Параметры безопасности по умолчанию в Azure AD

Корпорация Майкрософт делает параметры безопасности по умолчанию доступными для всех, так как управление безопасностью может быть сложной задачей. В современной среде распространены атаки, связанные с удостоверениями, такие как распыление паролей, воспроизведение и фишинг. Более 99,9 % таких атак, связанных с удостоверениями, можно остановить применением многофакторной проверки подлинности (MFA) и блокировкой устаревших протоколов проверки подлинности. Цель состоит в том, чтобы гарантировать наличие по меньшей мере базового уровня безопасности у всех организаций без дополнительной платы.

Параметры безопасности по умолчанию помогают защитить организацию от таких атак, связанных с удостоверениями, с помощью предварительно настроенных параметров:

Для кого они предназначены?

  • Для организаций, которые хотят повысить уровень безопасности, но не знают, с чего начать.
  • Для организаций, которые используют бесплатную лицензию Azure Active Directory.

Кто должен использовать условный доступ?

  • Если в вашей организации используются политики условного доступа, возможно, параметры безопасности по умолчанию вам не подходят.
  • Если у вашей организации есть лицензии Azure Active Directory Premium, возможно, параметры безопасности по умолчанию вам не подходят.
  • Если у вашей организации сложные требования к безопасности, следует рассмотреть Условный доступ.

Включение параметров безопасности по умолчанию

Если ваш клиент создан 22 октября 2019 г. или позднее, возможно, параметры безопасности по умолчанию уже включены. В целях защиты всех наших пользователей параметры безопасности по умолчанию развертываются для всех новых клиентов при создании.

Чтобы включить параметры безопасности по умолчанию в каталоге, выполните следующие действия.

  1. Войдите на портал Azure с учетными данными глобального администратора, администратора безопасности или администратора условного доступа.
  2. Перейдите в раздел Azure Active Directory>Свойства.
  3. Выберите Управление параметрами безопасности по умолчанию.
  4. Задайте для параметра Включить параметры безопасности по умолчанию значение Да.
  5. Щелкните Сохранить.

Снимок экрана: портал Azure с переключателем для включения параметров безопасности по умолчанию

Принудительные политики безопасности

Требование регистрации всех пользователей для прохождения многофакторной проверки подлинности Azure AD

Все пользователи в арендаторе должны зарегистрироваться в Azure MFA для использования многофакторной проверки подлинности (MFA). У пользователей есть 14 дней, чтобы зарегистрироваться для Azure AD Многофакторной идентификации с помощью приложения Microsoft Authenticator или любого приложения, поддерживающего OATH TOTP. Через 14 дней пользователь не сможет войти в систему до прохождения регистрации. 14-дневный период начинается с первого успешного интерактивного входа после включения параметров безопасности по умолчанию.

Требование выполнения администраторами многофакторной проверки подлинности

Администраторы имеют больше прав доступа к вашей среде. Из-за возможностей этих высоко привилегированных учетных записей при работе с ними следует соблюдать осторожность. Наиболее распространенный способ повышения защиты привилегированных учетных записей — использовать более строгую форму проверки учетной записи при входе в систему. В Azure Active Directory для более строгой проверки учетной записи можно включить обязательную многофакторную проверку подлинности.

Совет

Мы рекомендуем использовать отдельные учетные записи для администрирования и стандартных рабочих задачи, чтобы значительно сократить число запросов прохождения проверки MFA для администраторов.

После регистрации в Azure AD MFA администраторы Azure AD со следующими ролями должны будут проходить дополнительную проверку подлинности при каждом входе:

  • Глобальный администратор.
  • администратор приложений;
  • администратор проверки подлинности.
  • Администратор выставления счетов
  • Администратор облачных приложений
  • Администратор условного доступа
  • администратор Exchange;
  • администратор службы технической поддержки;
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • администратор безопасности;
  • администратор SharePoint;
  • Администратор пользователей

Требование выполнения пользователями многофакторной проверки подлинности по мере необходимости

Мы часто считаем, что дополнительные уровни проверки подлинности требуются только для учетных записей администратора. Администраторы имеют широкие возможности доступа к конфиденциальным сведениям и могут вносить изменения в параметры, относящиеся к подписке. Но злоумышленники часто выбирают конечных пользователей своими жертвами.

Получив доступ, злоумышленники могут запросить доступ к закрытой информации для владельца исходной учетной записи. Они могут даже загрузить весь каталог, чтобы выполнить фишинговую атаку по всей организации.

Один из распространенных способов улучшения защиты для всех пользователей — требование более надежной проверки учетной записи, например Azure MFA. Когда пользователь зарегистрируется, он будет получать запрос на дополнительную проверку подлинности при необходимости. Azure AD решает, когда пользователю будет предложено использовать многофакторную проверку подлинности, по таким факторам, как расположение, устройство, роль и задача. Эта функция защищает все приложения, зарегистрированные в Azure AD, включая приложения SaaS.

Примечание

Пользователи прямого соединения B2B должны выполнить все требования многофакторной проверки подлинности, которые заданы параметрами безопасности по умолчанию в арендаторе, где расположены используемые ими ресурсы, включая регистрацию для многофакторной проверки подлинности в домашнем арендаторе.

Блокировка устаревших протоколов проверки подлинности

Чтобы предоставить пользователям удобный доступ к облачным приложениям, Azure AD поддерживает широкий набор протоколов проверки подлинности, часть из которых уже устарела. Устаревшие методы проверки подлинности включают следующие запросы:

  • Запросы от клиентов, которые не используют современную проверку подлинности (например, клиент Office 2010).
  • Запросы от любых клиентов, использующих более старые почтовые протоколы, такие как IMAP, SMTP или POP3.

Сегодня большинство попыток входа в систему поступает от устаревших методов проверки подлинности. Устаревшая проверка подлинности не поддерживает многофакторную проверку подлинности. Даже если в каталоге включена политика Azure MFA, злоумышленник может пройти проверку подлинности с помощью старого протокола и обойти защиту.

После включения параметров безопасности по умолчанию в клиенте все запросы проверки подлинности, созданные с помощью старого протокола, будут заблокированы. Параметры безопасности по умолчанию блокируют базовую проверку подлинности Exchange Active Sync.

Предупреждение

Перед включением параметров безопасности по умолчанию убедитесь, что администраторы не используют старые протоколы проверки подлинности. Дополнительные сведения см. в разделе Как отказаться от устаревшей проверки подлинности.

Защита привилегированных действий, таких как доступ к порталу Azure

Организации используют различные службы Azure, управляемые через API Azure Resource Manager, в том числе следующие.

  • Портал Azure
  • Azure PowerShell
  • Azure CLI

Использование Azure Resource Manager для управления службами — это действие с высоким уровнем привилегий. Azure Resource Manager может изменять конфигурации на уровне клиента, такие как параметры службы и выставление счетов по подписке. Однофакторная проверка подлинности уязвима к нескольким видам атак, таким как фишинг и подбор.

Важно проверить подлинность пользователей, которые хотят получить доступ к Azure Resource Manager и обновить конфигурацию. Прежде чем разрешить доступ, проводится обязательная дополнительная проверка подлинности.

После настройки параметров безопасности по умолчанию в арендаторе любой пользователь должен будет пройти многофакторную проверку подлинности при обращении к следующим службам:

  • Портал Azure
  • Azure PowerShell
  • Azure CLI

Эта политика применяется ко всем пользователям, обращающимся к службам Azure Resource Manager, будь то администратор или простой пользователь.

Примечание

В клиентах Exchange Online до версии 2017 современная проверка подлинности по умолчанию отключена. Чтобы избежать цикла входа во время проверки подлинности в этих клиентах, необходимо включить современную проверку подлинности.

Примечание

Учетная запись синхронизации Azure AD Connect исключается из параметров безопасности по умолчанию, то есть для нее не требуется регистрация или выполнение многофакторной проверки подлинности. Организациям не следует использовать эту учетную запись в других целях.

Рекомендации по развертыванию

Методы проверки подлинности

Пользователи по умолчанию должны регистрироваться и использовать Azure AD Многофакторной идентификации с помощью приложения Microsoft Authenticator с помощью уведомлений. Можно использовать коды проверки из приложения Microsoft Authenticator, но регистрироваться необходимо только с уведомлениями. Пользователи также могут использовать любое стороннее приложение, использующее OATH TOTP для создания кодов.

Предупреждение

Не отключайте методы для организации, если используются параметры безопасности по умолчанию. Отключение методов может привести к блокировке вашего клиента. Оставьте все методы, доступные для пользователей, включенными на портале параметров службы MFA.

Учетные записи администратора резервного копирования

Каждая организация должна иметь по меньшей мере две настроенные учетные записи администратора резервного копирования. Мы называем их учетными записями для аварийного доступа.

Эти учетные записи предназначены для сценарием, когда обычные учетные записи администратора использовать невозможно. Например, пользователь, которому недавно предоставили права глобального административного доступа, покинул организацию. Azure AD предотвращает удаление последней учетной записи глобального администратора, но не мешает удалению или отключению локальной учетной записи. В этих случаях сбой может привести к тому, что организация не сможет восстановить учетную запись.

Учетные записи для аварийного доступа:

  • получают права глобального администратора в Azure AD;
  • не используются в повседневной работе;
  • защищены длинным сложным паролем.

Учетные данные для этих учетных записей аварийного доступа должны храниться в безопасном месте вне сети, например в огнестойком сейфе. Доступ к этим учетным данным должны иметь только полномочные пользователи.

Чтобы создать учетную запись для аварийного доступа, сделайте следующее:

  1. Войдите на портал Azure в качестве существующего глобального администратора.
  2. Перейдите в раздел Azure Active Directory>Пользователи.
  3. Выберите Новый пользователь.
  4. Щелкните Create user (Создать пользователя).
  5. Присвойте учетной записи Имя пользователя.
  6. Присвойте учетной записи Имя.
  7. Создайте для учетной записи длинный и сложный пароль.
  8. В разделе Роли назначьте роль Глобальный администратор.
  9. В разделе Место использованиявыберите нужное расположение.
  10. Нажмите кнопку создания.

Вы можете отключить срок действия пароля для этих учетных записей с помощью Azure AD PowerShell.

Более подробные сведения об учетных записях для аварийного доступа см. в разделе Управление учетными записями для аварийного доступа в Azure AD.

Пользователи B2B

Ко всем гостевым пользователям B2B и пользователям прямого соединения B2B, которые обращаются к каталогу, будут применяться те же правила, что и к пользователям вашей организации.

Отключенное состояние MFA

Если ваша организация ранее использовала MFA Azure AD для отдельных пользователей, не беспокойтесь, если не увидите пользователей с состоянием Включено или Применено на странице состояния Azure MFA. Отключено — это нормальное состояние для пользователей, которые используют параметры безопасности по умолчанию или условный доступ на основе MFA Azure AD.

Условный доступ

Условный доступ можно использовать для настройки политик, которые в целом похожи на параметры безопасности по умолчанию, но имеют более высокую степень детализации. Политики условного доступа позволяют выбрать другие способы проверки подлинности и возможность исключения пользователей, которые недоступны в параметрах безопасности по умолчанию. Если в настоящее время в своей среде вы используете условный доступ, параметры безопасности по умолчанию не будут доступны.

Предупреждающее сообщение о том, что можно настроить только параметры безопасности по умолчанию или условный доступ, но не одновременно

Если вы хотите включить условный доступ для настройки набора политик, которые являются хорошей отправной точкой для защиты удостоверений:

Отключение параметров безопасности по умолчанию

Организации, которые решили реализовать политики условного доступа, заменяющие параметры безопасности по умолчанию, должны отключить параметры безопасности по умолчанию.

Предупреждающее сообщение об отключении параметров безопасности по умолчанию для включения условного доступа

Чтобы отключить параметры безопасности по умолчанию в каталоге, выполните следующие действия.

  1. Войдите на портал Azure с учетными данными глобального администратора, администратора безопасности или администратора условного доступа.
  2. Перейдите в раздел Azure Active Directory>Свойства.
  3. Выберите Управление параметрами безопасности по умолчанию.
  4. Задайте для параметра Включить параметры безопасности по умолчанию значение Нет.
  5. Щелкните Сохранить.

Дальнейшие действия