Привилегированный доступ. Учетные записи
Безопасность учетной записи является важнейшим компонентом защиты привилегированного доступа. Чтобы обеспечить сквозную политику "Никому не доверяй" для сеансов необходимо строго установить, что учетная запись, используемая во время сеанса, фактически находится под контролем владельца (человека), а не злоумышленника, выдающего себя за него.
Надежная защита учетной записи начинается прежде всего с безопасной подготовки и полного управления жизненным циклом вплоть до отмены. Каждый сеанс должен обеспечивать надежные гарантии того, что учетная запись в настоящее время не является скомпрометированной, на основе всех доступных данных, в том числе исторических шаблонов поведения, доступной аналитики угроз и использования в текущем сеансе.
Безопасность учетной записи
В этом руководстве определено три уровня безопасности учетной записи, которые можно использовать для ресурсов с разными уровнями конфиденциальности.
Эти уровни устанавливают четкие и осуществимые профили безопасности, соответствующие каждому уровню конфиденциальности, который позволяет быстро назначать роли и масштабировать их. Все эти уровни безопасности учетной записи предназначены для поддержания или повышения производительности людей за счет ограничения или устранения прерываний для рабочих процессов пользователей и администраторов.
Планирование безопасности учетной записи
В этом руководстве описаны технические элементы управления, которые должны соответствовать каждому уровню. Руководство по реализации находится в стратегическом плане по привилегированному доступу.
Элементы управления безопасностью учетной записи
Для обеспечения безопасности интерфейсов требуется сочетание технических элементов управления, которые защищают учетные записи и обеспечивают сигналы для использования при принятии решения о политике "Никому не доверяй" (см. справочник "Защита интерфейсов для настройки политики").
К элементам управления, используемым в этих профилях, относятся:
- многофакторная проверка подлинности — предоставление разнообразных источников подтверждений того, что разработанная система максимально упрощена для пользователей, но сложна для имитации злоумышленнику;
- риск учетной записи — мониторинг угроз и аномалий — использование UEBA и аналитики угроз для обнаружения рискованных сценариев;
- настраиваемый мониторинг — для более конфиденциальных учетных записей явное определение разрешенного или допустимого поведения или шаблонов позволяет на раннем этапе обнаруживать аномальное действие. Этот элемент управления не применим к учетным записям общего назначения на предприятии, поскольку этим учетным записям требуется гибкость для их ролей.
Сочетание элементов управления также позволяет улучшить безопасность и удобство использования. Например, пользователю, который остается в обычном шаблоне (используя одно и то же устройство в одном и том же месте день за днем), не нужно получать запрос при выходе из MFA каждый раз при проверке подлинности.
Учетные записи безопасности предприятия
Элементы управления безопасностью для корпоративных учетных записей предназначены для создания безопасного базового плана для всех пользователей и обеспечения надежной основы для специализированной и привилегированной безопасности.
Применение надежной многофакторной проверки подлинности (MFA). Убедитесь, что пользователь прошел проверку подлинности с помощью надежной многофакторной проверки подлинности, предоставляемой системой удостоверений, управляемой предприятием (подробно см. на схеме ниже). Дополнительные сведения о многофакторной проверке подлинности см. в статье Рекомендации по обеспечению безопасности в Azure 6.
Примечание.
В то время как ваша организация может выбрать использование существующей слабозащищенной формы MFA в течение периода перехода, злоумышленники все чаще обходят более слабую защиту MFA, поэтому все новые инвестиции в MFA должны быть направлены на создание надежно защищенных форм.
Включение риска для учетной записи или сеанса. Убедитесь, что учетная запись не может пройти проверку подлинности, если она имеет низкий (или средний) уровень риска. См. раздел "Уровни безопасности интерфейса" для получения подробных сведений об условной безопасности корпоративных учетных записей.
Мониторинг оповещений и реагирование на них. Операции по обеспечению безопасности должны включать оповещения безопасности учетных записей и иметь достаточное представление об работе с этими протоколами и системами. Так они смогут быстро понять, что означает оповещение, и соответствующим образом отреагировать на него.
На следующей диаграмме показано сравнение различных форм многофакторной проверки подлинности и проверки подлинности без пароля. Каждый вариант в поле "Наилучшие" обладает высоким уровнем безопасности и удобства использования. Каждый из них поддерживает различное оборудование, поэтому вы можете комбинировать и сочетать те, которые применяются к разным ролям или отдельным лицам. Все решения Майкрософт без пароля распознаются Условным доступом в качестве многофакторной проверки подлинности, потому что они требуют объединения того, что у вас есть, либо с биометрическими данными, либо с тем, что вы знаете, либо с тем и тем.
Примечание.
Дополнительные сведения о том, почему SMS и другие способы проверка подлинности по телефону ограничены, см. в записи блога Пришло время отказаться от телефонных методов проверки подлинности.
Специализированные учетные записи
Специализированные учетные записи — это более высокий уровень защиты, подходящий для конфиденциальных пользователей. Благодаря повышенному влиянию на бизнес, специализированные учетные записи гарантируют дополнительный мониторинг и определения приоритетов во время оповещений системы безопасности, расследования инцидентов и поиска угроз.
Специализированная безопасность основана на надежной MFA в корпоративной безопасности, выявляя наиболее конфиденциальные учетные записи и обеспечивая приоритетность оповещений и процессов реагирования:
- Идентификация конфиденциальных учетных записей. См. специализированное руководство по уровню безопасности для идентификации этих учетных записей.
- Тег специализированных учетных записей. Убедитесь, что каждая конфиденциальная учетная запись помечена
- Настройка списков отслеживания Microsoft Sentinel для идентификации этих конфиденциальных учетных записей
- Настройте защиту учетных записей приоритета в Microsoft Defender для Office 365 и назначьте специализированные и привилегированные учетные записи в качестве приоритетных учетных записей .
- Обновление процессов операций безопасности. Обеспечивает оповещениям наивысший приоритет.
- Настройка системы управления — обновление или создание процесса управления, чтобы убедиться в том, что
- все новые роли оцениваются для специализированных или привилегированных классификаций по мере их создания или изменения;
- все новые учетные записи помечаются как созданные;
- непрерывные или периодические проверки гарантируют, что роли и учетные записи не будут пропущены обычными процессами управления.
Привилегированные учетные записи
Привилегированные учетные записи имеют наивысший уровень защиты, поскольку в случае взлома они представляют собой значительное или существенное потенциальное влияние на операции организации.
Привилегированные учетные записи всегда включают ИТ-администраторов с доступом к большинству или всем корпоративным системам, включая большинство или все критически важные для бизнеса системы. Другие учетные записи с высоким влиянием на бизнес также могут гарантировать этот дополнительный уровень защиты. Дополнительные сведения о том, какие роли и учетные записи должны быть защищены на каком уровне, см. в статье Привилегированная безопасность.
Помимо специализированной безопасности, безопасность привилегированных учетных записей повышает:
- защиту. Добавьте элементы управления, чтобы ограничить использование этих учетных записей назначенными устройствами, рабочими станциями и посредниками;
- ответ. Внимательно отслеживайте эти учетные записи на предмет аномальных действий, а также быстро изучайте и устраняйте риски.
Настройка безопасности привилегированных учетных записей
Следуйте указаниям в Плане быстрой модернизации безопасности, чтобы повысить уровень безопасности привилегированных учетных записей и снизить затраты на управление.