Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID

La sicurezza degli asset aziendali dipende dall'integrità degli account con privilegi usati per amministrare i sistemi IT. Gli utenti malintenzionati prendono di mira gli account amministratore e altri tipi di accesso con privilegi per provare ad accedere ai dati sensibili usando attacchi con furto di credenziali.

Per i servizi cloud, prevenzione e risposta sono responsabilità comuni del provider di servizi cloud e del cliente. Per altre informazioni sulle minacce più recenti agli endpoint e nel cloud, vedere il Microsoft Security Intelligence Report. Questo articolo può aiutare a sviluppare una roadmap per colmare il divario tra i piani correnti e le indicazioni fornite di seguito.

Nota

Microsoft si impegna per i livelli più elevati di attendibilità, trasparenza e conformità agli standard e con le normative. Per altre informazioni su come il team Microsoft globale di risposta agli eventi imprevisti aiuta a mitigare gli effetti degli attacchi contro i servizi cloud e sull'integrazione della sicurezza nei servizi cloud e nei prodotti aziendali Microsoft, vedere la pagina dedicata alla sicurezza in Microsoft Trust Center, mentre per informazioni sugli obiettivi di conformità Microsoft, vedere la pagina dedicata alla conformità in Microsoft Trust Center.

Tradizionalmente la sicurezza aziendale si concentrava sui punti di ingresso e di uscita di una rete visti come perimetro di sicurezza. Tuttavia, le app SaaS e i dispositivi personali su Internet hanno reso questo approccio meno efficace. In Microsoft Entra ID il perimetro di sicurezza della rete viene sostituito dall'autenticazione nel livello di identità dell'organizzazione, con gli utenti assegnati ai ruoli amministrativi con privilegi in controllo. Il loro accesso deve essere protetto, indipendentemente dal fatto che l'ambiente sia locale, cloud o ibrido.

La protezione dell'accesso con privilegi richiede modifiche a:

• Processi, procedure amministrative e gestione delle informazioni
• Componenti tecnici, ad esempio strumenti di difesa degli host, protezioni degli account e gestione delle identità

È possibile proteggere l'accesso con privilegi in modo che sia gestito e segnalato nei servizi Microsoft a cui si è interessati. Se si hanno account amministrativi locali, fare riferimento alle indicazioni per l'accesso con privilegi in ambienti locali e ibridi da Active Directory in Protezione dell'accesso con privilegi.

Nota

Le indicazioni contenute in questo articolo si riferiscono principalmente alle funzionalità di Microsoft Entra ID incluse in Microsoft Entra ID P1 e P2. Microsoft Entra ID P2 è incluso nella suite EMS E5 e Microsoft 365 E5. Queste indicazioni presuppongono che l'organizzazione abbia già acquistato le licenze di Microsoft Entra ID P2 per gli utenti. Se non si hanno queste licenze, alcune delle indicazioni fornite potrebbero non essere applicabili all'organizzazione. Inoltre, in questo articolo, il termine Amministratore globale significa la stessa cosa di "amministratore aziendale" o "amministratore tenant".

Sviluppare una roadmap

Microsoft consiglia di sviluppare e seguire una roadmap per proteggere l'accesso con privilegi dagli utenti malintenzionati. È sempre possibile modificare la roadmap per adattarla alle capacità esistenti e ai requisiti specifici dell'organizzazione. Ogni fase della roadmap deve ostacolare sempre di più gli avversari che cercano di attaccare l'accesso con privilegi per gli asset locali, cloud e ibridi. Microsoft consiglia le seguenti quattro fasi della roadmap. Pianificare per prime le implementazioni più efficaci e più rapide. Questo articolo può essere una guida utile, poiché si basa sull'esperienza di Microsoft con gli episodi di attacchi informatici e l'implementazione delle risposte. Le sequenze temporali per la roadmap sono approssimazioni.

• Fase 1 (24-48 ore): elementi critici che è consigliabile gestire immediatamente

• Fase 2 (2-4 settimane): attenuazione delle tecniche di attacco di uso più frequente

• Fase 3 (1-3 mesi): implementazione di visibilità e controllo completo sull'attività dell'amministratore

• Fase 4 (sei mesi e oltre): implementazione continuativa di difese per rafforzare ulteriormente la piattaforma di sicurezza

Questo framework di roadmap è progettato per ottimizzare l'uso delle tecnologie Microsoft che potrebbero essere già state distribuite. Prendere in considerazione la possibilità di eseguire il collegamento a tutti gli strumenti di sicurezza di altri fornitori già distribuiti o che si pensa di distribuire.

Fase 1: Elementi critici da gestire subito

La fase 1 della roadmap è incentrata sulle attività critiche che possono essere implementate in modo semplice e rapido. È consigliabile eseguire queste poche operazioni immediatamente, entro le prime 24-48 ore, per garantire un livello di base di sicurezza dell'accesso con privilegi. Questa fase della roadmap per la sicurezza dell'accesso con privilegi include le attività seguenti:

Preparazione generale

Usare Microsoft Entra Privileged Identity Management

È consigliabile iniziare a usare Microsoft Entra Privileged Identity Management (PIM) nell'ambiente di produzione Microsoft Entra. Dopo aver iniziato a usare PIM, si riceveranno messaggi di posta elettronica di notifica per le modifiche del ruolo di accesso con privilegi. Con le notifiche si è avvisati tempestivamente quando vengono aggiunti altri utenti a ruoli con privilegi elevati.

Microsoft Entra Privileged Identity Management è incluso in Microsoft Entra ID P2 o EMS E5. Per proteggere l'accesso alle applicazioni e alle risorse in locale e nel cloud, registrarsi per la valutazione gratuita di 90 giorni di Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management e Microsoft Entra ID Protection monitorano l'attività di sicurezza usando la creazione di report, il controllo e gli avvisi di Microsoft Entra ID.

Dopo aver iniziato a usare Microsoft Entra Privileged Identity Management:

1. Accedere all’Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

2. Per cambiare directory in cui si vuole usare Privileged Identity Management, selezionare il nome utente nell'angolo in alto a destra dell'interfaccia di amministrazione di Microsoft Entra.

3. Passare a Identity Governance>Privileged Identity Management.

Verificare che alla prima persona che usa PIM vengano assegnati i ruoli di amministratore della sicurezza e amministratore dei ruoli con privilegi. Solo gli amministratori dei ruoli con privilegi possono gestire le assegnazioni di ruolo della directory Microsoft Entra degli utenti. La procedura guidata di sicurezza di PIM illustra in modo dettagliato l'esperienza di individuazione e assegnazione iniziale. Al momento, è possibile uscire dalla procedura guidata senza apportare modifiche aggiuntive.

Identificare e classificare gli account che si trovano in ruoli con privilegi elevati

Dopo aver iniziato a usare Microsoft Entra Privileged Identity Management, visualizzare gli utenti che si trovano nei ruoli di Microsoft Entra seguenti:

• Amministratore globale
• Amministratore ruolo con privilegi
• Amministratore di Exchange
• Amministratore SharePoint

Se non si ha Microsoft Entra Privileged Identity Management nell'organizzazione, è possibile usare Microsoft Graph PowerShell. Iniziare con il ruolo Amministratore globale perché un amministratore globale ha le stesse autorizzazioni per tutti i servizi cloud per i quali l'organizzazione ha sottoscritto. Queste autorizzazioni vengono concesse indipendentemente dalla posizione in cui sono state assegnate: nell'interfaccia di amministrazione di Microsoft 365, nell'interfaccia di amministrazione di Microsoft Entra o tramite Microsoft Graph PowerShell.

Rimuovere tutti gli account non più necessari in questi ruoli. Classificare quindi gli account rimanenti assegnati ai ruoli di amministratore:

• Assegnati a utenti amministratori ma usati anche per scopi non amministrativi, ad esempio, posta elettronica personale
• Assegnati a utenti amministratori e usati solo per scopi amministrativi
• Condivisi tra più utenti
• Per scenari critici di accesso di emergenza
• Per script automatizzati
• Per utenti esterni

Definire almeno due account di accesso di emergenza

Microsoft consiglia alle organizzazioni di avere due account di accesso di emergenza solo cloud assegnati in modo permanente al ruolo di amministratore globale. Si tratta di account con privilegi elevati non assegnati a utenti specifici. Gli account sono limitati a scenari di emergenza o "break glass", in cui gli account normali non possono essere usati o tutti gli altri amministratori vengono accidentalmente bloccati. Questi account devono essere creati seguendo le raccomandazioni per l'account di accesso di emergenza.

Attivare l'autenticazione a più fattori e registrare tutti gli altri account amministratore con privilegi elevati non federati per utente singolo

Richiedere l'autenticazione a più fattori di Microsoft Entra all'accesso per tutti i singoli utenti assegnati in modo permanente a uno o più ruoli di amministratore di Microsoft Entra: Amministratore globale, Amministratore ruolo con privilegi, Amministratore di Exchange e Amministratore di SharePoint. Usare le indicazioni riportate in Applicare l'autenticazione a più fattori per gli amministratori e assicurarsi che tutti gli utenti siano registrati in https://aka.ms/mfasetup. Altre informazioni sono disponibili nel passaggio 2 e nel passaggio 3 della guida Proteggere l'accesso utente e dispositivo in Microsoft 365.

Fase 2: Attenuare gli attacchi usati di frequente

La fase 2 della roadmap è incentrata sull'attenuazione delle tecniche di attacco usate più di frequente per il furto e l'abuso di credenziali e può essere implementata in circa 2-4 settimane. Questa fase della roadmap per la sicurezza dell'accesso con privilegi include le attività seguenti.

Preparazione generale

Eseguire un inventario dei servizi, dei proprietari e degli amministratori

L'aumento degli scenari "Bring Your Own Device" e di lavoro da casa e la diffusione della connettività wireless rende indispensabile monitorare chi si connette alla rete. Un controllo di sicurezza può rivelare i dispositivi, le applicazioni e i programmi della rete che l'organizzazione non supporta e che rappresentano un rischio elevato. Per altre informazioni, vedere Panoramica su gestione e monitoraggio della sicurezza di Azure. Assicurarsi di includere tutte le attività seguenti nel processo di inventario.

• Identificare gli utenti con ruoli amministrativi e i servizi che possono gestire.

• Usare Microsoft Entra PIM per scoprire quali utenti dell'organizzazione hanno accesso come amministratore all'ID Microsoft Entra.

• Oltre ai ruoli definiti in Microsoft Entra ID, Microsoft 365 include un set di ruoli di amministratore che è possibile assegnare agli utenti dell'organizzazione. Ogni ruolo di amministratore è mappato a funzioni di business comuni e concede alle persone dell'organizzazione le autorizzazioni per eseguire attività specifiche nell'interfaccia di amministrazione di Microsoft 365. Usare l'interfaccia di amministrazione di Microsoft 365 per scoprire quali utenti dell'organizzazione hanno accesso amministratore a Microsoft 365, inclusi i ruoli non gestiti in Microsoft Entra ID. Per altre informazioni, vedere Informazioni sui ruoli di amministratore di Microsoft 365 e Procedure di sicurezza per Office 365.

• Effettuare l'inventario nei servizi usati nell'organizzazione, ad esempio Azure, Intune o Dynamics 365.

• Assicurarsi che gli account usati per scopi amministrativi:

  • Abbiano indirizzi di posta elettronica funzionanti associati
  • Aver eseguito la registrazione per l'autenticazione a più fattori Microsoft Entra o usare MFA locale

• Chiedere agli utenti il motivo per cui necessitano di accesso amministrativo.

• Rimuovere l'accesso amministratore per i singoli utenti e i servizi che non ne hanno bisogno.

identificare gli account Microsoft in ruoli amministrativi per cui è necessario passare ad account aziendali o dell'istituto di istruzione.

Se gli amministratori globali iniziali usano di nuovo le credenziali degli account Microsoft esistenti quando iniziano a usare Microsoft Entra ID, sostituire gli account Microsoft con singoli account basati sul cloud o sincronizzati.

Separare gli account utente e l'inoltro della posta elettronica per gli account amministratore globale

Gli account di posta elettronica personali sono regolarmente sottoposti ad attacchi di phishing da parte di utenti malintenzionati, un rischio che rende gli indirizzi e-mail personali inaccettabili per gli account amministratore globale. Per separare i rischi correlati a Internet dai privilegi amministrativi, creare account dedicati per ogni utente con privilegi amministrativi.

• Assicurarsi di creare account separati per consentire agli utenti di eseguire attività di amministratore globale.
• Assicurarsi che gli amministratori globali non aprano accidentalmente messaggi di posta elettronica o eseguano programmi con gli account amministratore.
• Assicurarsi che la posta elettronica di questi account venga inoltrata a una cassetta postale funzionante.
• Gli account amministratore globale (e altri gruppi con privilegi) devono essere account solo cloud senza legami con Active Directory locale.

Verificare che le password degli account amministrativi siano state modificate di recente

Verificare che tutti gli utenti abbiano eseguito l'accesso al proprio account amministrativo e abbiano modificato le password almeno una volta negli ultimi 90 giorni. Verificare inoltre che le password degli account condivisi siano state modificate di recente.

Attivare la sincronizzazione dell'hash delle password

Microsoft Entra Connect consente di sincronizzare gli hash delle password utente dall'istanza di Active Directory locale a un'organizzazione di Microsoft Entra basata sul cloud. È possibile usare la sincronizzazione dell'hash delle password come backup se si usa la federazione con Active Directory Federation Services (AD FS). Questo backup può essere utile se l'istanza di Active Directory locale o i server AD FS sono temporaneamente non disponibili.

La sincronizzazione dell'hash delle password consente agli utenti di accedere a un servizio usando la stessa password usata per accedere all'istanza di Active Directory locale. La sincronizzazione dell'hash delle password consente a Identity Protection di rilevare le credenziali compromesse confrontando gli hash delle password con le password note per essere compromesse. Per altre informazioni, vedere Implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync.

Richiedere l'autenticazione a più fattori per gli utenti con ruoli con privilegi e gli utenti esposti

Microsoft Entra ID consiglia di richiedere l'autenticazione a più fattori per tutti gli utenti. Assicurarsi di prendere in considerazione gli utenti che avrebbero un impatto significativo se il loro account venisse compromesso (ad esempio, dirigenti del reparto finanziario). MFA riduce il rischio di attacchi causati da una password compromessa.

Attivare:

• MFA usando i criteri di accesso condizionale per tutti gli utenti dell'organizzazione.

Se si usa Windows Hello for Business, è possibile soddisfare il requisito MFA con l'esperienza di accesso di Windows Hello. Per altre informazioni, vedere Windows Hello.

Configurare Identity Protection

Microsoft Entra ID Protection è uno strumento di monitoraggio e creazione di report basato su algoritmo che rileva le potenziali vulnerabilità che interessano le identità dell'organizzazione. È possibile configurare risposte automatiche per le attività sospette rilevate e intraprendere l'azione appropriata per risolverle. Per altre informazioni, vedere Microsoft Entra ID Protection.

Ottenere il punteggio di sicurezza di Microsoft 365 (se si usa Microsoft 365)

Secure Score esamina le impostazioni e le attività per i servizi di Microsoft 365 in uso e le confronta con informazioni di base stabilite da Microsoft. Si ottiene un punteggio che indica a che livello l'organizzazione è allineata alle procedure di sicurezza. Chiunque abbia le autorizzazioni di amministratore per una sottoscrizione di Microsoft 365 Business Standard o Enterprise può accedere a Secure Score all'indirizzo https://security.microsoft.com/securescore.

Esaminare le linee guida per la sicurezza e la conformità di Microsoft 365 (se si usa Microsoft 365)

Il piano per la sicurezza e la conformità spiega quale approccio deve adottare un utente di Office 365 per configurare Office 365 e usare altre funzionalità di EMS. Esaminare quindi i passaggi da 3 a 6 della procedura in Proteggere l'accesso a dati e servizi in Microsoft 365 e vedere le indicazioni in Monitorare la sicurezza e la conformità in Microsoft 365.

Configurare il monitoraggio delle attività di Microsoft 365 (se si usa Microsoft 365)

Individuare nell'organizzazione gli utenti che usano Microsoft 365 per identificare il personale che ha un account amministratore ma potrebbe non avere bisogno dell'accesso a Microsoft 365 perché non accede a quei portali. Per altre informazioni, vedere Report attività nell'interfaccia di amministrazione di Microsoft 365.

Stabilire i proprietari del piano di risposta a eventi imprevisti ed emergenze

Per poter rispondere nel modo giusto agli eventi imprevisti sono necessarie risorse e un'attenta pianificazione. È necessario un continuo monitoraggio per evitare gli attacchi informatici e stabilire le priorità per la gestione degli eventi imprevisti. Raccogliere, analizzare e segnalare i dati degli eventi imprevisti per creare relazioni e stabilire la comunicazione con altri gruppi interni e proprietari del piano. Per altre informazioni, vedere Microsoft Security Response Center.

Proteggere gli account amministrativi con privilegi locali, se non è già stato fatto

Se l'organizzazione di Microsoft Entra è sincronizzata con l'istanza di Active Directory locale, seguire le indicazioni in Protezione dell'accesso con privilegi: Questa fase include:

• Creazione di account amministratore separati per gli utenti che devono eseguire attività amministrative locali
• Distribuzione di workstation con accesso con privilegi per amministratori di Active Directory
• Creazione di password di amministratore locale univoche per workstation e server

Passaggi aggiuntivi per le organizzazioni che gestiscono l'accesso ad Azure

Completare un inventario delle sottoscrizioni

Usare Enterprise Portal e il portale di Azure per identificare le sottoscrizioni nell'organizzazione che ospitano le applicazioni di produzione.

Rimuovere gli account Microsoft dai ruoli di amministratore

Gli account Microsoft di altri programmi, ad esempio Xbox Live e Outlook, non devono essere usati come account amministratore per le sottoscrizioni dell'organizzazione. Rimuovere lo stato di amministratore da tutti gli account Microsoft e sostituirli con account aziendali o dell'istituto di istruzione Microsoft Entra ID (ad esempio, chris@contoso.com). Ai fini dell'amministratore, fare riferimento agli account autenticati in Microsoft Entra ID e non in altri servizi.

Monitorare l'attività di Azure

Il log attività di Azure fornisce una cronologia degli eventi a livello di sottoscrizione in Azure. Offre informazioni su chi ha creato, aggiornato ed eliminato quali risorse e su quando tali eventi si sono verificati. Per altre informazioni, vedere Controllare e ricevere notifiche sulle azioni importanti nella sottoscrizione di Azure.

Passaggi aggiuntivi per le organizzazioni che gestiscono l'accesso ad altre app cloud tramite Microsoft Entra ID

Configurare i criteri di accesso condizionale

Preparare criteri di accesso condizionale per applicazioni locali e ospitate nel cloud. Se ci sono dispositivi degli utenti aggiunti all'area di lavoro, vedere Configurazione dell'accesso condizionale locale usando il servizio Registrazione dispositivo di Microsoft Entra per altre informazioni.

Fase 3: Assumere il controllo delle attività di amministratore

La fase 3 si basa sulle mitigazioni della fase 2 e deve essere implementata in circa 1-3 mesi. Questa fase della roadmap per la sicurezza dell'accesso con privilegi include i componenti seguenti.

Preparazione generale

Completare una verifica di accesso degli utenti con ruoli di amministratore

Un numero sempre maggiore di utenti aziendali ottiene l'accesso con privilegi attraverso i servizi cloud e questo può portare a un accesso non gestito. Gli utenti possono oggi diventare amministratori globali per Microsoft 365, amministratori delle sottoscrizioni di Azure o avere accesso amministratore alle macchine virtuali o tramite app SaaS.

L'organizzazione deve avere tutti i dipendenti che gestiscono le transazioni aziendali ordinarie come utenti senza privilegi e poi concedere i diritti di amministratore solo se necessario. Completare le verifiche di accesso per identificare e verificare gli utenti idonei per l'attivazione dei privilegi di amministratore.

È consigliabile:

1. Determinare quali utenti sono amministratori di Microsoft Entra, abilitare l'accesso su richiesta, l'accesso just-in-time agli amministratori e i controlli di sicurezza basati sui ruoli.
2. Convertire gli utenti che non necessitano di accesso con privilegi di amministratore a un ruolo diverso (in assenza di un ruolo idoneo, rimuoverli).

Continuare l'implementazione di metodi di autenticazione più avanzati per tutti gli utenti

Richiedere agli utenti altamente esposti l'autenticazione moderna e avanzata, ad esempio l'autenticazione a più fattori Microsoft Entra o Windows Hello. Di seguito sono riportati alcuni esempi di utenti molto esposti:

• Dirigenti
• Manager di alto livello
• Personale critico di IT e sicurezza

Usare workstation dedicate per l'amministrazione per Microsoft Entra ID

Gli utenti malintenzionati potrebbero provare a individuare gli account con privilegi in modo da compromettere l'integrità e l'autenticità dei dati. Spesso usano codice dannoso che modifica la logica del programma o spia l'amministratore che immette una credenziale. Le workstation PAW (Privileged Access Workstation, workstation amministrativa con privilegi) dispongono di un sistema operativo dedicato per le attività sensibili che devono essere protette dagli attacchi provenienti da Internet e dai vettori di minacce di qualsiasi tipo. Separando queste attività e account sensibili dalle workstation e i dispositivi di uso giornaliero si ottiene una protezione avanzata da:

• Attacchi di phishing
• Vulnerabilità delle applicazioni e del sistema operativo
• Attacchi con sostituzione di persona
• Attacchi con furto delle credenziali, ad esempio registrazione delle digitazioni, Pass-the-Hash e Pass-the-Ticket

La distribuzione di workstation con accesso con privilegi consente di ridurre il rischio che gli amministratori immettano le proprie credenziali in un ambiente desktop senza sicurezza avanzata. Per altre informazioni, vedere Privileged Access Workstations (Workstation con accesso con privilegi).

Esaminare le indicazioni del National Institute of Standards and Technology per la gestione degli eventi imprevisti

Il National Institute of Standards e Technology (NIST) fornisce linee guida per la gestione degli eventi imprevisti, in particolare per analizzare i dati relativi agli eventi imprevisti e determinare la risposta appropriata per ogni evento. Per altre informazioni, vedere il documento NIST Computer Security Incident Handling Guide (SP 800-61, revisione 2).

Implementare Privileged Identity Management (PIM) per JIT per altri ruoli amministrativi

Per Microsoft Entra ID, usare la funzionalità Microsoft Entra Privileged Identity Management. L'attivazione a tempo limitato dei ruoli con privilegi consente di:

• Attivare i privilegi di amministratore per eseguire un'attività specifica

• Applicare MFA durante il processo di attivazione

• Usare gli avvisi per informare gli amministratori delle modifiche fuori banda

• Permettere agli utenti di mantenere l'accesso con privilegi per un periodo di tempo preconfigurato

• Consenti agli amministratori della sicurezza di:

  • Individuare tutte le identità con privilegi
  • Visualizzare i report di controllo
  • Creare verifiche di accesso per identificare tutti gli utenti idonei per l'attivazione dei privilegi di amministratore

Se si usa già Microsoft Entra Privileged Identity Management, modificare gli intervalli di tempo per i privilegi con limiti di tempo in base alle esigenze (ad esempio, per le finestre di manutenzione).

Determinare l'esposizione a protocolli di accesso basati su password (se si usa Exchange Online)

Si consiglia di identificare tutti i potenziali utenti le cui credenziali, se compromesse, potrebbero avere un forte impatto sulla sicurezza dell'organizzazione. Per questi utenti, applicare requisiti di autenticazione avanzata e usare l'accesso condizionale di Microsoft Entra per impedire l'accesso alla posta elettronica usando nome utente e password. È possibile bloccare l'autenticazione legacy usando l'accesso condizionale e bloccare l'autenticazione di base usando Exchange Online.

Completare una valutazione della revisione dei ruoli per i ruoli di Microsoft 365 (se si usa Microsoft 365)

Valutare se tutti gli utenti amministratori hanno i ruoli corretti (eliminare e riassegnare i ruoli in base a questa valutazione).

Esaminare l'approccio di gestione degli eventi imprevisti relativi alla sicurezza usato in Microsoft 365 e confrontarlo con quello della propria organizzazione

È possibile scaricare il report in Gestione degli eventi imprevisti relativi alla sicurezza in Microsoft Office 365.

Continuare a proteggere gli account amministrativi con privilegi locali

Se Microsoft Entra ID è connesso ad Active Directory locale, seguire le indicazioni riportate nella guida Protezione dell’accesso con privilegi: Fase 2. In questa fase:

• Distribuire workstation con accesso con privilegi per tutti gli amministratori
• Richiedere l'autenticazione MFA
• Usare Just Enough Administration per la manutenzione del controller di dominio e la riduzione della superficie di attacco dei domini
• Distribuire Valutazione avanzata delle minacce per il rilevamento degli attacchi

Passaggi aggiuntivi per le organizzazioni che gestiscono l'accesso ad Azure

Implementare un monitoraggio integrato

Il Microsoft Defender per il cloud:

• Offre il monitoraggio della sicurezza integrato e la gestione dei criteri in tutte le sottoscrizioni di Azure
• Consente di rilevare minacce che altrimenti potrebbero non essere rilevate
• Funziona con un'ampia gamma di soluzioni di sicurezza

Creare un inventario degli account con privilegi nelle macchine virtuali ospitate

In genere non è necessario concedere agli utenti autorizzazioni senza restrizioni per tutte le sottoscrizioni o le risorse di Azure. Usare i ruoli di amministratore di Microsoft Entra per concedere solo l'accesso di cui gli utenti hanno bisogno per svolgere il proprio lavoro. I ruoli di amministratore di Microsoft Entra possono essere usati per consentire a un amministratore di gestire solo le macchine virtuali in una sottoscrizione, mentre un altro amministratore può gestire i database SQL nella stessa sottoscrizione. Per altre informazioni, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure.

Implementare PIM per i ruoli di amministratore di Microsoft Entra

Usare Privileged Identity Management con i ruoli di amministratore di Microsoft Entra per gestire, controllare e monitorare l'accesso alle risorse di Azure. PIM offre protezione riducendo il tempo di esposizione dei privilegi e aumentando la visibilità sul loro uso attraverso report e avvisi. Per altre informazioni, vedere Che cos'è Microsoft Entra Privileged Identity Management.

Usare le integrazioni log di Azure per inviare i log di Azure rilevanti ai sistemi di informazioni di sicurezza e gestione degli eventi

Il servizio Integrazione log di Azure consente di integrare i log non elaborati delle risorse di Azure nei sistemi di informazioni di sicurezza e gestione degli eventi dell'organizzazione. Integrazione log di Azure raccoglie gli eventi di Windows dai log del Visualizzatore eventi di Windows e le risorse di Azure da:

• Log attività di Azure
• Avvisi di Microsoft Defender per il Cloud
• Log delle risorse di Azure

Passaggi aggiuntivi per le organizzazioni che gestiscono l'accesso ad altre app cloud tramite Microsoft Entra ID

Implementare il provisioning degli utenti per le app connesse

Microsoft Entra ID consente di automatizzare la creazione e la gestione delle identità utente in app cloud come Dropbox, Salesforce e ServiceNow. Per altre informazioni, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID.

Integrare la protezione delle informazioni

Microsoft Defender for Cloud Apps consente di esaminare i file e impostare criteri in base alle etichette di classificazione di Azure Information Protection, offrendo visibilità e controllo maggiori sui dati nel cloud. È possibile analizzare e classificare i dati nel cloud e applicare etichette di Azure Information Protection. Per altre informazioni, vedere Integrazione di Azure Information Protection.

Configurare l'accesso condizionale

Configurare l'accesso condizionale basato sull'importanza di gruppi, posizioni e applicazioni per le app SaaS e le app connesse di Microsoft Entra.

Monitorare l'attività nelle app cloud connesse

Per garantire la protezione dell'accesso degli utenti anche nelle applicazioni connesse, è consigliabile usare Microsoft Defender for Cloud Apps. Questa funzionalità consente di proteggere l'accesso aziendale alle app cloud gli account amministratore, grazie a:

• Visibilità e controllo maggiori sulle app cloud
• Creazione di criteri per l'accesso, le attività e la condivisione dei dati
• Identificazione automatica di attività rischiose, comportamenti anomali e minacce
• Prevenzione della perdita dei dati
• Riduzione al minimo dei rischi e applicazione dei criteri e prevenzione delle minacce in modo automatico

L'agente SIEM di Defender for Cloud Apps integra Defender for Cloud Apps con il server SIEM per abilitare il monitoraggio centralizzato degli avvisi e delle attività di Microsoft 365. Viene eseguito nel server ed esegue il pull di avvisi e attività da Defender for Cloud Apps e li trasmette al server SIEM. Per altre informazioni, vedere Integrazione SIEM.

Fase 4: Continuare a costruire difese

La fase 4 della roadmap deve essere implementata dopo sei mesi e oltre. Completare la roadmap per rafforzare le protezioni dell'accesso con privilegi contro i potenziali attacchi attualmente conosciuti. Per quanto riguarda le minacce di domani, si consiglia di considerare la protezione come un processo continuativo che mira a incrementare i costi per gli avversari e a ridurre la percentuale di riuscita dei loro attacchi.

La protezione dell'accesso con privilegi è importante per stabilire le garanzie di sicurezza per le risorse aziendali. Tuttavia, deve far parte di un programma di protezione completo che offre regolarmente garanzie per la sicurezza. Questo programma deve includere elementi quali:

• Criteri
• Operazioni
• Sicurezza delle informazioni
• Server
• Applicazioni
• PC
• Dispositivi
• Infrastruttura cloud

Quando si gestiscono gli account di accesso con privilegi, è consigliabile attenersi alle procedure seguenti:

• Verificare che gli amministratori eseguano le attività quotidiane come utenti senza privilegi
• Concedere l'accesso con privilegi solo quando necessario e successivamente rimuoverlo (JIT)
• Conservare i log attività di controllo correlati agli account con privilegi

Per altre informazioni sulla creazione di una roadmap di sicurezza completa, vedere Risorse sull'architettura IT del cloud Microsoft. Per interagire con i servizi Microsoft e richiedere assistenza per l'implementazione di qualsiasi parte della roadmap, contattare il rappresentante Microsoft oppure vedere Build critical cyber defenses to protect your enterprise (Preparare difese informatiche critiche per proteggere l'azienda).

La fase finale e continuativa della roadmap per la sicurezza dell'accesso con privilegi include i componenti seguenti.

Preparazione generale

Esaminare i ruoli di amministratore in Microsoft Entra ID

Determinare se gli attuali ruoli di amministratore di Microsoft Entra predefiniti sono ancora aggiornati e verificare che gli utenti siano solo nei ruoli necessari. Microsoft Entra ID consente di assegnare amministratori diversi per le diverse funzioni. Per altre informazioni, vedere Ruoli predefiniti di Microsoft Entra.

Esaminare gli utenti che hanno l'amministrazione dei dispositivi aggiunti a Microsoft Entra

Per altre informazioni, vedere Come configurare i dispositivi aggiunti all'ambiente ibrido di Microsoft Entra.

Esaminare i membri dei ruoli di amministratore predefiniti di Microsoft 365

Se non si usa Microsoft 365, ignorare questo passaggio.

Convalidare il piano di risposta agli eventi imprevisti

Per un continuo miglioramento del piano, Microsoft consiglia di convalidarne regolarmente il funzionamento:

• Esaminare la roadmap esistente per verificare se manca qualcosa
• In base all'analisi post mortem, esaminare le procedure esistenti o definirne di nuove
• Verificare che il piano di risposta agli eventi imprevisti aggiornato e le procedure siano distribuiti in tutta l'organizzazione

Passaggi aggiuntivi per le organizzazioni che gestiscono l'accesso ad Azure

Determinare se è necessario trasferire la proprietà di una sottoscrizione di Azure a un altro account.

"Rompere il vetro": cosa fare in caso di emergenza

1. Comunicare ai principali dirigenti e ai responsabili della sicurezza le informazioni relative all'evento imprevisto.

2. Esaminare la strategia da adottare in caso di attacco.

3. Recuperare la combinazione di nome utente e password dell'account per le emergenze per accedere a Microsoft Entra ID.

4. Chiedere aiuto a Microsoft creando una richiesta di supporto di Azure.

5. Esaminare i report di accesso Microsoft Entra. Potrebbe trascorrere un certo tempo tra il momento in cui l'evento si verifica e quello in cui viene incluso nel report.

6. Per gli ambienti ibridi, se l'infrastruttura locale federata e il server AD FS non sono disponibili, è possibile passare temporaneamente dall'autenticazione federata all'uso della sincronizzazione degli hash delle password. In questo modo, si passa dalla federazione del dominio all'autenticazione gestita fino a quando il server AD FS non ritorna disponibile.

7. Monitorare la posta elettronica per gli account con privilegi.

8. Assicurarsi di salvare i backup dei log rilevanti per potenziali indagini forensi e legali.

Per altre informazioni su come Microsoft Office 365 gestisce gli eventi di sicurezza, vedere Security Incident Management in Microsoft Office 365 (Gestione degli eventi di sicurezza in Microsoft Office 365).

Domande frequenti: Risposte per la protezione dell'accesso con privilegi

D: Cosa è possibile fare se non sono ancora stati implementati i componenti per l'accesso sicuro?

Risposta: Definire almeno due account di emergenza, assegnare MFA agli account amministratore con privilegi e separare gli account utente dagli account amministratore globale.

D: Dopo una violazione, qual è il problema principale da affrontare?

Risposta: Assicurarsi di imporre l'uso del livello di autenticazione più elevato per gli utenti molto esposti.

D: Cosa succede se gli amministratori con privilegi sono stati disattivati?

Risposta: Creare un account amministratore globale che viene mantenuto sempre aggiornato.

D: Cosa succede se è rimasto un solo amministratore globale e non è possibile raggiungerlo?

Risposta: Usare uno degli account di emergenza per ottenere immediatamente l'accesso con privilegi.

D: Come è possibile proteggere gli amministratori nell'organizzazione?

Risposta: Fare in modo che gli amministratori eseguano le attività quotidiane come utenti "standard" senza privilegi.

D: Quali sono le procedure consigliate per la creazione di account amministratore all'interno di Microsoft Entra ID?

Risposta: Riservare l'accesso con privilegi ad attività di amministratore specifiche.

D: Quali strumenti sono disponibili per ridurre l'accesso amministratore permanente?

Risposta: I ruoli di amministratore di Privileged Identity Management (PIM) e Microsoft Entra.

D: Qual è la posizione di Microsoft sulla sincronizzazione degli account amministratore con Microsoft Entra ID?

Risposta: Gli account amministratore di livello 0 vengono usati solo per gli account AD locali. Questi account non vengono in genere sincronizzati con Microsoft Entra ID nel cloud. Gli account amministratore di livello 0 includono account, gruppi e altri asset che hanno il controllo amministrativo diretto o indiretto di foreste, domini, controller di dominio e asset di Active Directory locale.

D: Come si impedisce agli amministratori di assegnare l'accesso amministratore casuale nel portale?

Risposta: Usare account senza privilegi per tutti gli utenti e per la maggior parte degli amministratori. Iniziare sviluppando un footprint dell'organizzazione per determinare i pochi account amministratore che devono avere privilegi. Monitorare inoltre gli utenti amministratori appena creati.

Passaggi successivi

• Microsoft Trust Center per la sicurezza dei prodotti - Funzionalità di sicurezza dei prodotti e dei servizi Microsoft

• Offerte di conformità Microsoft – set completo di offerte di conformità Microsoft per i servizi cloud

• Indicazioni su come svolgere una valutazione dei rischi - Gestire i requisiti di sicurezza e conformità per i servizi cloud Microsoft

Altri servizi di Microsoft Online Services

• Sicurezza di Microsoft Intune - Intune offre funzionalità di gestione di dispositivi mobili, gestione di applicazioni mobili e gestione di PC dal cloud.

• Sicurezza di Microsoft Dynamics 365 - Dynamics 365 è la soluzione Microsoft basata su cloud che combina funzionalità CRM (Customer Relationship Management) ed ERP (Enterprise Resource Planning).