Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID

La sicurezza degli asset aziendali dipende dall'integrità degli account con privilegi usati per amministrare i sistemi IT. Gli utenti malintenzionati prendono di mira gli account amministratore e altri tipi di accesso con privilegi per provare ad accedere ai dati sensibili usando attacchi con furto di credenziali.

Per i servizi cloud, prevenzione e risposta sono responsabilità comuni del provider di servizi cloud e del cliente. Per altre informazioni sulle minacce più recenti agli endpoint e nel cloud, vedere il Microsoft Security Intelligence Report. Questo articolo può aiutare a sviluppare una roadmap per colmare il divario tra i piani correnti e le indicazioni fornite di seguito.

Nota

Microsoft si impegna per i livelli più elevati di attendibilità, trasparenza e conformità agli standard e con le normative. Per altre informazioni su come il team Microsoft globale di risposta agli eventi imprevisti aiuta a mitigare gli effetti degli attacchi contro i servizi cloud e sull'integrazione della sicurezza nei servizi cloud e nei prodotti aziendali Microsoft, vedere la pagina dedicata alla sicurezza in Microsoft Trust Center, mentre per informazioni sugli obiettivi di conformità Microsoft, vedere la pagina dedicata alla conformità in Microsoft Trust Center.

Tradizionalmente la sicurezza aziendale si concentrava sui punti di ingresso e di uscita di una rete visti come perimetro di sicurezza. Tuttavia, le app SaaS e i dispositivi personali su Internet hanno reso questo approccio meno efficace. In Microsoft Entra ID sostituire il perimetro di sicurezza di rete con l'autenticazione nel livello di identità dell'organizzazione, con gli utenti assegnati ai ruoli amministrativi con privilegi nel controllo. Il loro accesso deve essere protetto, indipendentemente dal fatto che l'ambiente sia locale, cloud o ibrido.

La protezione dell'accesso con privilegi richiede modifiche a:

• Processi, procedure amministrative e gestione delle informazioni
• Componenti tecnici, ad esempio strumenti di difesa degli host, protezioni degli account e gestione delle identità

È possibile proteggere l'accesso con privilegi in modo che sia gestito e segnalato nei servizi Microsoft a cui si è interessati. Se si hanno account amministrativi locali, fare riferimento alle indicazioni per l'accesso con privilegi in ambienti locali e ibridi da Active Directory in Protezione dell'accesso con privilegi.

Nota

Le indicazioni contenute in questo articolo si riferiscono principalmente alle funzionalità di Microsoft Entra ID inclusi in Microsoft Entra ID P1 e P2. Microsoft Entra ID P2 è incluso nella suite EMS E5 e microsoft 365 E5. Queste indicazioni presuppongono che l'organizzazione abbia già acquistato licenze microsoft Entra ID P2 per gli utenti. Se non si hanno queste licenze, alcune delle indicazioni fornite potrebbero non essere applicabili all'organizzazione. Inoltre, in questo articolo, il termine Global Amministrazione istrator significa la stessa cosa di "amministratore aziendale" o "amministratore tenant".

Sviluppare una roadmap

Microsoft consiglia di sviluppare e seguire una roadmap per proteggere l'accesso con privilegi dagli utenti malintenzionati. È sempre possibile modificare la roadmap per adattarla alle capacità esistenti e ai requisiti specifici dell'organizzazione. Ogni fase della roadmap deve ostacolare sempre di più gli avversari che cercano di attaccare l'accesso con privilegi per gli asset locali, cloud e ibridi. Microsoft consiglia le seguenti quattro fasi della roadmap. Pianificare per prime le implementazioni più efficaci e più rapide. Questo articolo può essere una guida utile, poiché si basa sull'esperienza di Microsoft con gli episodi di attacchi informatici e l'implementazione delle risposte. Le sequenze temporali per la roadmap sono approssimazioni.

• Fase 1 (24-48 ore): elementi critici che è consigliabile gestire immediatamente

• Fase 2 (2-4 settimane): attenuazione delle tecniche di attacco di uso più frequente

• Fase 3 (1-3 mesi): implementazione di visibilità e controllo completo sull'attività dell'amministratore

• Fase 4 (sei mesi e oltre): implementazione continuativa di difese per rafforzare ulteriormente la piattaforma di sicurezza

Questo framework di roadmap è progettato per ottimizzare l'uso delle tecnologie Microsoft che potrebbero essere già state distribuite. Prendere in considerazione la possibilità di eseguire il collegamento a tutti gli strumenti di sicurezza di altri fornitori già distribuiti o che si pensa di distribuire.

Fase 1: Elementi critici da eseguire in questo momento

La fase 1 della roadmap è incentrata sulle attività critiche che possono essere implementate in modo semplice e rapido. È consigliabile eseguire queste poche operazioni immediatamente, entro le prime 24-48 ore, per garantire un livello di base di sicurezza dell'accesso con privilegi. Questa fase della roadmap per la sicurezza dell'accesso con privilegi include le attività seguenti:

Preparazione generale

Usare Microsoft Entra Privileged Identity Management

È consigliabile iniziare a usare Microsoft Entra Privileged Identity Management (PIM) nell'ambiente di produzione Microsoft Entra. Dopo aver iniziato a usare PIM, si riceveranno messaggi di posta elettronica di notifica per le modifiche del ruolo di accesso con privilegi. Con le notifiche si è avvisati tempestivamente quando vengono aggiunti altri utenti a ruoli con privilegi elevati.

Microsoft Entra Privileged Identity Management è incluso in Microsoft Entra ID P2 o EMS E5. Per proteggere l'accesso alle applicazioni e alle risorse in locale e nel cloud, registrarsi per la valutazione gratuita di 90 giorni di Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management e Microsoft Entra ID Protection monitorano l'attività di sicurezza usando la creazione di report, il controllo e gli avvisi di Microsoft Entra ID.

Dopo aver iniziato a usare Microsoft Entra Privileged Identity Management:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.

2. Per cambiare directory in cui si vuole usare Privileged Identity Management, selezionare il nome utente nell'angolo in alto a destra dell'interfaccia di amministrazione di Microsoft Entra.

3. Passare a Identity Governance>Privileged Identity Management.

Assicurarsi che la prima persona a usare PIM nell'organizzazione sia assegnata ai ruoli security Amministrazione istrator e Privileged Role Amministrazione istrator. Solo i ruoli con privilegi Amministrazione istrator possono gestire le assegnazioni di ruolo della directory Microsoft Entra degli utenti. La procedura guidata di sicurezza di PIM illustra in modo dettagliato l'esperienza di individuazione e assegnazione iniziale. Al momento, è possibile uscire dalla procedura guidata senza apportare modifiche aggiuntive.

Identificare e classificare gli account che si trovano in ruoli con privilegi elevati

Dopo aver iniziato a usare Microsoft Entra Privileged Identity Management, visualizzare gli utenti che si trovano nei ruoli di Microsoft Entra seguenti:

• Amministratore globale
• Amministratore ruolo con privilegi
• Amministratore di Exchange
• Amministratore SharePoint

Se non si ha Microsoft Entra Privileged Identity Management nell'organizzazione, è possibile usare Microsoft Graph PowerShell. Iniziare con il ruolo Global Amministrazione istrator perché un Amministrazione istrator globale ha le stesse autorizzazioni per tutti i servizi cloud per cui l'organizzazione ha sottoscritto. Queste autorizzazioni vengono concesse indipendentemente dalla posizione in cui sono state assegnate: nell'interfaccia di amministrazione di Microsoft 365, nell'interfaccia di amministrazione di Microsoft Entra o tramite Microsoft Graph PowerShell.

Rimuovere tutti gli account non più necessari in questi ruoli. Classificare quindi gli account rimanenti assegnati ai ruoli di amministratore:

• Assegnati a utenti amministratori ma usati anche per scopi non amministrativi, ad esempio, posta elettronica personale
• Assegnati a utenti amministratori e usati solo per scopi amministrativi
• Condivisi tra più utenti
• Per scenari critici di accesso di emergenza
• Per script automatizzati
• Per utenti esterni

Definire almeno due account di accesso di emergenza

È possibile che un utente venga accidentalmente bloccato ed escluso dal proprio ruolo. Ad esempio, se un provider di identità locale federato non è disponibile, gli utenti non possono accedere o attivare un account amministratore esistente. È possibile prepararsi all'impossibilità di accedere archiviando due o più account di accesso di emergenza.

Gli account di accesso di emergenza consentono di limitare l'accesso con privilegi all'interno di un'organizzazione Microsoft Entra. Si tratta di account con privilegi elevati non assegnati a utenti specifici. Gli account di accesso di emergenza sono limitati a scenari di emergenza critici, in cui non è possibile usare i normali account amministrativi. Assicurarsi di controllare e limitare l'uso dell'account di emergenza solo per il periodo di tempo per cui è necessario.

Valutare gli account assegnati o idonei per il ruolo Global Amministrazione istrator. Se non vengono visualizzati account solo cloud che usano il dominio *.onmicrosoft.com (per l'accesso di emergenza "break glass"), crearli. Per altre informazioni, vedere Gestione degli account amministrativi di accesso di emergenza in Microsoft Entra ID.

Attivare l'autenticazione a più fattori e registrare tutti gli altri account amministratore con privilegi elevati senza privilegi singoli non federati

Richiedere l'autenticazione a più fattori Di Microsoft Entra all'accesso per tutti i singoli utenti assegnati in modo permanente a uno o più ruoli di amministratore di Microsoft Entra: Global Amministrazione istrator, Privileged Role Amministrazione istrator, Exchange Amministrazione istrator e SharePoint Amministrazione istrator. Usare le indicazioni riportate in Applicare l'autenticazione a più fattori per gli amministratori e assicurarsi che tutti gli utenti siano registrati in https://aka.ms/mfasetup. Altre informazioni sono disponibili nel passaggio 2 e nel passaggio 3 della guida Proteggere l'accesso utente e dispositivo in Microsoft 365.

Fase 2: Attenuare gli attacchi usati di frequente

La fase 2 della roadmap è incentrata sull'attenuazione delle tecniche di attacco usate più di frequente per il furto e l'abuso di credenziali e può essere implementata in circa 2-4 settimane. Questa fase della roadmap per la sicurezza dell'accesso con privilegi include le attività seguenti.

Preparazione generale

Eseguire un inventario dei servizi, dei proprietari e degli amministratori

L'aumento degli scenari "Bring Your Own Device" e di lavoro da casa e la diffusione della connettività wireless rende indispensabile monitorare chi si connette alla rete. Un controllo di sicurezza può rivelare i dispositivi, le applicazioni e i programmi della rete che l'organizzazione non supporta e che rappresentano un rischio elevato. Per altre informazioni, vedere Panoramica su gestione e monitoraggio della sicurezza di Azure. Assicurarsi di includere tutte le attività seguenti nel processo di inventario.

• Identificare gli utenti con ruoli amministrativi e i servizi che possono gestire.

• Usare Microsoft Entra PIM per scoprire quali utenti dell'organizzazione hanno accesso come amministratore all'ID Microsoft Entra.

• Oltre ai ruoli definiti in Microsoft Entra ID, Microsoft 365 include un set di ruoli di amministratore che è possibile assegnare agli utenti dell'organizzazione. Ogni ruolo di amministratore esegue il mapping alle funzioni aziendali comuni e concede alle persone dell'organizzazione le autorizzazioni per eseguire attività specifiche nel interfaccia di amministrazione di Microsoft 365. Usare il interfaccia di amministrazione di Microsoft 365 per scoprire quali utenti dell'organizzazione hanno accesso amministratore a Microsoft 365, inclusi i ruoli non gestiti in Microsoft Entra ID. Per altre informazioni, vedere Informazioni sui ruoli di amministratore di Microsoft 365 e procedure di sicurezza per Office 365.

• Effettuare l'inventario nei servizi usati nell'organizzazione, ad esempio Azure, Intune o Dynamics 365.

• Assicurarsi che gli account usati per scopi amministrativi:

  • Abbiano indirizzi di posta elettronica funzionanti associati
  • Aver eseguito la registrazione per l'autenticazione a più fattori Microsoft Entra o usare MFA locale

• Chiedere agli utenti il motivo per cui necessitano di accesso amministrativo.

• Rimuovere l'accesso amministratore per i singoli utenti e i servizi che non ne hanno bisogno.

identificare gli account Microsoft in ruoli amministrativi per cui è necessario passare ad account aziendali o dell'istituto di istruzione.

Se i Amministrazione istrator globali iniziali riutilizzano le credenziali esistenti dell'account Microsoft quando iniziano a usare Microsoft Entra ID, sostituire gli account Microsoft con singoli account basati sul cloud o sincronizzati.

Separare gli account utente e l'inoltro della posta elettronica per gli account amministratore globale

Gli account di posta elettronica personali vengono regolarmente visualizzati da utenti malintenzionati informatici, un rischio che rende inaccettabili gli indirizzi di posta elettronica personali per gli account globali Amministrazione istrator. Per separare i rischi correlati a Internet dai privilegi amministrativi, creare account dedicati per ogni utente con privilegi amministrativi.

• Assicurarsi di creare account separati per consentire agli utenti di eseguire attività globali di Amministrazione istrator.
• Assicurarsi che gli Amministrazione istratori globali non aprono accidentalmente messaggi di posta elettronica o eseguano programmi con i propri account amministratore.
• Assicurarsi che la posta elettronica di questi account venga inoltrata a una cassetta postale funzionante.
• Gli account globali Amministrazione istrator (e altri gruppi con privilegi) devono essere account solo cloud senza legami con Active Directory locale.

Verificare che le password degli account amministrativi siano state modificate di recente

Verificare che tutti gli utenti abbiano eseguito l'accesso al proprio account amministrativo e abbiano modificato le password almeno una volta negli ultimi 90 giorni. Verificare inoltre che le password degli account condivisi siano state modificate di recente.

Attivare la sincronizzazione dell'hash delle password

Microsoft Entra Connessione sincronizza un hash dell'hash della password di un utente da Active Directory locale a un'organizzazione Microsoft Entra basata sul cloud. È possibile usare la sincronizzazione dell'hash delle password come backup se si usa la federazione con Active Directory Federation Services (AD FS). Questo backup può essere utile se l'istanza di Active Directory locale o i server AD FS sono temporaneamente non disponibili.

La sincronizzazione dell'hash delle password consente agli utenti di accedere a un servizio usando la stessa password usata per accedere all'istanza di Active Directory locale. La sincronizzazione dell'hash delle password consente a Identity Protection di rilevare le credenziali compromesse confrontando gli hash delle password con le password note per essere compromesse. Per altre informazioni, vedere Implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync.

Richiedere l'autenticazione a più fattori per gli utenti con ruoli con privilegi e gli utenti esposti

Microsoft Entra ID consiglia di richiedere l'autenticazione a più fattori per tutti gli utenti. Assicurarsi di prendere in considerazione gli utenti che avrebbero un impatto significativo se il loro account venisse compromesso (ad esempio, dirigenti del reparto finanziario). MFA riduce il rischio di attacchi causati da una password compromessa.

Attivare:

• MFA usando i criteri di accesso condizionale per tutti gli utenti dell'organizzazione.

Se si usa Windows Hello for Business, è possibile soddisfare il requisito MFA con l'esperienza di accesso di Windows Hello. Per altre informazioni, vedere Windows Hello.

Configurare Identity Protection

Microsoft Entra ID Protection è uno strumento di monitoraggio e creazione di report basato su algoritmi che rileva potenziali vulnerabilità che interessano le identità dell'organizzazione. È possibile configurare risposte automatiche per le attività sospette rilevate e intraprendere l'azione appropriata per risolverle. Per altre informazioni, vedere Microsoft Entra ID Protection.

Ottenere il punteggio di sicurezza di Microsoft 365 (se si usa Microsoft 365)

Secure Score esamina le impostazioni e le attività per i servizi di Microsoft 365 usati e li confronta con una baseline stabilita da Microsoft. Si otterrà un punteggio in base al modo in cui si è allineati alle procedure di sicurezza. Chiunque abbia le autorizzazioni di amministratore per una sottoscrizione di Microsoft 365 Business Standard o Enterprise può accedere a Secure Score all'indirizzo https://security.microsoft.com/securescore.

Esaminare le linee guida per la sicurezza e la conformità di Microsoft 365 (se si usa Microsoft 365)

Il piano per la sicurezza e la conformità spiega quale approccio deve adottare un utente di Office 365 per configurare Office 365 e usare altre funzionalità di EMS. Esaminare quindi i passaggi da 3 a 6 di come proteggere l'accesso ai dati e ai servizi in Microsoft 365 e la guida per monitorare la sicurezza e la conformità in Microsoft 365.

Configurare il monitoraggio delle attività di Microsoft 365 (se si usa Microsoft 365)

Monitorare l'organizzazione per gli utenti che usano Microsoft 365 per identificare il personale che ha un account amministratore, ma potrebbe non avere bisogno dell'accesso a Microsoft 365 perché non accedono a tali portali. Per altre informazioni, vedere Report attività nell'interfaccia di amministrazione di Microsoft 365.

Stabilire i proprietari del piano di risposta a eventi imprevisti ed emergenze

Per poter rispondere nel modo giusto agli eventi imprevisti sono necessarie risorse e un'attenta pianificazione. È necessario un continuo monitoraggio per evitare gli attacchi informatici e stabilire le priorità per la gestione degli eventi imprevisti. Raccogliere, analizzare e segnalare i dati degli eventi imprevisti per creare relazioni e stabilire la comunicazione con altri gruppi interni e proprietari del piano. Per altre informazioni, vedere Microsoft Security Response Center.

Proteggere gli account amministrativi con privilegi locali, se non è già stato fatto

Se l'organizzazione Di Microsoft Entra è sincronizzata con Active Directory locale, seguire le indicazioni riportate in Security Privileged Access Roadmap: Questa fase include:

• Creazione di account amministratore separati per gli utenti che devono eseguire attività amministrative locali
• Distribuzione di workstation con accesso con privilegi per amministratori di Active Directory
• Creazione di password di amministratore locale univoche per workstation e server

Passaggi aggiuntivi per le organizzazioni che gestiscono l'accesso ad Azure

Completare un inventario delle sottoscrizioni

Usare Enterprise Portal e il portale di Azure per identificare le sottoscrizioni nell'organizzazione che ospitano le applicazioni di produzione.

Rimuovere gli account Microsoft dai ruoli di amministratore

Gli account Microsoft di altri programmi, ad esempio Xbox Live e Outlook, non devono essere usati come account amministratore per le sottoscrizioni dell'organizzazione. Rimuovere lo stato dell'amministratore da tutti gli account Microsoft e sostituire con l'ID Microsoft Entra (ad esempio, chris@contoso.com) account aziendali o dell'istituto di istruzione. A scopo di amministratore, dipendere da account autenticati in Microsoft Entra ID e non in altri servizi.

Monitorare l'attività di Azure

Il log attività di Azure fornisce una cronologia degli eventi a livello di sottoscrizione in Azure. Offre informazioni su chi ha creato, aggiornato ed eliminato quali risorse e su quando tali eventi si sono verificati. Per altre informazioni, vedere Controllare e ricevere notifiche sulle azioni importanti nella sottoscrizione di Azure.

Passaggi aggiuntivi per le organizzazioni che gestiscono l'accesso ad altre app cloud tramite Microsoft Entra ID

Configurare i criteri di accesso condizionale

Preparare criteri di accesso condizionale per applicazioni locali e ospitate nel cloud. Se si dispone di dispositivi aggiunti all'area di lavoro degli utenti, ottenere altre informazioni dalla configurazione dell'accesso condizionale locale usando la registrazione del dispositivo Microsoft Entra.

Fase 3: Assumere il controllo delle attività di amministratore

La fase 3 si basa sulle mitigazioni della fase 2 e deve essere implementata in circa 1-3 mesi. Questa fase della roadmap per la sicurezza dell'accesso con privilegi include i componenti seguenti.

Preparazione generale

Completare una verifica di accesso degli utenti con ruoli di amministratore

Più utenti aziendali ottengono l'accesso con privilegi tramite i servizi cloud, che possono portare all'accesso non gestito. Gli utenti possono oggi diventare global Amministrazione istrators per Microsoft 365, amministratori delle sottoscrizioni di Azure o avere accesso amministratore alle macchine virtuali o tramite app SaaS.

L'organizzazione deve avere tutti i dipendenti che gestiscono le normali transazioni aziendali come utenti senza privilegi e quindi concedere i diritti di amministratore solo in base alle esigenze. Completare le verifiche di accesso per identificare e confermare gli utenti idonei per attivare i privilegi di amministratore.

È consigliabile:

1. Determinare quali utenti sono amministratori di Microsoft Entra, abilitare l'accesso su richiesta, l'accesso just-in-time agli amministratori e i controlli di sicurezza basati sui ruoli.
2. Convertire gli utenti che non hanno una giustificazione chiara per l'accesso con privilegi di amministratore a un ruolo diverso (se non è disponibile alcun ruolo idoneo, rimuoverli).

Continuare l'implementazione di metodi di autenticazione più avanzati per tutti gli utenti

Richiedere agli utenti altamente esposti l'autenticazione moderna e avanzata, ad esempio l'autenticazione a più fattori Microsoft Entra o Windows Hello. Di seguito sono riportati alcuni esempi di utenti molto esposti:

• Dirigenti
• Manager di alto livello
• Personale critico di IT e sicurezza

Usare workstation dedicate per l'amministrazione per Microsoft Entra ID

Gli utenti malintenzionati potrebbero provare a individuare gli account con privilegi in modo da compromettere l'integrità e l'autenticità dei dati. Spesso usano codice dannoso che modifica la logica del programma o esegue lo snoops dell'amministratore immettendo una credenziale. Le workstation PAW (Privileged Access Workstation, workstation amministrativa con privilegi) dispongono di un sistema operativo dedicato per le attività sensibili che devono essere protette dagli attacchi provenienti da Internet e dai vettori di minacce di qualsiasi tipo. Separando queste attività e account sensibili dalle workstation e i dispositivi di uso giornaliero si ottiene una protezione avanzata da:

• Attacchi di phishing
• Vulnerabilità delle applicazioni e del sistema operativo
• Attacchi con sostituzione di persona
• Attacchi con furto delle credenziali, ad esempio registrazione delle digitazioni, Pass-the-Hash e Pass-the-Ticket

Distribuendo workstation con accesso con privilegi, è possibile ridurre il rischio che gli amministratori immettano le credenziali in un ambiente desktop che non è stato protetto. Per altre informazioni, vedere Privileged Access Workstations (Workstation con accesso con privilegi).

Esaminare le indicazioni del National Institute of Standards and Technology per la gestione degli eventi imprevisti

Il National Institute of Standards and Technology (NIST) fornisce linee guida per la gestione degli eventi imprevisti, in particolare per l'analisi dei dati correlati agli eventi imprevisti e la determinazione della risposta appropriata a ogni evento imprevisto. Per altre informazioni, vedere il documento NIST Computer Security Incident Handling Guide (SP 800-61, revisione 2).

Implementare Privileged Identity Management (PIM) per JIT per altri ruoli amministrativi

Per Microsoft Entra ID, usare la funzionalità Microsoft Entra Privileged Identity Management . L'attivazione a tempo limitato dei ruoli con privilegi consente di:

• Attivare i privilegi di amministratore per eseguire un'attività specifica

• Applicare MFA durante il processo di attivazione

• Usare gli avvisi per informare gli amministratori sulle modifiche fuori banda

• Permettere agli utenti di mantenere l'accesso con privilegi per un periodo di tempo preconfigurato

• Consenti agli amministratori della sicurezza di:

  • Individuare tutte le identità con privilegi
  • Visualizzare i report di controllo
  • Creare verifiche di accesso per identificare ogni utente idoneo per attivare i privilegi di amministratore

Se si usa già Microsoft Entra Privileged Identity Management, modificare gli intervalli di tempo per i privilegi associati al tempo, ad esempio le finestre di manutenzione.

Determinare l'esposizione a protocolli di accesso basati su password (se si usa Exchange Online)

Si consiglia di identificare tutti i potenziali utenti le cui credenziali, se compromesse, potrebbero avere un forte impatto sulla sicurezza dell'organizzazione. Per questi utenti, mettere in atto requisiti di autenticazione avanzata e usare l'accesso condizionale Di Microsoft Entra per impedire loro di accedere alla posta elettronica usando nome utente e password. È possibile bloccare l'autenticazione legacy usando l'accesso condizionale e bloccare l'autenticazione di base usando Exchange Online.

Completare una valutazione della revisione dei ruoli per i ruoli di Microsoft 365 (se si usa Microsoft 365)

Valutare se tutti gli utenti amministratori si trovano nei ruoli corretti (eliminare e riassegnare in base a questa valutazione).

Esaminare l'approccio di gestione degli eventi imprevisti di sicurezza usato in Microsoft 365 e confrontarlo con la propria organizzazione

È possibile scaricare questo report da Security Incident Management in Microsoft 365.

Continuare a proteggere gli account amministrativi con privilegi locali

Se l'ID di Microsoft Entra è connesso a Active Directory locale, seguire le indicazioni riportate in Security Privileged Access Roadmap: Stage 2 (Guida di orientamento per l'accesso con privilegi di sicurezza: fase 2). In questa fase:

• Distribuire workstation con accesso con privilegi per tutti gli amministratori
• Richiedere l'autenticazione MFA
• Usare Just Enough Administration per la manutenzione del controller di dominio e la riduzione della superficie di attacco dei domini
• Distribuire Advanced Threat Analytics per il rilevamento degli attacchi

Passaggi aggiuntivi per le organizzazioni che gestiscono l'accesso ad Azure

Implementare un monitoraggio integrato

Il Microsoft Defender per il cloud:

• Offre il monitoraggio della sicurezza integrato e la gestione dei criteri in tutte le sottoscrizioni di Azure
• Consente di rilevare minacce che altrimenti potrebbero non essere rilevate
• Funziona con un'ampia gamma di soluzioni di sicurezza

Creare un inventario degli account con privilegi nelle macchine virtuali ospitate

In genere non è necessario concedere agli utenti autorizzazioni senza restrizioni per tutte le sottoscrizioni o le risorse di Azure. Usare i ruoli di amministratore di Microsoft Entra per concedere solo l'accesso che gli utenti devono svolgere il proprio lavoro. È possibile usare i ruoli di amministratore di Microsoft Entra per consentire a un amministratore di gestire solo le macchine virtuali in una sottoscrizione, mentre un altro può gestire i database SQL all'interno della stessa sottoscrizione. Per altre informazioni, vedere Informazioni sul controllo degli accessi in base al ruolo di Azure.

Implementare PIM per i ruoli di amministratore di Microsoft Entra

Usare Privileged Identity Management con i ruoli di amministratore di Microsoft Entra per gestire, controllare e monitorare l'accesso alle risorse di Azure. PIM offre protezione riducendo il tempo di esposizione dei privilegi e aumentando la visibilità sul loro uso attraverso report e avvisi. Per altre informazioni, vedere Che cos'è Microsoft Entra Privileged Identity Management.

Usare le integrazioni log di Azure per inviare i log di Azure rilevanti ai sistemi di informazioni di sicurezza e gestione degli eventi

L'integrazione dei log di Azure consente di integrare log non elaborati dalle risorse di Azure ai sistemi SIEM (Security Information and Event Management) esistenti dell'organizzazione. Integrazione log di Azure raccoglie gli eventi di Windows dai log del Visualizzatore eventi di Windows e le risorse di Azure da:

• Log attività di Azure
• avvisi di Microsoft Defender per il cloud
• Log delle risorse di Azure

Passaggi aggiuntivi per le organizzazioni che gestiscono l'accesso ad altre app cloud tramite Microsoft Entra ID

Implementare il provisioning degli utenti per le app connesse

Microsoft Entra ID consente di automatizzare la creazione e la gestione delle identità utente nelle app cloud come Dropbox, Salesforce e ServiceNow. Per altre informazioni, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Integrare la protezione delle informazioni

Microsoft Defender per il cloud App consente di analizzare i file e impostare criteri basati sulle etichette di classificazione di Azure Information Protection, consentendo una maggiore visibilità e controllo dei dati cloud. È possibile analizzare e classificare i dati nel cloud e applicare etichette di Azure Information Protection. Per altre informazioni, vedere Integrazione di Azure Information Protection.

Configurare l'accesso condizionale

Configurare l'accesso condizionale in base a un gruppo, alla posizione e alla riservatezza delle applicazioni per le app SaaS e le app connesse Microsoft Entra.

Monitorare l'attività nelle app cloud connesse

È consigliabile usare le app Microsoft Defender per il cloud per garantire che l'accesso utente sia protetto anche nelle applicazioni connesse. Questa funzionalità protegge l'accesso aziendale alle app cloud e protegge gli account amministratore, consentendo di:

• Visibilità e controllo maggiori sulle app cloud
• Creazione di criteri per l'accesso, le attività e la condivisione dei dati
• Identificazione automatica di attività rischiose, comportamenti anomali e minacce
• Prevenzione della perdita dei dati
• Riduzione al minimo dei rischi e applicazione dei criteri e prevenzione delle minacce in modo automatico

L'agente SIEM Defender per il cloud Apps integra Defender per il cloud Apps con il server SIEM per abilitare il monitoraggio centralizzato degli avvisi e delle attività di Microsoft 365. Viene eseguito nel server ed esegue il pull di avvisi e attività da Defender per il cloud App e li trasmette al server SIEM. Per altre informazioni, vedere Integrazione SIEM.

Fase 4: Continuare a costruire difese

La fase 4 della roadmap deve essere implementata dopo sei mesi e oltre. Completare la roadmap per rafforzare le protezioni dell'accesso con privilegi contro i potenziali attacchi attualmente conosciuti. Per quanto riguarda le minacce di domani, si consiglia di considerare la protezione come un processo continuativo che mira a incrementare i costi per gli avversari e a ridurre la percentuale di riuscita dei loro attacchi.

La protezione dell'accesso con privilegi è importante per stabilire le garanzie di sicurezza per le risorse aziendali. Tuttavia, deve far parte di un programma di protezione completo che offre regolarmente garanzie per la sicurezza. Questo programma deve includere elementi quali:

• Criteri
• Gestione operativa
• Sicurezza delle informazioni
• Server
• Applicazioni
• PC
• Dispositivi
• Infrastruttura cloud

Quando si gestiscono gli account di accesso con privilegi, è consigliabile attenersi alle procedure seguenti:

• Assicurarsi che gli amministratori facciano il proprio lavoro quotidiano come utenti senza privilegi
• Concedere l'accesso con privilegi solo quando necessario e successivamente rimuoverlo (JIT)
• Conservare i log attività di controllo correlati agli account con privilegi

Per altre informazioni sulla creazione di una roadmap di sicurezza completa, vedere Risorse sull'architettura IT del cloud Microsoft. Per interagire con i servizi Microsoft e richiedere assistenza per l'implementazione di qualsiasi parte della roadmap, contattare il rappresentante Microsoft oppure vedere Build critical cyber defenses to protect your enterprise (Preparare difese informatiche critiche per proteggere l'azienda).

La fase finale e continuativa della roadmap per la sicurezza dell'accesso con privilegi include i componenti seguenti.

Preparazione generale

Esaminare i ruoli di amministratore in Microsoft Entra ID

Determinare se i ruoli di amministratore predefiniti correnti di Microsoft Entra sono ancora aggiornati e assicurarsi che gli utenti si trovino solo nei ruoli necessari. Con Microsoft Entra ID, è possibile assegnare amministratori separati per gestire funzioni diverse. Per altre informazioni, vedere Ruoli predefiniti di Microsoft Entra.

Esaminare gli utenti che hanno l'amministrazione dei dispositivi aggiunti a Microsoft Entra

Per altre informazioni, vedere Come configurare i dispositivi aggiunti all'ambiente ibrido di Microsoft Entra.

Esaminare i membri dei ruoli di amministratore predefiniti di Microsoft 365

Ignorare questo passaggio se non si usa Microsoft 365.

Convalidare il piano di risposta agli eventi imprevisti

Per un continuo miglioramento del piano, Microsoft consiglia di convalidarne regolarmente il funzionamento:

• Esaminare la roadmap esistente per verificare se manca qualcosa
• In base all'analisi post mortem, esaminare le procedure esistenti o definirne di nuove
• Verificare che il piano di risposta agli eventi imprevisti aggiornato e le procedure siano distribuiti in tutta l'organizzazione

Passaggi aggiuntivi per le organizzazioni che gestiscono l'accesso ad Azure

Determinare se è necessario trasferire la proprietà di una sottoscrizione di Azure a un altro account.

"Rompere il vetro": cosa fare in caso di emergenza

1. Comunicare ai principali dirigenti e ai responsabili della sicurezza le informazioni relative all'evento imprevisto.

2. Esaminare la strategia da adottare in caso di attacco.

3. Accedere alla combinazione di nome utente e password dell'account "break glass" per accedere all'ID Microsoft Entra.

4. Chiedere aiuto a Microsoft creando una richiesta di supporto di Azure.

5. Esaminare i report di accesso di Microsoft Entra. Potrebbe trascorrere un certo tempo tra il momento in cui l'evento si verifica e quello in cui viene incluso nel report.

6. Per gli ambienti ibridi, se l'infrastruttura locale federata e il server AD FS non sono disponibili, è possibile passare temporaneamente dall'autenticazione federata per usare la sincronizzazione dell'hash delle password. Questa opzione ripristina l'autenticazione gestita della federazione del dominio fino a quando il server AD FS non diventa disponibile.

7. Monitorare la posta elettronica per gli account con privilegi.

8. Assicurarsi di salvare i backup dei log rilevanti per potenziali indagini forensi e legali.

Per altre informazioni su come Microsoft Office 365 gestisce gli eventi di sicurezza, vedere Security Incident Management in Microsoft Office 365 (Gestione degli eventi di sicurezza in Microsoft Office 365).

Domande frequenti: Risposte per la protezione dell'accesso con privilegi

D: Cosa fare se non sono ancora stati implementati componenti di accesso sicuro?

Risposta: definire almeno due account break-glass, assegnare MFA agli account di amministratore con privilegi e separare gli account utente dagli account globali Amministrazione istrator.

D: Dopo una violazione, qual è il problema principale da affrontare?

Risposta: assicurarsi di richiedere l'autenticazione più avanzata per utenti altamente esposti.

D: Cosa accade se gli amministratori con privilegi sono stati disattivati?

Risposta: Creare un account Amministrazione istrator globale sempre aggiornato.

D: Cosa accade se è rimasto un solo Amministrazione istrator globale e non è possibile raggiungere?

Risposta: Usare uno degli account di emergenza per ottenere immediatamente l'accesso con privilegi.

D: Come è possibile proteggere gli amministratori all'interno dell'organizzazione?

Risposta: Chiedere agli amministratori di svolgere sempre le attività quotidiane come utenti "senza privilegi" standard.

D: Quali sono le procedure consigliate per la creazione di account amministratore all'interno di Microsoft Entra ID?

Risposta: Riservare l'accesso con privilegi per attività di amministratore specifiche.

D: Quali strumenti esistono per ridurre l'accesso amministratore permanente?

Risposta: Privileged Identity Management (PIM) e ruoli di amministratore di Microsoft Entra.

D: Qual è la posizione Microsoft sulla sincronizzazione degli account amministratore con Microsoft Entra ID?

Risposta: gli account amministratore di livello 0 vengono usati solo per gli account AD locali. Questi account non vengono in genere sincronizzati con Microsoft Entra ID nel cloud. Gli account amministratore di livello 0 includono account, gruppi e altri asset con controllo amministrativo diretto o indiretto della foresta Active Directory locale, domini, controller di dominio e asset.

D: Come si impedisce agli amministratori di assegnare l'accesso amministratore casuale nel portale?

Risposta: Usare account senza privilegi per tutti gli utenti e la maggior parte degli amministratori. Per iniziare, sviluppare un footprint dell'organizzazione per determinare quali pochi account amministratore devono essere privilegiati. Monitorare inoltre gli utenti amministratori appena creati.

Passaggi successivi

• Microsoft Trust Center per la sicurezza dei prodotti - Funzionalità di sicurezza dei prodotti e dei servizi Microsoft

• Offerte di conformità Microsoft: set completo di offerte di conformità microsoft per i servizi cloud

• Indicazioni su come svolgere una valutazione dei rischi - Gestire i requisiti di sicurezza e conformità per i servizi cloud Microsoft

Altri servizi di Microsoft Online Services

• Sicurezza di Microsoft Intune - Intune offre funzionalità di gestione di dispositivi mobili, gestione di applicazioni mobili e gestione di PC dal cloud.

• Sicurezza di Microsoft Dynamics 365 - Dynamics 365 è la soluzione Microsoft basata su cloud che combina funzionalità CRM (Customer Relationship Management) ed ERP (Enterprise Resource Planning).