya Administrator Peran Istimewa yang dapat mengelola penetapan peran direktori Azure AD pengguna. Wizard keamanan PIM memandu Anda melalui penemuan awal dan pengalaman penugasan. Anda bisa keluar dari wisaya tanpa melakukan perubahan tambahan saat ini.

Mengidentifikasi dan mengkategorikan akun yang berada dalam peran yang sangat istimewa

Setelah mulai menggunakan Azure Active Directory Privileged Identity Management, lihat pengguna yang memiliki peran Azure Active Directory berikut ini:

  • Administrator Global
  • Administrator Peran Istimewa
  • Administrator Exchange
  • Admin SharePoint

Jika Anda tidak memiliki Azure AD Privileged Identity Management di organisasi, Anda dapat menggunakan PowerShell API. Mulai dengan peran Administrator Global karena Administrator Global memiliki izin yang sama di semua layanan cloud tempat organisasi Anda berlangganan. Izin ini diberikan di mana pun mereka ditetapkan: di pusat admin Microsoft 365, portal Microsoft Azure, atau oleh modul AAD untuk Microsoft PowerShell.

Hapus akun apa pun yang tidak lagi diperlukan dalam peran tersebut. Kemudian, kategorikan akun yang tersisa yang ditetapkan ke peran administrator:

  • Ditetapkan untuk pengguna administratif, tetapi juga digunakan untuk tujuan non-administratif (misalnya, email pribadi)
  • Ditetapkan untuk pengguna administratif dan digunakan hanya untuk tujuan administratif
  • Dibagikan di beberapa pengguna
  • Untuk skenario akses darurat break-glass
  • Untuk skrip otomatis
  • Untuk pengguna eksternal

Tentukan setidaknya dua akun akses darurat

Dimungkinkan bagi pengguna untuk secara tidak sengaja dikunci dari peran mereka. Misalnya, jika penyedia identitas gabungan lokal tidak tersedia, pengguna tidak dapat masuk atau mengaktifkan akun administrator yang ada. Anda dapat mempersiapkan kurangnya akses yang tidak disengaja dengan menyimpan dua atau lebih akun akses darurat.

Akun akses darurat membantu membatasi akses istimewa dalam organisasi AAD. Akun ini sangat istimewa dan tidak ditugaskan untuk individu tertentu. Akun akses darurat terbatas pada skenario darurat atau "break glass" di mana akun administratif normal tidak dapat digunakan. Pastikan Anda mengontrol dan mengurangi penggunaan akun darurat hanya pada waktu yang diperlukan.

Mengevaluasi akun yang ditetapkan atau memenuhi syarat untuk peran Administrator Global. Jika Anda tidak melihat akun khusus cloud menggunakan domain *.onmicrosoft.com (untuk akses darurat "break glass"), buat akun tersebut. Untuk informasi selengkapnya, lihat Mengelola akun administratif akses darurat di AAD.

Aktifkan autentikasi multi-faktor dan daftarkan semua akun administrator non-federasi pengguna tunggal lainnya yang sangat istimewa

Memerlukan Autentikasi Multi-Faktor Azure AD (MFA) saat masuk untuk semua pengguna individual yang secara permanen ditetapkan ke satu atau beberapa peran administrator Azure AD: Administrator Global, Administrator Peran Istimewa, Administrator Exchange, dan Administrator SharePoint. Gunakan panduan di Terapkan autentikasi multifaktor pada administrator Anda dan pastikan bahwa semua pengguna tersebut telah mendaftar di https://aka.ms/mfasetup. Informasi selengkapnya dapat ditemukan di langkah 2 dan langkah 3 panduan Lindungi akses pengguna dan perangkat di Microsoft 365.

Tahap 2: Mitigasi serangan yang sering digunakan

Stage 2 Mitigate frequently used attacks

Tahap 2 dari roadmap berfokus pada mitigasi teknik serangan yang paling sering digunakan dari pencurian dan penyalahgunaan info masuk dan dapat diimplementasikan dalam waktu sekitar 2-4 minggu. Tahap peta jalan Akses Hak Istimewa Aman ini mencakup tindakan berikut:

Persiapan umum

Melakukan inventaris layanan, pemilik, dan administrator

Peningkatan "bring your own device (BYOD)" dan kebijakan bekerja dari rumah dan pertumbuhan konektivitas nirkabel membuatnya penting untuk memantau siapa yang terhubung ke jaringan Anda. Audit keamanan dapat mengungkapkan perangkat, aplikasi, dan program di jaringan Anda yang tidak didukung organisasi Anda dan yang mewakili risiko tinggi. Untuk informasi selengkapnya, lihat Gambaran umum manajemen keamanan dan pemantauan keamanan Azure. Pastikan Anda menyertakan semua tugas berikut dalam proses inventaris Anda.

  • Identifikasi pengguna yang memiliki peran administratif dan layanan tempat mereka dapat mengelola.

  • Gunakan PIM Azure AD untuk mengetahui pengguna mana di organisasi Anda yang memiliki akses administrator ke Azure AD.

  • Selain peran yang ditentukan di Azure AD, Microsoft 365 dilengkapi dengan serangkaian peran administrator yang dapat Anda tetapkan untuk pengguna di organisasi Anda. Setiap peta peran administrator ke fungsi bisnis umum, dan memberi orang di organisasi Anda izin untuk melakukan tugas tertentu di pusat admin Microsoft 365. Gunakan pusat admin Microsoft 365 untuk mengetahui pengguna mana di organisasi Anda yang memiliki akses administrator ke Microsoft 365, termasuk melalui peran yang tidak dikelola di Azure AD. Untuk informasi selengkapnya, lihat Tentang peran administrator Microsoft 365 dan Praktik keamanan untuk Office 365.

  • Lakukan inventaris dalam layanan yang diandalkan organisasi Anda, seperti Azure, Intune, atau Dynamics 365.

  • Pastikan akun Anda yang digunakan untuk keperluan administrasi:

    • Memiliki alamat email yang berfungsi dilampirkan ke alamat email tersebut
    • Telah mendaftar untuk Autentikasi Multifaktor AAD atau menggunakan MFA secara lokal
  • Minta pengguna untuk pertimbangan bisnis mereka untuk akses administratif.

  • Hapus akses administrator untuk individu dan layanan yang tidak memerlukannya.

Identifikasi akun Microsoft dalam peran administratif yang perlu dialihkan ke akun kerja atau sekolah

Jika Administrator Global awal Anda menggunakan kembali info masuk akun Microsoft yang sudah ada saat mereka mulai menggunakan AAD, ganti akun Microsoft dengan akun individual berbasis cloud atau yang disinkronkan.

Memastikan akun pengguna dan penerusan email terpisah untuk akun Administrator Global

Akun email pribadi secara teratur di-phish oleh penyerang cyber, risiko yang membuat alamat email pribadi tidak dapat diterima untuk akun Administrator Global. Untuk membantu memisahkan risiko internet dari hak istimewa admin, buat akun khusus untuk setiap pengguna dengan hak istimewa admin.

  • Pastikan untuk membuat akun terpisah bagi pengguna untuk melakukan tugas Administrator Global.
  • Pastikan Administrator Global Anda tidak secara tidak sengaja membuka email atau menjalankan program dengan akun administrator mereka.
  • Pastikan akun tersebut meneruskan email mereka ke kotak surat yang berfungsi.
  • Akun Administrator Global (dan grup istimewa lainnya) harus menjadi akun khusus cloud tanpa ikatan dengan Active Directory lokal.

Pastikan kata sandi akun administratif baru-baru ini berubah

Pastikan semua pengguna telah masuk ke akun administratif mereka dan mengubah kata sandi mereka setidaknya sekali dalam 90 hari terakhir. Selain itu, verifikasi bahwa setiap akun bersama telah mengubah kata sandi mereka baru-baru ini.

Mengaktifkan sinkronisasi hash kata sandi

Azure AD Connect menyinkronkan hash, dari hash, kata sandi pengguna dari instans Active Directory lokal ke instans AAD berbasis cloud. Anda dapat menggunakan sinkronisasi hash kata sandi sebagai cadangan jika Anda menggunakan federasi dengan Layanan Federasi Direktori Aktif (AD FS). Cadangan ini bisa berguna jika Active Directory lokal atau server AD FS Anda untuk sementara waktu tidak tersedia.

Sinkronisasi hash kata sandi memungkinkan pengguna masuk ke layanan dengan menggunakan kata sandi yang sama dengan yang mereka gunakan untuk masuk ke instans Active Directory lokal. Sinkronisasi hash kata sandi memungkinkan Perlindungan Identitas mendeteksi info masuk yang disusupi dengan membandingkan hash kata sandi dengan kata sandi yang diketahui disusupi. Untuk informasi selengkapnya, lihat Menerapkan sinkronisasi hash kata sandi dengan sinkronisasi Azure AD Connect.

Memerlukan autentikasi multifaktor untuk pengguna dalam peran istimewa dan pengguna yang terekspos

AAD merekomendasikan agar Anda memerlukan autentikasi multifaktor (MFA) untuk semua pengguna Anda. Pastikan untuk mempertimbangkan pengguna yang akan memiliki dampak signifikan jika akun mereka dikompromikan (misalnya, pejabat keuangan). MFA mengurangi risiko serangan karena kata sandi yang disusupi.

Aktifkan:

Jika Anda menggunakan Windows Hello for Business, persyaratan MFA dapat dipenuhi menggunakan pengalaman masuk Windows Hello. Untuk informasi selengkapnya, lihat Windows Hello.

Mengonfigurasi Proteksi Identitas

Azure AD Identity Protection adalah alat pemantauan dan pelaporan berbasis algoritma yang mendeteksi potensi kerentanan yang memengaruhi identitas organisasi Anda. Anda dapat mengonfigurasi respons otomatis terhadap aktivitas mencurigakan yang terdeteksi, dan mengambil tindakan yang tepat untuk mengatasinya. Untuk informasi selengkapnya, lihat Azure Active Directory Identity Protection.

Dapatkan Skor Aman Microsoft 365 Anda (jika menggunakan Microsoft 365)

Skor Aman melihat pengaturan dan aktivitas Anda untuk layanan Microsoft 365 yang Anda gunakan dan membandingkannya dengan garis besar yang ditetapkan oleh Microsoft. Anda akan mendapatkan skor berdasarkan seberapa selaras Anda dengan praktik keamanan. Siapa pun yang memiliki izin administrator untuk langganan Microsoft 365 Business Standard atau Enterprise dapat mengakses Skor Aman di https://security.microsoft.com/securescore.

Meninjau panduan keamanan dan kepatuhan Microsoft 365 (jika menggunakan Microsoft 365)

Paket untuk keamanan dan kepatuhan menguraikan pendekatan bagi pelanggan Office 365 untuk mengonfigurasi Office 365 dan mengaktifkan kapabilitas EMS lainnya. Kemudian, tinjau langkah 3-6 tentang cara Melindungi akses ke data dan layanan di Microsoft 365 dan panduan cara memantau keamanan dan kepatuhan di Microsoft 365.

Mengonfigurasi Pemantauan Aktivitas Microsoft 365 (jika menggunakan Microsoft 365)

Pantau organisasi Anda untuk pengguna yang menggunakan Microsoft 365 untuk mengidentifikasi staf yang memiliki akun administrator tetapi mungkin tidak memerlukan akses Microsoft 365 karena mereka tidak masuk ke portal tersebut. Untuk informasi selengkapnya, lihat Laporan aktivitas di pusat admin Microsoft 365.

Menetapkan pemilik rencana insiden/respons darurat

Membangun kemampuan respons insiden yang sukses membutuhkan perencanaan dan sumber daya yang cukup besar. Anda harus terus memantau serangan cyber dan menetapkan prioritas untuk penanganan insiden. Kumpulkan, analisis, dan laporkan data insiden untuk membangun hubungan dan menjalin komunikasi dengan grup internal lain dan pemilik rencana. Untuk informasi selengkapnya, lihat Microsoft Security Response Center.

Amankan akun administratif istimewa lokal, jika belum selesai

Jika organisasi Azure Active Directory Anda disinkronkan dengan Active Directory lokal, ikuti panduan dalam Roadmap Akses Istimewa Keamanan: Tahap ini mencakup:

  • Membuat akun administrator terpisah untuk pengguna yang perlu melakukan tugas administratif lokal
  • Menyebarkan Stasiun Kerja Akses Istimewa untuk administrator Direktori Aktif
  • Membuat kata sandi administrator lokal yang unik untuk stasiun kerja dan server

Langkah tambahan untuk organisasi yang mengelola akses ke Azure

Menyelesaikan inventaris langganan

Gunakan portal Enterprise dan portal Microsoft Azure untuk mengidentifikasi langganan di organisasi Anda yang menghosting aplikasi produksi.

Menghapus akun Microsoft dari peran administrator

Akun Microsoft dari program lain, seperti Xbox, Live, dan Outlook, tidak boleh digunakan sebagai akun administrator untuk langganan organisasi Anda. Hapus status administrator dari semua akun Microsoft, dan ganti dengan akun kerja atau sekolah Azure AD (misalnya, chris@contoso.com). Untuk tujuan administrator, bergantung pada akun yang diautentikasi di Azure AD dan bukan di layanan lain.

Memantau aktivitas Azure

Log Aktivitas Azure menyediakan riwayat peristiwa tingkat langganan di Azure. Ini menawarkan informasi tentang siapa yang membuat, memperbarui, dan menghapus sumber daya apa, dan kapan peristiwa ini terjadi. Untuk informasi selengkapnya, lihat Mengaudit dan menerima pemberitahuan tentang tindakan penting dalam langganan Azure Anda.

Langkah tambahan untuk organisasi yang mengelola akses ke aplikasi cloud lain melalui AAD

Menghapus kebijakan Akses Bersyarat

Siapkan kebijakan Akses Bersyarat untuk aplikasi lokal dan yang dihosting cloud. Jika Anda memiliki perangkat yang bergabung dengan pengguna di tempat kerja, dapatkan informasi selengkapnya dari Menyiapkan Akses Bersyarat lokal menggunakan pendaftaran perangkat Azure Active Directory.

Tahap 3: Mengendalikan aktivitas administrator

Stage 3: take control of administrator activity

Tahap 3 dibangun berdasarkan mitigasi dari Tahap 2 dan harus dilaksanakan dalam waktu kurang lebih 1-3 bulan. Tahap roadmap Akses Hak Istimewa Aman ini mencakup komponen berikut.

Persiapan umum

Menyelesaikan tinjauan akses pengguna dalam peran administrator

Lebih banyak pengguna perusahaan mendapatkan akses istimewa melalui layanan cloud, yang dapat menyebabkan akses yang tidak dikelola. Pengguna saat ini dapat menjadi Administrator Global untuk Microsoft 365, administrator langganan Azure, atau memiliki akses administrator ke komputer virtual atau melalui aplikasi SaaS.

Organisasi Anda harus memiliki semua karyawan menangani transaksi bisnis biasa sebagai pengguna yang tidak istimewa, lalu memberikan hak administrator hanya sesuai kebutuhan. Selesaikan tinjauan akses untuk mengidentifikasi dan mengonfirmasi pengguna yang memenuhi syarat untuk mengaktifkan hak istimewa administrator.

Kami menyarankan Anda:

  1. Menentukan pengguna mana yang merupakan administrator Azure AD, aktifkan akses administrator sesuai permintaan dan just-in-time, serta kontrol keamanan berbasis peran.
  2. Konversikan pengguna yang tidak memiliki pembenaran yang jelas untuk akses istimewa administrator ke peran lain (jika tidak ada peran yang memenuhi syarat, hapus).

Lanjutkan peluncuran autentikasi yang lebih kuat untuk semua pengguna

Mengharuskan pengguna yang sangat terekspos untuk memiliki autentikasi modern dan kuat seperti Azure AD Multifactor Authentication atau Windows Hello. Contoh pengguna yang sangat terekspos meliputi:

  • Eksekutif C-suite
  • Manajer tingkat tinggi
  • IT penting dan personel keamanan

Menggunakan workstation khusus untuk administrasi AAD

Penyerang mungkin mencoba menargetkan akun istimewa sehingga dapat mengganggu integritas dan keaslian data. Mereka sering menggunakan kode berbahaya yang mengubah logika program atau mengintai administrator yang memasukkan info masuk. Privileged Access Workstations (PAW) menyediakan sistem operasi khusus untuk tugas sensitif yang dilindungi dari serangan Internet dan vektor ancaman. Memisahkan tugas dan akun sensitif ini dari stasiun kerja dan perangkat penggunaan sehari-hari memberikan perlindungan yang kuat dari:

  • Serangan phishing
  • Kerentanan aplikasi dan sistem operasi
  • Serangan peniruan identitas
  • Serangan pencurian info masuk seperti pengelogan tombol, Pass-the-Hash, dan Pass-The-Ticket

Dengan menyebarkan stasiun kerja akses istimewa, Anda dapat mengurangi risiko administrator memasukkan info masuk mereka di lingkungan desktop yang belum diperkeras. Untuk informasi selengkapnya, lihat Stasiun Kerja Akses Istimewa.

Tinjau rekomendasi National Institute of Standards and Technology untuk menangani insiden

National Institute of Standards and Technology (NIST) memberikan pedoman untuk penanganan insiden, terutama untuk menganalisis data terkait insiden dan menentukan respons yang tepat terhadap setiap insiden. Untuk informasi selengkapnya, lihat Panduan Penanganan Insiden Keamanan Komputer (SP 800-61, Revisi 2) (NIST).

Menerapkan Privileged Identity Management (PIM) untuk JIT ke peran administratif tambahan

Untuk Azure Active Directory, gunakan kapabilitas Azure AD Privileged Identity Management. Aktivasi peran istimewa yang terbatas waktu bekerja dengan memungkinkan Anda untuk:

  • Mengaktifkan hak istimewa administrator untuk melakukan tugas tertentu

  • Terapkan MFA selama proses aktivasi

  • Gunakan pemberitahuan untuk memberi tahu administrator tentang perubahan out-of-band

  • Izinkan pengguna untuk menyimpan akses istimewa mereka untuk jumlah waktu yang telah dikonfigurasi

  • Izinkan administrator keamanan untuk:

    • Menemukan semua identitas istimewa
    • Menampilkan laporan audit
    • Buat tinjauan akses untuk mengidentifikasi setiap pengguna yang memenuhi syarat untuk mengaktifkan hak istimewa administrator

Jika Anda sudah menggunakan Azure AD Privileged Identity Management, sesuaikan kerangka waktu untuk hak istimewa yang terikat waktu jika diperlukan (misalnya, jendela pemeliharaan).

Menentukan paparan protokol masuk berbasis kata sandi (jika menggunakan Exchange Online)

Sebaiknya identifikasi setiap pengguna potensial yang bisa menjadi bencana bagi organisasi jika info masuk mereka disusupi. Untuk pengguna tersebut, lansir persyaratan autentikasi yang kuat dan gunakan Akses Bersyarat AAD untuk mencegah mereka masuk ke email mereka menggunakan nama pengguna dan kata sandi. Anda bisa memblokir autentikasi warisan menggunakan Akses Bersyarat, dan Anda bisa memblokir autentikasi dasar melalui Exchange secara online.

Menyelesaikan penilaian ulasan peran untuk peran Microsoft 365 (jika menggunakan Microsoft 365)

Menilai apakah semua pengguna administrator berada dalam peran yang benar (hapus dan tetapkan ulang sesuai dengan penilaian ini).

Tinjau pendekatan manajemen insiden keamanan yang digunakan di Microsoft 365 dan bandingkan dengan organisasi Anda sendiri

Anda dapat mengunduh laporan ini dari Manajemen Insiden Keamanan di Microsoft 365.

Lanjutkan mengamankan akun administratif istimewa lokal

Jika Azure Active Directory Anda tersambung ke Active Directory lokal, ikuti panduan dalam Roadmap Akses Istimewa Keamanan: Tahap 2. Pada tahap ini, Anda:

  • Menyebarkan Stasiun Kerja Akses Istimewa untuk semua administrator
  • Memerlukan MFA
  • Menggunakan Cukup Admin untuk pemeliharaan pengendali domain, menurunkan permukaan serangan domain
  • Menyebarkan Penilaian Ancaman Tingkat Lanjut untuk deteksi serangan

Langkah tambahan untuk organisasi yang mengelola akses ke Azure

Menetapkan pemantauan terintegrasi

Pertahanan Microsoft untuk Cloud:

  • Menyediakan pemantauan keamanan terintegrasi dan manajemen kebijakan di seluruh langganan Azure Anda
  • Membantu mendeteksi ancaman yang mungkin luput dari perhatian
  • Bekerja dengan array solusi keamanan

Inventaris akun istimewa Anda dalam Virtual Machines yang dihosting

Anda biasanya tidak perlu memberi pengguna izin tidak terbatas ke semua langganan atau sumber daya Azure Anda. Gunakan peran administrator Azure AD untuk memberikan hanya akses yang diperlukan pengguna Anda untuk melakukan pekerjaan mereka. Anda bisa menggunakan peran administrator Azure AD untuk memungkinkan satu administrator mengelola hanya komputer virtual dalam langganan, sementara yang lain dapat mengelola database SQL dalam langganan yang sama. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan kontrol akses berbasis peran.

Mengimplementasikan peran administrator PIM untuk AAD

Gunakan Manajemen identitas istimewa dengan peran administrator AAD untuk mengelola, mengontrol, dan memantau akses ke sumber daya Azure. Menggunakan PIM melindungi dengan menurunkan waktu eksposur hak istimewa dan meningkatkan visibilitas Anda ke dalam penggunaannya melalui laporan dan pemberitahuan. Untuk informasi selengkapnya, lihat Apa itu Microsoft Azure Active Directory Privileged Identity Management?.

Gunakan integrasi log Azure untuk mengirim log Azure yang relevan ke sistem SIEM Anda

Integrasi log Azure memungkinkan Anda mengintegrasikan log mentah dari sumber daya Azure Anda ke sistem Security Information and Event Management (SIEM) organisasi Anda yang sudah ada. Integrasi log Azure mengumpulkan aktivitas Windows dari log Pemantau Peristiwa Windows dan sumber daya Azure dari:

  • Log aktivitas Azure
  • Peringatan Pertahanan Microsoft untuk Cloud
  • Log sumber daya Azure

Langkah tambahan untuk organisasi yang mengelola akses ke aplikasi cloud lain melalui AAD

Menerapkan penyediaan pengguna untuk aplikasi yang terhubung

AAD memungkinkan Anda mengotomatiskan pembuatan dan memelihara identitas pengguna di aplikasi cloud seperti Dropbox, Salesforce, dan ServiceNow. Untuk informasi selengkapnya, lihat Mengotomatiskan penyediaan dan penghapusan penyediaan pengguna untuk aplikasi SaaS dengan Azure Active Directory.

Mengintegrasikan perlindungan informasi

Pertahanan Microsoft untuk Aplikasi Cloud memungkinkan Anda menyelidiki file dan menetapkan kebijakan berdasarkan label klasifikasi Perlindungan Informasi Azure, sehingga memberikan visibilitas dan kontrol yang lebih baik atas data cloud Anda. Pindai dan klasifikasikan file di cloud dan terapkan label perlindungan informasi Azure. Untuk informasi selengkapnya, lihat Integrasi Perlindungan Informasi Azure.

Mengonfigurasi Akses Bersyarat

Konfigurasikan Akses Bersyarat berdasarkan sensitivitas grup, lokasi, dan aplikasi untuk aplikasi SaaS dan aplikasi yang tersambung dengan AAD.

Memantau aktivitas di aplikasi cloud yang tersambung

Sebaiknya gunakan Pertahanan Microsoft untuk Aplikasi Cloud demi memastikan bahwa akses pengguna juga terlindungi di aplikasi yang terhubung. Fitur ini mengamankan akses perusahaan ke aplikasi cloud dan mengamankan akun administrator Anda, memungkinkan Anda:

  • Memperluas visibilitas dan kontrol ke aplikasi cloud
  • Membuat kebijakan untuk akses, aktivitas, dan berbagi data
  • Mengidentifikasi aktivitas berisiko, perilaku abnormal, dan ancaman secara otomatis
  • Mencegah kebocoran data
  • Meminimalkan risiko dan pencegahan ancaman otomatis dan penegakan kebijakan

Agen SIEM Pertahanan Microsoft untuk Aplikasi Cloud mengintegrasikan Pertahanan Microsoft untuk Aplikasi Cloud dengan server SIEM Anda guna memungkinkan pemantauan yang terpusat untuk peringatan dan aktivitas Microsoft 365. Proses ini berjalan di server Anda dan mengambil peringatan serta aktivitas dari Pertahanan Microsoft untuk Aplikasi Cloud, lalu mengalirkannya ke server SIEM. Untuk informasi selengkapnya, lihat integrasi SIEM.

Tahap 4: Melanjutkan membangun pertahanan

Stage 4: adopt an active security posture

Tahap 4 roadmap harus dilaksanakan pada enam bulan dan seterusnya. Lengkapi peta jalan Anda untuk memperkuat perlindungan akses istimewa Anda dari potensi serangan yang diketahui saat ini. Untuk ancaman keamanan besok, sebaiknya lihat keamanan sebagai proses yang sedang berlangsung untuk menaikkan biaya dan mengurangi tingkat keberhasilan musuh yang menargetkan lingkungan Anda.

Mengamankan akses istimewa penting untuk menetapkan jaminan keamanan untuk aset bisnis Anda. Namun, itu harus menjadi bagian dari program keamanan lengkap yang memberikan jaminan keamanan yang sedang berlangsung. Program ini harus mencakup elemen seperti:

  • Kebijakan
  • Operasional
  • Keamanan informasi
  • Server
  • Aplikasi
  • PC
  • Perangkat
  • Cloud fabric

Kami merekomendasikan praktik berikut saat Anda mengelola akun akses istimewa:

  • Memastikan bahwa administrator melakukan bisnis sehari-hari mereka sebagai pengguna yang tidak istimewa
  • Memberikan akses istimewa hanya jika diperlukan, dan hapus setelahnya (just-in-time)
  • Menyimpan log aktivitas audit yang berkaitan dengan akun istimewa

Untuk informasi selengkapnya tentang cara membangun roadmap keamanan lengkap, lihat Sumber daya arsitektur Microsoft cloud IT. Untuk berinteraksi dengan layanan Microsoft untuk membantu Anda menerapkan bagian mana pun dari peta jalan Anda, hubungi perwakilan Microsoft Anda atau lihat Membangun pertahanan cyber penting untuk melindungi perusahaan Anda.

Tahap roadmap Akses Hak Istimewa Aman ini mencakup komponen berikut.

Persiapan umum

Tinjau peran administrator di Azure AD

Tentukan apakah peran administrator Azure AD bawaan saat ini masih diperbarui dan pastikan pengguna hanya berada dalam peran yang mereka butuhkan. Dengan AAD, Anda dapat menetapkan administrator terpisah untuk melayani fungsi yang berbeda. Untuk informasi selengkapnya, lihat Peran bawaan Azure AD.

Meninjau pengguna yang memiliki administrasi perangkat bergabung AAD

Untuk informasi selengkapnya, lihat Cara mengonfigurasi perangkat yang bergabung dengan Azure Active Directory hibrid.

Meninjau anggota peran admin Microsoft 365 bawaan

Lewati langkah ini jika Anda tidak menggunakan Microsoft 365. ‎

Memvalidasi rencana respons insiden

Untuk meningkatkan rencana Anda, Microsoft menyarankan Anda memvalidasi rencana Anda secara teratur seperti yang diharapkan:

  • Buka melalui roadmap Anda yang ada untuk melihat apa yang terlewatkan
  • Berdasarkan analisis postmortem, merevisi praktik baru yang ada atau mendefinisikan
  • Pastikan rencana respons insiden dan praktik Anda yang diperbarui didistribusikan ke seluruh organisasi Anda

Langkah tambahan untuk organisasi yang mengelola akses ke Azure

Tentukan apakah Anda perlu mentransfer kepemilikan langganan Azure ke akun lain. ‎

"Break glass": apa yang harus dilakukan dalam keadaan darurat

Accounts for emergency break glass access

  1. Beri tahu manajer utama dan petugas keamanan dengan informasi tentang insiden tersebut.

  2. Meninjau playbook serangan Anda.

  3. Akses nama pengguna akun "break glass" dan kombinasi kata sandi Anda untuk masuk ke AAD.

  4. Dapatkan bantuan dari Microsoft dengan membuka permintaan dukungan Azure.

  5. Lihat laporan masuk AAD. Mungkin ada beberapa waktu antara peristiwa yang terjadi dan kapan itu disertakan dalam laporan.

  6. Untuk lingkungan hibrid, jika infrastruktur lokal Anda di federasi dan server Layanan Federasi Direktori Aktif Anda tidak tersedia, Anda dapat beralih sementara dari autentikasi terfederasi untuk menggunakan sinkronisasi hash kata sandi. Tombol ini mengembalikan federasi domain kembali ke autentikasi terkelola hingga server AD FS tersedia.

  7. Memantau email untuk akun istimewa.

  8. Pastikan Anda menyimpan cadangan log yang relevan untuk penyelidikan forensik dan hukum potensial.

Untuk informasi selengkapnya tentang cara Microsoft Office 365 menangani insiden keamanan, lihat Manajemen Insiden Keamanan di Microsoft Office 365.

FAQ: Jawaban untuk mengamankan akses istimewa

T: Apa yang harus saya lakukan jika saya belum menerapkan komponen akses aman?

Jawaban: Tentukan setidaknya dua akun break-glass, tetapkan MFA ke akun administrator istimewa Anda, dan pisahkan akun pengguna dari akun Administrator Global.

T: Setelah pelanggaran, apa masalah teratas yang perlu ditangani terlebih dahulu?

Jawaban: Pastikan Anda memerlukan autentikasi terkuat untuk individu yang sangat terbuka.

T: Apa yang terjadi jika administrator istimewa kami telah dinonaktifkan?

Jawaban: Buat akun Administrator Global yang selalu diperbarui.

T: Apa yang terjadi jika hanya ada satu Administrator Global yang tersisa dan mereka tidak dapat dihubungi?

Jawaban: Gunakan salah satu akun break-glass Anda untuk mendapatkan akses istimewa langsung.

T: Bagaimana cara melindungi administrator dalam organisasi saya?

Jawaban: Minta administrator selalu melakukan bisnis sehari-hari mereka sebagai pengguna "non-istimewa" standar.

T: Apa saja praktik terbaik untuk membuat akun administrator dalam Azure AD?

Jawaban: Cadangan akses istimewa untuk tugas administrator tertentu.

T: Alat apa yang ada untuk mengurangi akses administrator persisten?

Jawaban: Peran Privileged Identity Management (PIM) dan administrator Azure AD.

T: Apa posisi Microsoft pada sinkronisasi akun administrator ke Azure AD?

Jawaban: Akun administrator tingkat 0 hanya digunakan untuk akun AD lokal. Akun tersebut biasanya tidak disinkronkan dengan AAD di cloud. Akun administrator tingkat 0 mencakup akun, grup, dan aset lain yang memiliki kontrol administratif langsung atau tidak langsung atas forest, domain, pengontrol domain, dan aset Active Directory lokal.

T: Bagaimana kita menjaga administrator dari menetapkan akses administrator acak di portal?

Jawaban: Gunakan akun non-istimewa untuk semua pengguna dan sebagian besar administrator. Mulailah dengan mengembangkan jejak organisasi untuk menentukan beberapa akun administrator mana yang harus diistimewakan. Dan pantau untuk pengguna administratif yang baru dibuat.

Langkah berikutnya

Layanan Online Microsoft Lainnya

  • Microsoft Intune Security – Azure Intune menyediakan manajemen perangkat seluler, manajemen aplikasi seluler, dan kemampuan manajemen PC dari cloud.

  • Keamanan Microsoft Dynamics 365 – Dynamics 365 adalah solusi berbasis cloud Microsoft yang menyatukan kemampuan manajemen hubungan pelanggan (CRM) dan perencanaan sumber daya perusahaan (ERP).