Níveis de segurança de acesso privilegiado
Este documento descreve os níveis de segurança de uma estratégia de acesso privilegiado Para um roteiro sobre como adotar essa estratégia, consulte o plano de modernização rápida (RaMP). Para obter diretrizes de implementação, consulte Implantação de acesso privilegiado
Esses níveis são projetados principalmente para fornecer orientação técnica simples e direta para que as organizações possam implantar rapidamente essas proteções de importância crítica. A estratégia de acesso privilegiado reconhece que as organizações têm necessidades únicas, mas também que as soluções personalizadas criam complexidade que resulta em custos mais altos e menor segurança ao longo do tempo. Para equilibrar essa necessidade, a estratégia fornece orientação prescritiva firme para cada nível e flexibilidade, permitindo que as organizações escolham quando cada função será exigida para atender aos requisitos desse nível.
Simplificar as coisas ajuda as pessoas a compreendê-las e reduz o risco de se confundirem e cometerem erros. Embora a tecnologia subjacente seja quase sempre complexa, é fundamental manter as coisas simples em vez de criar soluções personalizadas que são difíceis de suportar. Para obter mais informações, consulte Princípios de design de segurança.
Projetar soluções focadas nas necessidades dos administradores e usuários finais, manterá a simplicidade para eles. Projetar soluções que são simples para o pessoal de segurança e TI criar, avaliar e manter (com automação sempre que possível) leva a menos erros de segurança e garantias de segurança mais confiáveis.
A estratégia de segurança de acesso privilegiado recomendada implementa um sistema simples de três níveis de garantias, que abrangem várias áreas, projetado para ser fácil de implantar para: contas, dispositivos, intermediários e interfaces.
Cada nível sucessivo aumenta os custos dos atacantes, com um nível adicional de investimento no Defender for Cloud. Os níveis são projetados para atingir os "pontos ideais" onde os defensores obtêm mais retorno (aumento do custo do atacante) para cada investimento de segurança que fazem.
Cada função em seu ambiente deve ser mapeada para um desses níveis (e, opcionalmente, aumentada ao longo do tempo como parte de um plano de melhoria de segurança). Cada perfil é claramente definido como uma configuração técnica e automatizado sempre que possível para facilitar a implantação e acelerar as proteções de segurança. Para obter detalhes de implementação, consulte o artigo Roteiro de acesso privilegiado.
Níveis de segurança
Os níveis de segurança utilizados ao longo desta estratégia são:
Grandes Empresas
A segurança empresarial é adequada para todos os utilizadores empresariais e cenários de produtividade. Na progressão do plano de modernização rápida, a empresa também serve como ponto de partida para acesso especializado e privilegiado à medida que se baseia progressivamente nos controles de segurança da empresa.
Nota
Atualmente, existem configurações de segurança mais fracas, mas não são recomendadas pela Microsoft para organizações empresariais devido às habilidades e recursos que os invasores têm disponíveis. Para obter informações sobre o que os atacantes podem comprar uns dos outros nos mercados escuros e os preços médios, consulte o vídeo Top 10 Best Practices for Azure Security
Especializada
A segurança especializada fornece controles de segurança aprimorados para funções com impacto elevado nos negócios (se comprometidas por um invasor ou insider mal-intencionado).
Sua organização deve ter critérios documentados para contas especializadas e privilegiadas (por exemplo, o impacto potencial nos negócios é superior a US$ 1 milhão) e, em seguida, identificar todas as funções e contas que atendem a esses critérios. (utilizado ao longo desta estratégia, inclusive nas Contas Especializadas)
As funções especializadas normalmente incluem:
- Desenvolvedores de sistemas críticos para o negócio.
- Funções de negócios confidenciais, como usuários de terminais SWIFT, pesquisadores com acesso a dados confidenciais, pessoal com acesso a relatórios financeiros antes do lançamento público, administradores de folha de pagamento, aprovadores de processos de negócios confidenciais e outras funções de alto impacto.
- Executivos e assistentes pessoais / assistentes administrativos que lidam regularmente com informações sensíveis.
- Contas de mídia social de alto impacto que podem prejudicar a reputação da empresa.
- Administradores de TI sensíveis com privilégios e impacto significativos, mas que não abrangem toda a empresa. Esse grupo geralmente inclui administradores de cargas de trabalho individuais de alto impacto. (por exemplo, administradores de planeamento de recursos empresariais, administradores bancários, funções de help desk/suporte técnico, etc.)
A segurança de conta especializada também serve como uma etapa provisória para a segurança privilegiada, que se baseia ainda mais nesses controles. Consulte o roteiro de acesso privilegiado para obter detalhes sobre a ordem de progressão recomendada.
Com privilégios
A segurança privilegiada é o mais alto nível de segurança projetado para funções que podem facilmente causar um incidente grave e possíveis danos materiais à organização nas mãos de um invasor ou de um insider mal-intencionado. Esse nível geralmente inclui funções técnicas com permissões administrativas na maioria ou em todos os sistemas corporativos (e, às vezes, inclui algumas funções críticas para os negócios)
As contas privilegiadas são focadas na segurança em primeiro lugar, com a produtividade definida como a capacidade de executar tarefas confidenciais de forma fácil e segura. Essas funções não terão a capacidade de fazer tarefas de trabalho confidenciais e de produtividade geral (navegar na Web, instalar e usar qualquer aplicativo) usando a mesma conta ou o mesmo dispositivo/estação de trabalho. Eles terão contas e estações de trabalho altamente restritas com maior monitoramento de suas ações para atividades anômalas que possam representar atividades invasoras.
As funções de segurança de acesso privilegiado normalmente incluem:
- Funções de administrador do Microsoft Entra
- Outras funções de gerenciamento de identidades com direitos administrativos para um diretório corporativo, sistemas de sincronização de identidade, solução de federação, diretório virtual, sistema de gerenciamento de identidade/acesso privilegiado ou similar.
- Funções com associação a esses grupos locais do Ative Directory
- Administradores da Empresa
- Administradores do Domínio
- Administrador de Esquema
- BUILTIN\Administrators
- Operadores de Conta
- Operadores de Cópia de Segurança
- Operadores de Impressão
- Operadores de Servidor
- Controladores de domínio
- Controlador de Domínio Só de Leitura
- Proprietários de criadores de políticas de grupo
- Operadores de Criptografia
- Usuários COM distribuídos
- Grupos confidenciais do Exchange no local (incluindo Permissões do Exchange Windows e Subsistema Confiável do Exchange)
- Outros Grupos Delegados - Grupos personalizados que podem ser criados pela sua organização para gerenciar operações de diretório.
- Qualquer administrador local de um sistema operacional subjacente ou locatário de serviço de nuvem que esteja hospedando os recursos acima, incluindo:
- Membros do grupo de administradores locais
- Pessoal que conhece a senha de administrador root ou incorporada
- Administradores de qualquer ferramenta de gestão ou segurança com agentes instalados nesses sistemas