Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra

Keamanan aset bisnis tergantung pada integritas akun dengan hak istimewa yang mengelola sistem TI Anda. Penyerang siber menggunakan serangan pencurian kredensial untuk menargetkan akun administrator dan akses hak istimewa lainnya untuk mencoba mendapatkan akses ke data sensitif.

Untuk layanan cloud, pencegahan dan respons adalah tanggung jawab bersama penyedia layanan cloud dan pelanggan. Untuk informasi selengkapnya tentang ancaman terbaru terhadap titik akhir dan awan, lihat Laporan Kecerdasan Keamanan Microsoft. Artikel ini dapat membantu Anda mengembangkan peta jalan menuju penutupan kesenjangan antara paket Anda saat ini dan panduan yang dijelaskan di sini.

Catatan

Microsoft berkomitmen pada tingkat kepercayaan, transparansi, kesesuaian standar, dan kepatuhan terhadap peraturan tertinggi. Pelajari selengkapnya tentang bagaimana tim respons insiden global Microsoft mengurangi efek serangan terhadap layanan cloud, dan bagaimana keamanan dibangun ke dalam produk bisnis Microsoft dan layanan cloud di Microsoft Trust Center - Keamanan dan Target kepatuhan Microsoft di Microsoft Trust Center - Kepatuhan.

Secara tradisional, keamanan organisasi difokuskan pada titik masuk dan keluar jaringan sebagai perimeter keamanan. Namun, aplikasi SaaS dan perangkat pribadi di Internet telah membuat pendekatan ini kurang efektif. Di ID Microsoft Entra, kami mengganti perimeter keamanan jaringan dengan autentikasi di lapisan identitas organisasi Anda, dengan pengguna yang ditetapkan ke peran administratif istimewa dalam kontrol. Akses mereka harus dilindungi, baik lingkungan lokal, cloud, atau hibrid.

Mengamankan akses hak istimewa memerlukan perubahan pada:

• Proses, praktik administrasi, dan manajemen pengetahuan
• Komponen teknis seperti pertahanan host, perlindungan akun, dan manajemen identitas

Amankan akses istimewa Anda dengan cara yang dikelola dan dilaporkan dalam layanan Microsoft yang penting. Jika Anda memiliki akun administrator lokal, lihat panduan untuk akses istimewa lokal dan hibrid di Active Directory di Mengamankan Akses Hak Istimewa.

Catatan

Panduan dalam artikel ini terutama mengacu pada fitur ID Microsoft Entra yang disertakan dalam Microsoft Entra ID P1 dan P2. Microsoft Entra ID P2 disertakan dalam rangkaian EMS E5 dan suite Microsoft 365 E5. Panduan ini mengasumsikan organisasi Anda sudah memiliki lisensi Microsoft Entra ID P2 yang dibeli untuk pengguna Anda. Jika Anda tidak memiliki lisensi ini, beberapa panduan mungkin tidak berlaku untuk organisasi Anda. Selain itu, sepanjang artikel ini, istilah Administrator Global berarti hal yang sama seperti "administrator perusahaan" atau "administrator penyewa."

Mengembangkan roadmap

Microsoft menyarankan agar Anda mengembangkan dan mengikuti peta jalan untuk mengamankan akses istimewa terhadap penyerang cyber. Anda selalu dapat menyesuaikan peta jalan untuk mengakomodasi kemampuan dan persyaratan khusus yang ada dalam organisasi Anda. Setiap tahap peta jalan harus menaikkan biaya dan kesulitan bagi musuh untuk menyerang akses hak istimewa untuk aset lokal, cloud, dan hibrid Anda. Microsoft merekomendasikan empat tahap roadmap berikut ini. Jadwalkan implementasi yang paling efektif dan tercepat terlebih dahulu. Artikel ini dapat menjadi panduan Anda, berdasarkan pengalaman Microsoft dengan insiden serangan cyber dan implementasi respons. Garis waktu untuk roadmap ini adalah perkiraan.

• Tahap 1 (24-48 jam): Item penting yang sangat direkomendasikan kepada Anda

• Tahap 2 (2-4 minggu): Mitigasi teknik serangan yang paling sering dijumpai

• Tahap 3 (1-3 bulan): Bangun visibilitas dan bangun kontrol aktivitas administrator

• Tahap 4 (di atas enam bulan): Lanjutkan pembangunan pertahanan untuk melakukan hardening pada platform keamanan lebih lanjut

Kerangka kerja roadmap ini dirancang untuk memaksimalkan penggunaan teknologi Microsoft yang mungkin telah Anda sebarkan. Pertimbangkan untuk masuk ke alat keamanan apa pun dari vendor lain yang telah Anda terapkan atau sedang mempertimbangkan untuk menyebarkan.

Tahap 1: Item penting untuk dilakukan saat ini

Tahap 1 roadmap difokuskan pada tugas penting yang cepat dan mudah dilaksanakan. Sebaiknya segera lakukan beberapa item ini dalam 24-48 jam pertama untuk memastikan tingkat dasar akses hak istimewa yang aman. Tahap peta jalan Akses Hak Istimewa Aman ini mencakup tindakan berikut:

Persiapan umum

Menggunakan Microsoft Entra Privileged Identity Management

Kami menyarankan agar Anda mulai menggunakan Microsoft Entra Privileged Identity Management (PIM) di lingkungan produksi Microsoft Entra Anda. Setelah Anda mulai menggunakan PIM, Anda akan menerima pesan email pemberitahuan untuk perubahan peran akses istimewa. Pemberitahuan memberikan peringatan dini ketika pengguna tambahan ditambahkan ke peran hak istimewa yang tinggi.

Microsoft Entra Privileged Identity Management disertakan dalam Microsoft Entra ID P2 atau EMS E5. Untuk membantu Anda melindungi akses ke aplikasi dan sumber daya lokal dan di cloud, daftar untuk coba gratis 90 hari Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management dan Microsoft Entra ID Protection memantau aktivitas keamanan menggunakan pelaporan, audit, dan pemberitahuan ID Microsoft Entra.

Setelah Anda mulai menggunakan Microsoft Entra Privileged Identity Management:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

2. Untuk beralih direktori tempat Anda ingin menggunakan Privileged Identity Management, pilih nama pengguna Anda di sudut kanan atas pusat admin Microsoft Entra.

3. Telusuri tata kelola>identitas Privileged Identity Management.

Pastikan orang pertama yang menggunakan PIM di organisasi Anda ditetapkan ke peran Administrator Keamanan dan Administrator Peran Istimewa. Hanya Administrator Peran Istimewa yang dapat mengelola penetapan peran direktori Microsoft Entra pengguna. Wizard keamanan PIM memandu Anda melalui penemuan awal dan pengalaman penugasan. Anda bisa keluar dari wisaya tanpa melakukan perubahan tambahan saat ini.

Mengidentifikasi dan mengkategorikan akun yang berada dalam peran yang sangat istimewa

Setelah mulai menggunakan Microsoft Entra Privileged Identity Management, lihat pengguna yang berada dalam peran Microsoft Entra berikut:

• Administrator Global
• Administrator Peran Privileged
• Administrator Exchange
• Administrator SharePoint

Jika Anda tidak memiliki Microsoft Entra Privileged Identity Management di organisasi, Anda dapat menggunakan Microsoft Graph PowerShell. Mulai dengan peran Administrator Global karena Administrator Global memiliki izin yang sama di semua layanan cloud tempat organisasi Anda berlangganan. Izin ini diberikan di mana pun mereka ditetapkan: di pusat admin Microsoft 365, pusat admin Microsoft Entra, atau dengan menggunakan Microsoft Graph PowerShell.

Hapus akun apa pun yang tidak lagi diperlukan dalam peran tersebut. Kemudian, kategorikan akun yang tersisa yang ditetapkan ke peran administrator:

• Ditetapkan untuk pengguna administratif, tetapi juga digunakan untuk tujuan non-administratif (misalnya, email pribadi)
• Ditetapkan untuk pengguna administratif dan digunakan hanya untuk tujuan administratif
• Dibagikan di beberapa pengguna
• Untuk skenario akses darurat break-glass
• Untuk skrip otomatis
• Untuk pengguna eksternal

Tentukan setidaknya dua akun akses darurat

Dimungkinkan bagi pengguna untuk secara tidak sengaja dikunci dari peran mereka. Misalnya, jika penyedia identitas gabungan lokal tidak tersedia, pengguna tidak dapat masuk atau mengaktifkan akun administrator yang ada. Anda dapat mempersiapkan kurangnya akses yang tidak disengaja dengan menyimpan dua atau lebih akun akses darurat.

Akun akses darurat membantu membatasi akses istimewa dalam organisasi Microsoft Entra. Akun ini sangat istimewa dan tidak ditugaskan untuk individu tertentu. Akun akses darurat terbatas pada skenario darurat atau "break glass" di mana akun administratif normal tidak dapat digunakan. Pastikan Anda mengontrol dan mengurangi penggunaan akun darurat hanya pada waktu yang diperlukan.

Mengevaluasi akun yang ditetapkan atau memenuhi syarat untuk peran Administrator Global. Jika Anda tidak melihat akun khusus cloud menggunakan domain *.onmicrosoft.com (untuk akses darurat "break glass"), buat akun tersebut. Untuk informasi selengkapnya, lihat Mengelola akun administratif akses darurat di ID Microsoft Entra.

Aktifkan autentikasi multifaktor dan daftarkan semua akun administrator non-federasi pengguna tunggal lainnya yang sangat istimewa

Wajibkan autentikasi multifaktor Microsoft Entra saat masuk untuk semua pengguna individu yang ditetapkan secara permanen ke satu atau beberapa peran administrator Microsoft Entra: Administrator Global, Administrator Peran Istimewa, Administrator Exchange, dan Administrator SharePoint. Gunakan panduan di Terapkan autentikasi multifaktor pada administrator Anda dan pastikan bahwa semua pengguna tersebut telah mendaftar di https://aka.ms/mfasetup. Informasi selengkapnya dapat ditemukan di langkah 2 dan langkah 3 panduan Lindungi akses pengguna dan perangkat di Microsoft 365.

Tahap 2: Mitigasi serangan yang sering digunakan

Tahap 2 dari roadmap berfokus pada mitigasi teknik serangan yang paling sering digunakan dari pencurian dan penyalahgunaan info masuk dan dapat diimplementasikan dalam waktu sekitar 2-4 minggu. Tahap peta jalan Akses Hak Istimewa Aman ini mencakup tindakan berikut:

Persiapan umum

Melakukan inventaris layanan, pemilik, dan administrator

Peningkatan "bring your own device (BYOD)" dan kebijakan bekerja dari rumah dan pertumbuhan konektivitas nirkabel membuatnya penting untuk memantau siapa yang terhubung ke jaringan Anda. Audit keamanan dapat mengungkapkan perangkat, aplikasi, dan program di jaringan Anda yang tidak didukung organisasi Anda dan yang mewakili risiko tinggi. Untuk informasi selengkapnya, lihat Gambaran umum manajemen keamanan dan pemantauan keamanan Azure. Pastikan Anda menyertakan semua tugas berikut dalam proses inventaris Anda.

• Identifikasi pengguna yang memiliki peran administratif dan layanan tempat mereka dapat mengelola.

• Gunakan Microsoft Entra PIM untuk mengetahui pengguna mana di organisasi Anda yang memiliki akses administrator ke ID Microsoft Entra.

• Di luar peran yang ditentukan dalam MICROSOFT Entra ID, Microsoft 365 dilengkapi dengan sekumpulan peran administrator yang dapat Anda tetapkan kepada pengguna di organisasi Anda. Setiap peta peran administrator ke fungsi bisnis umum, dan memberi orang di organisasi Anda izin untuk melakukan tugas tertentu di pusat admin Microsoft 365. Gunakan pusat admin Microsoft 365 untuk mengetahui pengguna mana di organisasi Anda yang memiliki akses administrator ke Microsoft 365, termasuk melalui peran yang tidak dikelola di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Tentang peran administrator Microsoft 365 dan Praktik keamanan untuk Office 365.

• Lakukan inventaris dalam layanan yang diandalkan organisasi Anda, seperti Azure, Intune, atau Dynamics 365.

• Pastikan akun Anda yang digunakan untuk keperluan administrasi:

  • Memiliki alamat email yang berfungsi dilampirkan ke alamat email tersebut
  • Telah mendaftar untuk autentikasi multifaktor Microsoft Entra atau menggunakan MFA lokal

• Minta pengguna untuk pertimbangan bisnis mereka untuk akses administratif.

• Hapus akses administrator untuk individu dan layanan yang tidak memerlukannya.

Identifikasi akun Microsoft dalam peran administratif yang perlu dialihkan ke akun kerja atau sekolah

Jika Administrator Global awal Anda menggunakan kembali kredensial akun Microsoft yang ada saat mereka mulai menggunakan ID Microsoft Entra, ganti akun Microsoft dengan akun berbasis cloud individual atau akun yang disinkronkan.

Memastikan akun pengguna dan penerusan email terpisah untuk akun Administrator Global

Akun email pribadi secara teratur di-phish oleh penyerang cyber, risiko yang membuat alamat email pribadi tidak dapat diterima untuk akun Administrator Global. Untuk membantu memisahkan risiko internet dari hak istimewa admin, buat akun khusus untuk setiap pengguna dengan hak istimewa admin.

• Pastikan untuk membuat akun terpisah bagi pengguna untuk melakukan tugas Administrator Global.
• Pastikan Administrator Global Anda tidak secara tidak sengaja membuka email atau menjalankan program dengan akun administrator mereka.
• Pastikan akun tersebut meneruskan email mereka ke kotak surat yang berfungsi.
• Akun Administrator Global (dan grup istimewa lainnya) harus menjadi akun khusus cloud tanpa ikatan dengan Active Directory lokal.

Pastikan kata sandi akun administratif baru-baru ini berubah

Pastikan semua pengguna telah masuk ke akun administratif mereka dan mengubah kata sandi mereka setidaknya sekali dalam 90 hari terakhir. Selain itu, verifikasi bahwa setiap akun bersama telah mengubah kata sandi mereka baru-baru ini.

Mengaktifkan sinkronisasi hash kata sandi

Microsoft Entra Koneksi menyinkronkan hash hash kata sandi pengguna dari Active Directory lokal ke organisasi Microsoft Entra berbasis cloud. Anda dapat menggunakan sinkronisasi hash kata sandi sebagai cadangan jika Anda menggunakan federasi dengan Layanan Federasi Direktori Aktif (AD FS). Cadangan ini bisa berguna jika Active Directory lokal atau server AD FS Anda untuk sementara waktu tidak tersedia.

Sinkronisasi hash kata sandi memungkinkan pengguna masuk ke layanan dengan menggunakan kata sandi yang sama dengan yang mereka gunakan untuk masuk ke instans Active Directory lokal. Sinkronisasi hash kata sandi memungkinkan Perlindungan Identitas mendeteksi info masuk yang disusupi dengan membandingkan hash kata sandi dengan kata sandi yang diketahui disusupi. Untuk informasi selengkapnya, lihat Menerapkan sinkronisasi hash kata sandi dengan Microsoft Entra Koneksi Sync.

Memerlukan autentikasi multifaktor untuk pengguna dalam peran istimewa dan pengguna yang terekspos

ID Microsoft Entra merekomendasikan agar Anda memerlukan autentikasi multifaktor untuk semua pengguna Anda. Pastikan untuk mempertimbangkan pengguna yang akan memiliki dampak signifikan jika akun mereka dikompromikan (misalnya, pejabat keuangan). MFA mengurangi risiko serangan karena kata sandi yang disusupi.

Aktifkan:

• MFA menggunakan kebijakan Akses Bersyarat untuk semua pengguna di organisasi Anda.

Jika Anda menggunakan Windows Hello for Business, persyaratan MFA dapat dipenuhi menggunakan pengalaman masuk Windows Hello. Untuk informasi selengkapnya, lihat Windows Hello.

Mengonfigurasi Proteksi Identitas

Microsoft Entra ID Protection adalah alat pemantauan dan pelaporan berbasis algoritma yang mendeteksi potensi kerentanan yang memengaruhi identitas organisasi Anda. Anda dapat mengonfigurasi respons otomatis terhadap aktivitas mencurigakan yang terdeteksi, dan mengambil tindakan yang tepat untuk mengatasinya. Untuk informasi selengkapnya, lihat Perlindungan ID Microsoft Entra.

Dapatkan Skor Aman Microsoft 365 Anda (jika menggunakan Microsoft 365)

Skor Aman melihat pengaturan dan aktivitas Anda untuk layanan Microsoft 365 yang Anda gunakan dan membandingkannya dengan garis besar yang ditetapkan oleh Microsoft. Anda akan mendapatkan skor berdasarkan seberapa selaras Anda dengan praktik keamanan. Siapa pun yang memiliki izin administrator untuk langganan Microsoft 365 Business Standard atau Enterprise dapat mengakses Skor Aman di https://security.microsoft.com/securescore.

Meninjau panduan keamanan dan kepatuhan Microsoft 365 (jika menggunakan Microsoft 365)

Paket untuk keamanan dan kepatuhan menguraikan pendekatan bagi pelanggan Office 365 untuk mengonfigurasi Office 365 dan mengaktifkan kapabilitas EMS lainnya. Kemudian, tinjau langkah 3-6 tentang cara Melindungi akses ke data dan layanan di Microsoft 365 dan panduan cara memantau keamanan dan kepatuhan di Microsoft 365.

Mengonfigurasi Pemantauan Aktivitas Microsoft 365 (jika menggunakan Microsoft 365)

Pantau organisasi Anda untuk pengguna yang menggunakan Microsoft 365 untuk mengidentifikasi staf yang memiliki akun administrator tetapi mungkin tidak memerlukan akses Microsoft 365 karena mereka tidak masuk ke portal tersebut. Untuk informasi selengkapnya, lihat Laporan aktivitas di pusat admin Microsoft 365.

Menetapkan pemilik rencana insiden/respons darurat

Membangun kemampuan respons insiden yang sukses membutuhkan perencanaan dan sumber daya yang cukup besar. Anda harus terus memantau serangan cyber dan menetapkan prioritas untuk penanganan insiden. Kumpulkan, analisis, dan laporkan data insiden untuk membangun hubungan dan menjalin komunikasi dengan grup internal lain dan pemilik rencana. Untuk informasi selengkapnya, lihat Microsoft Security Response Center.

Amankan akun administratif istimewa lokal, jika belum selesai

Jika organisasi Microsoft Entra Anda disinkronkan dengan Active Directory lokal, ikuti panduan dalam Peta Jalan Akses Istimewa Keamanan: Tahap ini meliputi:

• Membuat akun administrator terpisah untuk pengguna yang perlu melakukan tugas administratif lokal
• Menyebarkan Stasiun Kerja Akses Istimewa untuk administrator Direktori Aktif
• Membuat kata sandi administrator lokal yang unik untuk stasiun kerja dan server

Langkah tambahan untuk organisasi yang mengelola akses ke Azure

Menyelesaikan inventaris langganan

Gunakan portal Enterprise dan portal Microsoft Azure untuk mengidentifikasi langganan di organisasi Anda yang menghosting aplikasi produksi.

Menghapus akun Microsoft dari peran administrator

Akun Microsoft dari program lain, seperti Xbox, Live, dan Outlook, tidak boleh digunakan sebagai akun administrator untuk langganan organisasi Anda. Hapus status administrator dari semua akun Microsoft, dan ganti dengan ID Microsoft Entra (misalnya, chris@contoso.com) akun kerja atau sekolah. Untuk tujuan administrator, bergantung pada akun yang diautentikasi di ID Microsoft Entra dan bukan di layanan lain.

Memantau aktivitas Azure

Log Aktivitas Azure menyediakan riwayat peristiwa tingkat langganan di Azure. Ini menawarkan informasi tentang siapa yang membuat, memperbarui, dan menghapus sumber daya apa, dan kapan peristiwa ini terjadi. Untuk informasi selengkapnya, lihat Mengaudit dan menerima pemberitahuan tentang tindakan penting dalam langganan Azure Anda.

Langkah tambahan untuk organisasi yang mengelola akses ke aplikasi cloud lain melalui ID Microsoft Entra

Menghapus kebijakan Akses Bersyarat

Siapkan kebijakan Akses Bersyarat untuk aplikasi lokal dan yang dihosting cloud. Jika Anda memiliki perangkat yang bergabung dengan tempat kerja pengguna, dapatkan informasi selengkapnya dari Menyiapkan Akses Bersyar lokal dengan menggunakan pendaftaran perangkat Microsoft Entra.

Tahap 3: Mengendalikan aktivitas administrator

Tahap 3 dibangun berdasarkan mitigasi dari Tahap 2 dan harus dilaksanakan dalam waktu kurang lebih 1-3 bulan. Tahap roadmap Akses Hak Istimewa Aman ini mencakup komponen berikut.

Persiapan umum

Menyelesaikan tinjauan akses pengguna dalam peran administrator

Lebih banyak pengguna perusahaan mendapatkan akses istimewa melalui layanan cloud, yang dapat menyebabkan akses yang tidak dikelola. Pengguna saat ini dapat menjadi Administrator Global untuk Microsoft 365, administrator langganan Azure, atau memiliki akses administrator ke komputer virtual atau melalui aplikasi SaaS.

Organisasi Anda harus memiliki semua karyawan menangani transaksi bisnis biasa sebagai pengguna yang tidak istimewa, lalu memberikan hak administrator hanya sesuai kebutuhan. Selesaikan tinjauan akses untuk mengidentifikasi dan mengonfirmasi pengguna yang memenuhi syarat untuk mengaktifkan hak istimewa administrator.

Kami menyarankan Anda:

1. Tentukan pengguna mana yang merupakan administrator Microsoft Entra, aktifkan akses administrator sesuai permintaan, just-in-time, dan kontrol keamanan berbasis peran.
2. Konversikan pengguna yang tidak memiliki pembenaran yang jelas untuk akses istimewa administrator ke peran lain (jika tidak ada peran yang memenuhi syarat, hapus).

Lanjutkan peluncuran autentikasi yang lebih kuat untuk semua pengguna

Mengharuskan pengguna yang sangat terekspos untuk memiliki autentikasi modern dan kuat seperti autentikasi multifaktor Microsoft Entra atau Windows Hello. Contoh pengguna yang sangat terekspos meliputi:

• Eksekutif C-suite
• Manajer tingkat tinggi
• IT penting dan personel keamanan

Menggunakan stasiun kerja khusus untuk administrasi untuk ID Microsoft Entra

Penyerang mungkin mencoba menargetkan akun istimewa sehingga dapat mengganggu integritas dan keaslian data. Mereka sering menggunakan kode berbahaya yang mengubah logika program atau mengintai administrator yang memasukkan info masuk. Privileged Access Workstations (PAW) menyediakan sistem operasi khusus untuk tugas sensitif yang dilindungi dari serangan Internet dan vektor ancaman. Memisahkan tugas dan akun sensitif ini dari stasiun kerja dan perangkat penggunaan sehari-hari memberikan perlindungan yang kuat dari:

• Serangan phishing
• Kerentanan aplikasi dan sistem operasi
• Serangan peniruan identitas
• Serangan pencurian info masuk seperti pengelogan tombol, Pass-the-Hash, dan Pass-The-Ticket

Dengan menyebarkan stasiun kerja akses istimewa, Anda dapat mengurangi risiko administrator memasukkan info masuk mereka di lingkungan desktop yang belum diperkeras. Untuk informasi selengkapnya, lihat Stasiun Kerja Akses Istimewa.

Tinjau rekomendasi National Institute of Standards and Technology untuk menangani insiden

National Institute of Standards and Technology (NIST) memberikan pedoman untuk penanganan insiden, terutama untuk menganalisis data terkait insiden dan menentukan respons yang tepat terhadap setiap insiden. Untuk informasi selengkapnya, lihat Panduan Penanganan Insiden Keamanan Komputer (SP 800-61, Revisi 2) (NIST).

Menerapkan Privileged Identity Management (PIM) untuk JIT ke peran administratif tambahan

Untuk ID Microsoft Entra, gunakan kemampuan Microsoft Entra Privileged Identity Management . Aktivasi peran istimewa yang terbatas waktu bekerja dengan memungkinkan Anda untuk:

• Mengaktifkan hak istimewa administrator untuk melakukan tugas tertentu

• Terapkan MFA selama proses aktivasi

• Gunakan pemberitahuan untuk memberi tahu administrator tentang perubahan out-of-band

• Izinkan pengguna untuk menyimpan akses istimewa mereka untuk jumlah waktu yang telah dikonfigurasi

• Izinkan administrator keamanan untuk:

  • Menemukan semua identitas istimewa
  • Menampilkan laporan audit
  • Buat tinjauan akses untuk mengidentifikasi setiap pengguna yang memenuhi syarat untuk mengaktifkan hak istimewa administrator

Jika Anda sudah menggunakan Microsoft Entra Privileged Identity Management, sesuaikan jangka waktu untuk hak istimewa yang terikat waktu seperlunya (misalnya, jendela pemeliharaan).

Menentukan paparan protokol masuk berbasis kata sandi (jika menggunakan Exchange Online)

Sebaiknya identifikasi setiap pengguna potensial yang bisa menjadi bencana bagi organisasi jika info masuk mereka disusupi. Untuk pengguna tersebut, tetapkan persyaratan autentikasi yang kuat dan gunakan Akses Bersyarat Microsoft Entra untuk mencegah mereka masuk ke email mereka menggunakan nama pengguna dan kata sandi. Anda bisa memblokir autentikasi warisan menggunakan Akses Bersyarat, dan Anda bisa memblokir autentikasi dasar melalui Exchange secara online.

Menyelesaikan penilaian ulasan peran untuk peran Microsoft 365 (jika menggunakan Microsoft 365)

Menilai apakah semua pengguna administrator berada dalam peran yang benar (hapus dan tetapkan ulang sesuai dengan penilaian ini).

Tinjau pendekatan manajemen insiden keamanan yang digunakan di Microsoft 365 dan bandingkan dengan organisasi Anda sendiri

Anda dapat mengunduh laporan ini dari Manajemen Insiden Keamanan di Microsoft 365.

Lanjutkan mengamankan akun administratif istimewa lokal

Jika ID Microsoft Entra Anda tersambung ke Active Directory lokal, ikuti panduan di Peta Jalan Akses Istimewa Keamanan: Tahap 2. Pada tahap ini, Anda:

• Menyebarkan Stasiun Kerja Akses Istimewa untuk semua administrator
• Memerlukan MFA
• Menggunakan Cukup Admin untuk pemeliharaan pengendali domain, menurunkan permukaan serangan domain
• Menyebarkan Analitik Ancaman Tingkat Lanjut untuk deteksi serangan

Langkah tambahan untuk organisasi yang mengelola akses ke Azure

Menetapkan pemantauan terintegrasi

Pertahanan Microsoft untuk Cloud:

• Menyediakan pemantauan keamanan terintegrasi dan manajemen kebijakan di seluruh langganan Azure Anda
• Membantu mendeteksi ancaman yang mungkin luput dari perhatian
• Bekerja dengan array solusi keamanan

Inventaris akun istimewa Anda dalam Virtual Machines yang dihosting

Anda biasanya tidak perlu memberi pengguna izin tidak terbatas ke semua langganan atau sumber daya Azure Anda. Gunakan peran administrator Microsoft Entra untuk hanya memberikan akses yang dibutuhkan pengguna Anda untuk melakukan pekerjaan mereka. Anda dapat menggunakan peran administrator Microsoft Entra untuk memungkinkan satu administrator mengelola hanya VM dalam langganan, sementara yang lain dapat mengelola database SQL dalam langganan yang sama. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan kontrol akses berbasis peran.

Menerapkan PIM untuk peran administrator Microsoft Entra

Gunakan Privileged identity Management dengan peran administrator Microsoft Entra untuk mengelola, mengontrol, dan memantau akses ke sumber daya Azure. Menggunakan PIM melindungi dengan menurunkan waktu eksposur hak istimewa dan meningkatkan visibilitas Anda ke dalam penggunaannya melalui laporan dan pemberitahuan. Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra Privileged Identity Management.

Gunakan integrasi log Azure untuk mengirim log Azure yang relevan ke sistem SIEM Anda

Integrasi log Azure memungkinkan Anda mengintegrasikan log mentah dari sumber daya Azure Anda ke sistem Security Information and Event Management (SIEM) organisasi Anda yang sudah ada. Integrasi log Azure mengumpulkan aktivitas Windows dari log Pemantau Peristiwa Windows dan sumber daya Azure dari:

• Log aktivitas Azure
• Peringatan Pertahanan Microsoft untuk Cloud
• Log sumber daya Azure

Langkah tambahan untuk organisasi yang mengelola akses ke aplikasi cloud lain melalui ID Microsoft Entra

Menerapkan penyediaan pengguna untuk aplikasi yang terhubung

MICROSOFT Entra ID memungkinkan Anda mengotomatiskan pembuatan dan pemeliharaan identitas pengguna di aplikasi cloud seperti Dropbox, Salesforce, dan ServiceNow. Untuk informasi selengkapnya, lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra.

Mengintegrasikan perlindungan informasi

Pertahanan Microsoft untuk Aplikasi Cloud memungkinkan Anda menyelidiki file dan menetapkan kebijakan berdasarkan label klasifikasi Perlindungan Informasi Azure, sehingga memberikan visibilitas dan kontrol yang lebih baik atas data cloud Anda. Pindai dan klasifikasikan file di cloud dan terapkan label perlindungan informasi Azure. Untuk informasi selengkapnya, lihat Integrasi Perlindungan Informasi Azure.

Mengonfigurasi Akses Bersyarat

Mengonfigurasi Akses Bersyarkat berdasarkan sensitivitas grup, lokasi, dan aplikasi untuk aplikasi SaaS dan aplikasi yang terhubung dengan Microsoft Entra.

Memantau aktivitas di aplikasi cloud yang tersambung

Sebaiknya gunakan Pertahanan Microsoft untuk Aplikasi Cloud demi memastikan bahwa akses pengguna juga terlindungi di aplikasi yang terhubung. Fitur ini mengamankan akses perusahaan ke aplikasi cloud dan mengamankan akun administrator Anda, memungkinkan Anda:

• Memperluas visibilitas dan kontrol ke aplikasi cloud
• Membuat kebijakan untuk akses, aktivitas, dan berbagi data
• Mengidentifikasi aktivitas berisiko, perilaku abnormal, dan ancaman secara otomatis
• Mencegah kebocoran data
• Meminimalkan risiko dan pencegahan ancaman otomatis dan penegakan kebijakan

Agen SIEM Pertahanan Microsoft untuk Aplikasi Cloud mengintegrasikan Pertahanan Microsoft untuk Aplikasi Cloud dengan server SIEM Anda guna memungkinkan pemantauan yang terpusat untuk peringatan dan aktivitas Microsoft 365. Proses ini berjalan di server Anda dan mengambil peringatan serta aktivitas dari Pertahanan Microsoft untuk Aplikasi Cloud, lalu mengalirkannya ke server SIEM. Untuk informasi selengkapnya, lihat integrasi SIEM.

Tahap 4: Melanjutkan membangun pertahanan

Tahap 4 roadmap harus dilaksanakan pada enam bulan dan seterusnya. Lengkapi peta jalan Anda untuk memperkuat perlindungan akses istimewa Anda dari potensi serangan yang diketahui saat ini. Untuk ancaman keamanan besok, sebaiknya lihat keamanan sebagai proses yang sedang berlangsung untuk menaikkan biaya dan mengurangi tingkat keberhasilan musuh yang menargetkan lingkungan Anda.

Mengamankan akses istimewa penting untuk menetapkan jaminan keamanan untuk aset bisnis Anda. Namun, itu harus menjadi bagian dari program keamanan lengkap yang memberikan jaminan keamanan yang sedang berlangsung. Program ini harus mencakup elemen seperti:

• Kebijakan
• Operasional
• Keamanan informasi
• Server
• Aplikasi
• PC
• Perangkat
• Cloud fabric

Kami merekomendasikan praktik berikut saat Anda mengelola akun akses istimewa:

• Memastikan bahwa administrator melakukan bisnis sehari-hari mereka sebagai pengguna yang tidak istimewa
• Memberikan akses istimewa hanya jika diperlukan, dan hapus setelahnya (just-in-time)
• Menyimpan log aktivitas audit yang berkaitan dengan akun istimewa

Untuk informasi selengkapnya tentang cara membangun roadmap keamanan lengkap, lihat Sumber daya arsitektur Microsoft cloud IT. Untuk berinteraksi dengan layanan Microsoft untuk membantu Anda menerapkan bagian mana pun dari peta jalan Anda, hubungi perwakilan Microsoft Anda atau lihat Membangun pertahanan cyber penting untuk melindungi perusahaan Anda.

Tahap roadmap Akses Hak Istimewa Aman ini mencakup komponen berikut.

Persiapan umum

Meninjau peran administrator di ID Microsoft Entra

Tentukan apakah peran administrator Microsoft Entra bawaan saat ini masih diperbarui dan pastikan bahwa pengguna hanya berada dalam peran yang mereka butuhkan. Dengan MICROSOFT Entra ID, Anda dapat menetapkan administrator terpisah untuk melayani fungsi yang berbeda. Untuk informasi selengkapnya, lihat Peran bawaan Microsoft Entra.

Meninjau pengguna yang memiliki administrasi perangkat yang bergabung dengan Microsoft Entra

Untuk informasi selengkapnya, lihat Cara mengonfigurasi perangkat gabungan hibrid Microsoft Entra.

Meninjau anggota peran admin Microsoft 365 bawaan

Lewati langkah ini jika Anda tidak menggunakan Microsoft 365.

Memvalidasi rencana respons insiden

Untuk meningkatkan rencana Anda, Microsoft menyarankan Anda memvalidasi rencana Anda secara teratur seperti yang diharapkan:

• Buka melalui roadmap Anda yang ada untuk melihat apa yang terlewatkan
• Berdasarkan analisis postmortem, merevisi praktik baru yang ada atau mendefinisikan
• Pastikan rencana respons insiden dan praktik Anda yang diperbarui didistribusikan ke seluruh organisasi Anda

Langkah tambahan untuk organisasi yang mengelola akses ke Azure

Tentukan apakah Anda perlu mentransfer kepemilikan langganan Azure ke akun lain.

"Break glass": apa yang harus dilakukan dalam keadaan darurat

1. Beri tahu manajer utama dan petugas keamanan dengan informasi tentang insiden tersebut.

2. Meninjau playbook serangan Anda.

3. Akses kombinasi nama pengguna dan kata sandi akun "break glass" Anda untuk masuk ke ID Microsoft Entra.

4. Dapatkan bantuan dari Microsoft dengan membuka permintaan dukungan Azure.

5. Lihat laporan masuk Microsoft Entra. Mungkin ada beberapa waktu antara peristiwa yang terjadi dan kapan itu disertakan dalam laporan.

6. Untuk lingkungan hibrid, jika infrastruktur lokal Anda di federasi dan server Layanan Federasi Direktori Aktif Anda tidak tersedia, Anda dapat beralih sementara dari autentikasi terfederasi untuk menggunakan sinkronisasi hash kata sandi. Tombol ini mengembalikan federasi domain kembali ke autentikasi terkelola hingga server AD FS tersedia.

7. Memantau email untuk akun istimewa.

8. Pastikan Anda menyimpan cadangan log yang relevan untuk penyelidikan forensik dan hukum potensial.

Untuk informasi selengkapnya tentang cara Microsoft Office 365 menangani insiden keamanan, lihat Manajemen Insiden Keamanan di Microsoft Office 365.

FAQ: Jawaban untuk mengamankan akses istimewa

T: Apa yang harus saya lakukan jika saya belum menerapkan komponen akses aman?

Jawaban: Tentukan setidaknya dua akun break-glass, tetapkan MFA ke akun administrator istimewa Anda, dan pisahkan akun pengguna dari akun Administrator Global.

T: Setelah pelanggaran, apa masalah teratas yang perlu ditangani terlebih dahulu?

Jawaban: Pastikan Anda memerlukan autentikasi terkuat untuk individu yang sangat terbuka.

T: Apa yang terjadi jika administrator istimewa kami telah dinonaktifkan?

Jawaban: Buat akun Administrator Global yang selalu diperbarui.

T: Apa yang terjadi jika hanya ada satu Administrator Global yang tersisa dan mereka tidak dapat dihubungi?

Jawaban: Gunakan salah satu akun break-glass Anda untuk mendapatkan akses istimewa langsung.

T: Bagaimana cara melindungi administrator dalam organisasi saya?

Jawaban: Minta administrator selalu melakukan bisnis sehari-hari mereka sebagai pengguna "non-istimewa" standar.

T: Apa praktik terbaik untuk membuat akun administrator dalam ID Microsoft Entra?

Jawaban: Cadangan akses istimewa untuk tugas administrator tertentu.

T: Alat apa yang ada untuk mengurangi akses administrator persisten?

Jawaban: Peran Privileged Identity Management (PIM) dan administrator Microsoft Entra.

T: Apa posisi Microsoft dalam menyinkronkan akun administrator ke ID Microsoft Entra?

Jawaban: Akun administrator tingkat 0 hanya digunakan untuk akun AD lokal. Akun tersebut biasanya tidak disinkronkan dengan ID Microsoft Entra di cloud. Akun administrator tingkat 0 mencakup akun, grup, dan aset lain yang memiliki kontrol administratif langsung atau tidak langsung atas forest, domain, pengontrol domain, dan aset Active Directory lokal.

T: Bagaimana kita menjaga administrator dari menetapkan akses administrator acak di portal?

Jawaban: Gunakan akun non-istimewa untuk semua pengguna dan sebagian besar administrator. Mulailah dengan mengembangkan jejak organisasi untuk menentukan beberapa akun administrator mana yang harus diistimewakan. Dan pantau untuk pengguna administratif yang baru dibuat.

Langkah berikutnya

• Microsoft Trust Center for Product Security – Fitur keamanan produk dan layanan cloud Microsoft

• Penawaran kepatuhan Microsoft – Serangkaian penawaran kepatuhan komprehensif Microsoft untuk layanan cloud

• Panduan tentang cara melakukan penilaian risiko - Mengelola persyaratan keamanan dan kepatuhan untuk layanan cloud Microsoft

Layanan Online Microsoft Lainnya

• Microsoft Intune Security – Azure Intune menyediakan manajemen perangkat seluler, manajemen aplikasi seluler, dan kemampuan manajemen PC dari cloud.

• Keamanan Microsoft Dynamics 365 – Dynamics 365 adalah solusi berbasis cloud Microsoft yang menyatukan kemampuan manajemen hubungan pelanggan (CRM) dan perencanaan sumber daya perusahaan (ERP).