План быстрой модернизации безопасности

Этот план быстрой модернизации (RAMP) поможет быстро внедрить рекомендуемую стратегию привилегированного доступа корпорации Майкрософт.

Эта схема основана на технических элементах управления, определенных в руководстве по развертыванию привилегированного доступа. Выполните эти шаги, а затем используйте шаги по RAMP, чтобы настроить элементы управления для организации.

Сводка по плану быстрой модернизации привилегированного доступа

Примечание

Многие из этих шагов будут иметь динамику нового или имеющегося приложения, поскольку организации часто сталкиваются с угрозами безопасности из-за того, что они уже развернуты или настроены учетные записи. Эта стратегия развития предполагает прежде всего остановить накопление новых рисков для безопасности, а затем очистить оставшиеся элементы, которые уже накоплены.

После выполнения стратегии развития со временем вы можете использовать службу "Оценка безопасности Майкрософт" для отслеживания и сравнения многих элементов в пути взаимодействия с другими пользователями в аналогичных организациях. Дополнительные сведения об оценке безопасности Майкрософт см. в статье Обзор оценки безопасности.

Каждый элемент в RAMP структурирован в виде инициативы, которая будет отслеживаться и управляться с использованием формата, основанного на методологии целей и ключевых показателей (OKR). Каждый элемент включает значение "что" (цель), "зачем", "кто", "как" и "как измерять" (ключевые результаты). Некоторые элементы требуют изменений в процессах и знаниях или навыках людей, в то время как другие представляют собой более простые технологические изменения. Во многих из этих инициатив будут задействованы участники, которые не являются сотрудниками традиционного ИТ-отдела. Они должны участвовать в принятии решений и внедрении этих изменений, чтобы обеспечить их успешную интеграцию в вашей организации.

Критически важно работать вместе как организация, создавать партнерские отношения и заниматься обучением людей, которые обычно не участвовали в этом процессе. Крайне важно создать и поддерживать заинтересованность во всей организации, иначе многие проекты потерпят неудачу.

Распределение привилегированных учетных записей и управление ими

Учетные записи для аварийного доступа

  • Что. Убедитесь, что ваша организация Azure Active Directory (Azure AD) не была случайно заблокирована в экстренной ситуации.
  • Зачем. Учетные записи аварийного доступа используются редко и несут опасность нанесения большого ущерба организации в случае взлома, однако их доступность для организации также критически важна для нескольких сценариев, при которых они используются. Убедитесь, что у вас есть план непрерывности доступа, учитывающий как ожидаемые, так и неожиданные события.
  • Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Как. Следуйте указаниям в статье Управление учетными записями для аварийного доступа в Azure AD.
  • Оценка ключевых результатов:
    • Установлено. Процесс аварийного доступа разработан на основе руководств корпорации Майкрософт, соответствующих потребностям организации.
    • Поддерживается. Аварийный доступ был проверен и протестирован за последние 90 дней.

Включение Azure AD Privileged Identity Management

  • Что. Используйте Azure AD Privileged Identity Management (PIM) в рабочей среде Azure AD для обнаружения и безопасности привилегированных учетных записей.
  • Зачем. Privileged Identity Management обеспечивает активацию ролей на основе времени и утверждения, чтобы снизить риски чрезмерных, ненужных или неправильно используемых разрешений доступа.
  • Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Как. Инструкции по развертыванию и настройке Azure AD Privileged Identity Management см. в статье Развертывание Azure AD Privileged Identity Management (PIM).
  • Оценка ключевых результатов. Абсолютно все применимые роли с привилегированным доступом используют Azure AD PIM.

Выявление и классификация привилегированных учетных записей (Azure AD)

  • Что. Определите все роли и группы, имеющие большое влияние на бизнес, которым потребуется привилегированный уровень безопасности (немедленно или со временем). Этим администраторам потребуются щадячие учетные записи на следующем шаге Администрирование привилегированного доступа.

  • Почему. Этот шаг необходим для определения и сокращения количества людей, которым требуются отдельные учетные записи и защита привилегированного доступа.

  • Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Практическое руководство. После включения Azure AD управление привилегированными пользователями просмотрите пользователей, которые имеют как минимум следующие Azure AD роли на основе политик риска вашей организации:

    • Глобальный администратор
    • Администратор привилегированных ролей
    • администратор Exchange;
    • администратор SharePoint;

    Полный список ролей администратора см. в статье Разрешения роли администратора в Azure Active Directory.

    Удалите все учетные записи, которые больше не нужны в этих ролях. Затем классифицируйте оставшиеся учетные записи, назначенные ролям администраторов:

    • назначаются пользователям с правами администратора, но также используются в неадминистративных целях, например, для чтения и ответа на сообщения электронной почты;
    • назначается пользователями с правами администратора и используется только для административных целей;
    • совместно используется несколькими пользователями;
    • для сценариев аварийного доступа;
    • для автоматических скриптов;
    • для внешних пользователей.

Если в вашей организации нет Azure AD Privileged Identity Management, можно использовать API PowerShell. Начните с роли глобального администратора, так как глобальный администратор имеет одни и те же разрешения во всех облачных службах, на которые подписана ваша организация. Эти разрешения предоставляются независимо от того, где они были назначены: в Центре администрирования Microsoft 365, на портале Azure или в модуле Azure AD для Microsoft PowerShell.

  • Оценка ключевых результатов. Проверка и идентификация ролей с привилегированным доступом выполнена за последние 90 дней.

Отдельные учетные записи (локальные учетные записи AD)

  • Что. Защита локальных привилегированных учетных записей (если это еще не осуществлено). Этот этап включает в себя следующее.

    • Создание отдельных учетных записей администраторов для пользователей, которым необходимо выполнять локальные задачи администрирования
    • Развертывание рабочих станций с привилегированным доступом для администраторов Active Directory
    • Создание уникальных паролей локальных администраторов для рабочих станций и серверов
  • Почему. Усиление защиты учетных записей, используемых для административных задач. В учетных записях администратора должна быть отключена почта, а личные учетные записи Майкрософт использовать нельзя.

  • Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Как. У всех сотрудников, у которых есть права администратора, должны быть отдельные учетные записи для выполнения административных функций, отличные от учетных записей пользователей. Не предоставляйте общий доступ к этим учетным записям пользователей.

    • Учетные записи обычных пользователей предусматривают привилегии обычного пользователя для соответствующих задач, таких как обмен сообщениями электронной почты, просмотр веб-страниц и использование бизнес-приложений. Этим учетным записям не следует предоставлять права администратора.
    • Учетные записи администраторов — отдельные учетные записи, созданные для специалистов, которым назначены соответствующие права.
  • Оценка ключевых результатов. Абсолютно все локальные привилегированные пользователи имеют отдельно выделенные учетные записи.

Microsoft Defender для удостоверений

  • Что. Microsoft Defender для удостоверений объединяет локальные сигналы с облачной аналитикой для отслеживания, защиты и исследования событий в упрощенном формате, что позволяет вашим группам безопасности обнаруживать расширенные атаки на вашу инфраструктуру удостоверения с возможностью:

    • отслеживать пользователей, поведение сущностей и действия с помощью аналитики на основе обучения;
    • защищать удостоверения и учетные данные пользователей, хранящиеся в Active Directory;
    • выявлять и изучать подозрительные действия пользователей и современные атаки на основе модели цепочки атаки;
    • получать сведения об инцидентах в четко установленные сроки для быстрого рассмотрения.
  • Почему. Современные злоумышленники могут оставаться незамеченными в течение длительного периода времени. Многие угрозы трудно обнаружить без целостной картины всей среды удостоверений.

  • Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Как. Разверните и включите Microsoft Defender для удостоверений и просмотрите все открытые оповещения.

  • Оценка ключевых результатов. Все открытые оповещения проверены и устранены соответствующими командами.

Улучшение управления учетными данными

Реализация и документирование самостоятельного сброса пароля и объединенной регистрации сведений о безопасности

  • Что. Включение и настройка самостоятельного сброса пароля (SSPR) в вашей организации и включение объединенного процесса регистрации сведений о безопасности.
  • Почему. Пользователи могут сбрасывать свои пароли после регистрации. Объединенный способ регистрации сведений о безопасности обеспечивает более удобное взаимодействие с пользователем, позволяя регистрироваться для многофакторной проверки подлинности Azure AD и самостоятельного сброса пароля. При совместном использовании эти инструменты способствуют снижению затрат на службу технической поддержки и повышению удовлетворенности уровня пользователей.
  • Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Как. О том, как включить и развернуть SSPR, см. в статье Планирование развертывания самостоятельного сброса пароля Azure Active Directory.
  • Оценка ключевых результатов. Самостоятельный сброс пароля полностью настроен и доступен для организации.

Защита учетных записей администраторов. Включение и использование методов многофакторной проверки подлинности или входа без пароля для привилегированных пользователей Azure AD

  • Что. Требование, чтобы все привилегированные учетные записи в Azure AD использовали надежную многофакторную проверку подлинности.

  • Зачем. Для защиты доступа к данным и службам в Microsoft 365.

  • Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Как. Включите многофакторную проверку подлинности (MFA) и зарегистрируйте все другие однопользовательские нефедеративные учетные записи администратора с высокими привилегиями. Требуйте использовать многофакторную идентификацию при входе для всех отдельных пользователей, которым на постоянной основе назначена одна или несколько ролей администратора Azure AD:

    • Глобальный администратор.
    • администратор привилегированных ролей;
    • администратор Exchange;
    • администратор SharePoint;

    Требуйте от администраторов использовать методы входа без пароля, такие как ключи безопасности FIDO2 или Windows Hello для бизнеса, в сочетании с уникальными длинными и сложными паролями. Внесите это изменение, зафиксировав его в документе политики организации.

Следуйте рекомендациям из статей Планирование развертывания многофакторной проверки подлинности Azure AD и Планирование развертывания проверки подлинности без пароля в Azure Active Directory.

  • Оценка ключевых результатов. Абсолютно все привилегированные пользователи используют проверку подлинности без пароля или надежную форму многофакторной проверки подлинности для всех входов. Описание многофакторной проверки подлинности см. в статье об учетных записях привилегированного доступа.

Блокирование устаревших протоколов проверки подлинности для привилегированных учетных записей пользователей

  • Что. Блокирование использования устаревшего протокола проверки подлинности для учетных записей привилегированных пользователей.

  • Почему. Организации должны блокировать эти устаревшие протоколы проверки подлинности, так как для них не может применяться многофакторная проверка подлинности. При включении устаревших протоколов проверки подлинности можно создать точку входа для злоумышленников. Некоторые устаревшие приложения могут использовать эти протоколы, а организации — создавать определенные исключения для определенных учетных записей. Следует отслеживать эти исключения и внедрять дополнительные элементы управления.

  • Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.

  • Как. Чтобы заблокировать устаревшие протоколы проверки подлинности в организации, следуйте рекомендациям, предоставленным в статье Как заблокировать устаревшие методы проверки подлинности в Azure AD с помощью Условного доступа.

  • Оценка ключевых результатов:

    • Устаревшие протоколы заблокированы. Все устаревшие протоколы заблокированы для всех пользователей, кроме разрешенных исключений.
    • Исключения. Разрешения на исключения рассматриваются каждые 90 дней и окончательно истекают в течение одного года. Владельцы приложений должны исправить все исключения в течение одного года с момента утверждения первого исключения.
  • Что. Отключение согласия конечных пользователей на приложения Azure AD.

Примечание

Это изменение потребует централизации процесса принятия решений с группами управления безопасностью и удостоверениями вашей организации.

Очистка учетной записи и риски при входе

  • Что. Включение защиты идентификации Azure AD и устранение всех обнаруженных рисков.
  • Почему. Поведение пользователя, совершающего рискованные действия, и поведение входа могут быть источниками атак на вашу организацию.
  • Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Как. Создание процесса, который отслеживает рискованное поведение пользователей и входа и управляет им. Вам предстоит решить, будете ли вы автоматизировать исправление с помощью многофакторной проверки подлинности Azure AD и SSPR или же заблокируете устаревшие протоколы и потребуете вмешательства администратора. Следуйте рекомендациям, предоставленным в статье Как настроить и включить политики рисков.
  • Оценка ключевых результатов. В организации отсутствуют неустраненные риски для пользователей и входа в систему.

Примечание

Политики условного доступа необходимы для блокировки накопления новых рисков при входе. См. сведения об условном доступе в разделе о развертывании привилегированного доступа

Начальное развертывание рабочих станций администратора

  • Что? Привилегированные учетные записи, такие как глобальные администраторы, имеют выделенные рабочие станции для выполнения административных задач.
  • Почему. Устройства, на которых выполняются привилегированные задачи администрирования, являются целью злоумышленников. Решающее значение для уменьшения возможностей атак имеет не только безопасность учетной записи, но и безопасность ресурсов. Такое разделение ограничивает их уязвимость для обычных атак, направленных на операции, связанные с производительностью, например обмен электронными сообщениями и просмотр веб-страниц.
  • Кто. Эта инициатива обычно относится к Управлению удостоверениями и ключами и (или) Архитектуре безопасности.
  • Как. Начальное развертывание должно быть на уровне предприятия, как описано в статье Развертывание с привилегированным доступом.
  • Измерение ключевых результатов. Каждая привилегированная учетная запись имеет выделенную рабочую станцию для выполнения конфиденциальных задач.

Примечание

Этот шаг быстро устанавливает базовый уровень безопасности, и его необходимо как можно скорее повысить до специализированного и привилегированного уровней.

Дальнейшие действия