Zabezpieczanie uprzywilejowanego dostępu dla wdrożeń hybrydowych i wdrożeń w chmurze w usłudze Azure AD

Bezpieczeństwo zasobów biznesowych zależy od integralności uprzywilejowanych kont, które zarządzają systemami IT. Osoby atakujące cybernetyczne używają ataków polegających na kradzieży poświadczeń w celu kierowania kont administratorów i innego uprzywilejowanego dostępu w celu uzyskania dostępu do poufnych danych.

W przypadku usług w chmurze zapobieganie i reagowanie to wspólne obowiązki dostawcy usług w chmurze i klienta. Aby uzyskać więcej informacji na temat najnowszych zagrożeń dla punktów końcowych i chmury, zobacz Raport analizy zabezpieczeń firmy Microsoft. Ten artykuł może pomóc w opracowaniu planu w celu zamknięcia luk między bieżącymi planami a wskazówkami opisanymi tutaj.

Uwaga

Firma Microsoft jest zobowiązana do najwyższych poziomów zaufania, przejrzystości, zgodności ze standardami i zgodności z przepisami. Dowiedz się więcej o tym, jak globalny zespół reagowania na zdarzenia firmy Microsoft ogranicza skutki ataków na usługi w chmurze oraz jak zabezpieczenia są wbudowane w produkty biznesowe i usługi w chmurze firmy Microsoft w Centrum zaufania Microsoft — Cele zabezpieczeń i zgodności firmy Microsoft w Centrum zaufania Microsoft — Zgodność.

Tradycyjnie zabezpieczenia organizacyjne koncentrowały się na punktach wejścia i wyjścia sieci jako obwodu zabezpieczeń. Jednak aplikacje SaaS i urządzenia osobiste w Internecie sprawiły, że takie podejście stało się mniej skuteczne. W usłudze Azure AD zastąpimy obwód zabezpieczeń sieci uwierzytelnianiem w warstwie tożsamości organizacji, a użytkownicy przypisani do uprzywilejowanych ról administracyjnych w kontroli. Ich dostęp musi być chroniony, niezależnie od tego, czy środowisko jest lokalne, w chmurze, czy hybrydowe.

Zabezpieczanie uprzywilejowanego dostępu wymaga zmian:

  • Procesy, praktyki administracyjne i zarządzanie wiedzą
  • Składniki techniczne, takie jak ochrona hosta, ochrona kont i zarządzanie tożsamościami

Zabezpiecz uprzywilejowany dostęp w sposób zarządzany i raportowany w usługach firmy Microsoft, które cię interesują. Jeśli masz konta administratora lokalnego, zapoznaj się ze wskazówkami dotyczącymi dostępu lokalnego i hybrydowego uprzywilejowanego w usłudze Active Directory na stronie Zabezpieczanie dostępu uprzywilejowanego.

Uwaga

Wskazówki zawarte w tym artykule dotyczą głównie funkcji usługi Azure Active Directory, które są zawarte w usługach Azure AD Premium P1 i P2. Usługa Azure AD Premium P2 jest zawarta w pakiecie EMS E5 i pakiecie Microsoft 365 E5. W tych wskazówkach założono, że Organizacja ma już licencje usługi Azure AD Premium P2 zakupione dla użytkowników. Jeśli nie masz tych licencji, niektóre wskazówki mogą nie dotyczyć Twojej organizacji. Ponadto w tym artykule termin Administrator globalny oznacza to samo co "administrator firmy" lub "administrator dzierżawy".

Opracowywanie planu działania

Firma Microsoft zaleca opracowanie i przestrzeganie planu zabezpieczania uprzywilejowanego dostępu przed cyberatakami. Zawsze możesz dostosować plan działania, aby uwzględnić istniejące możliwości i określone wymagania w organizacji. Każdy etap planu powinien podnieść koszty i trudności dla przeciwników w celu ataku na uprzywilejowany dostęp do zasobów lokalnych, w chmurze i hybrydowych. Firma Microsoft zaleca następujące cztery etapy harmonogramu. Najpierw zaplanuj najbardziej efektywne i najszybsze implementacje. Ten artykuł może być przewodnikiem opartym na doświadczeniach firmy Microsoft w zakresie zdarzeń cyberataków i implementacji reagowania. Harmonogramy tego planu są przybliżeniami.

Stages of the roadmap with time lines

  • Etap 1 (24–48 godzin): Elementy krytyczne, które zalecamy od razu wykonać

  • Etap 2 (2–4 tygodnie): Eliminowanie najczęściej używanych technik ataków

  • Etap 3 (1–3 miesiące): Tworzenie widoczności i tworzenie pełnej kontroli nad działaniami administratora

  • Etap 4 (sześć miesięcy i dłużej): Kontynuuj tworzenie zabezpieczeń w celu dalszego wzmacniania zabezpieczeń platformy

Ta struktura harmonogramu została zaprojektowana w celu zmaksymalizowania wykorzystania technologii firmy Microsoft, które mogły już zostać wdrożone. Rozważ powiązanie z narzędziami zabezpieczeń od innych dostawców, które zostały już wdrożone lub rozważasz wdrożenie.

Etap 1. Krytyczne elementy do wykonania w tej chwili

Stage 1 Critical items to do first

Etap 1 planu koncentruje się na krytycznych zadaniach, które są szybkie i łatwe do wdrożenia. Zalecamy wykonanie tych kilku czynności od razu w ciągu pierwszych 24–48 godzin, aby zapewnić podstawowy poziom bezpiecznego dostępu uprzywilejowanego. Ten etap planu zabezpieczonego dostępu uprzywilejowanego obejmuje następujące akcje:

Ogólne przygotowanie

Korzystanie z usługi Azure AD Privileged Identity Management

Zalecamy rozpoczęcie korzystania z usługi Azure AD Privileged Identity Management (PIM) w środowisku produkcyjnym usługi Azure AD. Po rozpoczęciu korzystania z usługi PIM otrzymasz wiadomości e-mail z powiadomieniami o zmianach ról dostępu uprzywilejowanego. Powiadomienia zapewniają wczesne ostrzeżenie, gdy dodatkowi użytkownicy są dodawani do ról o wysokim poziomie uprawnień.

Usługa Azure AD Privileged Identity Management jest uwzględniona w usłudze Azure AD — wersja Premium P2 lub EMS E5. Aby ułatwić ochronę dostępu do aplikacji i zasobów lokalnych i w chmurze, zarejestruj się w celu korzystania z bezpłatnej 90-dniowej wersji próbnej pakietu Enterprise Mobility + Security. Usługi Azure AD Privileged Identity Management i Azure AD Identity Protection monitorują aktywność zabezpieczeń przy użyciu raportowania, inspekcji i alertów usługi Azure AD.

Po rozpoczęciu korzystania z usługi Azure AD Privileged Identity Management:

  1. Zaloguj się do witryny Azure Portal przy użyciu konta administratora globalnego organizacji produkcyjnej usługi Azure AD.

  2. Aby wybrać organizację usługi Azure AD, w której chcesz używać usługi Privileged Identity Management, wybierz swoją nazwę użytkownika w prawym górnym rogu witryny Azure Portal.

  3. W menu witryny Azure Portal wybierz pozycję Wszystkie usługi i odfiltruj listę usługi Azure AD Privileged Identity Management.

  4. Otwórz usługę Privileged Identity Management z listy Wszystkie usługi i przypnij ją do pulpitu nawigacyjnego.

Upewnij się, że pierwsza osoba do korzystania z usługi PIM w organizacji jest przypisana do ról Administrator zabezpieczeń i Administrator ról uprzywilejowanych . Tylko administratorzy ról uprzywilejowanych mogą zarządzać przypisaniami ról katalogu usługi Azure AD użytkowników. Kreator zabezpieczeń usługi PIM przeprowadzi Cię przez proces początkowego odnajdywania i przypisywania. Możesz zamknąć kreatora bez wprowadzania żadnych dodatkowych zmian w tej chwili.

Identyfikowanie i kategoryzowanie kont w rolach o wysokim poziomie uprawnień

Po rozpoczęciu korzystania z usługi Azure AD Privileged Identity Management wyświetl użytkowników, którzy pełnią następujące role usługi Azure AD:

  • Administrator globalny
  • Administrator ról uprzywilejowanych
  • Exchange Administrator
  • SharePoint Administrator

Jeśli nie masz usługi Azure AD Privileged Identity Management w organizacji, możesz użyć interfejsu API programu PowerShell. Zacznij od roli administratora globalnego, ponieważ administrator globalny ma te same uprawnienia we wszystkich usługach w chmurze, dla których twoja organizacja zasubskrybowała. Te uprawnienia są przyznawane niezależnie od tego, gdzie zostały przypisane: w centrum administracyjnym platformy Microsoft 365, w witrynie Azure Portal lub w module usługi Azure AD dla programu Microsoft PowerShell.

Usuń wszystkie konta, które nie są już potrzebne w tych rolach. Następnie kategoryzuj pozostałe konta przypisane do ról administratora:

  • Przypisane do użytkowników administracyjnych, ale także używane do celów nieadministracyjnych (na przykład osobisty adres e-mail)
  • Przypisane do użytkowników administracyjnych i używane tylko do celów administracyjnych
  • Współużytkowane przez wielu użytkowników
  • W przypadku scenariuszy dostępu awaryjnego
  • W przypadku skryptów automatycznych
  • Dla użytkowników zewnętrznych

Definiowanie co najmniej dwóch kont dostępu awaryjnego

Istnieje możliwość przypadkowego zablokowania użytkownika z jego roli. Jeśli na przykład lokalny dostawca tożsamości federacyjnej jest niedostępny, użytkownicy nie mogą się zalogować ani aktywować istniejącego konta administratora. Możesz przygotować się do przypadkowego braku dostępu, przechowując co najmniej dwa konta dostępu awaryjnego.

Konta dostępu awaryjnego pomagają ograniczyć uprzywilejowany dostęp w organizacji usługi Azure AD. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta dostępu awaryjnego są ograniczone do sytuacji awaryjnych w scenariuszach "break glass", w których nie można używać normalnych kont administracyjnych. Upewnij się, że kontrolujesz i zmniejszasz użycie konta awaryjnego tylko do tego czasu, dla którego jest to konieczne.

Oceń konta przypisane lub kwalifikujące się do roli administratora globalnego. Jeśli nie widzisz żadnych kont tylko w chmurze przy użyciu domeny *.onmicrosoft.com (w przypadku dostępu awaryjnego "break glass"), utwórz je. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami administracyjnymi dostępu awaryjnego w usłudze Azure AD.

Włącz uwierzytelnianie wieloskładnikowe i zarejestruj wszystkie inne wysoce uprzywilejowane konta administratora bez federacji

Wymagaj usługi Azure AD Multi-Factor Authentication (MFA) podczas logowania dla wszystkich użytkowników, którzy są trwale przypisani do co najmniej jednej roli administratora usługi Azure AD: administratora globalnego, administratora ról uprzywilejowanych, administratora programu Exchange i administratora programu SharePoint. Skorzystaj ze wskazówek w artykule Wymuszanie uwierzytelniania wieloskładnikowego dla administratorów i upewnij się, że wszyscy użytkownicy zarejestrowali się w witrynie https://aka.ms/mfasetup. Więcej informacji można znaleźć w kroku 2 i kroku 3 przewodnika Ochrona dostępu użytkowników i urządzeń na platformie Microsoft 365.

Etap 2. Eliminowanie często używanych ataków

Stage 2 Mitigate frequently used attacks

Etap 2 planu koncentruje się na ograniczeniu najczęściej używanych technik ataków kradzieży i nadużyć poświadczeń i można je wdrożyć w ciągu około 2–4 tygodni. Ten etap planu bezpiecznego dostępu uprzywilejowanego obejmuje następujące akcje.

Ogólne przygotowanie

Przeprowadzanie spisu usług, właścicieli i administratorów

Wzrost "przynieś własne urządzenie" i pracy z zasad domu i wzrost łączności bezprzewodowej sprawia, że kluczowe znaczenie ma monitorowanie, kto łączy się z siecią. Inspekcja zabezpieczeń może ujawnić urządzenia, aplikacje i programy w sieci, których organizacja nie obsługuje i które stanowią wysokie ryzyko. Aby uzyskać więcej informacji, zobacz Omówienie zarządzania zabezpieczeniami i monitorowania na platformie Azure. Upewnij się, że wszystkie poniższe zadania zostaną uwzględnione w procesie spisu.

  • Zidentyfikuj użytkowników, którzy mają role administracyjne i usługi, którymi mogą zarządzać.

  • Użyj usługi Azure AD PIM, aby dowiedzieć się, którzy użytkownicy w organizacji mają dostęp administratora do usługi Azure AD.

  • Poza rolami zdefiniowanymi w usłudze Azure AD platforma Microsoft 365 jest dostarczana z zestawem ról administratora, które można przypisać do użytkowników w organizacji. Każda rola administratora mapuje na typowe funkcje biznesowe i nadaje osobom w organizacji uprawnienia do wykonywania określonych zadań w centrum administracyjnym platformy Microsoft 365. Użyj centrum administracyjnego platformy Microsoft 365, aby dowiedzieć się, którzy użytkownicy w organizacji mają dostęp administratora do platformy Microsoft 365, w tym za pośrednictwem ról, które nie są zarządzane w usłudze Azure AD. Aby uzyskać więcej informacji, zobacz About Microsoft 365 administrator roles and Security practices for Office 365 (Informacje o rolach administratora platformy Microsoft 365 i rozwiązaniach zabezpieczeń dla usługi Office 365).

  • Czy spis w usługach, na których opiera się organizacja, na przykład na platformie Azure, usłudze Intune lub usłudze Dynamics 365.

  • Upewnij się, że twoje konta, które są używane do celów administracyjnych:

    • Dołącz do nich działające adresy e-mail
    • Zarejestrowano usługę Azure AD Multi-Factor Authentication lub lokalnie używasz uwierzytelniania wieloskładnikowego
  • Poproś użytkowników o uzasadnienie biznesowe dotyczące dostępu administracyjnego.

  • Usuń dostęp administratora dla tych osób i usług, które ich nie potrzebują.

Identyfikowanie kont Microsoft w rolach administracyjnych, które muszą zostać przełączone na konta służbowe

Jeśli początkowi administratorzy globalni ponownie używają swoich istniejących poświadczeń konta Microsoft podczas korzystania z usługi Azure AD, zastąp konta Microsoft indywidualnymi kontami opartymi na chmurze lub zsynchronizowanymi.

Upewnij się, że oddzielne konta użytkowników i przekazywanie poczty dla kont administratora globalnego

Osobiste konta e-mail są regularnie phished przez cyberataków, ryzyko, które sprawia, że osobiste adresy e-mail są niedopuszczalne dla kont administratorów globalnych. Aby ułatwić oddzielenie ryzyka internetowego od uprawnień administracyjnych, utwórz dedykowane konta dla każdego użytkownika z uprawnieniami administracyjnymi.

  • Pamiętaj, aby utworzyć oddzielne konta dla użytkowników, aby wykonywać zadania administratora globalnego.
  • Upewnij się, że administratorzy globalni nie otwierają przypadkowo wiadomości e-mail ani nie uruchamiają programów przy użyciu kont administratorów.
  • Upewnij się, że te konta mają swój adres e-mail przesłany do działającej skrzynki pocztowej.
  • Konta administratora globalnego (i innych uprzywilejowanych grup) powinny być kontami tylko w chmurze bez powiązań z lokalną usługą Active Directory.

Upewnij się, że hasła kont administracyjnych zostały ostatnio zmienione

Upewnij się, że wszyscy użytkownicy zalogowali się do swoich kont administracyjnych i zmienili swoje hasła co najmniej raz w ciągu ostatnich 90 dni. Sprawdź również, czy wszystkie konta udostępnione ostatnio uległy zmianie.

Włączanie synchronizacji skrótów haseł

Program Azure AD Connect synchronizuje skrót skrótu hasła użytkownika z lokalnej usługi Active Directory z organizacją usługi Azure AD opartą na chmurze. Synchronizacji skrótów haseł można użyć jako kopii zapasowej, jeśli używasz federacji z usługami Active Directory Federation Services (AD FS). Ta kopia zapasowa może być przydatna, jeśli lokalna usługa Active Directory lub serwery usług AD FS są tymczasowo niedostępne.

Synchronizacja skrótów haseł umożliwia użytkownikom logowanie się do usługi przy użyciu tego samego hasła, którego używają do logowania się do lokalnego wystąpienia usługi Active Directory. Synchronizacja skrótów haseł umożliwia usłudze Identity Protection wykrywanie poświadczeń, których bezpieczeństwo zostało naruszone, przez porównanie skrótów haseł z hasłami, których bezpieczeństwo jest znane. Aby uzyskać więcej informacji, zobacz Implementowanie synchronizacji skrótów haseł za pomocą synchronizacji programu Azure AD Connect.

Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników w rolach uprzywilejowanych i uwidocznionych użytkowników

Usługa Azure AD zaleca wymaganie uwierzytelniania wieloskładnikowego (MFA) dla wszystkich użytkowników. Należy wziąć pod uwagę użytkowników, którzy mieliby znaczący wpływ, gdyby ich konto zostało naruszone (na przykład pracownicy finansowi). Uwierzytelnianie wieloskładnikowe zmniejsza ryzyko ataku z powodu złamanego hasła.

Włącz:

Jeśli używasz usługi Windows Hello dla firm, można spełnić wymaganie uwierzytelniania wieloskładnikowego przy użyciu środowiska logowania usługi Windows Hello. Aby uzyskać więcej informacji, zobacz Windows Hello.

Konfigurowanie usługi Identity Protection

Usługa Azure AD Identity Protection to oparte na algorytmach narzędzie do monitorowania i raportowania, które wykrywa potencjalne luki w zabezpieczeniach wpływające na tożsamości organizacji. Możesz skonfigurować automatyczne odpowiedzi na wykryte podejrzane działania i podjąć odpowiednie działania, aby je rozwiązać. Aby uzyskać więcej informacji, zobacz Azure Active Directory Identity Protection (Ochrona tożsamości w usłudze Azure Active Directory).

Uzyskaj wskaźnik bezpieczeństwa platformy Microsoft 365 (jeśli korzystasz z platformy Microsoft 365)

Wskaźnik bezpieczeństwa analizuje ustawienia i działania dotyczące używanych usług Platformy Microsoft 365 i porównuje je z punktem odniesienia określonym przez firmę Microsoft. Uzyskasz ocenę na podstawie dopasowania do praktyk zabezpieczeń. Każdy, kto ma uprawnienia administratora dla subskrypcji platformy Microsoft 365 Business Standard lub Enterprise, może uzyskać dostęp do wskaźnika bezpieczeństwa na stronie https://security.microsoft.com/securescore.

Zapoznaj się ze wskazówkami dotyczącymi zabezpieczeń i zgodności platformy Microsoft 365 (jeśli korzystasz z platformy Microsoft 365)

Plan zabezpieczeń i zgodności przedstawia podejście dla klienta usługi Office 365 w celu skonfigurowania usługi Office 365 i włączenia innych funkcji pakietu EMS. Następnie zapoznaj się z krokami 3–6 dotyczącymi ochrony dostępu do danych i usług na platformie Microsoft 365 oraz przewodnika dotyczącego monitorowania zabezpieczeń i zgodności na platformie Microsoft 365.

Konfigurowanie monitorowania aktywności platformy Microsoft 365 (w przypadku korzystania z platformy Microsoft 365)

Monitoruj organizację dla użytkowników korzystających z platformy Microsoft 365, aby zidentyfikować pracowników, którzy mają konto administratora, ale mogą nie potrzebować dostępu do platformy Microsoft 365, ponieważ nie logują się do tych portali. Aby uzyskać więcej informacji, zobacz Raporty aktywności w centrum administracyjnym platformy Microsoft 365.

Ustanawianie właścicieli planu reagowania na zdarzenia/awaryjne

Ustanowienie możliwości pomyślnego reagowania na zdarzenia wymaga znacznego planowania i zasobów. Musisz stale monitorować cyberataki i ustalać priorytety obsługi zdarzeń. Zbieranie, analizowanie i zgłaszanie danych zdarzeń w celu tworzenia relacji i ustanawiania komunikacji z innymi grupami wewnętrznymi i właścicielami planów. Aby uzyskać więcej informacji, zobacz Centrum zabezpieczeń firmy Microsoft.

Zabezpieczanie lokalnych uprzywilejowanych kont administracyjnych, jeśli jeszcze nie zostało to zrobione

Jeśli organizacja usługi Azure Active Directory jest synchronizowana z lokalną usługą Active Directory, postępuj zgodnie ze wskazówkami w temacie Plan dostępu uprzywilejowanego zabezpieczeń: Ten etap obejmuje:

  • Tworzenie oddzielnych kont administratorów dla użytkowników, którzy muszą wykonywać lokalne zadania administracyjne
  • Wdrażanie stacji roboczych dostępu uprzywilejowanego dla administratorów usługi Active Directory
  • Tworzenie unikatowych haseł administratora lokalnego dla stacji roboczych i serwerów

Dodatkowe kroki dla organizacji zarządzających dostępem do platformy Azure

Tworzenie spisu subskrypcji

Użyj witryny Enterprise Portal i witryny Azure Portal, aby zidentyfikować subskrypcje w organizacji hostujące aplikacje produkcyjne.

Usuwanie kont Microsoft z ról administratora

Konta Microsoft z innych programów, takich jak Xbox, Live i Outlook, nie powinny być używane jako konta administratora dla subskrypcji organizacji. Usuń stan administratora ze wszystkich kont Microsoft i zastąp wartość kontami służbowymi usługi Azure AD (na przykład chris@contoso.com). W celach administratora zależą od kont uwierzytelnionych w usłudze Azure AD, a nie w innych usługach.

Monitorowanie aktywności platformy Azure

Dziennik aktywności platformy Azure zawiera historię zdarzeń na poziomie subskrypcji na platformie Azure. Zawiera on informacje o tym, kto utworzył, zaktualizował i usunął jakie zasoby oraz kiedy wystąpiły te zdarzenia. Aby uzyskać więcej informacji, zobacz Audit and receive notifications about important actions in your Azure subscription (Inspekcja i odbieranie powiadomień dotyczących ważnych akcji w ramach subskrypcji platformy Azure).

Dodatkowe kroki dla organizacji zarządzających dostępem do innych aplikacji w chmurze za pośrednictwem usługi Azure AD

Konfigurowanie zasad dostępu warunkowego

Przygotuj zasady dostępu warunkowego dla aplikacji lokalnych i hostowanych w chmurze. Jeśli masz urządzenia dołączone do miejsca pracy użytkowników, zapoznaj się z tematem Konfigurowanie lokalnego dostępu warunkowego przy użyciu rejestracji urządzeń w usłudze Azure Active Directory.

Etap 3. Przejęcie kontroli nad działaniami administratora

Stage 3: take control of administrator activity

Etap 3 opiera się na ograniczeniach ryzyka z etapu 2 i powinien zostać wdrożony w ciągu około 1–3 miesięcy. Ten etap planu zabezpieczonego dostępu uprzywilejowanego obejmuje następujące składniki.

Ogólne przygotowanie

Ukończ przegląd dostępu użytkowników w rolach administratora

Coraz więcej użytkowników firm uzyskuje uprzywilejowany dostęp za pośrednictwem usług w chmurze, co może prowadzić do niezarządzanego dostępu. Obecnie użytkownicy mogą stać się administratorami globalnymi platformy Microsoft 365, administratorami subskrypcji platformy Azure lub mieć dostęp administratora do maszyn wirtualnych lub za pośrednictwem aplikacji SaaS.

Organizacja powinna mieć wszystkich pracowników obsługujących zwykłe transakcje biznesowe jako nieuprzywilejowanych użytkowników, a następnie przyznać uprawnienia administratora tylko w razie potrzeby. Ukończ przeglądy dostępu, aby zidentyfikować i potwierdzić użytkowników, którzy kwalifikują się do aktywowania uprawnień administratora.

Zalecamy wykonanie następujących czynności:

  1. Ustal, którzy użytkownicy są administratorami usługi Azure AD, włącz dostęp administratora just in time na żądanie i kontrolę zabezpieczeń opartą na rolach.
  2. Przekonwertuj użytkowników, którzy nie mają wyraźnego uzasadnienia dla uprzywilejowanego dostępu administratora do innej roli (jeśli nie ma kwalifikujących się ról, usuń je).

Kontynuuj wdrażanie silniejszego uwierzytelniania dla wszystkich użytkowników

Wymagaj od wysoce narażonych użytkowników nowoczesnego, silnego uwierzytelniania, takiego jak azure AD MFA lub Windows Hello. Przykłady wysoce narażonych użytkowników to:

  • Kierownictwo C-suite
  • Menedżerowie wysokiego szczebla
  • Krytyczny personel IT i personel ds. zabezpieczeń

Używanie dedykowanych stacji roboczych do administrowania usługą Azure AD

Osoby atakujące mogą próbować kierować uprzywilejowane konta, aby mogły zakłócić integralność i autentyczność danych. Często używają złośliwego kodu, który zmienia logikę programu lub przyciągnie administratora, wprowadzając poświadczenia. Stacje robocze z dostępem uprzywilejowanym (PAW, Privileged Access Workstation) zapewniają dedykowany system operacyjny do realizacji zadań poufnych, który jest zabezpieczony przed atakami internetowymi i wektorami zagrożenia. Oddzielenie tych poufnych zadań i kont od stacji roboczych i urządzeń do codziennego użytku zapewnia silną ochronę przed:

  • Ataki wyłudzane informacje
  • Luki w zabezpieczeniach aplikacji i systemu operacyjnego
  • Ataki personifikacji
  • Ataki kradzieży poświadczeń, takie jak rejestrowanie naciśnięcia klawiszy, atak typu Pass-the-Hash i pass-the-ticket

Wdrażając stacje robocze z dostępem uprzywilejowanym, można zmniejszyć ryzyko wprowadzenia poświadczeń przez administratorów w środowisku pulpitu, które nie zostało wzmocnione. Aby uzyskać więcej informacji, zobacz Stacje robocze z dostępem uprzywilejowanym.

Zapoznaj się z zaleceniami National Institute of Standards and Technology dotyczącymi obsługi zdarzeń

National Institute of Standards and Technology 's (NIST) zawiera wytyczne dotyczące obsługi zdarzeń, szczególnie w przypadku analizowania danych związanych z incydentami i określania odpowiedniej reakcji na poszczególne zdarzenia. Aby uzyskać więcej informacji, zobacz Przewodnik obsługi zdarzeń zabezpieczeń komputera (SP 800-61, Poprawka 2).

Implementowanie usługi Privileged Identity Management (PIM) dla trybu JIT do dodatkowych ról administracyjnych

W przypadku usługi Azure Active Directory użyj możliwości usługi Azure AD Privileged Identity Management . Ograniczona czasowo aktywacja ról uprzywilejowanych działa, umożliwiając:

  • Aktywowanie uprawnień administratora w celu wykonania określonego zadania

  • Wymuszanie uwierzytelniania wieloskładnikowego podczas procesu aktywacji

  • Używanie alertów w celu informowania administratorów o zmianach poza pasmem

  • Umożliwienie użytkownikom zachowania uprzywilejowanego dostępu przez wstępnie skonfigurowany czas

  • Zezwalaj administratorom zabezpieczeń na:

    • Odnajdywanie wszystkich tożsamości uprzywilejowanych
    • Wyświetlanie raportów inspekcji
    • Tworzenie przeglądów dostępu w celu zidentyfikowania każdego użytkownika, który kwalifikuje się do aktywowania uprawnień administratora

Jeśli już używasz usługi Azure AD Privileged Identity Management, dostosuj przedziały czasu dla uprawnień związanych z czasem (na przykład okna obsługi).

Określanie narażenia na protokoły logowania oparte na hasłach (w przypadku korzystania z usługi Exchange Online)

Zalecamy zidentyfikowanie każdego potencjalnego użytkownika, który może być katastrofalny dla organizacji, jeśli ich poświadczenia zostały naruszone. W przypadku tych użytkowników należy spełnić silne wymagania dotyczące uwierzytelniania i użyć dostępu warunkowego usługi Azure AD, aby uniemożliwić im logowanie się do poczty e-mail przy użyciu nazwy użytkownika i hasła. Możesz zablokować starsze uwierzytelnianie przy użyciu dostępu warunkowego i zablokować uwierzytelnianie podstawowe za pośrednictwem usługi Exchange Online.

Przejrzyj ocenę ról platformy Microsoft 365 (jeśli korzystasz z platformy Microsoft 365)

Oceń, czy wszyscy administratorzy znajdują się w odpowiednich rolach (usuń i przypisz ponownie zgodnie z tą oceną).

Zapoznaj się z podejściem do zarządzania zdarzeniami zabezpieczeń używanymi na platformie Microsoft 365 i porównaj je z własną organizacją

Ten raport można pobrać z usługi Security Incident Management na platformie Microsoft 365.

Kontynuuj zabezpieczanie lokalnych uprzywilejowanych kont administracyjnych

Jeśli usługa Azure Active Directory jest połączona z lokalną usługą Active Directory, postępuj zgodnie ze wskazówkami w temacie Plan dotyczący dostępu uprzywilejowanego zabezpieczeń: etap 2. Na tym etapie wykonasz następujące elementy:

  • Wdrażanie stacji roboczych z dostępem uprzywilejowanym dla wszystkich administratorów
  • Wymaganie uwierzytelniania wieloskładnikowego
  • Użyj funkcji Just Enough Admin do konserwacji kontrolera domeny, obniżając obszar ataków domen
  • Wdrażanie zaawansowanej oceny zagrożeń na potrzeby wykrywania ataków

Dodatkowe kroki dla organizacji zarządzających dostępem do platformy Azure

Ustanawianie zintegrowanego monitorowania

Usługa Microsoft Defender dla Chmury:

  • Zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure
  • Pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone
  • Współpracuje z szeroką gamą rozwiązań zabezpieczeń

Tworzenie spisu kont uprzywilejowanych w ramach hostowanych maszyn wirtualnych

Zwykle nie trzeba udzielać użytkownikom nieograniczonych uprawnień do wszystkich subskrypcji lub zasobów platformy Azure. Użyj ról administratora usługi Azure AD, aby udzielić dostępu tylko tym użytkownikom, którzy muszą wykonywać swoje zadania. Za pomocą ról administratora usługi Azure AD można zezwolić jednemu administratorowi na zarządzanie tylko maszynami wirtualnymi w ramach subskrypcji, a inne mogą zarządzać bazami danych SQL w ramach tej samej subskrypcji. Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na rolach na platformie Azure.

Implementowanie usługi PIM dla ról administratora usługi Azure AD

Użyj usługi Privileged Identity Management z rolami administratora usługi Azure AD, aby zarządzać, kontrolować i monitorować dostęp do zasobów platformy Azure. Korzystanie z usługi PIM chroni przez obniżenie czasu ujawnienia uprawnień i zwiększenie wglądu w ich użycie za pomocą raportów i alertów. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure AD Privileged Identity Management.

Używanie integracji dzienników platformy Azure do wysyłania odpowiednich dzienników platformy Azure do systemów SIEM

Integracja dzienników platformy Azure umożliwia integrację nieprzetworzonych dzienników z zasobów platformy Azure z istniejącymi systemami zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM, Security Information and Event Management). Integracja dzienników platformy Azure zbiera zdarzenia systemu Windows z dzienników podglądu zdarzeń systemu Windows i zasobów platformy Azure z:

  • Dzienniki aktywności platformy Azure
  • Alerty usługi Microsoft Defender for Cloud
  • Dzienniki zasobów platformy Azure

Dodatkowe kroki dla organizacji zarządzających dostępem do innych aplikacji w chmurze za pośrednictwem usługi Azure AD

Implementowanie aprowizacji użytkowników dla połączonych aplikacji

Usługa Azure AD umożliwia automatyzację tworzenia i obsługi tożsamości użytkowników w aplikacjach w chmurze, takich jak Dropbox, Salesforce i ServiceNow. Aby uzyskać więcej informacji, zobacz Automatyzowanie aprowizacji i anulowania aprowizacji użytkowników w aplikacjach SaaS za pomocą usługi Azure AD.

Integrowanie ochrony informacji

Usługa Microsoft Defender for Cloud Apps umożliwia badanie plików i ustawianie zasad na podstawie etykiet klasyfikacji usługi Azure Information Protection, co zapewnia większą widoczność i kontrolę nad danymi w chmurze. Skanuj i klasyfikuj pliki w chmurze i stosuj etykiety usługi Azure Information Protection. Aby uzyskać więcej informacji, zobacz Integracja z usługą Azure Information Protection.

Konfigurowanie dostępu warunkowego

Skonfiguruj dostęp warunkowy na podstawie grupy, lokalizacji i poufności aplikacji dla aplikacji SaaS i aplikacji połączonych z usługą Azure AD.

Monitorowanie aktywności w połączonych aplikacjach w chmurze

Zalecamy korzystanie z usługi Microsoft Defender for Cloud Apps , aby upewnić się, że dostęp użytkowników jest również chroniony w połączonych aplikacjach. Ta funkcja zabezpiecza dostęp przedsiębiorstwa do aplikacji w chmurze i zabezpiecza konta administratorów, co pozwala na:

  • Rozszerzanie widoczności i kontroli na aplikacje w chmurze
  • Tworzenie zasad dostępu, działań i udostępniania danych
  • Automatyczne identyfikowanie ryzykownych działań, nietypowych zachowań i zagrożeń
  • Zapobieganie wyciekom danych
  • Minimalizowanie ryzyka i automatyczne zapobieganie zagrożeniom oraz wymuszanie zasad

Agent SIEM usługi Defender for Cloud Apps integruje usługę Defender for Cloud Apps z serwerem SIEM, aby umożliwić scentralizowane monitorowanie alertów i działań platformy Microsoft 365. Działa na serwerze i ściąga alerty i działania z usługi Defender for Cloud Apps i przesyła je strumieniowo do serwera SIEM. Aby uzyskać więcej informacji, zobacz Integracja rozwiązania SIEM.

Etap 4. Kontynuowanie budowania obrony

Stage 4: adopt an active security posture

Etap 4 planu powinien zostać wdrożony w ciągu sześciu miesięcy i później. Ukończ harmonogram działania, aby wzmocnić ochronę uprzywilejowanego dostępu przed potencjalnymi atakami, które są obecnie znane. W przypadku zagrożeń bezpieczeństwa w przyszłości zalecamy wyświetlanie zabezpieczeń jako trwającego procesu w celu podniesienia kosztów i zmniejszenia współczynnika powodzenia przeciwników kierowanych do środowiska.

Zabezpieczanie uprzywilejowanego dostępu jest ważne w celu ustanowienia gwarancji zabezpieczeń dla zasobów biznesowych. Jednak powinien być częścią kompletnego programu zabezpieczeń, który zapewnia stałe zabezpieczenia. Ten program powinien zawierać elementy, takie jak:

  • Zasady
  • Operacje
  • Bezpieczeństwo informacji
  • Serwery
  • Aplikacje
  • Komputery
  • Urządzenia
  • Sieć szkieletowa w chmurze

W przypadku zarządzania kontami uprzywilejowanego dostępu zalecamy następujące rozwiązania:

  • Upewnij się, że administratorzy wykonują codzienne działania jako użytkownicy nieuprzywilejowani
  • Udziel uprzywilejowanego dostępu tylko wtedy, gdy jest to konieczne, i usuń go później (just-in-time)
  • Przechowywanie dzienników aktywności inspekcji dotyczących kont uprzywilejowanych

Aby uzyskać więcej informacji na temat tworzenia kompletnego planu zabezpieczeń, zobacz Zasoby architektury IT w chmurze firmy Microsoft. Aby skontaktować się z usługami firmy Microsoft, aby pomóc w zaimplementowaniu jakiejkolwiek części planu działania, skontaktuj się z przedstawicielem firmy Microsoft lub zobacz Tworzenie krytycznych cyberobrony w celu ochrony przedsiębiorstwa.

Ten ostatni bieżący etap planu bezpiecznego dostępu uprzywilejowanego obejmuje następujące składniki.

Ogólne przygotowanie

Przeglądanie ról administratorów w usłudze Azure AD

Ustal, czy bieżące wbudowane role administratora usługi Azure AD są nadal aktualne i upewnij się, że użytkownicy znajdują się tylko w potrzebnych rolach. Usługa Azure AD umożliwia przypisywanie oddzielnych administratorów do obsługi różnych funkcji. Aby uzyskać więcej informacji, zobacz Wbudowane role usługi Azure AD.

Przeglądanie użytkowników, którzy mają administrowanie urządzeniami dołączonymi do usługi Azure AD

Aby uzyskać więcej informacji, zobacz How to configure hybrid Azure Active Directory joined devices (Jak skonfigurować urządzenia dołączone hybrydową do usługi Azure Active Directory).

Przegląd członków wbudowanych ról administratora platformy Microsoft 365

Pomiń ten krok, jeśli nie używasz platformy Microsoft 365. ‎

Weryfikowanie planu reagowania na zdarzenia

Aby ulepszyć plan, firma Microsoft zaleca regularne weryfikowanie, czy plan działa zgodnie z oczekiwaniami:

  • Przejdź przez istniejącą mapę drogową, aby zobaczyć, co zostało pominięte
  • W oparciu o analizę postmortem popraw istniejące lub zdefiniuj nowe rozwiązania
  • Upewnij się, że zaktualizowany plan reagowania na zdarzenia i praktyki są dystrybuowane w całej organizacji

Dodatkowe kroki dla organizacji zarządzających dostępem do platformy Azure

Ustal, czy chcesz przenieść własność subskrypcji platformy Azure na inne konto. ‎

"Szklenie": co zrobić w nagłych wypadkach

Accounts for emergency break glass access

  1. Powiadom kluczowych menedżerów i funkcjonariuszy ds. zabezpieczeń o tym zdarzeniu.

  2. Przejrzyj podręcznik ataku.

  3. Uzyskaj dostęp do kombinacji nazwy użytkownika i hasła konta "break glass", aby zalogować się do usługi Azure AD.

  4. Uzyskaj pomoc od firmy Microsoft, otwierając wniosek o pomoc techniczną platformy Azure.

  5. Zapoznaj się z raportami logowania w usłudze Azure AD. Może wystąpić pewien czas między wystąpieniem zdarzenia a jego ujęciem w raporcie.

  6. W przypadku środowisk hybrydowych, jeśli lokalna infrastruktura federacyjna i serwer usług AD FS nie są dostępne, możesz tymczasowo przełączyć się z uwierzytelniania federacyjnego, aby użyć synchronizacji skrótów haseł. Ten przełącznik przywraca federację domeny z powrotem do uwierzytelniania zarządzanego, dopóki serwer usług AD FS nie stanie się dostępny.

  7. Monitorowanie poczty e-mail dla kont uprzywilejowanych.

  8. Upewnij się, że zapisujesz kopie zapasowe odpowiednich dzienników na potrzeby potencjalnego badania kryminalistycznego i prawnego.

Aby uzyskać więcej informacji na temat obsługi zdarzeń zabezpieczeń w usłudze Microsoft Office 365, zobacz Zarządzanie zdarzeniami zabezpieczeń w usłudze Microsoft Office 365.

Często zadawane pytania: Odpowiedzi dotyczące zabezpieczania uprzywilejowanego dostępu

P: Co zrobić, jeśli jeszcze nie zaimplementowano żadnych składników bezpiecznego dostępu?

Odpowiedź: Zdefiniuj co najmniej dwa konto awaryjne, przypisz uwierzytelnianie wieloskładnikowe do kont administratorów uprzywilejowanych i oddziel konta użytkowników od kont administratora globalnego.

P: Jaki jest pierwszy problem, który należy rozwiązać po naruszeniu?

Odpowiedź: Upewnij się, że wymagasz najsilniejszego uwierzytelniania dla wysoce narażonych osób.

P: Co się stanie, jeśli nasi uprzywilejowani administratorzy zostali dezaktywacji?

Odpowiedź: Utwórz konto administratora globalnego, które jest zawsze aktualne.

P: Co się stanie, jeśli pozostanie tylko jeden administrator globalny i nie będzie mógł uzyskać dostępu?

Odpowiedź: Użyj jednego z kont ze szkła break-glass, aby uzyskać natychmiastowy uprzywilejowany dostęp.

P: Jak mogę chronić administratorów w mojej organizacji?

Odpowiedź: Administratorzy zawsze wykonują codzienne działania jako standardowych "nieuprzywilejowanych" użytkowników.

P: Jakie są najlepsze rozwiązania dotyczące tworzenia kont administratorów w usłudze Azure AD?

Odpowiedź: Zarezerwuj uprzywilejowany dostęp do określonych zadań administratora.

P: Jakie narzędzia istnieją w celu zmniejszenia trwałego dostępu administratora?

Odpowiedź: Role administratora usługi Privileged Identity Management (PIM) i usługi Azure AD.

P: Co to jest pozycja firmy Microsoft w zakresie synchronizowania kont administratorów z usługą Azure AD?

Odpowiedź: Konta administratora warstwy 0 są używane tylko dla lokalnych kont usługi AD. Takie konta nie są zwykle synchronizowane z usługą Azure AD w chmurze. Konta administratora warstwy 0 obejmują konta, grupy i inne zasoby, które mają bezpośrednią lub pośrednią kontrolę administracyjną nad lokalnym lasem usługi Active Directory, domenami, kontrolerami domeny i zasobami.

P: Jak uniemożliwić administratorom przypisywanie dostępu administratora losowego w portalu?

Odpowiedź: Używaj kont innych niż uprzywilejowane dla wszystkich użytkowników i większości administratorów. Zacznij od opracowania śladu organizacji, aby określić, które konta administratorów powinny być uprzywilejowane. I monitoruj nowo utworzonych użytkowników administracyjnych.

Następne kroki

Inne usługi online firmy Microsoft