Planejar padrões de segurança
Pode ser difícil fazer o gerenciamento da segurança quando estão se tornando cada vez mais populares os ataques comuns relacionados à identidade, como a pulverização de senha, a reprodução e o phishing. Os padrões de segurança proporcionam configurações padrão seguras que a Microsoft gerencia em nome das organizações para manter os clientes seguros até que as organizações estejam prontas para gerenciar sua própria história de segurança de identidade. Os padrões de segurança proporcionam configurações de segurança pré-definidas, como:
Como exigir que todos os usuários se registrem na autenticação multifator.
Exigindo que os administradores executem a autenticação multifator.
Bloquear protocolos de autenticação herdados.
Exigir que os usuários executem a autenticação multifator quando necessário.
Protegem atividades privilegiadas como o acesso ao portal do Azure.
Disponibilidade
Os padrões de segurança da Microsoft estão disponíveis para todos. A meta é garantir que todas as organizações tenham um nível básico de segurança habilitado sem custos adicionais. A ativação dos padrões de segurança é feita no portal do Azure. Caso seu locatário tenha sido criado em 22 de outubro de 2019 ou após essa data, é possível que os padrões de segurança já estejam habilitados em seu locatário. Para proteger todos os nossos usuários, o recurso de padrões de segurança está sendo distribuído para todos os novos locatários criados.
Para quem eles são?
| Quem deve usar os padrões de segurança? | Quem não deve usar os padrões de segurança? |
|---|---|
| Organizações que desejam aumentar sua postura de segurança, mas não sabem como ou por onde começar | Organizações que estão utilizando políticas de Acesso condicional para reunir sinais, tomar decisões e impor políticas organizacionais |
| Organizações que utilizam a camada gratuita do Licenciamento do Microsoft Entra ID | Organizações com licenças do Microsoft Entra ID Premium |
| Organizações com requisitos de segurança complexos que garantem o uso do Acesso condicional |
Políticas impostas
Registro unificado da autenticação multifator
Todos os usuários em seu locatário devem se registrar para autenticação multifator (MFA) na forma de Autenticação Multifator. Os usuários têm 14 dias para se registrarem para autenticação multifator no Microsoft Entra ID usando o aplicativo Microsoft Authenticator. Depois que os 14 dias tiverem passado, o usuário não conseguirá entrar até que o registro seja concluído. O período de 14 dias de um usuário começa após sua primeira entrada interativa bem-sucedida depois de habilitar os padrões de segurança.
Administradores de proteção
Usuários com acesso privilegiado aumentaram o acesso ao seu ambiente. Devido à capacidade que essas contas têm, devem ser tratadas com cuidado especial. Um método comum para melhorar a proteção de contas privilegiadas é exigir uma forma mais forte de verificação de para entrar. No Microsoft Entra ID, você pode obter uma verificação de conta mais forte exigindo autenticação multifator.
Depois que o registro na Autenticação Multifator for concluído, as nove funções de administrador do Microsoft Entra a seguir serão necessárias para executar autenticação adicional sempre ao entrar:
- Administrador Global
- Administrador do SharePoint
- Administrador do Exchange
- Administrador de Acesso Condicional
- Administrador de Segurança
- Administrador de assistência técnica
- Administrador de cobrança
- Administrador de usuários
- Administrador de Autenticação
Proteção a todos os usuários
Tendemos a imaginar que as contas de administrador são as únicas que precisam de camadas extras de autenticação. Os administradores têm amplo acesso a informações confidenciais e podem fazer alterações nas configurações de toda a assinatura. Mas os invasores costumam ter os usuários finais como alvo.
Depois que esses invasores conseguirem acesso, eles poderão solicitar acesso a informações privilegiadas em nome do titular da conta original. Eles conseguem até mesmo baixar o diretório inteiro para executar um ataque de phishing em toda a sua organização.
Um método comum para melhorar a proteção para todos os usuários é exigir uma forma mais forte de verificação da conta para todos, como a autenticação multifator. Depois que os usuários concluirem o registro de Autenticação Multifator, eles serão solicitados a obter autenticação adicional sempre que necessário. Essa funcionalidade protege todos os aplicativos registrados com o Microsoft Entra ID, incluindo aplicativos SaaS.
Bloqueio da autenticação herdada
Para facilitar o acesso aos seus aplicativos de nuvem, o Microsoft Entra ID dá suporte a uma variedade de protocolos de autenticação, incluindo autenticação herdada. Autenticação herdada é uma solicitação de autenticação feita por:
- Clientes que não usam uma autenticação moderna (por exemplo, um cliente do Office 2010). A autenticação moderna abrange clientes que implementam protocolos (como o OAuth 2.0) para dar suporte a recursos como autenticação multifator e cartões inteligentes. A autenticação herdada normalmente oferece suporte apenas a mecanismos menos seguros, como senhas.
- Clientes que usam protocolos de email como IMAP, SMTP ou POP3.
Hoje, a maior parte de tentativas de entrada comprometidas é proveniente da autenticação herdada. A autenticação herdada não oferece suporte para a MFA. Assim, mesmo que você tenha uma política de MFA habilitada em seu diretório, um invasor pode ignorá-la ao se autenticar usando um protocolo mais antigo.
Depois que os padrões de segurança forem habilitados em seu locatário, todas as solicitações de autenticação feitas por um protocolo mais antigo serão bloqueadas. Os padrões de segurança bloqueiam a autenticação básica Exchange Active Sync.