План быстрой модернизации безопасности

Этот план быстрой модернизации (RAMP) поможет быстро внедрить рекомендуемую стратегию привилегированного доступа корпорации Майкрософт.

Эта схема основана на технических элементах управления, определенных в руководстве по развертыванию привилегированного доступа. Выполните эти шаги, а затем используйте шаги по RAMP, чтобы настроить элементы управления для организации.

Примечание.

Многие из этих шагов будут иметь динамику нового или имеющегося приложения, поскольку организации часто сталкиваются с угрозами безопасности из-за того, что они уже развернуты или настроены учетные записи. Эта стратегия развития предполагает прежде всего остановить накопление новых рисков для безопасности, а затем очистить оставшиеся элементы, которые уже накоплены.

После выполнения стратегии развития со временем вы можете использовать службу "Оценка безопасности Майкрософт" для отслеживания и сравнения многих элементов в пути взаимодействия с другими пользователями в аналогичных организациях. Дополнительные сведения об оценке безопасности Майкрософт см. в статье Обзор оценки безопасности.

Каждый элемент в RAMP структурирован в виде инициативы, которая будет отслеживаться и управляться с использованием формата, основанного на методологии целей и ключевых показателей (OKR). Каждый элемент включает значение "что" (цель), "зачем", "кто", "как" и "как измерять" (ключевые результаты). Некоторые элементы требуют изменений в процессах и знаниях или навыках людей, в то время как другие представляют собой более простые технологические изменения. Во многих из этих инициатив будут задействованы участники, которые не являются сотрудниками традиционного ИТ-отдела. Они должны участвовать в принятии решений и внедрении этих изменений, чтобы обеспечить их успешную интеграцию в вашей организации.

Критически важно работать вместе как организация, создавать партнерские отношения и заниматься обучением людей, которые обычно не участвовали в этом процессе. Крайне важно создать и поддерживать заинтересованность во всей организации, иначе многие проекты потерпят неудачу.

Распределение привилегированных учетных записей и управление ими

Учетные записи для аварийного доступа

• Что: убедитесь, что вы не случайно заблокированы из вашей организации Microsoft Entra в чрезвычайной ситуации.
• Зачем. Учетные записи аварийного доступа используются редко и несут опасность нанесения большого ущерба организации в случае взлома, однако их доступность для организации также критически важна для нескольких сценариев, при которых они используются. Убедитесь, что у вас есть план непрерывности доступа, учитывающий как ожидаемые, так и неожиданные события.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, которая документирует четкие требования и стандарты;
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
• Практическое руководство по управлению учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Оценка ключевых результатов:
  • Установлено. Процесс аварийного доступа разработан на основе руководств корпорации Майкрософт, соответствующих потребностям организации.
  • Поддерживается. Аварийный доступ был проверен и протестирован за последние 90 дней.

Включение управление привилегированными пользователями Microsoft Entra

• Что: использование Microsoft Entra управление привилегированными пользователями (PIM) в рабочей среде Microsoft Entra для обнаружения и защиты привилегированных учетных записей
• Зачем. Privileged Identity Management обеспечивает активацию ролей на основе времени и утверждения, чтобы снизить риски чрезмерных, ненужных или неправильно используемых разрешений доступа.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
• Практическое руководство. Развертывание и настройка Microsoft Entra управление привилегированными пользователями с помощью руководства по развертыванию Microsoft Entra управление привилегированными пользователями (PIM).
• Результаты измерения ключа: 100 % применимых ролей привилегированного доступа используют Microsoft Entra PIM

Определение и классификация привилегированных учетных записей (идентификатор Microsoft Entra)

• Что. Определите все роли и группы, имеющие большое влияние на бизнес, которым потребуется привилегированный уровень безопасности (немедленно или со временем). Эти администраторы потребуют разреженных учетных записей в последующих шагах администрирования привилегированного доступа.

• Почему. Этот шаг необходим для определения и сокращения количества людей, которым требуются отдельные учетные записи и защита привилегированного доступа.

• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.

• Практическое руководство. После включения Microsoft Entra управление привилегированными пользователями просмотрите пользователей, которые находятся в следующих ролях Microsoft Entra, как минимум на основе политик риска вашей организации:

  • Глобальный администратор
  • администратор привилегированных ролей;
  • Администратор Exchange
  • Администратор SharePoint

  Полный список ролей администратора см. в разделе о разрешениях роли Администратор istrator в идентификаторе Microsoft Entra.

  Удалите все учетные записи, которые больше не нужны в этих ролях. Затем классифицируйте оставшиеся учетные записи, назначенные ролям администраторов:

  • назначаются пользователям с правами администратора, но также используются в неадминистративных целях, например, для чтения и ответа на сообщения электронной почты;
  • назначается пользователями с правами администратора и используется только для административных целей;
  • совместно используется несколькими пользователями;
  • для сценариев аварийного доступа;
  • для автоматических скриптов;
  • для внешних пользователей.

Если у вас нет управление привилегированными пользователями Microsoft Entra в организации, можно использовать API PowerShell. Начните с роли глобального администратора, так как глобальный администратор имеет одни и те же разрешения во всех облачных службах, на которые подписана ваша организация. Эти разрешения предоставляются независимо от того, где они были назначены: в Центре администрирования Microsoft 365, на портале Azure или в модуле Azure AD для Microsoft PowerShell.

• Оценка ключевых результатов. Проверка и идентификация ролей с привилегированным доступом выполнена за последние 90 дней.

Отдельные учетные записи (локальные учетные записи AD)

• Что. Защита локальных привилегированных учетных записей (если это еще не осуществлено). Этот этап включает в себя следующее.

  • Создание отдельных учетных записей администраторов для пользователей, которым необходимо выполнять локальные задачи администрирования
  • Развертывание рабочих станций с привилегированным доступом для администраторов Active Directory
  • Создание уникальных паролей локальных администраторов для рабочих станций и серверов

• Почему. Усиление защиты учетных записей, используемых для административных задач. В учетных записях администратора должна быть отключена почта, а личные учетные записи Майкрософт использовать нельзя.

• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.

• Как. У всех сотрудников, у которых есть права администратора, должны быть отдельные учетные записи для выполнения административных функций, отличные от учетных записей пользователей. Не предоставляйте общий доступ к этим учетным записям пользователей.

  • Учетные записи обычных пользователей предусматривают привилегии обычного пользователя для соответствующих задач, таких как обмен сообщениями электронной почты, просмотр веб-страниц и использование бизнес-приложений. Этим учетным записям не следует предоставлять права администратора.
  • Учетные записи администраторов — отдельные учетные записи, созданные для специалистов, которым назначены соответствующие права.

• Оценка ключевых результатов. Абсолютно все локальные привилегированные пользователи имеют отдельно выделенные учетные записи.

Microsoft Defender для удостоверений

• Что. Microsoft Defender для удостоверений объединяет локальные сигналы с облачной аналитикой для отслеживания, защиты и исследования событий в упрощенном формате, что позволяет вашим группам безопасности обнаруживать расширенные атаки на вашу инфраструктуру удостоверения с возможностью:

  • Мониторинг пользователей, поведения сущностей и действий с помощью аналитики на основе обучения
  • Защитите удостоверения и учетные данные пользователей, хранящиеся в Active Directory
  • Выявление и исследование подозрительных действий пользователей и расширенных атак в цепочке убийств
  • Предоставление четкой информации об инциденте для простого временная шкала для быстрой обработки

• Почему. Современные злоумышленники могут оставаться незамеченными в течение длительного периода времени. Многие угрозы трудно обнаружить без целостной картины всей среды удостоверений.

• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.

• Как. Разверните и включите Microsoft Defender для удостоверений и просмотрите все открытые оповещения.

• Оценка ключевых результатов. Все открытые оповещения проверены и устранены соответствующими командами.

Улучшение управления учетными данными

Реализация и документирование самостоятельного сброса пароля и объединенной регистрации сведений о безопасности

• Что. Включение и настройка самостоятельного сброса пароля (SSPR) в вашей организации и включение объединенного процесса регистрации сведений о безопасности.
• Почему. Пользователи могут сбрасывать свои пароли после регистрации. Объединенный интерфейс регистрации сведений о безопасности обеспечивает лучший пользовательский интерфейс, позволяющий регистрировать многофакторную проверку подлинности Microsoft Entra и самостоятельный сброс пароля. При совместном использовании эти инструменты способствуют снижению затрат на службу технической поддержки и повышению удовлетворенности уровня пользователей.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
    • централизованные ИТ-операции (обновлены процессы службы технической поддержки и проведено соответствующее обучение персонала);
• Практическое руководство. Включение и развертывание SSPR см. в статье "Планирование развертывания самостоятельного сброса пароля Microsoft Entra".
• Оценка ключевых результатов. Самостоятельный сброс пароля полностью настроен и доступен для организации.

Защита учетных записей администраторов. Включение и требование MFA или без пароля для привилегированных пользователей Идентификатора Microsoft Entra

• Что: требуется использовать все привилегированные учетные записи в идентификаторе Microsoft Entra для использования строгой многофакторной проверки подлинности

• Зачем. Для защиты доступа к данным и службам в Microsoft 365.

• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
    • централизованные ИТ-операции (обновлены процессы службы технической поддержки и проведено соответствующее обучение персонала);
    • централизованные ИТ-операции (обновлены процессы владельцев услуг и проведено соответствующее обучение персонала).

• Практическое руководство. Включение многофакторной проверки подлинности (MFA) Microsoft Entra и регистрация всех других учетных записей без федеративных администраторов с высоким уровнем привилегий. Требовать многофакторную проверку подлинности при входе для всех отдельных пользователей, которые постоянно назначены одной или нескольким ролям администратора Microsoft Entra, например:

  • Глобальный администратор
  • администратор привилегированных ролей;
  • Администратор Exchange
  • Администратор SharePoint

  Требуйте от администраторов использовать методы входа без пароля, такие как ключи безопасности FIDO2 или Windows Hello для бизнеса, в сочетании с уникальными длинными и сложными паролями. Внесите это изменение, зафиксировав его в документе политики организации.

Следуйте инструкциям в следующих статьях: планирование развертывания многофакторной проверки подлинности Microsoft Entra и планирование развертывания без пароля проверки подлинности в идентификаторе Microsoft Entra ID.

• Результаты измерения ключа: 100% привилегированных пользователей используют проверку подлинности без пароля или надежную форму многофакторной проверки подлинности для всех входов. Описание многофакторной проверки подлинности см . в учетных записях привилегированного доступа

Блокирование устаревших протоколов проверки подлинности для привилегированных учетных записей пользователей

• Что. Блокирование использования устаревшего протокола проверки подлинности для учетных записей привилегированных пользователей.

• Почему: организации должны блокировать эти устаревшие протоколы проверки подлинности, так как многофакторная проверка подлинности не может быть применена к ним. При включении устаревших протоколов проверки подлинности можно создать точку входа для злоумышленников. Некоторые устаревшие приложения могут использовать эти протоколы, а организации — создавать определенные исключения для определенных учетных записей. Следует отслеживать эти исключения и внедрять дополнительные элементы управления.

• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • политику и стандарты, т. е. определение четких требований;
    • управление удостоверениями и ключами или централизованные ИТ-операции, которые предназначены для реализации политики;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.

• Практическое руководство. Чтобы заблокировать устаревшие протоколы проверки подлинности в организации, следуйте инструкциям в статье "Практическое руководство. Блокировка устаревшей проверки подлинности в идентификаторе Microsoft Entra с помощью условного доступа".

• Оценка ключевых результатов:

  • Устаревшие протоколы заблокированы. Все устаревшие протоколы заблокированы для всех пользователей, кроме разрешенных исключений.
  • Исключения. Разрешения на исключения рассматриваются каждые 90 дней и окончательно истекают в течение одного года. Владельцы приложений должны исправить все исключения в течение одного года с момента утверждения первого исключения.

Процесс согласия на приложение

• Что: отключите согласие конечных пользователей для приложений Microsoft Entra.

Примечание.

Это изменение потребует централизации процесса принятия решений с группами управления безопасностью и удостоверениями вашей организации.

• Зачем. Пользователи могут непреднамеренно создать риск для организации, дав согласие на приложение, которое может получить злонамеренный доступ к данным организации.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
    • централизованные ИТ-операции (обновлены процессы службы технической поддержки и проведено соответствующее обучение персонала);
    • централизованные ИТ-операции (обновлены процессы владельцев услуг и проведено соответствующее обучение персонала).
• Как. Установите централизованный процесс получения согласия для обеспечения централизованной видимости и контроля приложений, которые имеют доступ к данным, следуя рекомендациям, предоставленным в статье Управление согласием на приложения и оценка запросов на согласие.
• Результаты измерения ключа: конечные пользователи не могут предоставить доступ к приложению Microsoft Entra

Очистка учетной записи и риски при входе

• Что: включите Защита идентификации Microsoft Entra и очистку любых рисков, которые он находит.
• Почему. Поведение пользователя, совершающего рискованные действия, и поведение входа могут быть источниками атак на вашу организацию.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
    • централизованные ИТ-операции (обновлены процессы для звонков в службу технической поддержки и проведено соответствующее обучение персонала).
• Как. Создание процесса, который отслеживает рискованное поведение пользователей и входа и управляет им. Определите, будет ли вы автоматизировать исправление, используя многофакторную проверку подлинности Microsoft Entra и SSPR, или заблокировать и потребовать вмешательства администратора. Следуйте инструкциям в статье "Практическое руководство. Настройка и включение политик риска".
• Оценка ключевых результатов. В организации отсутствуют неустраненные риски для пользователей и входа в систему.

Примечание.

Политики условного доступа необходимы для блокировки накопления новых рисков при входе. См. сведения об условном доступе в разделе о развертывании привилегированного доступа

Начальное развертывание рабочих станций администратора

• Что. Привилегированные учетные записи, такие как учетные записи глобального администратора, имеют выделенные рабочие станции для выполнения задач администрирования.
• Почему. Устройства, на которых выполняются привилегированные задачи администрирования, являются целью злоумышленников. Решающее значение для уменьшения возможностей атак имеет не только безопасность учетной записи, но и безопасность ресурсов. Такое разделение ограничивает их уязвимость для обычных атак, направленных на операции, связанные с производительностью, например обмен электронными сообщениями и просмотр веб-страниц.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
    • централизованные ИТ-операции (обновлены процессы службы технической поддержки и проведено соответствующее обучение персонала);
    • централизованные ИТ-операции (обновлены процессы владельцев услуг и проведено соответствующее обучение персонала).
• Как. Начальное развертывание должно быть на уровне предприятия, как описано в статье Развертывание с привилегированным доступом.
• Измерение ключевых результатов. Каждая привилегированная учетная запись имеет выделенную рабочую станцию для выполнения конфиденциальных задач.

Примечание.

Этот шаг быстро устанавливает базовый уровень безопасности, и его необходимо как можно скорее повысить до специализированного и привилегированного уровней.

Следующие шаги

• Общие сведения о защите привилегированного доступа
• Стратегия привилегированного доступа
• Измерение успеха
• Уровни безопасности
• Учетные записи привилегированного доступа
• Посредников
• Интерфейсы
• Устройства с привилегированным доступом
• Корпоративная модель доступа