Планирование параметров безопасности по умолчанию
Управлять безопасностью бывает сложно из-за распространенных атак, связанных с удостоверениями, таких как распыление паролей, повторное воспроизведение и фишинг, которые становятся все более популярными. Параметры безопасности по умолчанию обеспечивают безопасность параметров по умолчанию, которыми Майкрософт управляет от имени организаций для обеспечения безопасности клиентов до тех пор, пока организации не будут готовы к управлению собственной историей безопасности удостоверений. Параметры безопасности по умолчанию обеспечивают предварительно настроенные настройки безопасности, такие как:
Требование регистрации всех пользователей для многофакторной проверки подлинности.
требовать от администраторов прохождения многофакторной проверки подлинности;
Блокировка устаревших протоколов проверки подлинности.
требовать от пользователей прохождения многофакторной проверки подлинности при необходимости;
Защита привилегированных действий, таких как доступ к порталу Azure..
Доступность
Microsoft предоставляет параметры безопасности по умолчанию для всех. Цель состоит в том, чтобы гарантировать наличие бесплатного базового уровня безопасности у всех организаций. Если арендатор был создан 22 октября 2019 г. или позже, параметры безопасности уже могут быть включены. Чтобы защитить всех пользователей, параметры безопасности по умолчанию включены во всех новых клиентах при создании.
Чтобы включить или отключить параметры безопасности по умолчанию, войдите в Центр администрирования Microsoft Entra как минимум в роли администратора условного доступа, затем перейдите к Entra ID>Обзор>Свойства и выберите Управление параметрами безопасности по умолчанию.
Для кого они предназначены?
| Кто должен использовать значения безопасности по умолчанию? | Кто не должен использовать значения по умолчанию безопасности? |
|---|---|
| Организации, которым требуется повысить уровень безопасности, но они не знают, как и где начать | Организации, которые в настоящее время используют политики условного доступа для объединения сигналов, принятия решений и соблюдения организационных политик |
| Организации, использующие бесплатный уровень лицензирования Идентификатора Microsoft Entra | Организация с лицензиями Microsoft Entra ID Premium |
| Организации со сложными требованиями к безопасности, которые гарантируют использование условного доступа |
Примененные политики
Единая регистрация для многофакторной проверки подлинности
Все пользователи в вашем тенанте должны зарегистрироваться для использования многофакторной аутентификации (MFA) с помощью приложения Microsoft Authenticator. Регистрация требуется немедленно— нет льготного периода. Когда пользователи вошли после включения по умолчанию безопасности, им будет предложено зарегистрировать, прежде чем они смогут получить доступ к любым ресурсам. Запрос MFA использует сопоставление номеров, где пользователи вводят число, отображаемое на экране, в приложение Microsoft Authenticator, что помогает предотвратить атаки усталости MFA.
Защита администраторов
Пользователи с привилегированным доступом часто увеличивают доступ к вашей среде. Из-за возможностей этих учетных записей при работе с ними следует соблюдать осторожность. Наиболее распространенный способ повышения защиты привилегированных учетных записей — использовать более строгую форму проверки учетной записи при входе в систему. В идентификаторе Microsoft Entra можно получить более надежную проверку учетной записи, требуя многофакторной проверки подлинности.
После завершения регистрации с многофакторной проверкой подлинности следующие роли администратора Microsoft Entra требуются для выполнения другой проверки подлинности при каждом входе:
- Глобальный администратор
- Администратор приложений
- Администратор проверки подлинности
- Администратор политики проверки подлинности
- администратора выставления счетов;
- Администратор облачных приложений
- Администратор условного доступа
- Администратор Exchange
- Администратор службы технической поддержки
- Администратор управления удостоверениями
- Администратор паролей
- Привилегированный администратор проверки подлинности
- Администратор привилегированных ролей
- Администратор безопасности
- Администратор SharePoint
- Администратор пользователей
Защита всех пользователей
Мы часто считаем, что дополнительные уровни проверки подлинности требуются только для учетных записей администратора. Администраторы имеют широкие возможности доступа к конфиденциальным сведениям и могут вносить изменения в параметры, относящиеся к подписке. Но злоумышленники часто выбирают конечных пользователей своими жертвами.
Получив доступ, злоумышленники могут запросить доступ к закрытой информации от имени владельца исходной учетной записи. Они могут даже скачать весь каталог, чтобы выполнить фишинговую атаку по всей организации.
Один из распространенных способов улучшения защиты для всех пользователей — требование более надежной проверки учетной записи, например, многофакторной аутентификации. После завершения регистрации многофакторной проверки подлинности пользователи будут запрашиваться для дополнительной проверки подлинности в случае необходимости. Эта функция защищает все приложения, зарегистрированные в идентификаторе Microsoft Entra, включая приложения SaaS.
Блокировка устаревших методов проверки подлинности
Чтобы предоставить пользователям простой доступ к облачным приложениям, идентификатор Microsoft Entra поддерживает различные протоколы проверки подлинности, включая устаревшую проверку подлинности. Традиционная проверка подлинности — это запрос проверки подлинности, выполненный:
- Клиенты, которые не используют современную проверку подлинности (например, клиент Office 2010). Современная проверка подлинности охватывает клиентов, которые реализуют протоколы, такие как OAuth 2.0, для поддержки таких функций, как многофакторная проверка подлинности и смарт-карты. Традиционная проверка подлинности обычно поддерживает менее безопасные механизмы, такие как пароли.
- Клиенты, которые используют почтовые протоколы, такие как IMAP, SMTP или POP3.
Сегодня большинство попыток входа в систему поступает от устаревших методов проверки подлинности. Устаревшая аутентификация не поддерживает многофакторную проверку подлинности. Даже если в каталоге включена политика многофакторной аутентификации, злоумышленник может аутентифицироваться с помощью старого протокола и обойти эту проверку.
После включения параметров безопасности по умолчанию в клиенте все запросы проверки подлинности, созданные с помощью старого протокола, будут заблокированы. Параметры безопасности по умолчанию блокируют базовую проверку подлинности Exchange Active Sync.