Rencana modernisasi cepat keamanan

Rencana modernisasi cepat (RAMP) ini akan membantu Anda dengan cepat mengadopsi strategi akses istimewa microsoft yang direkomendasikan.

Peta jalan ini dibangun pada kontrol teknis yang ditetapkan dalam panduan penyebaran akses istimewa. Selesaikan langkah-langkah tersebut lalu gunakan langkah-langkah dalam RAMP ini untuk mengonfigurasi kontrol untuk organisasi Anda.

Privileged access RAMP summary

Catatan

Banyak dari langkah-langkah ini akan memiliki dinamis green/brownfield karena organisasi sering memiliki risiko keamanan dengan cara mereka sudah disebarkan atau dikonfigurasi akun. Peta jalan ini memprioritaskan menghentikan akumulasi risiko keamanan baru terlebih dahulu, dan kemudian membersihkan item yang tersisa yang telah terakumulasi.

Saat Anda maju melalui peta strategi, Anda dapat menggunakan Skor Aman Microsoft untuk melacak dan membandingkan banyak item dalam perjalanan dengan orang lain di organisasi serupa dari waktu ke waktu. Pelajari selengkapnya tentang Skor Aman Microsoft dalam artikel Gambaran umum skor aman.

Setiap item dalam RAMP ini disusun sebagai inisiatif yang akan dilacak dan dikelola menggunakan format yang dibangun berdasarkan metodologi tujuan dan hasil utama (OKR). Setiap item mencakup apa (tujuan), mengapa, siapa, bagaimana, dan cara mengukur (hasil utama). Beberapa item memerlukan perubahan pada proses dan pengetahuan/keterampilan orang lain, sementara yang lain adalah perubahan teknologi yang lebih sederhana. Banyak dari inisiatif ini akan mencakup anggota di luar Departemen IT tradisional yang harus disertakan dalam pengambilan keputusan dan implementasi perubahan ini untuk memastikan mereka berhasil diintegrasikan dalam organisasi Anda.

Sangat penting untuk bekerja sama sebagai organisasi, menciptakan kemitraan, dan mendidik orang-orang yang secara tradisional bukan bagian dari proses ini. Sangat penting untuk membuat dan memelihara pembelian di seluruh organisasi, tanpa banyak proyek gagal.

Pisahkan dan kelola akun istimewa

Akun akses darurat

  • Apa: Pastikan Anda tidak secara tidak sengaja terkunci dari organisasi Microsoft Entra Anda dalam situasi darurat.
  • Mengapa: Akun akses darurat jarang digunakan dan sangat merusak organisasi jika disusupi, tetapi ketersediaannya untuk organisasi juga sangat penting untuk beberapa skenario ketika diperlukan. Pastikan Anda memiliki rencana untuk kelangsungan akses yang mengakomodasi peristiwa yang diharapkan dan tidak terduga.
  • Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
  • Caranya: Ikuti panduan dalam Mengelola akun akses darurat di ID Microsoft Entra.
  • Mengukur hasil kunci:
    • Proses akses Darurat yang ditetapkan telah dirancang berdasarkan panduan Microsoft yang memenuhi kebutuhan organisasi
    • Akses Darurat yang Dipertahankan telah ditinjau dan diuji dalam 90 hari terakhir

Mengaktifkan Microsoft Entra Privileged Identity Management

  • Apa: Menggunakan Microsoft Entra Privileged Identity Management (PIM) di lingkungan produksi Microsoft Entra Anda untuk menemukan dan mengamankan akun istimewa
  • Mengapa: Privileged Identity Management menyediakan aktivasi peran berbasis waktu dan berbasis persetujuan untuk mengurangi risiko izin akses yang berlebihan, tidak perlu, atau disalahgunakan.
  • Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
    • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
    • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
  • Cara: Menyebarkan dan Mengonfigurasi Microsoft Entra Privileged Identity Management menggunakan panduan dalam artikel, Menyebarkan Microsoft Entra Privileged Identity Management (PIM).
  • Mengukur hasil utama: 100% peran akses istimewa yang berlaku menggunakan Microsoft Entra PIM

Mengidentifikasi dan mengategorikan akun istimewa (ID Microsoft Entra)

  • Apa: Mengidentifikasi semua peran dan grup dengan dampak bisnis tinggi yang akan memerlukan tingkat keamanan istimewa (segera atau dari waktu ke waktu). Administrator ini akan memerlukan akun sparate di langkah selanjutnya Administrasi akses istimewa.

  • Mengapa: Langkah ini diperlukan untuk mengidentifikasi dan meminimalkan jumlah orang yang memerlukan akun terpisah dan perlindungan akses istimewa

  • Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.

    • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
    • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
  • Caranya: Setelah mengaktifkan Microsoft Entra Privileged Identity Management, lihat pengguna yang berada dalam peran Microsoft Entra berikut minimal berdasarkan kebijakan risiko organisasi Anda:

    • Administrator global
    • Admin peran Istimewa
    • Admin Exchange
    • Administrator SharePoint

    Untuk daftar lengkap peran administrator, lihat Izin peran administrator di ID Microsoft Entra.

    Hapus akun apa pun yang tidak lagi diperlukan dalam peran tersebut. Kemudian, kategorikan akun yang tersisa yang ditetapkan ke peran admin:

    • Ditetapkan untuk pengguna administratif, tetapi juga digunakan untuk tujuan produktivitas non-administratif, seperti membaca dan merespons email.
    • Ditetapkan untuk pengguna administratif dan digunakan hanya untuk tujuan administratif
    • Dibagikan di beberapa pengguna
    • Untuk skenario akses darurat break-glass
    • Untuk skrip otomatis
    • Untuk pengguna eksternal

Jika Anda tidak memiliki Microsoft Entra Privileged Identity Management di organisasi, Anda dapat menggunakan PowerShell API. Mulai juga dengan peran Administrator Global, karena Administrator Global memiliki izin yang sama di semua layanan cloud tempat organisasi Anda berlangganan. Izin ini diberikan di mana pun mereka ditetapkan: di pusat admin Microsoft 365, portal Microsoft Azure, atau oleh modul AAD untuk Microsoft PowerShell.

  • Mengukur hasil utama: Tinjau dan Identifikasi peran akses istimewa telah selesai dalam 90 hari terakhir

Akun terpisah (Akun AD lokal)

  • Apa: Mengamankan akun administratif istimewa lokal, jika belum dilakukan. Tahap ini meliputi:

    • Membuat akun admin terpisah untuk pengguna yang perlu melakukan tugas administratif lokal
    • Menyebarkan Stasiun Kerja Akses Istimewa untuk administrator Direktori Aktif
    • Membuat kata sandi admin lokal yang unik untuk stasiun kerja dan server
  • Mengapa: Memperkuat akun yang digunakan untuk tugas administratif. Akun administrator harus menonaktifkan email dan tidak ada akun Microsoft pribadi yang diizinkan.

  • Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.

    • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
    • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
  • Caranya: Semua personel yang berwenang untuk memiliki hak istimewa administratif harus memiliki akun terpisah untuk fungsi administratif yang berbeda dari akun pengguna. Jangan bagikan akun ini antar pengguna.

    • Akun pengguna standar - Memberikan hak istimewa pengguna standar untuk tugas pengguna standar, seperti email, penjelajahan web, dan menggunakan aplikasi lini bisnis. Akun-akun ini tidak diberikan hak istimewa administratif.
    • Akun administratif - Memisahkan akun yang dibuat untuk personel yang diberi hak istimewa administratif yang sesuai.
  • Mengukur hasil utama: 100% pengguna istimewa lokal memiliki akun khusus terpisah

Microsoft Defender untuk Identitas

  • Apa: Microsoft Defender untuk Identitas menggabungkan sinyal lokal dengan wawasan cloud untuk memantau, melindungi, dan menyelidiki peristiwa dalam format yang disederhanakan yang memungkinkan tim keamanan Anda mendeteksi serangan lanjutan terhadap infrastruktur identitas Anda dengan kemampuan untuk:

    • Memantau pengguna, perilaku entitas, dan aktivitas dengan analitik berbasis pembelajaran
    • Melindungi identitas dan kredensial pengguna yang disimpan di Active Directory
    • Mengidentifikasi dan menyelidiki aktivitas pengguna yang mencurigakan serta serangan lanjutan di seluruh kill chain
    • Berikan informasi insiden yang jelas pada garis waktu sederhana untuk triase cepat
  • Mengapa: Penyerang modern mungkin tetap tidak terdeteksi untuk jangka waktu yang lama. Banyak ancaman sulit ditemukan tanpa gambaran kohesif dari seluruh lingkungan identitas Anda.

  • Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.

    • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
    • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
  • Cara: Menyebarkan dan mengaktifkan Microsoft Defender untuk Identitas dan meninjau pemberitahuan terbuka apa pun.

  • Mengukur hasil utama: Semua pemberitahuan terbuka ditinjau dan dimitigasi oleh tim yang sesuai.

Tingkatkan pengalaman manajemen kredensial

Menerapkan dan mendokumentasikan pengaturan ulang kata sandi mandiri dan pendaftaran informasi keamanan gabungan

  • Apa: Mengaktifkan dan mengonfigurasi pengaturan ulang kata sandi mandiri (SSPR) di organisasi Anda dan mengaktifkan pengalaman pendaftaran informasi keamanan gabungan.
  • Mengapa: Pengguna dapat mengatur ulang kata sandi mereka sendiri setelah mereka mendaftar. Pengalaman pendaftaran informasi keamanan gabungan memberikan pengalaman pengguna yang lebih baik yang memungkinkan pendaftaran untuk autentikasi multifaktor Microsoft Entra dan pengaturan ulang kata sandi mandiri. Alat-alat ini ketika digunakan bersama-sama berkontribusi pada biaya helpdesk yang lebih rendah dan pengguna yang lebih puas.
  • Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
  • Cara: Untuk mengaktifkan dan menyebarkan SSPR, lihat artikel Merencanakan penyebaran pengaturan ulang kata sandi mandiri Microsoft Entra.
  • Mengukur hasil utama: Pengaturan ulang kata sandi mandiri dikonfigurasi sepenuhnya dan tersedia untuk organisasi

Lindungi akun admin - Aktifkan dan wajibkan MFA / Tanpa Kata Sandi untuk pengguna istimewa MICROSOFT Entra ID

  • Apa: Memerlukan semua akun istimewa di ID Microsoft Entra untuk menggunakan autentikasi multifaktor yang kuat

  • Alasan: Untuk melindungi akses ke data dan layanan di Microsoft 365.

  • Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.

  • Cara: Aktifkan autentikasi multifaktor Microsoft Entra (MFA) dan daftarkan semua akun admin non-federasi pengguna tunggal lainnya yang sangat istimewa. Wajibkan autentikasi multifaktor saat masuk untuk semua pengguna individu yang ditetapkan secara permanen ke satu atau beberapa peran admin Microsoft Entra seperti:

    • Administrator global
    • Administrator Peran Istimewa
    • Admin Exchange
    • Administrator SharePoint

    Mengharuskan administrator untuk menggunakan metode masuk tanpa kata sandi seperti kunci keamanan FIDO2 atau Windows Hello untuk Bisnis bersama dengan kata sandi unik yang panjang dan kompleks. Menerapkan perubahan ini dengan dokumen kebijakan organisasi.

Ikuti panduan dalam artikel berikut, Rencanakan penyebaran autentikasi multifaktor Microsoft Entra dan Rencanakan penyebaran autentikasi tanpa kata sandi di ID Microsoft Entra.

  • Mengukur hasil utama: 100% pengguna istimewa menggunakan autentikasi tanpa kata sandi atau bentuk autentikasi multifaktor yang kuat untuk semua logon. Lihat Akun Akses Istimewa untuk deskripsi autentikasi multifaktor

Memblokir protokol autentikasi warisan untuk akun pengguna istimewa

  • Apa: Memblokir penggunaan protokol autentikasi warisan untuk akun pengguna istimewa.

  • Mengapa: Organisasi harus memblokir protokol autentikasi warisan ini karena autentikasi multifaktor tidak dapat diberlakukan terhadap mereka. Membiarkan protokol autentikasi lama diaktifkan dapat menciptakan titik masuk untuk penyerang. Beberapa aplikasi warisan mungkin mengandalkan protokol dan organisasi ini memiliki opsi untuk membuat pengecualian khusus untuk akun tertentu. Pengecualian ini harus dilacak dan kontrol pemantauan tambahan diterapkan.

  • Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.

  • Cara: Untuk memblokir protokol autentikasi warisan di organisasi Anda, ikuti panduan dalam artikel Cara: Memblokir autentikasi warisan ke ID Microsoft Entra dengan Akses Bersyarah.

  • Mengukur hasil kunci:

    • Protokol warisan diblokir: Semua protokol warisan diblokir untuk semua pengguna, hanya dengan pengecualian resmi
    • Pengecualian ditinjau setiap 90 hari dan kedaluwarsa secara permanen dalam satu tahun. Pemilik aplikasi harus memperbaiki semua pengecualian dalam satu tahun setelah persetujuan pengecualian pertama
  • Apa: Menonaktifkan persetujuan pengguna akhir untuk aplikasi Microsoft Entra.

Catatan

Perubahan ini akan mengharuskan memusatkan proses pengambilan keputusan dengan tim administrasi keamanan dan identitas organisasi Anda.

Membersihkan risiko akun dan masuk

  • Apa: Aktifkan Microsoft Entra ID Protection dan bersihkan risiko apa pun yang ditemukannya.
  • Mengapa: Pengguna berisiko dan perilaku masuk dapat menjadi sumber serangan terhadap organisasi Anda.
  • Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
    • Sponsor: Inisiatif ini biasanya disponsori oleh CISO, CIO, atau Direktur Identitas
    • Eksekusi: Inisiatif ini adalah upaya kolaboratif yang melibatkan
  • Cara: Membuat proses yang memantau dan mengelola risiko pengguna dan masuk. Tentukan apakah Anda akan mengotomatiskan remediasi, menggunakan autentikasi multifaktor Microsoft Entra dan SSPR, atau memblokir dan memerlukan intervensi administrator. Ikuti panduan dalam artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.
  • Mengukur hasil utama: Organisasi tidak memiliki risiko pengguna dan rincian masuk yang tidak berdasar.

Catatan

Kebijakan Akses Bersyarat diperlukan untuk memblokir akrual risiko masuk baru. Lihat bagian Akses Bersyar pada Penyebaran Akses Istimewa

Penyebaran awal stasiun kerja admin

  • Apa: Akun istimewa seperti Administrator Global memiliki stasiun kerja khusus untuk melakukan tugas administratif.
  • Mengapa: Perangkat tempat tugas administrasi istimewa selesai adalah target penyerang. Mengamankan tidak hanya akun tetapi aset ini sangat penting dalam mengurangi area permukaan serangan Anda. Pemisahan ini membatasi paparan mereka terhadap serangan umum yang diarahkan pada tugas terkait produktivitas seperti email dan penjelajahan web.
  • Siapa: Inisiatif ini biasanya dipimpin oleh Manajemen Identitas dan Kunci dan/atau Arsitektur Keamanan.
  • Cara: Penyebaran awal harus ke tingkat Perusahaan seperti yang dijelaskan dalam artikel Penyebaran Akses Istimewa
  • Mengukur hasil utama: Setiap akun istimewa memiliki stasiun kerja khusus untuk melakukan tugas sensitif.

Catatan

Langkah ini dengan cepat menetapkan garis besar keamanan dan harus ditingkatkan ke tingkat khusus dan istimewa sesegera mungkin.

Langkah berikutnya