План быстрой модернизации безопасности

Этот план быстрой модернизации (RAMP) поможет быстро внедрить рекомендуемую стратегию привилегированного доступа корпорации Майкрософт.

Эта схема основана на технических элементах управления, определенных в руководстве по развертыванию привилегированного доступа. Выполните эти шаги, а затем используйте шаги по RAMP, чтобы настроить элементы управления для организации.

Примечание.

Многие из этих шагов будут иметь динамику нового или имеющегося приложения, поскольку организации часто сталкиваются с угрозами безопасности из-за того, что они уже развернуты или настроены учетные записи. Эта стратегия развития предполагает прежде всего остановить накопление новых рисков для безопасности, а затем очистить оставшиеся элементы, которые уже накоплены.

После выполнения стратегии развития со временем вы можете использовать службу "Оценка безопасности Майкрософт" для отслеживания и сравнения многих элементов в пути взаимодействия с другими пользователями в аналогичных организациях. Дополнительные сведения об оценке безопасности Майкрософт см. в статье Обзор оценки безопасности.

Каждый элемент в RAMP структурирован в виде инициативы, которая будет отслеживаться и управляться с использованием формата, основанного на методологии целей и ключевых показателей (OKR). Каждый элемент включает значение "что" (цель), "зачем", "кто", "как" и "как измерять" (ключевые результаты). Для некоторых элементов требуются изменения в процессах и знаниях людей или навыках, а другие — это более простые изменения технологий. Многие из этих инициатив будут включать членов за пределами традиционного ИТ-отдела, который должен быть включен в принятие решений и реализацию этих изменений, чтобы убедиться, что они успешно интегрированы в вашу организацию.

Важно работать вместе как организация, создавать партнерские отношения и обучать людей, которые традиционно не были частью этого процесса. Очень важно создавать и поддерживать покупку в организации, без того, чтобы многие проекты не выполнялись.

Распределение привилегированных учетных записей и управление ими

Учетные записи для аварийного доступа

• Что: убедитесь, что вы не случайно заблокированы из вашей организации Microsoft Entra в чрезвычайной ситуации.
• Почему: учетные записи аварийного доступа редко используются и сильно вредят организации, если они скомпрометируются, но их доступность в организации также критически важна для нескольких сценариев, когда они необходимы. Убедитесь, что у вас есть план непрерывности доступа, учитывающий как ожидаемые, так и неожиданные события.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, которая документирует четкие требования и стандарты;
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
• Практическое руководство по управлению учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Оценка ключевых результатов:
  • Установлено. Процесс аварийного доступа разработан на основе руководств корпорации Майкрософт, соответствующих потребностям организации.
  • Поддерживается. Аварийный доступ был проверен и протестирован за последние 90 дней.

Включение управление привилегированными пользователями Microsoft Entra

• Что: использование Microsoft Entra управление привилегированными пользователями (PIM) в рабочей среде Microsoft Entra для обнаружения и защиты привилегированных учетных записей
• Зачем. Privileged Identity Management обеспечивает активацию ролей на основе времени и утверждения, чтобы снизить риски чрезмерных, ненужных или неправильно используемых разрешений доступа.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
• Практическое руководство. Развертывание и настройка Microsoft Entra управление привилегированными пользователями с помощью руководства по развертыванию Microsoft Entra управление привилегированными пользователями (PIM).
• Результаты измерения ключа: 100 % применимых ролей привилегированного доступа используют Microsoft Entra PIM

Определение и классификация привилегированных учетных записей (идентификатор Microsoft Entra)

• Что. Определите все роли и группы, имеющие большое влияние на бизнес, которым потребуется привилегированный уровень безопасности (немедленно или со временем). Эти администраторы потребуют отдельных учетных записей в последующих шагах администрирования привилегированного доступа.

• Почему: этот шаг необходим для выявления и минимизации количества пользователей, требующих отдельных учетных записей и защиты привилегированного доступа.

• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.

• Практическое руководство. После включения Microsoft Entra управление привилегированными пользователями просмотрите пользователей, которые находятся в следующих ролях Microsoft Entra, как минимум на основе политик риска вашей организации:

  • Глобальный администратор
  • Администратор привилегированных ролей
  • Администратор Exchange
  • Администратор SharePoint

  Полный список ролей администратора см. в разделе о разрешениях роли Администратор istrator в идентификаторе Microsoft Entra.

  Удалите все учетные записи, которые больше не нужны в этих ролях. Затем классифицируйте оставшиеся учетные записи, назначенные ролям администраторов:

  • назначаются пользователям с правами администратора, но также используются в неадминистративных целях, например, для чтения и ответа на сообщения электронной почты;
  • назначается пользователями с правами администратора и используется только для административных целей;
  • совместно используется несколькими пользователями;
  • для сценариев аварийного доступа;
  • для автоматических скриптов;
  • для внешних пользователей.

Если у вас нет управление привилегированными пользователями Microsoft Entra в организации, можно использовать API PowerShell. Начните с роли глобального Администратор istrator, так как она имеет одинаковые разрешения во всех облачных службах, для которых подписана ваша организация. Эти разрешения предоставляются независимо от того, где они были назначены: в Центре администрирования Microsoft 365, на портале Azure или в модуле Azure AD для Microsoft PowerShell.

• Оценка ключевых результатов. Проверка и идентификация ролей с привилегированным доступом выполнена за последние 90 дней.

Отдельные учетные записи (локальные учетные записи AD)

• Что. Защита локальных привилегированных учетных записей (если это еще не осуществлено). Этот этап включает в себя следующее.

  • Создание отдельных учетных записей администраторов для пользователей, которым необходимо выполнять локальные задачи администрирования
  • Развертывание рабочих станций с привилегированным доступом для администраторов Active Directory
  • Создание уникальных паролей локальных администраторов для рабочих станций и серверов

• Почему. Усиление защиты учетных записей, используемых для административных задач. В учетных записях администратора должна быть отключена почта, а личные учетные записи Майкрософт использовать нельзя.

• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.

• Как. У всех сотрудников, у которых есть права администратора, должны быть отдельные учетные записи для выполнения административных функций, отличные от учетных записей пользователей. Не предоставляйте общий доступ к этим учетным записям пользователей.

  • Учетные записи обычных пользователей предусматривают привилегии обычного пользователя для соответствующих задач, таких как обмен сообщениями электронной почты, просмотр веб-страниц и использование бизнес-приложений. Эти учетные записи не предоставляются правами администратора.
  • Учетные записи администраторов — отдельные учетные записи, созданные для специалистов, которым назначены соответствующие права.

• Оценка ключевых результатов. Абсолютно все локальные привилегированные пользователи имеют отдельно выделенные учетные записи.

Microsoft Defender для удостоверений

• Что. Microsoft Defender для удостоверений объединяет локальные сигналы с облачной аналитикой для отслеживания, защиты и исследования событий в упрощенном формате, что позволяет вашим группам безопасности обнаруживать расширенные атаки на вашу инфраструктуру удостоверения с возможностью:

  • Мониторинг пользователей, поведения сущностей и действий с помощью аналитики на основе обучения
  • Защитите удостоверения и учетные данные пользователей, хранящиеся в Active Directory
  • Выявление и исследование подозрительных действий пользователей и расширенных атак в цепочке убийств
  • Предоставление четкой информации об инциденте для простого временная шкала для быстрой обработки

• Почему: современные злоумышленники могут оставаться незамеченными в течение длительного периода времени. Многие угрозы трудно обнаружить без целостной картины всей среды удостоверений.

• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.

• Как. Разверните и включите Microsoft Defender для удостоверений и просмотрите все открытые оповещения.

• Оценка ключевых результатов. Все открытые оповещения проверены и устранены соответствующими командами.

Улучшение управления учетными данными

Реализация и документирование самостоятельного сброса пароля и объединенной регистрации сведений о безопасности

• Что. Включение и настройка самостоятельного сброса пароля (SSPR) в вашей организации и включение объединенного процесса регистрации сведений о безопасности.
• Почему. Пользователи могут сбрасывать свои пароли после регистрации. Объединенный интерфейс регистрации сведений о безопасности обеспечивает лучший пользовательский интерфейс, позволяющий регистрировать многофакторную проверку подлинности Microsoft Entra и самостоятельный сброс пароля. При совместном использовании эти инструменты способствуют снижению затрат на службу технической поддержки и повышению удовлетворенности уровня пользователей.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
    • централизованные ИТ-операции (обновлены процессы службы технической поддержки и проведено соответствующее обучение персонала);
• Практическое руководство. Включение и развертывание SSPR см. в статье "Планирование развертывания самостоятельного сброса пароля Microsoft Entra".
• Оценка ключевых результатов. Самостоятельный сброс пароля полностью настроен и доступен для организации.

Защита учетных записей администраторов. Включение и требование MFA или без пароля для привилегированных пользователей Идентификатора Microsoft Entra

• Что: требуется использовать все привилегированные учетные записи в идентификаторе Microsoft Entra для использования строгой многофакторной проверки подлинности

• Зачем. Для защиты доступа к данным и службам в Microsoft 365.

• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
    • централизованные ИТ-операции (обновлены процессы службы технической поддержки и проведено соответствующее обучение персонала);
    • централизованные ИТ-операции (обновлены процессы владельцев услуг и проведено соответствующее обучение персонала).

• Практическое руководство. Включение многофакторной проверки подлинности (MFA) Microsoft Entra и регистрация всех других учетных записей без федеративных администраторов с высоким уровнем привилегий. Требовать многофакторную проверку подлинности при входе для всех отдельных пользователей, которые постоянно назначены одной или нескольким ролям администратора Microsoft Entra.

  Требуйте от администраторов использовать методы входа без пароля, такие как ключи безопасности FIDO2 или Windows Hello для бизнеса, в сочетании с уникальными длинными и сложными паролями. Внесите это изменение, зафиксировав его в документе политики организации.

Следуйте инструкциям в следующих статьях: планирование развертывания многофакторной проверки подлинности Microsoft Entra и планирование развертывания без пароля проверки подлинности в идентификаторе Microsoft Entra ID.

• Результаты измерения ключа: 100% привилегированных пользователей используют проверку подлинности без пароля или надежную форму многофакторной проверки подлинности для всех входов. Описание многофакторной проверки подлинности см . в учетных записях привилегированного доступа

Блокирование устаревших протоколов проверки подлинности для привилегированных учетных записей пользователей

• Что. Блокирование использования устаревшего протокола проверки подлинности для учетных записей привилегированных пользователей.

• Почему: организации должны блокировать эти устаревшие протоколы проверки подлинности, так как многофакторная проверка подлинности не может быть применена к ним. При включении устаревших протоколов проверки подлинности можно создать точку входа для злоумышленников. Некоторые устаревшие приложения могут полагаться на эти протоколы и организации имеют возможность создавать определенные исключения для определенных учетных записей. Следует отслеживать эти исключения и внедрять дополнительные элементы управления.

• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • политику и стандарты, т. е. определение четких требований;
    • управление удостоверениями и ключами или централизованные ИТ-операции, которые предназначены для реализации политики;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.

• Практическое руководство. Чтобы заблокировать устаревшие протоколы проверки подлинности в организации, следуйте инструкциям в статье "Практическое руководство. Блокировка устаревшей проверки подлинности в идентификаторе Microsoft Entra с помощью условного доступа".

• Оценка ключевых результатов:

  • Устаревшие протоколы заблокированы. Все устаревшие протоколы заблокированы для всех пользователей, кроме разрешенных исключений.
  • Исключения. Разрешения на исключения рассматриваются каждые 90 дней и окончательно истекают в течение одного года. Владельцы приложений должны исправить все исключения в течение одного года с момента утверждения первого исключения.

Процесс согласия на приложение

• Что: отключите согласие конечных пользователей для приложений Microsoft Entra.

Примечание.

Это изменение потребует централизации процесса принятия решений с группами управления безопасностью и удостоверениями вашей организации.

• Зачем. Пользователи могут непреднамеренно создать риск для организации, дав согласие на приложение, которое может получить злонамеренный доступ к данным организации.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
    • централизованные ИТ-операции (обновлены процессы службы технической поддержки и проведено соответствующее обучение персонала);
    • централизованные ИТ-операции (обновлены процессы владельцев услуг и проведено соответствующее обучение персонала).
• Как. Установите централизованный процесс получения согласия для обеспечения централизованной видимости и контроля приложений, которые имеют доступ к данным, следуя рекомендациям, предоставленным в статье Управление согласием на приложения и оценка запросов на согласие.
• Результаты измерения ключевых результатов: конечные пользователи не могут предоставить доступ к приложению Microsoft Entra

Очистка учетной записи и риски при входе

• Что: включите Защита идентификации Microsoft Entra и очистку любых рисков, которые он находит.
• Почему. Поведение пользователя, совершающего рискованные действия, и поведение входа могут быть источниками атак на вашу организацию.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
    • централизованные ИТ-операции (обновлены процессы для звонков в службу технической поддержки и проведено соответствующее обучение персонала).
• Как. Создание процесса, который отслеживает рискованное поведение пользователей и входа и управляет им. Определите, будет ли вы автоматизировать исправление, используя многофакторную проверку подлинности Microsoft Entra и SSPR, или заблокировать и потребовать вмешательства администратора. Следуйте инструкциям в статье "Практическое руководство. Настройка и включение политик риска".
• Оценка ключевых результатов. В организации отсутствуют неустраненные риски для пользователей и входа в систему.

Примечание.

Политики условного доступа необходимы для блокировки накопления новых рисков при входе. См. сведения об условном доступе в разделе о развертывании привилегированного доступа

Начальное развертывание рабочих станций администратора

• Что: привилегированные учетные записи, такие как управление идентификатором Microsoft Entra ID, имеют выделенные рабочие станции для выполнения административных задач.
• Почему. Устройства, на которых выполняются привилегированные задачи администрирования, являются целью злоумышленников. Решающее значение для уменьшения возможностей атак имеет не только безопасность учетной записи, но и безопасность ресурсов. Такое разделение ограничивает их уязвимость для обычных атак, направленных на операции, связанные с производительностью, например обмен электронными сообщениями и просмотр веб-страниц.
• Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Спонсорство. Эту инициативу обычно спонсируют руководитель по информационной безопасности, директор по информационным технологиям или директор по удостоверениям.
  • Выполнение: эта инициатива представляет собой совместную работу с участием
    • команду по политике и стандартам, что документирует четкие требования и стандарты (на основе этого руководства);
    • управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений;
    • наблюдение за управлением соблюдением требований безопасности, чтобы гарантировать их выполнение.
    • централизованные ИТ-операции (обновлены процессы службы технической поддержки и проведено соответствующее обучение персонала);
    • централизованные ИТ-операции (обновлены процессы владельцев услуг и проведено соответствующее обучение персонала).
• Как. Начальное развертывание должно быть на уровне предприятия, как описано в статье Развертывание с привилегированным доступом.
• Измерение ключевых результатов. Каждая привилегированная учетная запись имеет выделенную рабочую станцию для выполнения конфиденциальных задач.

Примечание.

Этот шаг быстро устанавливает базовый уровень безопасности, и его необходимо как можно скорее повысить до специализированного и привилегированного уровней.

Следующие шаги

• Общие сведения о защите привилегированного доступа
• Стратегия привилегированного доступа
• Измерение успеха
• Уровни безопасности
• Учетные записи привилегированного доступа
• Посредников
• Интерфейсы
• Устройства с привилегированным доступом
• Корпоративная модель доступа