Zabezpieczenia konta administracyjnego

Administracja to praktyka monitorowania, utrzymywania i obsługi systemów informatycznych (IT) w celu spełnienia poziomów usług, których wymaga firma. Administracja wprowadza niektóre z najwyższych zagrożeń bezpieczeństwa, ponieważ wykonywanie tych zadań wymaga uprzywilejowanego dostępu do bardzo szerokiego zestawu tych systemów i aplikacji. Osoby atakujące wiedzą, że uzyskanie dostępu do konta z uprawnieniami administracyjnymi może uzyskać im dostęp do większości lub wszystkich danych, których dotyczy, dzięki czemu bezpieczeństwo administracji jest jednym z najważniejszych obszarów zabezpieczeń.

Na przykład firma Microsoft inwestuje w ochronę i szkolenie administratorów w naszych systemach w chmurze i systemach IT:

Zalecaną podstawową strategią firmy Microsoft dla uprawnień administracyjnych jest użycie dostępnych mechanizmów kontroli w celu zmniejszenia ryzyka.

Zmniejszenie narażenia na ryzyko (zakres i czas): Zasada najniższych uprawnień jest najlepiej realizowana przy użyciu nowoczesnych kontrolek, które zapewniają uprawnienia na żądanie. Pomaga to ograniczyć ryzyko przez ograniczenie narażenia uprawnień administracyjnych przez:

• Zakres:Wystarczający dostęp (JEA) zapewnia tylko wymagane uprawnienia do wymaganej operacji administracyjnej (w porównaniu z bezpośrednimi i bezpośrednimi uprawnieniami do wielu lub wszystkich systemów naraz, co prawie nigdy nie jest wymagane).

• Time:Podejściejust in time (JIT) zapewnia wymagane uprzywilejowane, ponieważ są potrzebne.

• Eliminowanie pozostałych zagrożeń: Użyj kombinacji mechanizmów kontroli prewencyjnej i detektywistycznej, aby zmniejszyć ryzyko, takie jak izolowanie kont administratorów z najbardziej typowych zagrożeń wyłudzających informacje i ogólne przeglądanie w Internecie, upraszczanie i optymalizowanie przepływu pracy, zwiększanie gwarancji decyzji dotyczących uwierzytelniania i identyfikowanie anomalii z normalnego zachowania punktu odniesienia, które można zablokować lub zbadać.

Firma Microsoft przechwyciła i udokumentowała najlepsze rozwiązania dotyczące ochrony kont administracyjnych i opublikowanych planów priorytetowych dotyczących ochrony uprzywilejowanego dostępu, które mogą być używane jako odwołania do określania priorytetów dla kont z uprzywilejowanym dostępem.

• Plan zabezpieczania dostępu uprzywilejowanego (SPA) dla administratorów lokalna usługa Active Directory

• Wskazówki dotyczące zabezpieczania administratorów Azure Active Directory

Minimalizuj liczbę administratorów o krytycznym wpływie

Przyznaj najmniejszą liczbę kont do uprawnień, które mogą mieć krytyczny wpływ na działalność biznesową.

Każde konto administratora reprezentuje potencjalną powierzchnię ataków, którą osoba atakująca może zaatakować, więc zminimalizowanie liczby kont z tym uprawnieniem pomaga ograniczyć ogólne ryzyko organizacyjne. Doświadczenie nauczyło nas, że członkostwo tych uprzywilejowanych grup rośnie naturalnie wraz z upływem czasu, gdy ludzie zmieniają role, jeśli członkostwo nie jest aktywnie ograniczone i zarządzane.

Zalecamy podejście, które zmniejsza ryzyko związane z atakiem przy jednoczesnym zapewnieniu ciągłości działania w przypadku wystąpienia problemu z administratorem:

• Przypisz co najmniej dwa konta do uprzywilejowanej grupy w celu zapewnienia ciągłości działania.

• Jeśli wymagane są co najmniej dwa konta, podaj uzasadnienie dla każdego elementu członkowskiego, w tym dwóch oryginalnych.

• Regularnie przeglądaj uzasadnienie członkostwa & dla każdego członka grupy.

Konta zarządzane dla administratorów

Upewnij się, że wszyscy administratorzy o krytycznym wpływie są zarządzani przez katalog przedsiębiorstwa, aby przestrzegać wymuszania zasad organizacji.

Konta konsumentów, takie jak konta Microsoft, takie jak @Hotmail.com, @live.com, @outlook.com, nie oferują wystarczającej widoczności i kontroli zabezpieczeń, aby zapewnić przestrzeganie zasad organizacji i wszelkich wymagań prawnych. Ponieważ wdrożenia platformy Azure często zaczynają się od małych i nieformalnych przed rozpoczęciem rozwoju w dzierżawach zarządzanych przez przedsiębiorstwo, niektóre konta konsumentów pozostają kontami administracyjnymi długo później, na przykład oryginalnymi menedżerami projektów platformy Azure, tworzeniem niewidomych punktów i potencjalnym ryzykiem.

Oddzielne konta dla administratorów

Upewnij się, że wszyscy administratorzy o krytycznym znaczeniu mają oddzielne konto dla zadań administracyjnych (a konto używane do obsługi poczty e-mail, przeglądania w Internecie i innych zadań zwiększających produktywność).

Ataki wyłudzane informacje i ataki w przeglądarce internetowej stanowią najbardziej typowe wektory ataków w celu naruszenia zabezpieczeń kont, w tym kont administracyjnych.

Utwórz oddzielne konto administracyjne dla wszystkich użytkowników, którzy mają rolę, która wymaga uprawnień krytycznych. W przypadku tych kont administracyjnych zablokuj narzędzia zwiększające produktywność, takie jak Office 365 wiadomości e-mail (usuń licencję). Jeśli to możliwe, zablokuj dowolne przeglądanie sieci Web (z kontrolkami serwera proxy i/lub aplikacji), zezwalając na wyjątki przeglądania do Azure Portal i innych witryn wymaganych do zadań administracyjnych.

Brak stałego dostępu/ uprawnienia just in time

Unikaj zapewniania trwałego "stałego" dostępu dla kont o krytycznym wpływie.

Stałe uprawnienia zwiększają ryzyko biznesowe, zwiększając czas, przez jaki osoba atakująca może użyć konta do uszkodzenia. Tymczasowe uprawnienia wymuszają atakom ukierunkowanym na konto pracę w ograniczonym czasie, gdy administrator korzysta już z konta lub inicjuje podniesienie uprawnień (co zwiększa prawdopodobieństwo wykrycia i usunięcia ze środowiska).

Udziel uprawnień wymaganych tylko zgodnie z wymaganiami przy użyciu jednej z następujących metod:

• Dokładnie na czas: Włącz usługę Azure AD Privileged Identity Management (PIM) lub rozwiązanie innej firmy, aby wymagać przestrzegania przepływu pracy zatwierdzania w celu uzyskania uprawnień dla kont o krytycznym wpływie.

• Szklenie: W przypadku rzadko używanych kont postępuj zgodnie z procesem dostępu awaryjnego, aby uzyskać dostęp do kont. Jest to preferowane w przypadku uprawnień, które nie wymagają regularnego użycia operacyjnego, takiego jak członkowie kont administratorów globalnych.

Dostęp awaryjny lub konta "Break Glass"

Upewnij się, że masz mechanizm uzyskiwania dostępu administracyjnego w razie wystąpienia awarii.

Podczas gdy rzadko występują skrajne okoliczności, w których wszystkie normalne środki dostępu administracyjnego są niedostępne.

Zalecamy wykonanie instrukcji opisanych w temacie Zarządzanie kontami administracyjnymi dostępu awaryjnego w usłudze Azure AD i dokładne monitorowanie tych kont przez operacje zabezpieczeń.

Zabezpieczenia stacji roboczej administratora

Upewnij się, że administratorzy o krytycznym znaczeniu używają stacji roboczej z podwyższonym poziomem zabezpieczeń i monitorowania.

Wektory ataków korzystające z przeglądania i poczty e-mail, takie jak wyłudzanie informacji, są tanie i typowe. Izolowanie administratorów o krytycznym wpływie z tych czynników ryzyka znacznie obniży ryzyko wystąpienia poważnego zdarzenia, w którym jedno z tych kont zostało naruszone i wykorzystane do znacznego uszkodzenia firmy lub misji.

Wybierz poziom zabezpieczeń stacji roboczej administratora na podstawie opcji dostępnych na stronie https://aka.ms/securedworkstation

• Wysoce bezpieczne urządzenie zwiększające produktywność (ulepszona stacja robocza zabezpieczeń lub wyspecjalizowana stacja robocza)
  Możesz rozpocząć tę podróż zabezpieczeń dla administratorów o krytycznym znaczeniu, zapewniając im wyższą stację roboczą zabezpieczeń, która nadal umożliwia ogólne zadania przeglądania i produktywności. Dzięki temu krok tymczasowy ułatwia przejście na w pełni izolowane stacje robocze zarówno dla administratorów o krytycznym znaczeniu, jak i pracowników IT obsługujących tych użytkowników i ich stacje robocze.

• Stacja robocza z dostępem uprzywilejowanym (wyspecjalizowana stacja robocza lub zabezpieczona stacja robocza)
  Te konfiguracje reprezentują idealny stan zabezpieczeń dla administratorów o krytycznym wpływie, ponieważ w dużym stopniu ograniczają dostęp do wektorów ataków wyłudzających informacje, przeglądarki i aplikacji zwiększających produktywność. Te stacje robocze nie zezwalają na ogólne przeglądanie Internetu, zezwalają tylko na dostęp przeglądarki do Azure Portal i innych witryn administracyjnych.

Zależności administratora o krytycznym wpływie — konto/stacja robocza

Starannie wybierz lokalne zależności zabezpieczeń dla kont o krytycznym znaczeniu i ich stacjach roboczych.

Aby ograniczyć ryzyko wystąpienia poważnego zdarzenia w środowisku lokalnym, aby stać się poważnym naruszeniem zabezpieczeń zasobów w chmurze, należy wyeliminować lub zminimalizować środki kontroli, które zasoby lokalne muszą mieć krytyczny wpływ na konta w chmurze. Na przykład osoby atakujące, które naruszyją lokalna usługa Active Directory, mogą uzyskać dostęp do zasobów opartych na chmurze i naruszyć je, które korzystają z tych kont, takich jak zasoby na platformie Azure, Amazon Web Services (AWS), ServiceNow itd. Osoby atakujące mogą również używać stacji roboczych dołączonych do tych domen lokalnych, aby uzyskać dostęp do kont i usług zarządzanych z nich.

Wybierz poziom izolacji od lokalnych środków kontroli nazywanych również zależnościami zabezpieczeń dla kont o krytycznym wpływie.

• Konta użytkowników: Wybieranie lokalizacji hostowania kont o krytycznym wpływie

  • Natywne konta usługi Azure AD — tworzenie natywnych kont usługi Azure AD, które nie są synchronizowane z lokalną usługą Active Directory.

  • Synchronizuj z lokalnej usługi Active Directory.

  • Użyj istniejących kont hostowanych w lokalnej usłudze Active Directory.

• Stacje robocze: Wybierz sposób zarządzania i zabezpieczania stacji roboczych używanych przez krytyczne konta administratorów:

  • Natywne zarządzanie chmurą i zabezpieczenia (zalecane): dołączanie stacji roboczych do zarządzania/stosowania poprawek w usłudze Azure AD & za pomocą Intune lub innych usług w chmurze. Ochrona i monitorowanie za pomocą Windows Ochrona punktu końcowego w usłudze Microsoft Defender lub innej usługi w chmurze, która nie jest zarządzana przez konta lokalne.

  • Zarządzanie przy użyciu istniejących systemów: dołącz istniejącą domenę usługi AD i użyj istniejącego zarządzania/zabezpieczeń.

Uwierzytelnianie bez hasła lub uwierzytelnianie wieloskładnikowe dla administratorów

Wymagaj od wszystkich administratorów o krytycznym wpływie na korzystanie z uwierzytelniania bez hasła lub uwierzytelniania wieloskładnikowego (MFA).

Metody ataków ewoluowały do tego stopnia, że same hasła nie mogą niezawodnie chronić konta. Jest to dobrze udokumentowane w sesji konferencji Microsoft Ignite.

Konta administracyjne i wszystkie krytyczne konta powinny używać jednej z następujących metod uwierzytelniania. Te możliwości są wymienione w kolejności preferencji przez najwyższy koszt/trudność ataku (najsilniejsze/preferowane opcje) do najniższego kosztu/trudne do ataku:

• Bez hasła (na przykład Windows Hello)

• Bez hasła (aplikacja Authenticator)

• Uwierzytelnianie wieloskładnikowe

Należy pamiętać, że usługa MFA oparta na wiadomościach SMS stała się bardzo niedroga dla osób atakujących, dlatego zalecamy unikanie polegania na niej. Ta opcja jest nadal silniejsza niż tylko hasła, ale jest znacznie słabsza niż inne opcje uwierzytelniania wieloskładnikowego.

Wymuszanie dostępu warunkowego dla administratorów — Zero Trust

Uwierzytelnianie dla wszystkich administratorów i innych kont o krytycznym znaczeniu powinno obejmować pomiar i wymuszanie kluczowych atrybutów zabezpieczeń w celu obsługi strategii Zero Trust.

Osoby atakujące kompromitujące konta administratora platformy Azure mogą spowodować znaczne szkody. Dostęp warunkowy może znacznie zmniejszyć to ryzyko, wymuszając higienę zabezpieczeń przed zezwoleniem na dostęp do zarządzania platformą Azure.

Skonfiguruj zasady dostępu warunkowego na potrzeby zarządzania platformą Azure , które spełniają potrzeby organizacji związane z ryzykiem i potrzebami operacyjnymi.

• Wymagaj uwierzytelniania wieloskładnikowego i/lub połączenia z wyznaczonej sieci roboczej.

• Wymagaj integralności urządzenia przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender (Strong Assurance).

Unikanie uprawnień szczegółowych i niestandardowych

Unikaj uprawnień, które odwołują się konkretnie do poszczególnych zasobów lub użytkowników.

Określone uprawnienia powodują niepotrzebne złożoność i nieporozumienie, ponieważ nie mają zamiaru korzystać z nowych podobnych zasobów. Następnie gromadzi się w złożonej starszej konfiguracji, która jest trudna do utrzymania lub zmiany bez obawy przed "złamaniem czegoś" — negatywnie wpływa zarówno na bezpieczeństwo, jak i elastyczność rozwiązań.

Zamiast przypisywać określone uprawnienia specyficzne dla zasobów, użyj jednego z następujących elementów:

• Grupy zarządzania dla uprawnień dla całego przedsiębiorstwa.

• Grupy zasobów dla uprawnień w ramach subskrypcji.

Zamiast udzielać uprawnień określonym użytkownikom, przypisz dostęp do grup w usłudze Azure AD. Jeśli nie ma odpowiedniej grupy, skontaktuj się z zespołem tożsamości, aby go utworzyć. Dzięki temu można dodawać i usuwać członków grupy zewnętrznie na platformie Azure i zapewnić, że uprawnienia są aktualne, a jednocześnie zezwalają na używanie grupy do innych celów, takich jak listy wysyłkowe.

Korzystanie z wbudowanych ról

Użyj wbudowanych ról do przypisywania uprawnień tam, gdzie to możliwe.

Dostosowanie prowadzi do złożoności, która zwiększa zamieszanie i sprawia, że automatyzacja jest bardziej złożona, trudna i krucha. Wszystkie te czynniki negatywnie wpływają na bezpieczeństwo.

Zalecamy ocenę wbudowanych ról zaprojektowanych w celu pokrycia większości normalnych scenariuszy. Role niestandardowe to zaawansowana i czasami przydatna funkcja, ale powinny być zarezerwowane w przypadkach, gdy wbudowane role nie będą działać.

Ustanawianie zarządzania cyklem życia dla kont o krytycznym wpływie

Upewnij się, że masz proces wyłączania lub usuwania kont administracyjnych, gdy pracownicy administracyjni opuszczają organizację (lub opuszczają stanowiska administracyjne).

Aby uzyskać więcej informacji, zobacz Regularne przeglądanie dostępu krytycznego .

Symulacja ataku dla kont o krytycznym wpływie

Regularnie symuluj ataki na użytkowników administracyjnych przy użyciu bieżących technik ataku, aby je edukować i wzmacniać ich możliwości.

Osoby są krytyczną częścią obrony, zwłaszcza personel z dostępem do kont o krytycznym wpływie. Zapewnienie, że ci użytkownicy (i najlepiej wszyscy użytkownicy) mają wiedzę i umiejętności, aby uniknąć ataków i oprzeć się atakom, zmniejszy ogólne ryzyko organizacji.

Możesz użyć funkcji symulacji ataków Office 365 lub dowolnej liczby ofert innych firm.