Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID

Bezpieczeństwo zasobów biznesowych zależy od integralności uprzywilejowanych kont, które administrowają systemami IT. Cyberataki używają ataków kradzieży poświadczeń w celu kierowania kont administratorów i innego uprzywilejowanego dostępu, aby spróbować uzyskać dostęp do poufnych danych.

W przypadku usług w chmurze zapobieganie i reagowanie są wspólnymi obowiązkami dostawcy usług w chmurze i klienta. Aby uzyskać więcej informacji na temat najnowszych zagrożeń dla punktów końcowych i chmury, zobacz Raport analizy zabezpieczeń firmy Microsoft. Ten artykuł może pomóc w opracowaniu planu działania w celu zamknięcia luk między bieżącymi planami a wskazówkami opisanymi tutaj.

Uwaga

Firma Microsoft ma wyższy poziom zaufania, przejrzystości i zgodności z ustalonymi normami oraz zapewnić zgodność z przepisami. Dowiedz się więcej o tym, w jaki sposób globalny zespół reagowania na zdarzenia firmy Microsoft ogranicza skutki ataków na usługi w chmurze oraz jak zabezpieczenia są wbudowane w produkty biznesowe i usługi w chmurze firmy Microsoft w Centrum zaufania Microsoft — Zabezpieczenia i zgodność firmy Microsoft w Centrum zaufania Firmy Microsoft — zgodność.

Tradycyjnie zabezpieczenia organizacyjne koncentrowały się na punktach wejścia i wyjścia sieci jako obwodu zabezpieczeń. Jednak aplikacje SaaS i urządzenia osobiste w Internecie sprawiły, że takie podejście było mniej skuteczne. W usłudze Microsoft Entra ID zastąpimy obwód zabezpieczeń sieci uwierzytelnianiem w warstwie tożsamości organizacji, a użytkownicy przypisani do uprzywilejowanych ról administracyjnych w kontroli. Ich dostęp musi być chroniony, niezależnie od tego, czy środowisko jest lokalne, w chmurze, czy hybrydowe.

Zabezpieczanie uprzywilejowanego dostępu wymaga zmian:

• Procesy, praktyki administracyjne i zarządzanie wiedzą
• Składniki techniczne, takie jak ochrona hosta, ochrona kont i zarządzanie tożsamościami

Zabezpiecz uprzywilejowany dostęp w sposób zarządzany i raportowany w usługi firmy Microsoft, o którym dbasz. Jeśli masz konta administratora lokalnego, zapoznaj się ze wskazówkami dotyczącymi dostępu lokalnego i hybrydowego uprzywilejowanego w usłudze Active Directory na stronie Zabezpieczanie dostępu uprzywilejowanego.

Uwaga

Wskazówki zawarte w tym artykule dotyczą głównie funkcji identyfikatora Entra firmy Microsoft, które są zawarte w microsoft Entra ID P1 i P2. Pakiet Microsoft Entra ID P2 znajduje się w pakiecie EMS E5 i pakiecie Microsoft 365 E5. W tych wskazówkach założono, że Twoja organizacja ma już licencje microsoft Entra ID P2 zakupione dla użytkowników. Jeśli nie masz tych licencji, niektóre wskazówki mogą nie mieć zastosowania do organizacji. Ponadto w tym artykule termin Global Administracja istrator oznacza to samo co "administrator firmy" lub "administrator dzierżawy".

Opracowywanie planu działania

Firma Microsoft zaleca opracowanie planu działania w celu zabezpieczenia uprzywilejowanego dostępu do ataków cybernetycznych. Zawsze możesz dostosować plan działania, aby uwzględnić istniejące możliwości i określone wymagania w organizacji. Każdy etap planu powinien podnieść koszty i trudności dla przeciwników w celu zaatakowania uprzywilejowanego dostępu do zasobów lokalnych, w chmurze i hybrydowych. Firma Microsoft zaleca następujące cztery etapy harmonogramu. Najpierw zaplanuj najbardziej efektywne i najszybsze implementacje. Ten artykuł może być przewodnikiem opartym na doświadczeniach firmy Microsoft z incydentami cyberataku i implementacją reagowania. Harmonogramy tego planu są przybliżeniami.

• Etap 1 (24–48 godzin): Elementy krytyczne, które zalecamy od razu wykonać

• Etap 2 (2–4 tygodnie): Eliminowanie najczęściej używanych technik ataków

• Etap 3 (1–3 miesiące): Tworzenie widoczności i tworzenie pełnej kontroli nad działaniami administratora

• Etap 4 (sześć miesięcy i więcej): Kontynuowanie tworzenia ochrony w celu dalszego wzmacniania platformy zabezpieczeń

Ta struktura harmonogramu została zaprojektowana w celu zmaksymalizowania wykorzystania technologii firmy Microsoft, które mogły już zostać wdrożone. Rozważ wiązanie się z narzędziami zabezpieczeń od innych dostawców, którzy już wdrożyli lub rozważają wdrożenie.

Etap 1. Elementy krytyczne do wykonania w tej chwili

Etap 1 planu koncentruje się na krytycznych zadaniach, które są szybkie i łatwe do wdrożenia. Zalecamy wykonanie tych kilku czynności od razu w ciągu pierwszych 24–48 godzin, aby zapewnić podstawowy poziom bezpiecznego dostępu uprzywilejowanego. Ten etap planu bezpiecznego dostępu uprzywilejowanego obejmuje następujące akcje:

Ogólne przygotowanie

Korzystanie z usługi Microsoft Entra Privileged Identity Management

Zalecamy rozpoczęcie korzystania z usługi Microsoft Entra Privileged Identity Management (PIM) w środowisku produkcyjnym firmy Microsoft Entra. Po rozpoczęciu korzystania z usługi PIM otrzymasz wiadomości e-mail z powiadomieniami o zmianach roli dostępu uprzywilejowanego. Powiadomienia zapewniają wczesne ostrzeżenie, gdy dodatkowi użytkownicy są dodawani do ról o wysokim poziomie uprawnień.

Usługa Microsoft Entra Privileged Identity Management jest uwzględniona w pakiecie Microsoft Entra ID P2 lub EMS E5. Aby ułatwić ochronę dostępu do aplikacji i zasobów lokalnych i w chmurze, zarejestruj się w celu korzystania z bezpłatnej 90-dniowej wersji próbnej pakietu Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management i Ochrona tożsamości Microsoft Entra monitorować aktywność zabezpieczeń przy użyciu raportowania, inspekcji i alertów identyfikatorów firmy Microsoft.

Po rozpoczęciu korzystania z usługi Microsoft Entra Privileged Identity Management:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny Administracja istrator.

2. Aby przełączyć katalogi, w których chcesz użyć usługi Privileged Identity Management, wybierz swoją nazwę użytkownika w prawym górnym rogu centrum administracyjnego firmy Microsoft Entra.

3. Przejdź do zarządzania>tożsamościami Privileged Identity Management.

Upewnij się, że pierwsza osoba do korzystania z usługi PIM w organizacji jest przypisana do ról Administracja istratora zabezpieczeń i ról uprzywilejowanych Administracja istratora. Tylko role uprzywilejowane Administracja istratory mogą zarządzać przypisaniami ról katalogu Firmy Microsoft entra użytkowników. Kreator zabezpieczeń usługi PIM przeprowadzi Cię przez początkowe odnajdywanie i przypisywanie. Możesz zamknąć kreatora bez wprowadzania żadnych dodatkowych zmian w tej chwili.

Identyfikowanie i kategoryzowanie kont, które znajdują się w rolach o wysokim poziomie uprawnień

Po rozpoczęciu korzystania z usługi Microsoft Entra Privileged Identity Management wyświetl użytkowników, którzy znajdują się w następujących rolach firmy Microsoft Entra:

• Globalny administrator usługi
• Administrator ról uprzywilejowanych
• Administrator programu Exchange
• Administracja istrator programu SharePoint

Jeśli nie masz usługi Microsoft Entra Privileged Identity Management w organizacji, możesz użyć programu Microsoft Graph PowerShell. Zacznij od roli globalnego Administracja istratora, ponieważ administrator globalny Administracja istrator ma te same uprawnienia we wszystkich usługach w chmurze, dla których twoja organizacja zasubskrybowała. Te uprawnienia są przyznawane niezależnie od tego, gdzie zostały przypisane: w Centrum administracyjne platformy Microsoft 365, centrum administracyjnym firmy Microsoft Entra lub przy użyciu programu Microsoft Graph PowerShell.

Usuń wszystkie konta, które nie są już potrzebne w tych rolach. Następnie kategoryzuj pozostałe konta przypisane do ról administratora:

• Przypisane do użytkowników administracyjnych, ale także używane do celów nieadministracyjnych (na przykład osobisty adres e-mail)
• Przypisane do użytkowników administracyjnych i używane tylko do celów administracyjnych
• Współużytkowany przez wielu użytkowników
• W przypadku scenariuszy dostępu awaryjnego ze szkła awaryjnego
• W przypadku skryptów automatycznych
• Dla użytkowników zewnętrznych

Definiowanie co najmniej dwóch kont dostępu awaryjnego

Możliwe jest, że użytkownik zostanie przypadkowo zablokowany ze swojej roli. Jeśli na przykład lokalny dostawca tożsamości federacyjnej nie jest dostępny, użytkownicy nie mogą się zalogować ani aktywować istniejącego konta administratora. Możesz przygotować się do przypadkowego braku dostępu, przechowując co najmniej dwa konta dostępu awaryjnego.

Konta dostępu awaryjnego pomagają ograniczyć uprzywilejowany dostęp w organizacji firmy Microsoft Entra. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta dostępu awaryjnego są ograniczone do sytuacji awaryjnych w scenariuszach "break glass", w których nie można używać normalnych kont administracyjnych. Upewnij się, że kontrolujesz i zmniejszasz użycie konta awaryjnego tylko w tym czasie, dla którego jest to konieczne.

Oceń konta, które są przypisane lub kwalifikujące się do roli globalnego Administracja istratora. Jeśli nie widzisz żadnych kont tylko w chmurze przy użyciu domeny *.onmicrosoft.com (w przypadku dostępu awaryjnego "break glass" ), utwórz je. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami administracyjnymi dostępu awaryjnego w usłudze Microsoft Entra ID.

Włączanie uwierzytelniania wieloskładnikowego i rejestrowanie wszystkich innych kont administratorów z wysokimi uprawnieniami z jednym użytkownikiem, które nie są federacyjne

Wymagaj uwierzytelniania wieloskładnikowego firmy Microsoft podczas logowania dla wszystkich użytkowników, którzy są trwale przypisani do co najmniej jednej roli administratora entra firmy Microsoft: globalnego Administracja istratora, Administracja istratora ról uprzywilejowanych, Administracja istratora programu Exchange i Administracja istratora programu SharePoint. Skorzystaj ze wskazówek w artykule Wymuszanie uwierzytelniania wieloskładnikowego dla administratorów i upewnij się, że wszyscy ci użytkownicy zarejestrowali się w witrynie https://aka.ms/mfasetup. Więcej informacji można znaleźć w kroku 2 i kroku 3 przewodnika Ochrona dostępu użytkowników i urządzeń na platformie Microsoft 365.

Etap 2. Eliminowanie często używanych ataków

Etap 2 planu koncentruje się na łagodzeniu najczęściej używanych technik ataków kradzieży i nadużyć poświadczeń i można je wdrożyć w ciągu około 2–4 tygodni. Ten etap planu bezpiecznego dostępu uprzywilejowanego obejmuje następujące akcje.

Ogólne przygotowanie

Przeprowadzanie spisu usług, właścicieli i administratorów

Wzrost "przynieś własne urządzenie" i pracę z zasad domu i wzrost łączności bezprzewodowej sprawia, że kluczowe znaczenie ma monitorowanie, kto łączy się z siecią. Inspekcja zabezpieczeń może ujawnić urządzenia, aplikacje i programy w sieci, których organizacja nie obsługuje i które stanowią wysokie ryzyko. Aby uzyskać więcej informacji, zobacz Omówienie zarządzania zabezpieczeniami i monitorowania platformy Azure. Upewnij się, że wszystkie poniższe zadania są uwzględniane w procesie spisu.

• Zidentyfikuj użytkowników, którzy mają role administracyjne i usługi, którymi mogą zarządzać.

• Użyj usługi Microsoft Entra PIM, aby dowiedzieć się, którzy użytkownicy w organizacji mają dostęp administratora do identyfikatora Entra firmy Microsoft.

• Poza rolami zdefiniowanymi w usłudze Microsoft Entra ID platforma Microsoft 365 zawiera zestaw ról administratora, które można przypisać do użytkowników w organizacji. Każda rola administratora mapuje na typowe funkcje biznesowe i nadaje osobom w organizacji uprawnienia do wykonywania określonych zadań w Centrum administracyjne platformy Microsoft 365. Użyj Centrum administracyjne platformy Microsoft 365, aby dowiedzieć się, którzy użytkownicy w organizacji mają dostęp administratora do platformy Microsoft 365, w tym za pośrednictwem ról niezarządzanych w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz About Microsoft 365 administrator roles and Security practices for Office 365 (Informacje o rolach administratora platformy Microsoft 365 i rozwiązaniach zabezpieczeń dla usługi Office 365).

• Czy spis usług, na których opiera się Twoja organizacja, na przykład na platformie Azure, usłudze Intune lub usłudze Dynamics 365.

• Upewnij się, że konta, które są używane do celów administracyjnych:

  • Dołącz do nich działające adresy e-mail
  • Zarejestrowano się w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft lub lokalnego używania uwierzytelniania wieloskładnikowego

• Poproś użytkowników o uzasadnienie biznesowe dotyczące dostępu administracyjnego.

• Usuń dostęp administratora dla tych użytkowników indywidualnych i usług, które jej nie potrzebują.

Identyfikowanie kont Microsoft w rolach administracyjnych, które muszą zostać przełączone na konta służbowe

Jeśli początkowe globalne Administracja istratory ponownie używają swoich istniejących poświadczeń konta Microsoft, gdy zaczęli korzystać z identyfikatora Microsoft Entra ID, zastąp konta Microsoft indywidualnymi kontami opartymi na chmurze lub zsynchronizowanymi kontami.

Upewnij się, że oddzielne konta użytkowników i przekazywanie poczty dla kont globalnych Administracja istrator

Osobiste konta e-mail są regularnie phished przez cyberataków, ryzyko, że osobiste adresy e-mail są niedopuszczalne dla globalnych kont Administracja istratora. Aby ułatwić oddzielenie ryzyka internetowego od uprawnień administracyjnych, utwórz dedykowane konta dla każdego użytkownika z uprawnieniami administracyjnymi.

• Pamiętaj, aby utworzyć oddzielne konta dla użytkowników, aby wykonywać zadania globalne Administracja istratora.
• Upewnij się, że administratorzy globalni Administracja istratorzy nie otwierają przypadkowo wiadomości e-mail ani nie uruchamiają programów przy użyciu kont administratorów.
• Upewnij się, że te konta mają swoją wiadomość e-mail przesłaną do działającej skrzynki pocztowej.
• Konta globalnego Administracja istratora (i innych uprzywilejowanych grup) powinny być kontami tylko w chmurze bez powiązań z lokalna usługa Active Directory.

Upewnij się, że hasła kont administracyjnych zostały ostatnio zmienione

Upewnij się, że wszyscy użytkownicy zalogowali się do swoich kont administracyjnych i zmienili swoje hasła co najmniej raz w ciągu ostatnich 90 dni. Sprawdź również, czy wszystkie konta udostępnione ostatnio zmieniły swoje hasła.

Włączanie synchronizacji skrótów haseł

Firma Microsoft Entra Połączenie synchronizuje skrót skrótu hasła użytkownika z lokalna usługa Active Directory do organizacji firmy Microsoft Entra opartej na chmurze. Synchronizację skrótów haseł można użyć jako kopii zapasowej, jeśli używasz federacji z usługami Active Directory Federation Services (AD FS). Ta kopia zapasowa może być przydatna, jeśli lokalna usługa Active Directory lub serwery usług AD FS są tymczasowo niedostępne.

Synchronizacja skrótów haseł umożliwia użytkownikom logowanie się do usługi przy użyciu tego samego hasła, którego używają do logowania się do wystąpienia lokalna usługa Active Directory. Synchronizacja skrótów haseł umożliwia usłudze Identity Protection wykrywanie poświadczeń, których bezpieczeństwo zostało naruszone, przez porównanie skrótów haseł z hasłami, które są znane jako naruszone. Aby uzyskać więcej informacji, zobacz Implementowanie synchronizacji skrótów haseł za pomocą usługi Microsoft Entra Połączenie Sync.

Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników w rolach uprzywilejowanych i uwidocznionych użytkowników

Identyfikator Entra firmy Microsoft zaleca wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników. Należy wziąć pod uwagę użytkowników, którzy mieliby znaczący wpływ, gdyby ich konto zostało naruszone (na przykład pracownicy finansowi). Uwierzytelnianie wieloskładnikowe zmniejsza ryzyko ataku z powodu naruszonego hasła.

Włącz:

• Uwierzytelnianie wieloskładnikowe przy użyciu zasad dostępu warunkowego dla wszystkich użytkowników w organizacji.

Jeśli używasz Windows Hello dla firm, wymaganie uwierzytelniania wieloskładnikowego można spełnić przy użyciu środowiska logowania funkcji Windows Hello. Aby uzyskać więcej informacji, zobacz Windows Hello.

Konfigurowanie usługi Identity Protection

Ochrona tożsamości Microsoft Entra to narzędzie do monitorowania i raportowania oparte na algorytmach, które wykrywa potencjalne luki w zabezpieczeniach wpływające na tożsamości organizacji. Możesz skonfigurować automatyczne odpowiedzi na wykryte podejrzane działania i podjąć odpowiednie działania, aby je rozwiązać. Aby uzyskać więcej informacji, zobacz Ochrona tożsamości Microsoft Entra.

Uzyskiwanie wskaźnika bezpieczeństwa platformy Microsoft 365 (jeśli korzystasz z platformy Microsoft 365)

Wskaźnik bezpieczeństwa analizuje ustawienia i działania dotyczące używanych usług platformy Microsoft 365 i porównuje je z punktem odniesienia określonym przez firmę Microsoft. Uzyskasz ocenę na podstawie dopasowania do praktyk zabezpieczeń. Każdy, kto ma uprawnienia administratora dla subskrypcji platformy Microsoft 365 Business Standard lub Enterprise, może uzyskać dostęp do wskaźnika bezpieczeństwa na stronie https://security.microsoft.com/securescore.

Zapoznaj się ze wskazówkami dotyczącymi zabezpieczeń i zgodności platformy Microsoft 365 (jeśli korzystasz z platformy Microsoft 365)

Plan zabezpieczeń i zgodności przedstawia podejście dla klienta usługi Office 365 w celu skonfigurowania usługi Office 365 i włączenia innych funkcji pakietu EMS. Następnie przejrzyj kroki 3–6 dotyczące ochrony dostępu do danych i usług na platformie Microsoft 365 oraz przewodnik dotyczący monitorowania zabezpieczeń i zgodności na platformie Microsoft 365.

Konfigurowanie monitorowania aktywności platformy Microsoft 365 (w przypadku korzystania z platformy Microsoft 365)

Monitoruj organizację dla użytkowników korzystających z platformy Microsoft 365, aby zidentyfikować pracowników, którzy mają konto administratora, ale mogą nie potrzebować dostępu do platformy Microsoft 365, ponieważ nie logują się do tych portali. Aby uzyskać więcej informacji, zobacz Raporty aktywności w Centrum administracyjne platformy Microsoft 365.

Ustanawianie właścicieli planu reagowania kryzysowego/zdarzenia

Ustanowienie możliwości pomyślnego reagowania na zdarzenia wymaga znacznego planowania i zasobów. Musisz stale monitorować cyberataki i ustalać priorytety dotyczące obsługi zdarzeń. Zbieranie, analizowanie i zgłaszanie danych zdarzeń w celu tworzenia relacji i nawiązywania komunikacji z innymi grupami wewnętrznymi i właścicielami planów. Aby uzyskać więcej informacji, zobacz Centrum zabezpieczeń firmy Microsoft.

Zabezpieczanie lokalnych uprzywilejowanych kont administracyjnych, jeśli jeszcze nie zostało to zrobione

Jeśli Twoja organizacja firmy Microsoft Entra jest zsynchronizowana z lokalna usługa Active Directory, postępuj zgodnie ze wskazówkami w temacie Plan dostępu uprzywilejowanego zabezpieczeń: Ten etap obejmuje:

• Tworzenie oddzielnych kont administratorów dla użytkowników, którzy muszą wykonywać lokalne zadania administracyjne
• Wdrażanie stacji roboczych dostępu uprzywilejowanego dla administratorów usługi Active Directory
• Tworzenie unikatowych haseł administratora lokalnego dla stacji roboczych i serwerów

Dodatkowe kroki dla organizacji zarządzających dostępem do platformy Azure

Tworzenie spisu subskrypcji

Użyj witryny Enterprise Portal i witryny Azure Portal, aby zidentyfikować subskrypcje w organizacji hostujące aplikacje produkcyjne.

Usuwanie kont Microsoft z ról administratora

Konta Microsoft z innych programów, takich jak Xbox, Live i Outlook, nie powinny być używane jako konta administratora dla subskrypcji organizacji. Usuń stan administratora ze wszystkich kont Microsoft i zastąp ciąg identyfikatorem Microsoft Entra (na przykład chris@contoso.com) kontami służbowymi. W celach administratora zależą od kont uwierzytelnionych w identyfikatorze Entra firmy Microsoft, a nie w innych usługach.

Monitorowanie aktywności platformy Azure

Dziennik aktywności platformy Azure zawiera historię zdarzeń na poziomie subskrypcji na platformie Azure. Zawiera informacje o tym, kto utworzył, zaktualizował i usunął jakie zasoby oraz kiedy wystąpiły te zdarzenia. Aby uzyskać więcej informacji, zobacz Audit and receive notifications about important actions in your Azure subscription (Inspekcja i odbieranie powiadomień dotyczących ważnych akcji w ramach subskrypcji platformy Azure).

Dodatkowe kroki dla organizacji zarządzających dostępem do innych aplikacji w chmurze za pośrednictwem identyfikatora Entra firmy Microsoft

Konfigurowanie zasad dostępu warunkowego

Przygotuj zasady dostępu warunkowego dla aplikacji lokalnych i hostowanych w chmurze. Jeśli masz urządzenia dołączone do miejsca pracy użytkowników, zapoznaj się z tematem Konfigurowanie lokalnego dostępu warunkowego przy użyciu rejestracji urządzeń firmy Microsoft Entra.

Etap 3. Przejęcie kontroli nad działaniami administratora

Etap 3 opiera się na ograniczeniach ryzyka z etapu 2 i powinien zostać wdrożony w około 1–3 miesiącach. Ten etap planu bezpiecznego dostępu uprzywilejowanego obejmuje następujące składniki.

Ogólne przygotowanie

Ukończ przegląd dostępu użytkowników w rolach administratora

Coraz więcej użytkowników firm uzyskuje uprzywilejowany dostęp za pośrednictwem usług w chmurze, co może prowadzić do niezarządzanego dostępu. Obecnie użytkownicy mogą stać się globalnymi Administracja istratorami platformy Microsoft 365, administratorami subskrypcji platformy Azure lub mieć dostęp administratora do maszyn wirtualnych lub za pośrednictwem aplikacji SaaS.

Organizacja powinna obsługiwać zwykłe transakcje biznesowe jako nieuprzywilejowanych użytkowników, a następnie udzielać uprawnień administratora tylko w razie potrzeby. Ukończ przeglądy dostępu, aby zidentyfikować i potwierdzić użytkowników, którzy kwalifikują się do aktywowania uprawnień administratora.

Zalecamy wykonanie następujących czynności:

1. Ustal, którzy użytkownicy są administratorami firmy Microsoft Entra, włącz dostęp administratora just in time na żądanie i kontrolę zabezpieczeń opartą na rolach.
2. Przekonwertuj użytkowników, którzy nie mają wyraźnego uzasadnienia dla uprzywilejowanego dostępu administratora do innej roli (jeśli nie ma kwalifikującej się roli, usuń je).

Kontynuuj wdrażanie silniejszego uwierzytelniania dla wszystkich użytkowników

Wymagaj od użytkowników wysoce narażonych na nowoczesne, silne uwierzytelnianie, takie jak uwierzytelnianie wieloskładnikowe firmy Microsoft lub funkcja Windows Hello. Przykłady wysoce narażonych użytkowników to:

• Kierownictwo C-suite
• Menedżerowie wysokiego szczebla
• Krytyczny personel IT i personel ds. zabezpieczeń

Używanie dedykowanych stacji roboczych do administrowania identyfikatorem Entra firmy Microsoft

Osoby atakujące mogą próbować kierować uprzywilejowane konta, aby mogły zakłócić integralność i autentyczność danych. Często używają złośliwego kodu, który zmienia logikę programu lub przyciągnij administratora, wprowadzając poświadczenie. Stacje robocze z dostępem uprzywilejowanym (PAW, Privileged Access Workstation) zapewniają dedykowany system operacyjny do realizacji zadań poufnych, który jest zabezpieczony przed atakami internetowymi i wektorami zagrożenia. Oddzielenie tych poufnych zadań i kont od codziennych stacji roboczych i urządzeń zapewnia silną ochronę przed:

• Ataki wyłudzane informacje
• Luki w zabezpieczeniach aplikacji i systemu operacyjnego
• Ataki personifikacji
• Ataki kradzieży poświadczeń, takie jak rejestrowanie naciśnięcia klawiszy, przekazywanie skrótu i przekazywanie biletu

Wdrażając stacje robocze z dostępem uprzywilejowanym, można zmniejszyć ryzyko wprowadzenia przez administratorów poświadczeń w środowisku pulpitu, które nie zostało wzmocnione. Aby uzyskać więcej informacji, zobacz Privileged Access Workstations (Stacje robocze z dostępem uprzywilejowanym).

Zapoznaj się z zaleceniami National Institute of Standards and Technology dotyczącymi obsługi zdarzeń

National Institute of Standards and Technology 's (NIST) zawiera wytyczne dotyczące obsługi zdarzeń, szczególnie do analizowania danych związanych z incydentami i określania odpowiedniej reakcji na każde zdarzenie. Aby uzyskać więcej informacji, zobacz The (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2).

Implementowanie usługi Privileged Identity Management (PIM) dla trybu JIT do dodatkowych ról administracyjnych

W przypadku usługi Microsoft Entra ID użyj funkcji microsoft Entra Privileged Identity Management . Ograniczona czasowo aktywacja uprzywilejowanych ról działa, umożliwiając:

• Aktywowanie uprawnień administratora w celu wykonania określonego zadania

• Wymuszanie uwierzytelniania wieloskładnikowego podczas procesu aktywacji

• Używanie alertów do informowania administratorów o zmianach poza pasmem

• Umożliwianie użytkownikom zachowania uprzywilejowanego dostępu przez wstępnie skonfigurowany czas

• Zezwalaj administratorom zabezpieczeń na:

  • Odnajdywanie wszystkich tożsamości uprzywilejowanych
  • Wyświetlanie raportów inspekcji
  • Tworzenie przeglądów dostępu w celu zidentyfikowania każdego użytkownika, który kwalifikuje się do aktywowania uprawnień administratora

Jeśli korzystasz już z usługi Microsoft Entra Privileged Identity Management, dostosuj przedziały czasu dla uprawnień związanych z czasem w razie potrzeby (na przykład okna obsługi).

Określanie narażenia na protokoły logowania oparte na hasłach (w przypadku korzystania z usługi Exchange Online)

Zalecamy zidentyfikowanie każdego potencjalnego użytkownika, który może być katastrofalny dla organizacji, jeśli ich poświadczenia zostały naruszone. W przypadku tych użytkowników należy wprowadzić silne wymagania dotyczące uwierzytelniania i użyć dostępu warunkowego firmy Microsoft Entra, aby uniemożliwić im logowanie się do poczty e-mail przy użyciu nazwy użytkownika i hasła. Możesz zablokować starsze uwierzytelnianie przy użyciu dostępu warunkowego i zablokować uwierzytelnianie podstawowe za pośrednictwem usługi Exchange Online.

Ukończ ocenę ról platformy Microsoft 365 (jeśli używasz platformy Microsoft 365)

Oceń, czy wszyscy administratorzy znajdują się w odpowiednich rolach (usuń i przypisz je ponownie zgodnie z tą oceną).

Zapoznaj się z podejściem do zarządzania zdarzeniami zabezpieczeń używanymi na platformie Microsoft 365 i porównaj je z własną organizacją

Ten raport można pobrać z usługi Security Incident Management na platformie Microsoft 365.

Kontynuuj zabezpieczanie lokalnych uprzywilejowanych kont administracyjnych

Jeśli identyfikator Entra firmy Microsoft jest połączony z lokalna usługa Active Directory, postępuj zgodnie ze wskazówkami w temacie Plan dostępu uprzywilejowanego zabezpieczeń: etap 2. Na tym etapie wykonasz następujące elementy:

• Wdrażanie stacji roboczych z dostępem uprzywilejowanym dla wszystkich administratorów
• Wymaganie uwierzytelniania wieloskładnikowego
• Użyj Administracja Just Enough na potrzeby konserwacji kontrolera domeny, obniżając obszar ataków domen
• Wdrażanie usługi Advanced Threat Analytics na potrzeby wykrywania ataków

Dodatkowe kroki dla organizacji zarządzających dostępem do platformy Azure

Ustanawianie zintegrowanego monitorowania

Microsoft Defender dla Chmury:

• Zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure
• Pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone
• Współpracuje z szeroką gamą rozwiązań zabezpieczeń

Tworzenie spisu uprzywilejowanych kont w hostowanych maszynach wirtualnych

Zazwyczaj nie musisz udzielać użytkownikom nieograniczonych uprawnień do wszystkich subskrypcji lub zasobów platformy Azure. Użyj ról administratora firmy Microsoft Entra, aby udzielić dostępu tylko tym użytkownikom, którzy muszą wykonywać swoje zadania. Możesz użyć ról administratora firmy Microsoft Entra, aby umożliwić jednemu administratorowi zarządzanie tylko maszynami wirtualnymi w ramach subskrypcji, podczas gdy inny może zarządzać bazami danych SQL w ramach tej samej subskrypcji. Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure.

Implementowanie usługi PIM dla ról administratora entra firmy Microsoft

Użyj usługi Privileged Identity Management z rolami administratora firmy Microsoft Entra, aby zarządzać, kontrolować i monitorować dostęp do zasobów platformy Azure. Korzystanie z usługi PIM chroni przez obniżenie czasu ujawnienia uprawnień i zwiększenie wglądu w ich użycie za pośrednictwem raportów i alertów. Aby uzyskać więcej informacji, zobacz Co to jest microsoft Entra Privileged Identity Management.

Używanie integracji dzienników platformy Azure do wysyłania odpowiednich dzienników platformy Azure do systemów SIEM

Integracja dzienników platformy Azure umożliwia integrację nieprzetworzonych dzienników z zasobów platformy Azure z istniejącymi systemami zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM, Security Information and Event Management). Integracja dzienników platformy Azure zbiera zdarzenia systemu Windows z dzienników Podgląd zdarzeń systemu Windows i zasobów platformy Azure z:

• Dzienniki aktywności platformy Azure
• alerty Microsoft Defender dla Chmury
• Dzienniki zasobów platformy Azure

Dodatkowe kroki dla organizacji zarządzających dostępem do innych aplikacji w chmurze za pośrednictwem identyfikatora Entra firmy Microsoft

Implementowanie aprowizacji użytkowników dla połączonych aplikacji

Microsoft Entra ID umożliwia automatyzację tworzenia i obsługi tożsamości użytkowników w aplikacjach w chmurze, takich jak Dropbox, Salesforce i ServiceNow. Aby uzyskać więcej informacji, zobacz Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID (Automatyzowanie aprowizacji i anulowania aprowizacji użytkowników w aplikacjach SaaS przy użyciu identyfikatora Entra firmy Microsoft).

Integrowanie ochrony informacji

Microsoft Defender dla Chmury Apps pozwala badać pliki i ustawiać zasady na podstawie etykiet klasyfikacji usługi Azure Information Protection, co umożliwia lepszą widoczność i kontrolę nad danymi w chmurze. Skanuj i klasyfikuj pliki w chmurze i stosuj etykiety usługi Azure Information Protection. Aby uzyskać więcej informacji, zobacz Integracja z usługą Azure Information Protection.

Konfigurowanie dostępu warunkowego

Skonfiguruj dostęp warunkowy na podstawie grupy, lokalizacji i poufności aplikacji dla aplikacji SaaS i połączonych aplikacji firmy Microsoft.

Monitorowanie aktywności w połączonych aplikacjach w chmurze

Zalecamy używanie aplikacji Microsoft Defender dla Chmury w celu zapewnienia, że dostęp użytkowników jest również chroniony w połączonych aplikacjach. Ta funkcja zabezpiecza dostęp przedsiębiorstwa do aplikacji w chmurze i zabezpiecza konta administratora, co pozwala na:

• Rozszerzanie widoczności i kontroli na aplikacje w chmurze
• Tworzenie zasad dotyczących dostępu, działań i udostępniania danych
• Automatyczne identyfikowanie ryzykownych działań, nietypowych zachowań i zagrożeń
• Zapobieganie wyciekowi danych
• Minimalizuj ryzyko i zautomatyzowane zapobieganie zagrożeniom i wymuszanie zasad

Agent SIEM Defender dla Chmury Apps integruje aplikacje Defender dla Chmury z serwerem SIEM, aby umożliwić scentralizowane monitorowanie alertów i działań platformy Microsoft 365. Działa na serwerze i ściąga alerty i działania z usługi Defender dla Chmury Apps i przesyła je strumieniowo do serwera SIEM. Aby uzyskać więcej informacji, zobacz Integracja rozwiązania SIEM.

Etap 4. Kontynuowanie budowania obrony

Etap 4 planu powinien zostać wdrożony w ciągu sześciu miesięcy i później. Ukończ plan wzmocnienia ochrony uprzywilejowanego dostępu przed potencjalnymi atakami, które są obecnie znane. W przypadku zagrożeń bezpieczeństwa w przyszłości zalecamy wyświetlanie zabezpieczeń jako trwającego procesu w celu podniesienia kosztów i zmniejszenia współczynnika powodzenia przeciwników przeznaczonych dla danego środowiska.

Zabezpieczanie uprzywilejowanego dostępu jest ważne w celu ustanowienia gwarancji zabezpieczeń dla zasobów biznesowych. Jednak powinno to być częścią kompletnego programu zabezpieczeń, który zapewnia stałe zabezpieczenia. Ten program powinien zawierać elementy, takie jak:

• Zasady
• Operations
• Bezpieczeństwo informacji
• Serwery
• Aplikacje
• Komputerów
• Urządzenia
• Sieć szkieletowa w chmurze

Zalecamy następujące rozwiązania dotyczące zarządzania kontami dostępu uprzywilejowanego:

• Upewnij się, że administratorzy wykonują codzienne działania jako użytkownicy nieuprzywilejowani
• Udziel uprzywilejowanego dostępu tylko w razie potrzeby i usuń go później (just-in-time)
• Zachowaj dzienniki aktywności inspekcji dotyczące kont uprzywilejowanych

Aby uzyskać więcej informacji na temat tworzenia kompletnego planu zabezpieczeń, zobacz Zasoby architektury IT w chmurze firmy Microsoft. Aby skontaktować się z usługi firmy Microsoft, aby pomóc Ci wdrożyć dowolną część planu, skontaktuj się z przedstawicielem firmy Microsoft lub zobacz Tworzenie krytycznych cyberobrony w celu ochrony przedsiębiorstwa.

Ten ostatni bieżący etap planu bezpiecznego dostępu uprzywilejowanego obejmuje następujące składniki.

Ogólne przygotowanie

Przeglądanie ról administratora w identyfikatorze Entra firmy Microsoft

Ustal, czy bieżące wbudowane role administratora firmy Microsoft Entra są nadal aktualne i upewnij się, że użytkownicy znajdują się tylko w potrzebnych rolach. Za pomocą identyfikatora Entra firmy Microsoft można przypisać oddzielnych administratorów do obsługi różnych funkcji. Aby uzyskać więcej informacji, zobacz Wbudowane role usługi Microsoft Entra.

Przejrzyj użytkowników, którzy mają administrowanie urządzeniami dołączonymi do firmy Microsoft Entra

Aby uzyskać więcej informacji, zobacz How to configure Microsoft Entra hybrid joined devices (Jak skonfigurować urządzenia dołączone hybrydo do firmy Microsoft).

Przeglądanie członków wbudowanych ról administratora platformy Microsoft 365

Pomiń ten krok, jeśli nie używasz platformy Microsoft 365.

Weryfikowanie planu reagowania na zdarzenia

Aby ulepszyć plan, firma Microsoft zaleca regularne weryfikowanie, czy plan działa zgodnie z oczekiwaniami:

• Przejdź przez istniejącą mapę drogową, aby zobaczyć, co zostało pominięte
• W oparciu o analizę pośmiertną popraw istniejące lub zdefiniuj nowe rozwiązania
• Upewnij się, że zaktualizowany plan reagowania na zdarzenia i praktyki są dystrybuowane w całej organizacji

Dodatkowe kroki dla organizacji zarządzających dostępem do platformy Azure

Ustal, czy chcesz przenieść własność subskrypcji platformy Azure na inne konto.

"Break glass": co zrobić w nagłych wypadkach

1. Powiadom kluczowych menedżerów i funkcjonariuszy ds. zabezpieczeń o zdarzeniu.

2. Przejrzyj podręcznik ataku.

3. Uzyskaj dostęp do kombinacji nazwy użytkownika i hasła konta "break glass", aby zalogować się do identyfikatora Entra firmy Microsoft.

4. Uzyskaj pomoc od firmy Microsoft, otwierając żądanie pomoc techniczna platformy Azure.

5. Zapoznaj się z raportami logowania firmy Microsoft Entra. Może wystąpić pewien czas między zdarzeniem a momentem dołączenia go do raportu.

6. W przypadku środowisk hybrydowych, jeśli lokalna infrastruktura federacyjna i serwer usług AD FS nie są dostępne, możesz tymczasowo przełączyć się z uwierzytelniania federacyjnego, aby użyć synchronizacji skrótów haseł. Ten przełącznik przywraca federację domeny z powrotem do uwierzytelniania zarządzanego, dopóki serwer usług AD FS nie stanie się dostępny.

7. Monitorowanie poczty e-mail dla kont uprzywilejowanych.

8. Upewnij się, że zapisujesz kopie zapasowe odpowiednich dzienników na potrzeby potencjalnego dochodzenia kryminalistycznego i prawnego.

Aby uzyskać więcej informacji na temat obsługi zdarzeń zabezpieczeń w usłudze Microsoft Office 365, zobacz Zarządzanie zdarzeniami zabezpieczeń w usłudze Microsoft Office 365.

Często zadawane pytania: odpowiedzi dotyczące zabezpieczania dostępu uprzywilejowanego

Pyt.: Co zrobić, jeśli jeszcze nie zaimplementowano żadnych składników bezpiecznego dostępu?

Odpowiedź: Zdefiniuj co najmniej dwa konto break-glass, przypisz uwierzytelnianie wieloskładnikowe do kont uprzywilejowanych administratorów i oddziel konta użytkowników od kont globalnych Administracja istratora.

Pyt.: Po naruszeniu jakiego problemu należy najpierw rozwiązać?

Odpowiedź: Upewnij się, że wymagasz najsilniejszego uwierzytelniania dla wysoce narażonych osób.

Pyt.: Co się stanie, jeśli nasi uprzywilejowani administratorzy zostali zdezaktywowane?

Odpowiedź: Utwórz konto globalnego Administracja istratora, które jest zawsze aktualne.

Pyt.: Co się stanie, jeśli w lewo jest tylko jeden globalny Administracja istrator i nie można ich osiągnąć?

Odpowiedź: Użyj jednego z Twoich kont break-glass, aby uzyskać natychmiastowy uprzywilejowany dostęp.

Pyt.: Jak mogę chronić administratorów w mojej organizacji?

Odpowiedź: Administratorzy zawsze wykonują codzienną działalność jako standardowi "nieuprzywilejowani" użytkowników.

Pyt.: Jakie są najlepsze rozwiązania dotyczące tworzenia kont administratorów w ramach identyfikatora Entra firmy Microsoft?

Odpowiedź: Zarezerwuj uprzywilejowany dostęp do określonych zadań administratora.

Pyt.: Jakie narzędzia istnieją w celu zmniejszenia trwałego dostępu administratora?

Odpowiedź: Role administratora Privileged Identity Management (PIM) i Microsoft Entra.

Pyt.: Jakie jest stanowisko firmy Microsoft w zakresie synchronizowania kont administratorów z identyfikatorem Entra firmy Microsoft?

Odpowiedź: Konta administratora warstwy 0 są używane tylko dla lokalnych kont usługi AD. Takie konta nie są zwykle synchronizowane z identyfikatorem Microsoft Entra ID w chmurze. Konta administratora warstwy 0 obejmują konta, grupy i inne zasoby, które mają bezpośrednią lub pośrednią kontrolę administracyjną nad lasem lokalna usługa Active Directory, domenami, kontrolerami domeny i elementami zawartości.

Pyt.: Jak uniemożliwić administratorom przypisywanie dostępu do losowego administratora w portalu?

Odpowiedź: Używaj kont innych niż uprzywilejowane dla wszystkich użytkowników i większości administratorów. Zacznij od opracowania śladu organizacji, aby określić, które konta administratora powinny być uprzywilejowane. I monitoruj nowo utworzonych użytkowników administracyjnych.

Następne kroki

• Microsoft Trust Center for Product Security — funkcje zabezpieczeń produktów i usług firmy Microsoft w chmurze

• Oferty zgodności firmy Microsoft — kompleksowy zestaw ofert zgodności firmy Microsoft dla usług w chmurze

• Wskazówki dotyczące sposobu oceny ryzyka — zarządzanie wymaganiami dotyczącymi zabezpieczeń i zgodności usług w chmurze firmy Microsoft

Inne usługi online firmy Microsoft

• Zabezpieczenia usługi Microsoft Intune — usługa Intune udostępnia funkcje zarządzania urządzeniami przenośnymi, zarządzania aplikacjami mobilnymi i zarządzania komputerami z chmury.

• Zabezpieczenia usługi Microsoft Dynamics 365 — Dynamics 365 to rozwiązanie oparte na chmurze firmy Microsoft, które łączy funkcje zarządzania relacjami z klientami (CRM) i planowania zasobów przedsiębiorstwa (ERP).