Lindungi Microsoft 365 dari serangan lokal

Banyak pelanggan menghubungkan jaringan perusahaan pribadi mereka ke Microsoft 365 untuk menguntungkan pengguna, perangkat, dan aplikasi mereka. Pelaku ancaman dapat membahayakan jaringan privat ini dengan banyak cara yang didokumenkan dengan baik. Microsoft 365 bertindak sebagai semacam sistem saraf untuk organisasi yang berinvestasi dalam memodernisasi lingkungan mereka ke cloud. Sangat penting untuk melindungi Microsoft 365 dari kompromi infrastruktur lokal.

Artikel ini memperlihatkan kepada Anda cara mengonfigurasi sistem untuk membantu melindungi lingkungan cloud Microsoft 365 dari kompromi lokal:

• Pengaturan konfigurasi penyewa Microsoft Entra.
• Bagaimana Anda dapat menghubungkan penyewa Microsoft Entra dengan aman ke sistem lokal.
• Pertimbangan yang diperlukan untuk mengoperasikan sistem Anda dengan cara yang melindungi sistem cloud Anda dari kompromi di tempat.

Microsoft sangat menyarankan agar Anda menerapkan panduan dalam artikel ini.

Sumber ancaman di lingkungan lokal

Lingkungan cloud Microsoft 365 Anda mendapat keuntungan dari infrastruktur pemantauan dan keamanan yang ekstensif. Microsoft 365 menggunakan pembelajaran mesin dan kecerdasan manusia untuk melihat lalu lintas di seluruh dunia. Ini dapat dengan cepat mendeteksi serangan dan memungkinkan Anda untuk mengonfigurasi ulang hampir secara real time.

Penyebaran hibrid dapat menyambungkan infrastruktur lokal ke Microsoft 365. Dalam penyebaran tersebut, banyak organisasi mendelegasikan kepercayaan ke komponen lokal untuk autentikasi penting dan keputusan manajemen status objek direktori. Jika pelaku ancaman membahayakan lingkungan lokal, hubungan kepercayaan ini menjadi peluang bagi mereka untuk juga membahayakan lingkungan Microsoft 365 Anda.

Dua vektor ancaman utama adalah hubungan kepercayaan federasi dan sinkronisasi akun. Kedua vektor dapat memberikan akses administratif penyerang ke cloud Anda.

• Hubungan kepercayaan federasi, seperti autentikasi SAML, digunakan untuk mengautentikasi ke Microsoft 365 melalui infrastruktur identitas lokal Anda. Jika sertifikat penandatanganan token SAML disusupi, federasi mengizinkan siapa saja yang memiliki sertifikat tersebut untuk menyamar sebagai pengguna di cloud Anda. Untuk mengurangi vektor ini, kami sarankan Anda menonaktifkan hubungan kepercayaan federasi untuk autentikasi ke Microsoft 365 jika memungkinkan. Sebaiknya migrasikan aplikasi lain yang menggunakan infrastruktur federasi lokal untuk menggunakan Microsoft Entra untuk autentikasi.
• Gunakan sinkronisasi akun untuk memodifikasi pengguna istimewa, termasuk kredensial mereka, atau grup yang memiliki hak istimewa administratif di Microsoft 365. Untuk mengurangi vektor ini, kami sarankan Anda memastikan bahwa objek yang disinkronkan tidak memiliki hak istimewa di luar pengguna di Microsoft 365. Anda dapat mengontrol hak istimewa baik secara langsung atau melalui penyertaan dalam peran atau grup tepercaya. Pastikan objek ini tidak memiliki penetapan langsung atau bersarang dalam peran atau grup cloud tepercaya.

Melindungi Microsoft 365 dari kompromi lokal

Untuk mengatasi ancaman lokal, kami sarankan Anda mematuhi empat prinsip yang diilustrasikan diagram berikut.

1. Sepenuhnya mengisolasi akun admin Microsoft 365. Mereka harus:

   • Akun berbasis cloud-native.
   • Diautentikasi dengan menggunakan kredensial tahan pengelabuan.
   • Diamankan oleh Microsoft Entra Conditional Access.
   • Diakses hanya dengan menggunakan stasiun kerja akses istimewa yang dikelola Cloud.

   Akun admin ini adalah akun yang dibatasi penggunaannya. Akun lokal tidak boleh memiliki hak admin di Microsoft 365.

   Untuk informasi selengkapnya, lihat Tentang peran admin dan Peran untuk Microsoft 365 di ID Microsoft Entra.

2. Kelola perangkat dari Microsoft 365. Gunakan gabungan Microsoft Entra dan manajemen perangkat seluler berbasis cloud (MDM) untuk menghilangkan dependensi pada infrastruktur manajemen perangkat lokal Anda. Dependensi ini dapat membahayakan kontrol perangkat dan keamanan.

3. Pastikan tidak ada akun lokal yang memiliki hak istimewa yang ditingkatkan ke Microsoft 365. Beberapa akun mengakses aplikasi lokal yang memerlukan NTLM, Lightweight Directory Access Protocol (LDAP), atau autentikasi Kerberos. Akun-akun ini harus berada di infrastruktur identitas organisasi lokal. Pastikan Anda tidak menyertakan akun ini, bersama dengan akun layanan, dalam peran atau grup cloud istimewa. Pastikan bahwa perubahan pada akun ini tidak dapat memengaruhi integritas lingkungan cloud Anda. Perangkat lunak lokal istimewa tidak boleh mampu memengaruhi akun atau peran istimewa Microsoft 365.

4. Gunakan autentikasi cloud Microsoft Entra untuk menghilangkan dependensi pada kredensial lokal Anda. Selalu gunakan metode autentikasi tahan pengelabuan, seperti Windows Hello untuk Bisnis, Kredensial Platform untuk macOS, Passkeys (FIDO2), kode akses Microsoft Authenticator, atau autentikasi berbasis sertifikat.

Rekomendasi keamanan khusus

Bagian berikut memberikan panduan tentang cara menerapkan prinsip-prinsip dalam artikel ini.

Mengisolasi identitas istimewa

Di ID Microsoft Entra, pengguna yang memiliki peran istimewa, seperti administrator, adalah akar kepercayaan untuk membangun dan mengelola lingkungan lainnya. Terapkan praktik berikut untuk meminimalkan efek kompromi.

• Gunakan akun khusus cloud untuk ID Microsoft Entra dan peran istimewa Microsoft 365.
• Sebarkan perangkat akses istimewa untuk akses istimewa untuk mengelola Microsoft 365 dan ID Microsoft Entra. Lihat Peran dan profil perangkat.
• Sebarkan Microsoft Entra Privileged Identity Management (PIM) untuk akses just-in-time ke semua akun manusia yang memiliki peran istimewa. Memerlukan autentikasi tahan pengelabuan untuk mengaktifkan peran.
• Berikan peran administratif yang memungkinkan hak istimewa paling sedikit diperlukan untuk melakukan tugas yang diperlukan. Lihat Peran dengan hak istimewa paling sedikit berdasarkan tugas di ID Microsoft Entra.
• Untuk mengaktifkan pengalaman penetapan peran kaya yang mencakup delegasi dan beberapa peran secara bersamaan, pertimbangkan untuk menggunakan grup keamanan Microsoft Entra atau Grup Microsoft 365. Secara kolektif, kami menyebut grup cloud ini.
• Aktifkan kontrol akses berbasis peran. Lihat Tetapkan peran Microsoft Entra. Gunakan unit administratif di MICROSOFT Entra ID untuk membatasi cakupan peran ke sebagian organisasi.
• Sebarkan akun akses darurat daripada brankas kata sandi lokal untuk menyimpan kredensial. Lihat Mengelola akun akses darurat di ID Microsoft Entra.

Untuk informasi selengkapnya, lihat Mengamankan akses istimewa dan Praktik akses aman untuk administrator di ID Microsoft Entra.

Gunakan autentikasi cloud

Informasi masuk adalah vektor serangan utama. Terapkan praktik berikut untuk membuat informasi masuk lebih aman:

• Sebarkan autentikasi tanpa kata sandi. Kurangi penggunaan kata sandi sebanyak mungkin dengan menyebarkan informasi masuk tanpa kata sandi. Anda dapat mengelola dan memvalidasi kredensial ini secara asli di cloud. Untuk informasi selengkapnya, lihat Mulai menggunakan penyebaran autentikasi tanpa kata sandi yang tahan pengelabuan di ID Microsoft Entra. Pilih dari metode autentikasi ini:

  • Windows Hello untuk Bisnis
  • Info Masuk Platform untuk macOS
  • Aplikasi Microsoft Authenticator
  • Kunci Akses FIDO2)
  • Autentikasi berbasis Sertifikat Microsoft Entra

• Sebarkan autentikasi multifaktor. Untuk informasi selengkapnya, lihat Merencanakan penyebaran autentikasi multifaktor Microsoft Entra. Provisikan beberapa kredensial yang kuat dengan menggunakan autentikasi multifaktor Microsoft Entra. Dengan begitu, akses ke sumber daya cloud memerlukan kredensial terkelola ID Microsoft Entra selain kata sandi lokal. Untuk informasi selengkapnya, lihat Membangun ketahanan dengan manajemen kredensial dan Membuat strategi manajemen kontrol akses yang tangguh dengan menggunakan ID Microsoft Entra.

• Memodernisasi SSO dari perangkat. Gunakan kemampuan Akses Menyeluruh (SSO) modern dari perangkat Windows 11, macOS, Linux, dan seluler.

• Pertimbangan. Manajemen kata sandi akun campuran memerlukan komponen campuran seperti agen perlindungan kata sandi dan agen penulisan balik kata sandi. Jika penyerang membahayakan infrastruktur lokal Anda, mereka dapat mengontrol mesin tempat agen ini berada. Kerentanan ini tidak membahayakan infrastruktur cloud Anda. Menggunakan akun cloud untuk peran istimewa tidak melindungi komponen hibrid ini dari kompromi lokal.

  Kebijakan kedaluwarsa kata sandi default di Microsoft Entra mengatur kata sandi akun akun akun lokal yang disinkronkan ke Never Expire. Anda dapat mengurangi pengaturan ini dengan pengaturan kata sandi Direktori Aktif lokal. Jika instans Direktori Aktif Anda disusupi dan sinkronisasi dinonaktifkan, atur opsi CloudPasswordPolicyForPasswordSyncedUsersEnabled untuk memaksa perubahan kata sandi atau menjauh dari kata sandi ke autentikasi kata sandi yang tahan pengelabuan.

Provisi akses pengguna dari cloud

Provisi mengacu pada pembuatan akun pengguna dan grup dalam aplikasi atau penyedia identitas.

Kami merekomendasikan metode provisi berikut:

• Provisi dari aplikasi HR cloud ke ID Microsoft Entra. Provisi ini memungkinkan penyusupan lokal untuk diisolasi. Isolasi ini tidak mengganggu siklus joiner-mover-leaver Anda dari aplikasi HR cloud Anda ke ID Microsoft Entra.

• Aplikasi cloud. Jika memungkinkan, sebarkan provisi aplikasi di MICROSOFT Entra ID dibandingkan dengan solusi provisi lokal. Metode ini melindungi beberapa aplikasi perangkat lunak sebagai layanan (SaaS) Anda dari profil penyerang berbahaya dalam pelanggaran lokal.

• Identitas eksternal. Gunakan kolaborasi Microsoft Entra External ID B2B untuk mengurangi dependensi pada akun lokal untuk kolaborasi eksternal dengan mitra, pelanggan, dan pemasok. Evaluasi secara hati-hati setiap federasi langsung dengan penyedia identitas lainnya. Sebaiknya batasi akun tamu B2B dengan cara berikut:

  • Batasi akses tamu ke grup penjelajahan dan properti lain di direktori. Gunakan pengaturan kolaborasi eksternal untuk membatasi kemampuan tamu membaca grup yang bukan anggotanya.
  • Blokir akses ke portal Microsoft Azure. Anda dapat membuat pengecualian langka yang diperlukan. Buat kebijakan Akses Bersyarat yang mencakup semua tamu dan semua pengguna eksternal. Lalu, menerapkan kebijakan untuk memblokir akses.

• Hutan terputus. Gunakan provisi cloud Microsoft Entra untuk menyambungkan ke forest yang terputus. Pendekatan ini menghilangkan kebutuhan untuk membangun konektivitas atau kepercayaan lintas hutan, yang dapat memperluas efek pelanggaran lokal. Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra Connect Cloud Sync.

• Pertimbangan. Saat digunakan untuk memprovisikan akun hibrid, sistem MICROSOFT Entra ID-from-cloud-HR bergantung pada sinkronisasi lokal untuk menyelesaikan aliran data dari Direktori Aktif ke ID Microsoft Entra. Jika sinkronisasi terganggu, rekaman karyawan baru tidak akan tersedia di ID Microsoft Entra.

Gunakan grup cloud untuk kolaborasi dan akses

Grup awan memungkinkan Anda memisahkan kolaborasi dan akses dari infrastruktur lokal Anda.

• Kolaborasi. Gunakan Grup Microsoft 365 dan Microsoft Teams untuk kolaborasi modern. Menonaktifkan daftar distribusi lokal dan memutakhirkan daftar distribusi ke Grup Microsoft 365 di Outlook.
• Akses. Gunakan grup keamanan Microsoft Entra atau Grup Microsoft 365 untuk mengotorisasi akses ke aplikasi di ID Microsoft Entra. Untuk mengontrol akses ke aplikasi lokal, pertimbangkan untuk menyediakan grup ke Direktori Aktif menggunakan Microsoft Entra Cloud Sync.
• Lisensi. Gunakan lisensi berbasis grup untuk memprovisikan ke layanan Microsoft dengan menggunakan grup khusus cloud. Metode ini memisahkan kontrol keanggotaan grup dari infrastruktur lokal.

Pertimbangkan pemilik grup yang digunakan untuk akses sebagai identitas istimewa untuk menghindari pengambilalihan keanggotaan dalam kompromi di tempat. Pengambilalihan termasuk manipulasi langsung keanggotaan grup di lokasi atau manipulasi atribut di lokasi yang dapat memengaruhi keanggotaan grup dinamis Microsoft 365.

Mengelola perangkat dari cloud

Kelola perangkat dengan aman dengan kemampuan Microsoft Entra.

Sebarkan stasiun kerja Windows 11 yang terhubung dengan Microsoft Entra dengan kebijakan pengelolaan perangkat seluler. Aktifkan Windows Autopilot untuk pengalaman provisi yang sepenuhnya otomatis. Lihat Merencanakan implementasi gabungan Microsoft Entra Anda.

• Gunakan stasiun kerja Windows 11 dengan pembaruan terbaru yang disebarkan.

  • Hentikan komputer yang menjalankan Windows 10 dan yang lebih lama.
  • Jangan menyebarkan komputer yang memiliki sistem operasi server sebagai stasiun kerja.

• Gunakan Microsoft Intune sebagai otoritas untuk semua beban kerja manajemen perangkat, termasuk Windows, macOS, iOS, Android, dan Linux.

  • Sebarkan Ekstensi SSO iOS Enterprise.
  • Sebarkan Ekstensi SSO Enterprise macOS atau Kunci Enklave Aman untuk SSO Platform.

• Menyebarkan perangkat akses dengan hak istimewa. Untuk informasi selengkapnya, lihat Peran dan profil perangkat.

Beban kerja, aplikasi, dan sumber daya

Bagian ini memberikan rekomendasi untuk melindungi dari serangan lokal pada beban kerja, aplikasi, dan sumber daya.

• Sistem single-sign-on (SSO) di lokasi. Hentikan setiap federasi lokal dan infrastruktur manajemen akses web. Konfigurasikan aplikasi untuk menggunakan ID Microsoft Entra. Jika Anda menggunakan Layanan Federasi Direktori Aktif untuk federasi, lihat Memahami tahapan migrasi autentikasi aplikasi dari LAYANAN Federasi Direktori Aktif ke ID Microsoft Entra.
• Aplikasi SaaS dan lini bisnis (LOB) yang mendukung protokol autentikasi modern. Gunakan single sign-on di ID Microsoft Entra. Konfigurasikan aplikasi untuk menggunakan ID Microsoft Entra untuk autentikasi guna mengurangi risiko dalam kompromi lokal.
• Aplikasi warisan. Anda dapat mengaktifkan autentikasi, otorisasi, dan akses jarak jauh ke aplikasi warisan yang tidak mendukung autentikasi modern dengan menggunakan Microsoft Entra Private Access. Sebagai langkah pertama, aktifkan akses modern ke jaringan internal menggunakan Akses Cepat Akses Privat Microsoft Entra. Langkah ini menyediakan cara cepat dan mudah untuk mengganti konfigurasi satu kali VPN Anda menggunakan kemampuan akses bersyarkat yang aman. Selanjutnya, konfigurasikan akses per aplikasi ke aplikasi berbasis TCP atau berbasis UDP.
• Akses Bersyarat. Tentukan kebijakan Akses Bersyarat untuk aplikasi SaaS, LOB, dan legacy, serta sertakan kontrol keamanan seperti MFA yang tahan phishing, dan kepatuhan perangkat. Untuk informasi selengkapnya, baca Merencanakan penyebaran Microsoft Entra Conditional Access.
• Siklus Hidup Akses. Kontrol siklus hidup akses ke aplikasi dan sumber daya menggunakan Microsoft Entra ID Governance untuk menerapkan akses hak istimewa paling sedikit. Beri pengguna akses ke informasi dan sumber daya hanya jika mereka memiliki kebutuhan asli bagi mereka untuk melakukan tugas mereka. Integrasikan aplikasi SaaS, LOB, dan warisan dengan Microsoft Entra ID Governance. Microsoft Entra ID Entitlement Management mengotomatiskan alur kerja permintaan akses, penetapan akses, tinjauan, dan kedaluwarsa.
• Server aplikasi dan server beban kerja. Anda dapat memigrasikan Aplikasi atau sumber daya yang memerlukan server ke infrastruktur sebagai layanan (IaaS) Azure. Gunakan Microsoft Entra Domain Services untuk memisahkan kepercayaan dan dependensi pada instans Direktori Aktif lokal. Untuk mencapai pemisahan ini, pastikan jaringan virtual yang digunakan untuk Microsoft Entra Domain Services tidak memiliki koneksi ke jaringan perusahaan. Gunakan penjenjangan info masuk. Server aplikasi biasanya dianggap sebagai aset tingkat 1. Untuk informasi selengkapnya, lihat model akses Perusahaan.

kebijakan Akses Bersyarat

Gunakan Akses Bersyarat Microsoft Entra untuk menginterpretasikan sinyal dan menggunakannya untuk membuat keputusan autentikasi. Untuk mengetahui informasi selengkapnya, lihat artikel Merencanakan penyebaran Akses Bersyarat.

• Gunakan Akses Bersyarat untuk memblokir protokol autentikasi warisan apabila memungkinkan. Selain itu, nonaktifkan protokol autentikasi warisan di tingkat aplikasi dengan menggunakan konfigurasi khusus aplikasi. Lihat Memblokir autentikasi warisan dan protokol autentikasi warisan. Temukan detail spesifik untuk Exchange Online dan SharePoint Online.
• Terapkan konfigurasi akses identitas dan perangkat yang direkomendasikan. Lihat Kebijakan identitas Zero Trust umum dan akses perangkat.
• Jika Anda menggunakan versi ID Microsoft Entra yang tidak menyertakan Akses Bersyar, gunakan Default keamanan di ID Microsoft Entra. Untuk informasi selengkapnya tentang lisensi fitur Microsoft Entra, lihat panduan harga Microsoft Entra.

Pemantau

Setelah mengonfigurasi lingkungan untuk melindungi Microsoft 365 dari penyusupan lokal, pantau lingkungan secara proaktif. Untuk informasi selengkapnya, lihat Apa itu pemantauan Microsoft Entra.

Pantau skenario utama berikut, selain skenario khusus untuk organisasi Anda.

• Aktivitas mencurigakan. Pantau semua peristiwa risiko Microsoft Entra untuk aktivitas yang mencurigakan. Lihat Cara: Menyelidiki risiko. Microsoft Entra ID Protection terintegrasi secara asli dengan Pertahanan Microsoft untuk Identitas. Tentukan lokasi bernama lokasi untuk menghindari deteksi noise pada sinyal berbasis lokasi. Lihat Menggunakan syarat lokasi dalam kebijakan Akses Bersyarat.

• Pemberitahuan Analitik Perilaku Pengguna dan Entitas (UEBA). Gunakan UEBA untuk mendapatkan wawasan tentang deteksi anomali. Pertahanan Microsoft untuk Aplikasi Cloud menyediakan UEBA di cloud. Lihat Menyelidiki pengguna yang berisiko. Anda dapat mengintegrasikan UEBA lokal dari Pertahanan Microsoft untuk Identitas. Microsoft Defender untuk Cloud Apps membaca sinyal dari Microsoft Entra ID Protection. Lihat Mengaktifkan analitik perilaku entitas untuk mendeteksi ancaman tingkat lanjut.

• Aktivitas akun akses darurat. Pantau akses yang menggunakan akun akses darurat. Lihat Mengelola akun akses darurat di ID Microsoft Entra. Buat peringatan untuk penyelidikan. Pemantauan ini harus mencakup tindakan berikut:

  • Rincian masuk
  • Manajemen info masuk yang kuat
  • Setiap pembaruan pada keanggotaan grup
  • Penugasan aplikasi

• Aktivitas peran istimewa. Konfigurasikan dan tinjau pemberitahuan keamanan yang dihasilkan oleh Microsoft Entra Privileged Identity Management (PIM). Pantau penugasan langsung peran istimewa di luar PIM dengan menghasilkan peringatan setiap kali pengguna ditetapkan secara langsung.

• Konfigurasi tingkat penyewa Microsoft Entra. Setiap perubahan pada konfigurasi di seluruh penyewa harus menghasilkan peringatan dalam sistem. Sertakan (tetapi jangan batasi) perubahan berikut:

  • Domain kustom yang diperbarui
  • Perubahan Microsoft Entra B2B pada daftar izin dan daftar blokir
  • Microsoft Entra B2B melakukan perubahan pada penyedia identitas yang diizinkan, seperti IdP SAML, melalui federasi secara langsung atau masuk sosial
  • Akses Bersyarat atau perubahan kebijakan risiko

• Objek aplikasi dan objek perwakilan layanan

  • Aplikasi atau perwakilan layanan baru yang dapat memerlukan kebijakan Akses Bersyarat
  • Informasi masuk ditambahkan ke perwakilan layanan
  • Aktivitas persetujuan aplikasi

• Peran kustom

  • Pembaruan untuk definisi peran kustom
  • Peran kustom yang baru dibuat

Untuk panduan komprehensif tentang topik ini, periksa panduan operasi keamanan Microsoft Entra.

Manajemen log

Tentukan strategi, desain, serta penerapan penyimpanan dan penyimpanan log untuk memfasilitasi kumpulan alat yang konsisten. Misalnya, pertimbangkan sistem informasi keamanan dan manajemen peristiwa (SIEM) seperti Microsoft Sentinel, pertanyaan umum, dan buku panduan investigasi dan forensik.

• Log Microsoft Entra. Menelan log dan sinyal yang dihasilkan dengan secara konsisten mengikuti praktik terbaik untuk pengaturan seperti diagnostik, retensi log, dan menelan SIEM.

• MICROSOFT Entra ID menyediakan integrasi Azure Monitor untuk beberapa log identitas. Untuk informasi selengkapnya, lihat Log aktivitas Microsoft Entra di Azure Monitor dan Menyelidiki pengguna berisiko dengan Copilot.

• Log keamanan sistem operasi infrastruktur hibrid. Arsipkan dan pantau dengan cermat semua log sistem operasi dari infrastruktur identitas hibrida sebagai sistem tingkat-0 karena adanya implikasi terhadap area permukaan. Sertakan elemen berikut:

  • Konektor jaringan privat untuk Akses Privat Microsoft Entra dan Proksi Aplikasi Microsoft Entra.
  • Agen tulis balik kata sandi.
  • Mesin Gateway Perlindungan Kata Sandi.
  • Server kebijakan jaringan (NPSs) yang memiliki ekstensi RADIUS autentikasi multifaktor Microsoft Entra.
  • Microsoft Entra Connect.
  • Anda harus menyebarkan Microsoft Entra Connect Health untuk memantau sinkronisasi identitas.

Untuk panduan komprehensif tentang topik ini, periksa Playbook respons insiden dan Selidiki pengguna berisiko dengan Copilot

Langkah berikutnya

• Membangun ketahanan ke dalam manajemen identitas dan akses dengan menggunakan ID Microsoft Entra
• Mengamankan akses eksternal ke sumber daya
• Mengintegrasikan semua aplikasi Anda dengan ID Microsoft Entra