Udostępnij za pośrednictwem


Plan szybkiej modernizacji zabezpieczeń

Ten plan szybkiej modernizacji (RAMP) pomoże Ci szybko wdrożyć zalecaną strategię dostępu uprzywilejowanego firmy Microsoft.

Ten plan jest oparty na mechanizmach kontroli technicznych ustanowionych we wskazówkach dotyczących wdrażania dostępu uprzywilejowanego. Wykonaj te kroki, a następnie wykonaj kroki opisane w tym narzędziu RAMP, aby skonfigurować kontrolki dla organizacji.

Podsumowanie rampy dostępu uprzywilejowanego

Uwaga

Wiele z tych kroków będzie miało dynamiczny poziom zielony/brązowy, ponieważ organizacje często mają zagrożenia bezpieczeństwa w sposób, w jaki są już wdrożone lub skonfigurowane konta. Ten plan priorytetowo najpierw zatrzymuje akumulację nowych zagrożeń bezpieczeństwa, a następnie czyści pozostałe elementy, które już zgromadziły się.

W miarę postępów w harmonogramie możesz wykorzystać wskaźnik bezpieczeństwa firmy Microsoft do śledzenia i porównywania wielu elementów w podróży z innymi w podobnych organizacjach w czasie. Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft w artykule Omówienie wskaźnika bezpieczeństwa.

Każdy element tej rampy ma strukturę inicjatywy, która będzie śledzona i zarządzana przy użyciu formatu, który opiera się na celach i kluczowych wynikach (OKR). Każdy element zawiera to, co (cel), dlaczego, kto, jak i jak mierzyć (kluczowe wyniki). Niektóre elementy wymagają zmian w procesach i umiejętnościach ludzi, podczas gdy inne są prostszą zmianą technologii. Wiele z tych inicjatyw obejmuje członków spoza tradycyjnego działu IT, które powinny zostać uwzględnione w podejmowaniu decyzji i wdrażaniu tych zmian, aby upewnić się, że zostały one pomyślnie zintegrowane w organizacji.

Ważne jest, aby współpracować jako organizacja, tworzyć partnerstwa i edukować ludzi, którzy tradycyjnie nie byli częścią tego procesu. Tworzenie i utrzymywanie zakupu w całej organizacji ma kluczowe znaczenie bez niepowodzenia wielu projektów.

Oddzielanie kont uprzywilejowanych i zarządzanie nimi

Konta dostępu awaryjnego

  • Co: Upewnij się, że nie jesteś przypadkowo zablokowany z organizacji Microsoft Entra w sytuacji awaryjnej.
  • Dlaczego: Konta dostępu awaryjnego rzadko używane i wysoce szkodliwe dla organizacji w przypadku naruszenia zabezpieczeń, ale ich dostępność w organizacji jest również niezwykle ważna w przypadku niewielu scenariuszy, gdy są one wymagane. Upewnij się, że masz plan ciągłości dostępu, który uwzględnia zarówno oczekiwane, jak i nieoczekiwane zdarzenia.
  • KtoTo: Ta inicjatywa jest zwykle prowadzona przez architekturę zarządzania tożsamościami i kluczami i/lub zabezpieczeń.
  • Instrukcje: postępuj zgodnie ze wskazówkami w temacie Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
  • Mierzenie kluczowych wyników:
    • Ustanowiony proces dostępu awaryjnego został zaprojektowany na podstawie wskazówek firmy Microsoft, które spełniają potrzeby organizacji
    • Utrzymany dostęp awaryjny został sprawdzony i przetestowany w ciągu ostatnich 90 dni

Włączanie usługi Microsoft Entra Privileged Identity Management

  • Co: używanie usługi Microsoft Entra Privileged Identity Management (PIM) w środowisku produkcyjnym firmy Microsoft Entra w celu odnajdywania i zabezpieczania kont uprzywilejowanych
  • Dlaczego: Usługa Privileged Identity Management zapewnia aktywację roli opartą na czasie i zatwierdzania w celu ograniczenia ryzyka nadmiernego, niepotrzebnego lub nieprawidłowego użycia uprawnień dostępu.
  • KtoTo: Ta inicjatywa jest zwykle prowadzona przez architekturę zarządzania tożsamościami i kluczami i/lub zabezpieczeń.
  • Instrukcje: wdrażanie i konfigurowanie usługi Microsoft Entra Privileged Identity Management przy użyciu wskazówek zawartych w artykule Wdrażanie usługi Microsoft Entra Privileged Identity Management (PIM).
  • Mierzenie kluczowych wyników: 100% odpowiednich ról dostępu uprzywilejowanego korzysta z usługi Microsoft Entra PIM

Identyfikowanie i kategoryzowanie uprzywilejowanych kont (Identyfikator Entra Firmy Microsoft)

  • Co: zidentyfikuj wszystkie role i grupy o dużym wpływie biznesowym, które będą wymagały uprzywilejowanego poziomu zabezpieczeń (natychmiast lub z upływem czasu). Ci administratorzy będą wymagać oddzielnych kont w późniejszym kroku Administracja dostępem uprzywilejowanym.

  • Dlaczego: ten krok jest wymagany do zidentyfikowania i zminimalizowania liczby osób, które wymagają oddzielnych kont i ochrony dostępu uprzywilejowanego.

  • KtoTo: Ta inicjatywa jest zwykle prowadzona przez architekturę zarządzania tożsamościami i kluczami i/lub zabezpieczeń.

  • Instrukcje: Po włączeniu usługi Microsoft Entra Privileged Identity Management wyświetl użytkowników, którzy znajdują się w następujących rolach firmy Microsoft Entra co najmniej na podstawie zasad ryzyka organizacji:

    • Globalny administrator usługi
    • Administrator ról uprzywilejowanych
    • Administrator programu Exchange
    • Administracja istrator programu SharePoint

    Aby uzyskać pełną listę ról administratora, zobacz Administracja istrator role permissions in Microsoft Entra ID (Uprawnienia roli Administracja istratora w identyfikatorze Entra firmy Microsoft).

    Usuń wszystkie konta, które nie są już potrzebne w tych rolach. Następnie kategoryzuj pozostałe konta przypisane do ról administratora:

    • Przypisane do użytkowników administracyjnych, ale także używane do celów nieadministracyjnych, takich jak odczytywanie i odpowiadanie na wiadomości e-mail.
    • Przypisane do użytkowników administracyjnych i używane tylko do celów administracyjnych
    • Współużytkowany przez wielu użytkowników
    • W przypadku scenariuszy dostępu awaryjnego ze szkła awaryjnego
    • W przypadku skryptów automatycznych
    • Dla użytkowników zewnętrznych

Jeśli nie masz usługi Microsoft Entra Privileged Identity Management w organizacji, możesz użyć interfejsu API programu PowerShell. Zacznij od roli Global Administracja istrator, ponieważ ma te same uprawnienia we wszystkich usługach w chmurze, dla których twoja organizacja zasubskrybowała. Te uprawnienia są przyznawane niezależnie od tego, gdzie zostały przypisane: w Centrum administracyjne platformy Microsoft 365, w witrynie Azure Portal lub w module usługi Azure AD dla programu Microsoft PowerShell.

  • Mierzenie kluczowych wyników: Przegląd i identyfikacja ról dostępu uprzywilejowanego została ukończona w ciągu ostatnich 90 dni

Oddzielne konta (lokalne konta usługi AD)

  • Co: Zabezpieczanie lokalnych uprzywilejowanych kont administracyjnych, jeśli jeszcze nie zostało to zrobione. Ten etap obejmuje:

    • Tworzenie oddzielnych kont administratorów dla użytkowników, którzy muszą wykonywać lokalne zadania administracyjne
    • Wdrażanie stacji roboczych dostępu uprzywilejowanego dla administratorów usługi Active Directory
    • Tworzenie unikatowych haseł administratora lokalnego dla stacji roboczych i serwerów
  • Dlaczego: Wzmacnianie zabezpieczeń kont używanych do zadań administracyjnych. Konta administratora powinny mieć wyłączoną pocztę i nie powinno być dozwolone żadne osobiste konta Microsoft.

  • KtoTo: Ta inicjatywa jest zwykle prowadzona przez architekturę zarządzania tożsamościami i kluczami i/lub zabezpieczeń.

  • Instrukcje: Wszyscy pracownicy upoważnieni do posiadania uprawnień administracyjnych muszą mieć oddzielne konta dla funkcji administracyjnych, które różnią się od kont użytkowników. Nie udostępniaj tych kont użytkownikom.

    • Konta użytkowników standardowych — uprawnienia użytkownika standardowego są przyznawane na potrzeby wykonywania zadań użytkownika standardowego, takich jak obsługa poczty e-mail, przeglądanie sieci Web i korzystanie z aplikacji biznesowych. Te konta nie mają przyznanych uprawnień administracyjnych.
    • Konta administratorów — osobne konta przeznaczone dla członków personelu, którzy mają przypisane odpowiednie uprawnienia administracyjne.
  • Mierzenie kluczowych wyników: 100% lokalnych uprzywilejowanych użytkowników ma oddzielne dedykowane konta

Microsoft Defender for Identity

  • Co: Usługa Microsoft Defender for Identity łączy sygnały lokalne ze szczegółowymi informacjami w chmurze w celu monitorowania, ochrony i badania zdarzeń w uproszczonym formacie, dzięki czemu zespoły ds. zabezpieczeń mogą wykrywać zaawansowane ataki na infrastrukturę tożsamości dzięki możliwości:

    • Monitorowanie użytkowników, zachowania jednostek i działań przy użyciu analizy opartej na uczeniu
    • Ochrona tożsamości użytkowników i poświadczeń przechowywanych w usłudze Active Directory
    • Identyfikowanie i badanie podejrzanych działań użytkowników oraz zaawansowanych ataków w całym łańcuchu zabić
    • Podaj jasne informacje o zdarzeniu na prostej osi czasu na potrzeby szybkiego klasyfikacji
  • Dlaczego: Nowoczesne osoby atakujące mogą pozostać niewykryte przez długi czas. Wiele zagrożeń trudno znaleźć bez spójnych obrazów całego środowiska tożsamości.

  • KtoTo: Ta inicjatywa jest zwykle prowadzona przez architekturę zarządzania tożsamościami i kluczami i/lub zabezpieczeń.

  • Instrukcje: wdrażanie i włączanie usługi Microsoft Defender for Identity oraz przeglądanie otwartych alertów.

  • Mierzenie kluczowych wyników: wszystkie otwarte alerty przeglądane i ograniczane przez odpowiednie zespoły.

Ulepszanie środowiska zarządzania poświadczeniami

Implementowanie i dokument samoobsługowe resetowanie haseł oraz łączna rejestracja informacji zabezpieczających

  • Co: Włącz i skonfiguruj samoobsługowe resetowanie haseł (SSPR) w organizacji i włącz połączone środowisko rejestracji informacji zabezpieczających.
  • Dlaczego: użytkownicy mogą resetować własne hasła po zarejestrowaniu. Połączone środowisko rejestracji informacji zabezpieczających zapewnia lepsze środowisko użytkownika umożliwiające rejestrację na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła. Te narzędzia, gdy są używane razem, przyczyniają się do obniżenia kosztów pomocy technicznej i bardziej zadowolonych użytkowników.
  • KtoTo: Ta inicjatywa jest zwykle prowadzona przez architekturę zarządzania tożsamościami i kluczami i/lub zabezpieczeń.
  • Instrukcje: aby włączyć i wdrożyć samoobsługowe resetowanie hasła, zobacz artykuł Planowanie wdrożenia samoobsługowego resetowania haseł firmy Microsoft.
  • Mierzenie kluczowych wyników: samoobsługowe resetowanie hasła jest w pełni skonfigurowane i dostępne dla organizacji

Ochrona kont administratorów — włączanie i wymaganie uwierzytelniania wieloskładnikowego/bez hasła dla uprzywilejowanych użytkowników identyfikatora Entra firmy Microsoft

  • Co: Wymagaj wszystkich uprzywilejowanych kont w identyfikatorze Entra firmy Microsoft do korzystania z silnego uwierzytelniania wieloskładnikowego

  • Dlaczego: Aby chronić dostęp do danych i usług na platformie Microsoft 365.

  • KtoTo: Ta inicjatywa jest zwykle prowadzona przez architekturę zarządzania tożsamościami i kluczami i/lub zabezpieczeń.

  • Instrukcje: włączanie uwierzytelniania wieloskładnikowego firmy Microsoft (MFA) i rejestrowanie wszystkich innych kont administratora bez federacyjnych użytkowników z wysokimi uprawnieniami. Wymagaj uwierzytelniania wieloskładnikowego podczas logowania dla wszystkich użytkowników, którzy są trwale przypisani do co najmniej jednej roli administratora firmy Microsoft Entra.

    Wymagaj od administratorów używania metod logowania bez hasła, takich jak klucze zabezpieczeń FIDO2 lub Windows Hello dla firm w połączeniu z unikatowymi, długimi, złożonymi hasłami. Wymuś tę zmianę za pomocą dokumentu zasad organizacji.

Postępuj zgodnie ze wskazówkami w poniższych artykułach Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft i Planowanie wdrożenia uwierzytelniania bez hasła w usłudze Microsoft Entra ID.

  • Mierzenie kluczowych wyników: 100% uprzywilejowanych użytkowników korzysta z uwierzytelniania bez hasła lub silnej formy uwierzytelniania wieloskładnikowego dla wszystkich logów. Zobacz Konta dostępu uprzywilejowanego, aby uzyskać opis uwierzytelniania wieloskładnikowego

Blokuj starsze protokoły uwierzytelniania dla uprzywilejowanych kont użytkowników

  • Co: Blokuj użycie starszego protokołu uwierzytelniania dla uprzywilejowanych kont użytkowników.

  • Dlaczego: Organizacje powinny blokować te starsze protokoły uwierzytelniania, ponieważ nie można wymusić na nich uwierzytelniania wieloskładnikowego. Pozostawienie włączonych starszych protokołów uwierzytelniania może spowodować utworzenie punktu wejścia dla osób atakujących. Niektóre starsze aplikacje mogą polegać na tych protokołach, a organizacje mają możliwość tworzenia określonych wyjątków dla niektórych kont. Te wyjątki powinny być śledzone i implementowane dodatkowe mechanizmy kontroli monitorowania.

  • KtoTo: Ta inicjatywa jest zwykle prowadzona przez architekturę zarządzania tożsamościami i kluczami i/lub zabezpieczeń.

  • Instrukcje: Aby zablokować starsze protokoły uwierzytelniania w organizacji, postępuj zgodnie ze wskazówkami w artykule Instrukcje: blokowanie starszego uwierzytelniania w usłudze Microsoft Entra ID przy użyciu dostępu warunkowego.

  • Mierzenie kluczowych wyników:

    • Zablokowane starsze protokoły: wszystkie starsze protokoły są blokowane dla wszystkich użytkowników z tylko autoryzowanymi wyjątkami
    • Wyjątki są przeglądane co 90 dni i wygasają trwale w ciągu jednego roku. Właściciele aplikacji muszą naprawić wszystkie wyjątki w ciągu jednego roku od zatwierdzenia pierwszego wyjątku
  • Co: Wyłącz zgodę użytkownika końcowego na aplikacje Firmy Microsoft Entra.

Uwaga

Ta zmiana będzie wymagać scentralizowanego procesu podejmowania decyzji z zespołami administrowania zabezpieczeniami i tożsamościami w organizacji.

Czyszczenie konta i ryzyko związane z logowaniem

  • Co: włącz Ochrona tożsamości Microsoft Entra i wyczyść wszelkie znalezione zagrożenia.
  • Dlaczego: Ryzykowne zachowanie użytkownika i logowania może być źródłem ataków na organizację.
  • KtoTo: Ta inicjatywa jest zwykle prowadzona przez architekturę zarządzania tożsamościami i kluczami i/lub zabezpieczeń.
  • Instrukcje: tworzenie procesu, który monitoruje ryzyko związane z użytkownikiem i logowaniem oraz zarządza nim. Zdecyduj, czy zautomatyzujesz korygowanie przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła, czy też zablokujesz i będziesz wymagać interwencji administratora. Postępuj zgodnie ze wskazówkami w artykule Instrukcje: konfigurowanie i włączanie zasad ryzyka.
  • Mierzenie kluczowych wyników: Organizacja ma zero niezaubranych użytkowników i ryzyko związane z logowaniem.

Uwaga

Zasady dostępu warunkowego są wymagane do blokowania naliczania nowych zagrożeń związanych z logowaniem. Zobacz sekcję Dostęp warunkowy wdrożenia dostępu uprzywilejowanego

początkowe wdrażanie stacji roboczych Administracja

Uwaga

Ten krok szybko ustanawia punkt odniesienia zabezpieczeń i musi zostać jak najszybciej zwiększony do wyspecjalizowanych i uprzywilejowanych poziomów.

Następne kroki