Administracja

Administracja istration to praktyka monitorowania, utrzymywania i obsługi systemów technologii informatycznych (IT) w celu spełnienia poziomów usług, których wymaga firma. Administracja istration wprowadza niektóre z najwyższych zagrożeń bezpieczeństwa, ponieważ wykonywanie tych zadań wymaga uprzywilejowanego dostępu do bardzo szerokiego zestawu tych systemów i aplikacji. Osoby atakujące wiedzą, że uzyskanie dostępu do konta z uprawnieniami administracyjnymi może uzyskać im dostęp do większości lub wszystkich danych, które będą kierowane, dzięki czemu bezpieczeństwo administracji jest jednym z najbardziej krytycznych obszarów zabezpieczeń.

Na przykład firma Microsoft dokonuje znaczących inwestycji w ochronę i szkolenie administratorów w naszych systemach w chmurze i systemach IT:

Zalecaną podstawową strategią firmy Microsoft dla uprawnień administracyjnych jest użycie dostępnych mechanizmów kontroli w celu zmniejszenia ryzyka

Zmniejszenie narażenia na ryzyko (zakres i czas) — zasada najniższych uprawnień jest najlepiej osiągana dzięki nowoczesnym mechanizmom kontroli, które zapewniają uprawnienia na żądanie. Pomaga to ograniczyć ryzyko, ograniczając narażenie uprawnień administracyjnych przez:

• Zakres — just enough access (JEA) zapewnia tylko wymagane uprawnienia do wymaganej operacji administracyjnej (w porównaniu z bezpośrednimi i bezpośrednimi uprawnieniami do wielu lub wszystkich systemów naraz, co prawie nigdy nie jest wymagane).

• Time — podejścia typu just in time (JIT) zapewniały wymagane uprawnienia, ponieważ są one potrzebne.

• Eliminowanie pozostałych zagrożeń — użyj kombinacji mechanizmów kontroli prewencyjnej i detektywistycznej, aby zmniejszyć ryzyko, takie jak izolowanie kont administratorów z najbardziej typowych wyłudzających informacje o ryzyku i ogólne przeglądanie internetu, upraszczanie i optymalizowanie przepływu pracy, zwiększanie bezpieczeństwa decyzji dotyczących uwierzytelniania i identyfikowanie anomalii z normalnego zachowania punktu odniesienia, które można zablokować lub zbadać.

Firma Microsoft przechwyciła i udokumentowała najlepsze rozwiązania dotyczące ochrony kont administracyjnych i opublikowano priorytetyzowane plany ochrony uprzywilejowanego dostępu, które mogą być używane jako odwołania do ustalania priorytetów dla kont z uprzywilejowanym dostępem.

• Plan zabezpieczania uprzywilejowanego dostępu (SPA) dla administratorów lokalnej usługi Active Directory

• Wskazówki dotyczące zabezpieczania administratorów identyfikatora Entra firmy Microsoft

Minimalizowanie liczby administratorów o krytycznym wpływie

Udzielanie najmniejszej liczby kont do uprawnień, które mogą mieć krytyczny wpływ na działalność biznesową

Każde konto administratora reprezentuje potencjalną powierzchnię ataków, którą osoba atakująca może atakować, dzięki czemu zminimalizowanie liczby kont z tym uprawnieniem pomaga ograniczyć ogólne ryzyko organizacyjne. Doświadczenie nauczyło nas, że członkostwo w tych uprzywilejowanych grupach rośnie naturalnie w miarę upływu czasu, gdy ludzie zmieniają role, jeśli członkostwo nie jest aktywnie ograniczone i zarządzane.

Zalecamy podejście, które zmniejsza ryzyko związane z atakiem przy jednoczesnym zapewnieniu ciągłości działania w przypadku wystąpienia problemu z administratorem:

• Przypisywanie co najmniej dwóch kont do uprzywilejowanej grupy w celu zapewnienia ciągłości działania

• Gdy wymagane jest co najmniej dwa konta, podaj uzasadnienie dla każdego elementu członkowskiego, w tym dwa pierwotne

• Regularnie przeglądaj członkostwo i uzasadnienie dla każdego członka grupy

Konta zarządzane dla administratorów

Upewnij się, że wszyscy administratorzy o krytycznym znaczeniu w programie są zarządzani przez katalog przedsiębiorstwa, aby przestrzegać wymuszania zasad organizacji.

Konta konsumentów, takie jak konta Microsoft, takie jak @Hotmail.com, @live.com, @outlook.com, nie oferują wystarczającej widoczności i kontroli zabezpieczeń, aby zapewnić przestrzeganie zasad organizacji i wszelkich wymagań prawnych. Ponieważ wdrożenia platformy Azure często zaczynają się małe i nieformalnie przed przejściem do dzierżaw zarządzanych przez przedsiębiorstwo, niektóre konta konsumentów pozostają kontami administracyjnymi długo później, na przykład oryginalnymi menedżerami projektów platformy Azure, tworzeniem niewidomych punktów i potencjalnym ryzykiem.

Oddzielne konta dla administratorów

Upewnij się, że wszyscy administratorzy o krytycznym znaczeniu mają oddzielne konto dla zadań administracyjnych (a konto używane do obsługi poczty e-mail, przeglądania internetu i innych zadań zwiększających produktywność).

Ataki wyłudzania informacji i przeglądarki internetowej reprezentują najbardziej typowe wektory ataków na konta, w tym konta administracyjne.

Utwórz oddzielne konto administracyjne dla wszystkich użytkowników, którzy mają rolę wymagających uprawnień krytycznych. W przypadku tych kont administracyjnych zablokuj narzędzia zwiększające produktywność, takie jak poczta e-mail usługi Office 365 (usuń licencję). Jeśli to możliwe, zablokuj dowolne przeglądanie sieci Web (z kontrolkami serwera proxy i/lub aplikacji) przy jednoczesnym umożliwieniu wyjątków przeglądania witryny Azure Portal i innych witryn wymaganych do wykonywania zadań administracyjnych.

Brak stałego dostępu / uprawnienia Just in Time

Unikaj zapewniania stałego dostępu do kont o krytycznym wpływie

Trwałe uprawnienia zwiększają ryzyko biznesowe, zwiększając czas, przez jaki osoba atakująca może użyć konta do uszkodzenia. Tymczasowe uprawnienia wymuszają atakom atakującym działanie konta w ograniczonym czasie, w którym administrator korzysta już z konta lub inicjuje podniesienie uprawnień (co zwiększa ich prawdopodobieństwo wykrycia i usunięcia ze środowiska).

Udziel uprawnień wymaganych tylko zgodnie z wymaganiami przy użyciu jednej z następujących metod:

• Just in Time — włącz usługę Microsoft Entra Privileged Identity Management (PIM) lub rozwiązanie innej firmy, aby wymagać przestrzegania przepływu pracy zatwierdzania w celu uzyskania uprawnień dla kont o krytycznym wpływie

• Szklenie — w przypadku rzadko używanych kont postępuj zgodnie z procesem dostępu awaryjnego, aby uzyskać dostęp do kont. Jest to preferowane w przypadku uprawnień, które nie wymagają regularnego użycia operacyjnego, takiego jak członkowie kont administratorów globalnych.

Dostęp awaryjny lub konta "Break Glass"

Upewnij się, że masz mechanizm uzyskiwania dostępu administracyjnego w nagłych wypadkach

Chociaż rzadkie, czasami skrajne okoliczności pojawiają się, gdy wszystkie normalne środki dostępu administracyjnego są niedostępne.

Zalecamy wykonanie instrukcji opisanych w temacie Zarządzanie kontami administracyjnymi dostępu awaryjnego w usłudze Microsoft Entra ID i upewnienie się, że operacje zabezpieczeń uważnie monitorują te konta.

Zabezpieczenia stacji roboczej Administracja

Zapewnianie krytycznego wpływu administratorów na korzystanie ze stacji roboczej z podwyższonymi zabezpieczeniami i monitorowaniem

Wektory ataków korzystające z przeglądania i wiadomości e-mail, takie jak wyłudzanie informacji, są tanie i typowe. Izolowanie administratorów o krytycznym wpływie z tych zagrożeń znacznie obniży ryzyko wystąpienia poważnego incydentu, w którym jedno z tych kont zostało naruszone i wykorzystane do znacznego uszkodzenia firmy lub misji.

Wybierz poziom zabezpieczeń stacji roboczej administratora na podstawie opcji dostępnych na stronie https://aka.ms/securedworkstation

• Wysoce bezpieczne urządzenie zwiększające produktywność (ulepszona stacja robocza zabezpieczeń lub wyspecjalizowana stacja robocza)
  Możesz rozpocząć tę podróż zabezpieczeń dla administratorów o krytycznym znaczeniu, zapewniając im wyższą stację roboczą zabezpieczeń, która nadal umożliwia ogólne zadania przeglądania i produktywności. Użycie tego jako tymczasowego kroku ułatwia przejście na w pełni izolowane stacje robocze zarówno dla administratorów o krytycznym wpływie, jak i pracowników IT obsługujących tych użytkowników i ich stacje robocze.

• Stacja robocza z dostępem uprzywilejowanym (wyspecjalizowana stacja robocza lub zabezpieczona stacja robocza)
  Te konfiguracje reprezentują idealny stan zabezpieczeń dla administratorów o krytycznym znaczeniu, ponieważ w dużym stopniu ograniczają dostęp do wektorów ataków związanych z wyłudzaniem informacji, przeglądarką i produktywnością aplikacji. Te stacje robocze nie zezwalają na ogólne przeglądanie Internetu, zezwalają tylko na dostęp przeglądarki do witryny Azure Portal i innych witryn administracyjnych.

Zależności administratora o krytycznym wpływie — konto/stacja robocza

Starannie wybieraj lokalne zależności zabezpieczeń dla kont o krytycznym znaczeniu i ich stacjach roboczych

Aby ograniczyć ryzyko wystąpienia poważnego zdarzenia w środowisku lokalnym, aby stać się poważnym naruszeniem zasobów w chmurze, należy wyeliminować lub zminimalizować środki kontroli, które zasoby lokalne muszą mieć krytyczny wpływ na konta w chmurze. Na przykład osoby atakujące, które naruszyły lokalną usługę Active Directory, mogą uzyskiwać dostęp do zasobów opartych na chmurze, które opierają się na tych kontach, takich jak zasoby na platformie Azure, amazon web services (AWS), usługa ServiceNow itd. Osoby atakujące mogą również używać stacji roboczych dołączonych do tych domen lokalnych, aby uzyskać dostęp do kont i usług zarządzanych z nich.

Wybierz poziom izolacji od lokalnych środków kontroli nazywanych również zależnościami zabezpieczeń dla kont o krytycznym wpływie

• Konta użytkowników — wybierz miejsce hostowania kont o krytycznym znaczeniu

  • Natywne konta Microsoft Entra -*Utwórz natywne konta Microsoft Entra, które nie są synchronizowane z lokalną usługą Active Directory

  • Synchronizuj z lokalna usługa Active Directory (niezalecane) — korzystaj z istniejących kont hostowanych w lokalnej usłudze Active Directory.

• Stacje robocze — wybierz sposób zarządzania i zabezpieczania stacji roboczych używanych przez krytyczne konta administratora:

  • Natywne zarządzanie chmurą i zabezpieczenia (zalecane) — dołączanie stacji roboczych do firmy Microsoft Entra ID i zarządzanie/stosowanie poprawek za pomocą usługi Intune lub innych usług w chmurze. Ochrona i monitorowanie za pomocą usługi Microsoft Defender ATP lub innej usługi w chmurze, która nie jest zarządzana przez konta lokalne.

  • Zarządzanie przy użyciu istniejących systemów — dołącz do istniejącej domeny usługi AD i korzystaj z istniejących funkcji zarządzania/zabezpieczeń.

Uwierzytelnianie bez hasła lub uwierzytelnianie wieloskładnikowe dla administratorów

Wymagaj, aby wszyscy administratorzy o krytycznym znaczeniu używali uwierzytelniania bez hasła lub uwierzytelniania wieloskładnikowego (MFA).

Metody ataków ewoluowały do tego stopnia, że same hasła nie mogą niezawodnie chronić konta. Jest to dobrze udokumentowane w sesji konferencji Microsoft Ignite.

Administracja istracyjne konta i wszystkie konta krytyczne powinny używać jednej z następujących metod uwierzytelniania. Te możliwości są wymienione w kolejności preferencji przez najwyższy koszt/trudności do ataku (najsilniejsze/preferowane opcje) do najniższego kosztu/trudne do ataku:

• Bez hasła (np. Windows Hello)
  https://aka.ms/HelloForBusiness

• Bez hasła (aplikacja Authenticator)
  </azure/active-directory/authentication/howto-authentication-phone-sign-in>

• Uwierzytelnianie wieloskładnikowe
  </azure/active-directory/authentication/howto-mfa-userstates>

Należy pamiętać, że uwierzytelnianie wieloskładnikowe oparte na wiadomości SMS stało się bardzo niedrogie dla osób atakujących, dlatego zalecamy unikanie polegania na niej. Ta opcja jest nadal silniejsza niż tylko hasła, ale jest znacznie słabsza niż inne opcje uwierzytelniania wieloskładnikowego

Wymuszanie dostępu warunkowego dla administratorów — Zero Trust

Uwierzytelnianie dla wszystkich administratorów i innych kont o kluczowym znaczeniu powinno obejmować pomiar i wymuszanie kluczowych atrybutów zabezpieczeń w celu obsługi strategii Zero Trust.

Osoby atakujące narażają konta usługi Azure Administracja mogą spowodować znaczne szkody. Dostęp warunkowy może znacznie zmniejszyć to ryzyko, wymuszając higienę zabezpieczeń przed zezwoleniem na dostęp do zarządzania platformą Azure.

Skonfiguruj zasady dostępu warunkowego na potrzeby zarządzania platformą Azure spełniającego apetyt na ryzyko i potrzeby operacyjne organizacji.

• Wymagaj uwierzytelniania wieloskładnikowego i/lub połączenia z wyznaczonej sieci roboczej

• Wymagaj integralności urządzeń z usługą Microsoft Defender ATP (silna kontrola)

Unikaj szczegółowych i niestandardowych uprawnień

Unikaj uprawnień, które odwołują się konkretnie do poszczególnych zasobów lub użytkowników

Określone uprawnienia tworzą niepotrzebne złożoność i zamieszanie, ponieważ nie mają zamiaru tworzyć nowych podobnych zasobów. Następnie gromadzi się w złożonej starszej konfiguracji, która jest trudna do utrzymania lub zmiany bez obawy przed "złamaniem czegoś" — negatywnie wpływa zarówno na zwinność zabezpieczeń, jak i rozwiązań.

Zamiast przypisywać określone uprawnienia specyficzne dla zasobów, użyj jednego z tych uprawnień

• Grupy zarządzania dla uprawnień dla całego przedsiębiorstwa

• Grupy zasobów dla uprawnień w ramach subskrypcji

Zamiast udzielać uprawnień określonym użytkownikom, przypisz dostęp do grup w identyfikatorze Entra firmy Microsoft. Jeśli nie ma odpowiedniej grupy, skontaktuj się z zespołem tożsamości, aby go utworzyć. Dzięki temu można dodawać i usuwać członków grupy zewnętrznie do platformy Azure i zapewnić, że uprawnienia są aktualne, a jednocześnie zezwalają na używanie grupy do innych celów, takich jak listy wysyłkowe.

Korzystanie z ról wbudowanych

W miarę możliwości używaj wbudowanych ról do przypisywania uprawnień.

Dostosowanie prowadzi do złożoności, która zwiększa zamieszanie i sprawia, że automatyzacja jest bardziej złożona, trudna i krucha. Wszystkie te czynniki mają negatywny wpływ na bezpieczeństwo

Zalecamy ocenę wbudowanych ról zaprojektowanych tak, aby obejmowały większość normalnych scenariuszy. Role niestandardowe to zaawansowana i czasami przydatna funkcja, ale powinna być zarezerwowana w przypadkach, gdy wbudowane role nie będą działać.

Ustanawianie zarządzania cyklem życia dla kont o krytycznym wpływie

Upewnij się, że masz proces wyłączania lub usuwania kont administracyjnych, gdy pracownicy administracyjni opuszczają organizację (lub opuszczają stanowiska administracyjne)

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem użytkowników i użytkowników-gości za pomocą przeglądów dostępu.

Symulacja ataku dla kont o krytycznym wpływie

Regularnie symulują ataki na użytkowników administracyjnych przy użyciu bieżących technik ataków, aby je edukować i wzmacniać ich możliwości.

Osoby są krytyczną częścią obrony, zwłaszcza personel z dostępem do kont o krytycznym wpływie. Zapewnienie, że ci użytkownicy (i najlepiej wszyscy użytkownicy) mają wiedzę i umiejętności, aby uniknąć i oprzeć się atakom, zmniejszy ogólne ryzyko organizacji.

Możesz użyć funkcji symulacji ataków usługi Office 365 lub dowolnej liczby ofert innych firm.

Następne kroki

Aby uzyskać dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft, zobacz dokumentację zabezpieczeń firmy Microsoft.