Planowanie wartości domyślnych zabezpieczeń
Zarządzanie bezpieczeństwem może być trudne, gdy typowe ataki związane z tożsamością, takie jak atak typu password spray, atak powtórzeniowy i phishing, stają się coraz bardziej popularne. Domyślne ustawienia zabezpieczeń zapewniają bezpieczne ustawienia domyślne zarządzane przez firmę Microsoft w imieniu organizacji, aby zapewnić klientom bezpieczeństwo, dopóki organizacje nie będą gotowe do zarządzania własnymi zabezpieczeniami tożsamości. Wartości domyślne zabezpieczeń zapewniają wstępnie skonfigurowane ustawienia zabezpieczeń, takie jak:
Wymaganie od wszystkich użytkowników zarejestrowania się na potrzeby uwierzytelniania wieloskładnikowego.
Wymaganie od administratorów przeprowadzenia uwierzytelniania wieloskładnikowego.
Blokowanie starszych protokołów uwierzytelniania.
Wymaganie od użytkowników przeprowadzania uwierzytelniania wieloskładnikowego w razie potrzeby.
Ochrona uprzywilejowanych działań, takich jak dostęp do witryny Azure Portal.
Dostępność
Domyślne ustawienia zabezpieczeń firmy Microsoft są dostępne dla wszystkich użytkowników. Celem jest zapewnienie, że wszystkie organizacje mają podstawowy poziom zabezpieczeń włączony bez dodatkowych kosztów. Włączasz ustawienia domyślne zabezpieczeń w portalu Azure. Jeśli twój tenant został utworzony 22 października 2019 r. lub później, możliwe, że domyślne ustawienia zabezpieczeń są już włączone w twoim tenant. Aby chronić wszystkich naszych użytkowników, funkcja domyślnych zabezpieczeń jest wdrażana we wszystkich nowych dzierżawach.
Dla kogo to jest?
| Kto powinien używać wartości domyślnych zabezpieczeń? | Kto nie powinien używać wartości domyślnych zabezpieczeń? |
|---|---|
| Organizacje, które chcą zwiększyć stan zabezpieczeń, ale nie wiedzą, jak lub gdzie zacząć | Organizacje korzystające obecnie z zasad dostępu warunkowego do łączenia sygnałów, podejmowania decyzji i wymuszania zasad organizacji |
| Organizacje korzystające z bezpłatnego poziomu licencji Microsoft Entra ID | Organizacje z licencjami microsoft Entra ID Premium |
| Organizacje ze złożonymi wymaganiami dotyczącymi zabezpieczeń, które uzasadniają korzystanie z dostępu warunkowego |
Wymuszane zasady
Rejestracja ujednoliconego uwierzytelniania wieloskładnikowego
Wszyscy użytkownicy w dzierżawie muszą zarejestrować się w celu uwierzytelniania wieloskładnikowego (MFA) w postaci uwierzytelniania wieloskładnikowego. Użytkownicy mają 14 dni na zarejestrowanie się w celu uwierzytelniania wieloskładnikowego w ramach identyfikatora Entra firmy Microsoft przy użyciu aplikacji Microsoft Authenticator. Po upływie 14 dni użytkownik nie będzie mógł się zalogować do momentu ukończenia rejestracji. Okres 14-dniowy użytkownika rozpoczyna się po pierwszym pomyślnym interakcyjnym logowaniu po włączeniu domyślnych ustawień zabezpieczeń.
Ochrona administratorów
Użytkownicy z uprzywilejowanym dostępem mają zwiększony dostęp do twojego środowiska. Ze względu na moc, którą mają te konta, należy traktować je ze szczególną opieką. Jedną z typowych metod poprawy ochrony kont uprzywilejowanych jest wymaganie silniejszej formy weryfikacji konta na potrzeby logowania. W usłudze Microsoft Entra ID możesz uzyskać silniejszą weryfikację konta, wymagając uwierzytelniania wieloskładnikowego.
Po zakończeniu rejestracji przy użyciu uwierzytelniania wieloskładnikowego następujące dziewięć ról administratora firmy Microsoft Entra będzie musiało wykonać dodatkowe uwierzytelnianie za każdym razem, gdy się logują:
- Globalny administrator usługi
- Administrator SharePointa
- Administrator programu Exchange
- Administrator dostępu warunkowego
- Administrator zabezpieczeń
- Administrator pomocy technicznej
- Administrator rozliczeń
- Administrator użytkowników
- Administrator uwierzytelniania
Ochrona wszystkich użytkowników
Zwykle uważamy, że konta administratorów są jedynymi kontami, które wymagają dodatkowych warstw uwierzytelniania. Administratorzy mają szeroki dostęp do poufnych informacji i mogą wprowadzać zmiany w ustawieniach dotyczących całej subskrypcji. Osoby atakujące często atakują użytkowników końcowych.
Po uzyskaniu dostępu osoby atakujące mogą zażądać dostępu do uprzywilejowanych informacji w imieniu oryginalnego właściciela konta. Mogą nawet pobrać cały katalog w celu przeprowadzenia ataku wyłudzania informacji w całej organizacji.
Jedną z typowych metod poprawy ochrony dla wszystkich użytkowników jest wymaganie silniejszej formy weryfikacji konta, takiej jak uwierzytelnianie wieloskładnikowe, dla wszystkich użytkowników. Po zakończeniu rejestracji uwierzytelniania wieloskładnikowego użytkownicy będą monitowani o dodatkowe uwierzytelnianie w razie potrzeby. Ta funkcja chroni wszystkie aplikacje zarejestrowane w usłudze Microsoft Entra ID, w tym aplikacje SaaS.
Blokowanie starszego uwierzytelniania
Aby zapewnić użytkownikom łatwy dostęp do aplikacji w chmurze, usługa Microsoft Entra ID obsługuje różne protokoły uwierzytelniania, w tym starsze uwierzytelnianie. Starsze uwierzytelnianie to żądanie uwierzytelniania wykonane przez:
- Klienci, którzy nie korzystają z nowoczesnego uwierzytelniania (na przykład klienta pakietu Office 2010). Nowoczesne uwierzytelnianie obejmuje klientów, którzy implementują protokoły, takie jak OAuth 2.0, do obsługi funkcji takich jak uwierzytelnianie wieloskładnikowe i karty inteligentne. Starsze uwierzytelnianie zwykle obsługuje tylko mniej bezpieczne mechanizmy, takie jak hasła.
- Klient korzystający z protokołów poczty, takich jak IMAP, SMTP lub POP3.
Obecnie większość kompromitujących prób logowania pochodzi ze starszego uwierzytelniania. Starsze uwierzytelnianie nie obsługuje uwierzytelniania wieloskładnikowego. Nawet jeśli w katalogu włączono zasady uwierzytelniania wieloskładnikowego, osoba atakująca może uwierzytelnić się przy użyciu starszego protokołu i pominąć uwierzytelnianie wieloskładnikowe.
Po włączeniu domyślnych ustawień zabezpieczeń w dzierżawie wszystkie żądania uwierzytelniania wysyłane przez starszy protokół będą blokowane. Domyślne ustawienia zabezpieczeń blokują uwierzytelnianie podstawowe Exchange ActiveSync.