Snabb moderniseringsplan för säkerhet

  • Artikel

Den här snabbmoderniseringsplanen (RAMP) hjälper dig att snabbt införa Microsofts rekommenderade strategi för privilegierad åtkomst.

Den här översikten bygger på de tekniska kontroller som fastställs i vägledningen för distribution av privilegierad åtkomst. Slutför dessa steg och använd sedan stegen i den här RAMP:en för att konfigurera kontrollerna för din organisation.

Privileged access RAMP summary

Kommentar

Många av de här stegen har en grön/brunfältsdynamik eftersom organisationer ofta har säkerhetsrisker på det sätt som de redan har distribuerats eller konfigurerats. Den här översikten prioriterar att stoppa ackumuleringen av nya säkerhetsrisker först och sedan rensar de återstående objekten som redan har ackumulerats.

När du går igenom översikten kan du använda Microsoft Secure Score för att spåra och jämföra många objekt under resan med andra i liknande organisationer över tid. Läs mer om Microsoft Secure Score i artikeln Översikt över säkerhetspoäng.

Varje objekt i denna RAMP är strukturerat som ett initiativ som ska spåras och hanteras med hjälp av ett format som bygger på mål- och nyckelresultatmetoden (OKR). Varje objekt innehåller vad (mål), varför, vem, hur och hur du mäter (viktiga resultat). Vissa objekt kräver ändringar i processer och människors kunskaper/färdigheter, medan andra är enklare teknikförändringar. Många av dessa initiativ kommer att omfatta medlemmar utanför den traditionella IT-avdelningen som bör ingå i beslutsfattandet och implementeringen av dessa ändringar för att säkerställa att de är framgångsrikt integrerade i din organisation.

Det är viktigt att arbeta tillsammans som en organisation, skapa partnerskap och utbilda personer som traditionellt inte var en del av denna process. Det är viktigt att skapa och underhålla inköp i hela organisationen, utan att många projekt misslyckas.

Separera och hantera privilegierade konton

Konton för nödåtkomst

  • Vad: Se till att du inte av misstag är utelåst från din Microsoft Entra-organisation i en nödsituation.
  • Varför: Konton för nödåtkomst används sällan och är mycket skadliga för organisationen om de komprometteras, men deras tillgänglighet till organisationen är också mycket viktig för de få scenarier när de behövs. Se till att du har en plan för kontinuitet i åtkomsten som hanterar både förväntade och oväntade händelser.
  • Vem: Det här initiativet leds vanligtvis av identitets- och nyckelhantering och/eller säkerhetsarkitektur.
  • Hur: Följ riktlinjerna i Hantera konton för nödåtkomst i Microsoft Entra-ID.
  • Mät viktiga resultat:
    • Den etablerade processen för nödåtkomst har utformats baserat på Microsofts vägledning som uppfyller organisationens behov
    • Underhållen nödåtkomst har granskats och testats under de senaste 90 dagarna

Aktivera Microsoft Entra Privileged Identity Management

Identifiera och kategorisera privilegierade konton (Microsoft Entra-ID)

  • Vad: Identifiera alla roller och grupper med hög affärspåverkan som kräver privilegierad säkerhetsnivå (omedelbart eller över tid). Dessa administratörer kräver sparate-konton i ett senare steg Administration av privilegierad åtkomst.

  • Varför: Det här steget krävs för att identifiera och minimera antalet personer som kräver separata konton och privilegierat åtkomstskydd

  • Vem: Det här initiativet leds vanligtvis av identitets- och nyckelhantering och/eller säkerhetsarkitektur.

  • Hur: När du har aktiverat Microsoft Entra Privileged Identity Management kan du visa de användare som har följande Microsoft Entra-roller som minst baserat på organisationens riskprinciper:

    • Global administratör
    • Privilegierad rolladministratör
    • Exchange-administratör
    • SharePoint-administratör

    En fullständig lista över administratörsroller finns i Administratörsrollbehörigheter i Microsoft Entra-ID.

    Ta bort konton som inte längre behövs i dessa roller. Kategorisera sedan de återstående konton som har tilldelats till administratörsroller:

    • Tilldelas administrativa användare, men används även för icke-administrativa produktivitetsändamål, som att läsa och svara på e-post.
    • Tilldelas administrativa användare och används endast för administrativa ändamål
    • Delas mellan flera användare
    • För scenarier med nödåtkomst i krossat glas
    • För automatiserade skript
    • För externa användare

Om du inte har Microsoft Entra Privileged Identity Management i din organisation kan du använda PowerShell-API:et. Börja också med rollen Global administratör eftersom en global administratör har samma behörigheter för alla molntjänster som din organisation har prenumererat på. Dessa behörigheter beviljas oavsett var de tilldelades: i Administrationscenter för Microsoft 365, Azure-portalen eller av Azure AD-modulen för Microsoft PowerShell.

  • Mäta viktiga resultat: Granskning och identifiering av privilegierade åtkomstroller har slutförts under de senaste 90 dagarna

Separata konton (lokala AD-konton)

  • Vad: Skydda lokala privilegierade administrativa konton, om de inte redan är klara. I det här steget ingår:

    • Skapa separata administratörskonton för användare som behöver utföra lokala administrativa uppgifter
    • Distribuera privilegierade arbetsstationer för Active Directory-administratörer
    • Skapa unika lokala administratörslösenord för arbetsstationer och servrar

  • Varför: Härdning av konton som används för administrativa uppgifter. Administratörskontona ska ha e-post inaktiverat och inga personliga Microsoft-konton ska tillåtas.

  • Vem: Det här initiativet leds vanligtvis av identitets- och nyckelhantering och/eller säkerhetsarkitektur.

  • Hur: All personal som har behörighet att ha administratörsbehörighet måste ha separata konton för administrativa funktioner som skiljer sig från användarkonton. Dela inte dessa konton mellan användare.

    • Standardanvändarkonton – Beviljade standardanvändarbehörigheter för standardanvändaruppgifter, såsom e-post, surfa på webben och använda branschspecifika program. Dessa konton beviljas inte administratörsbehörighet.
    • Administrativa konton – Separata konton som har skapats för personal som har tilldelats lämpliga administrativa privilegier.

  • Mät viktiga resultat: 100 % av de lokala privilegierade användarna har separata dedikerade konton

Microsoft Defender for Identity

  • Vad: Microsoft Defender för identitet kombinerar lokala signaler med molninsikter för att övervaka, skydda och undersöka händelser i ett förenklat format så att dina säkerhetsteam kan identifiera avancerade attacker mot din identitetsinfrastruktur med möjlighet att:

    • Övervaka användare, entitetsbeteende och aktiviteter med inlärningsbaserad analys
    • Skydda användaridentiteter och autentiseringsuppgifter lagrade i Active Directory
    • Identifiera och undersöka misstänkta användaraktiviteter och avancerade attacker i hela kill-kedjan
    • Ange tydlig incidentinformation på en enkel tidslinje för snabb sortering

  • Varför: Moderna angripare kan förbli oupptäckta under långa tidsperioder. Många hot är svåra att hitta utan en sammanhängande bild av hela identitetsmiljön.

  • Vem: Det här initiativet leds vanligtvis av identitets- och nyckelhantering och/eller säkerhetsarkitektur.

  • Hur: Distribuera och aktivera Microsoft Defender för identitet och granska eventuella öppna aviseringar.

  • Mät viktiga resultat: Alla öppna aviseringar granskas och minimeras av lämpliga team.

Förbättra hanteringsmiljön för autentiseringsuppgifter

Implementera och dokumentera självbetjäning av lösenordsåterställning och kombinerad registrering av säkerhetsinformation

  • Vad: Aktivera och konfigurera självbetjäning av lösenordsåterställning (SSPR) i din organisation och aktivera den kombinerade registreringsupplevelsen för säkerhetsinformation.
  • Varför: Användarna kan återställa sina egna lösenord när de har registrerat sig. Den kombinerade registreringsupplevelsen för säkerhetsinformation ger en bättre användarupplevelse som möjliggör registrering för Microsoft Entra multifaktorautentisering och lösenordsåterställning med självbetjäning. Dessa verktyg när de används tillsammans bidrar till lägre supportkostnader och mer nöjda användare.
  • Vem: Det här initiativet leds vanligtvis av identitets- och nyckelhantering och/eller säkerhetsarkitektur.
  • här aktiverar och distribuerar du SSPR i artikeln Planera en självbetjäningsdistribution av lösenordsåterställning i Microsoft Entra.
  • Mäta viktiga resultat: Lösenordsåterställning via självbetjäning är helt konfigurerat och tillgängligt för organisationen

Skydda administratörskonton – Aktivera och kräva MFA/Lösenordslös för Microsoft Entra ID-privilegierade användare

  • Vad: Kräv att alla privilegierade konton i Microsoft Entra-ID använder stark multifaktorautentisering

  • Varför: Skydda åtkomsten till data och tjänster i Microsoft 365.

  • Vem: Det här initiativet leds vanligtvis av identitets- och nyckelhantering och/eller säkerhetsarkitektur.

  • Hur: Aktivera Microsoft Entra multifaktorautentisering (MFA) och registrera alla andra icke-federerade administratörskonton med hög privilegier. Kräv multifaktorautentisering vid inloggning för alla enskilda användare som är permanent tilldelade till en eller flera av Microsoft Entra-administratörsrollerna, till exempel:

    • Global administratör
    • Administratör för privilegierad roll
    • Exchange-administratör
    • SharePoint-administratör

    Kräv att administratörer använder lösenordslösa inloggningsmetoder som FIDO2-säkerhetsnycklar eller Windows Hello för företag tillsammans med unika, långa och komplexa lösenord. Framtvinga den här ändringen med ett organisationsprincipdokument.

Följ riktlinjerna i följande artiklar, Planera en distribution av multifaktorautentisering i Microsoft Entra och Planera en distribution av lösenordslös autentisering i Microsoft Entra-ID.

  • Mät viktiga resultat: 100 % av de privilegierade användarna använder lösenordslös autentisering eller en stark form av multifaktorautentisering för alla inloggningar. Se Konton för privilegierad åtkomst för beskrivning av multifaktorautentisering

Blockera äldre autentiseringsprotokoll för privilegierade användarkonton

  • Vad: Blockera äldre autentiseringsprotokollanvändning för privilegierade användarkonton.

  • Varför: Organisationer bör blockera dessa äldre autentiseringsprotokoll eftersom multifaktorautentisering inte kan tillämpas mot dem. Om du lämnar äldre autentiseringsprotokoll aktiverade kan du skapa en startpunkt för angripare. Vissa äldre program kan förlita sig på dessa protokoll och organisationer har möjlighet att skapa specifika undantag för vissa konton. Dessa undantag bör spåras och ytterligare övervakningskontroller implementeras.

  • Vem: Det här initiativet leds vanligtvis av identitets- och nyckelhantering och/eller säkerhetsarkitektur.

  • här blockerar du äldre autentiseringsprotokoll i din organisation genom att följa anvisningarna i artikeln Så här: Blockera äldre autentisering till Microsoft Entra-ID med villkorsstyrd åtkomst.

  • Mät viktiga resultat:

    • Äldre protokoll blockerade: Alla äldre protokoll blockeras för alla användare, med endast auktoriserade undantag
    • Undantag granskas var 90:e dag och upphör att gälla permanent inom ett år. Programägare måste åtgärda alla undantag inom ett år efter det första godkännandet av undantaget
  • Vad: Inaktivera slutanvändares medgivande till Microsoft Entra-program.

Kommentar

Den här ändringen kräver centralisering av beslutsprocessen med organisationens säkerhets- och identitetsadministrationsteam.

Rensa konto- och inloggningsrisker

  • Vad: Aktivera Microsoft Entra ID Protection och rensa eventuella risker som hittas.
  • Varför: Riskfyllt användar- och inloggningsbeteende kan vara en källa till attacker mot din organisation.
  • Vem: Det här initiativet leds vanligtvis av identitets- och nyckelhantering och/eller säkerhetsarkitektur.
  • Hur: Skapa en process som övervakar och hanterar användar- och inloggningsrisker. Bestäm om du ska automatisera reparationen med hjälp av Microsoft Entra multifaktorautentisering och SSPR, eller blockera och kräva administratörsintervention. Följ riktlinjerna i artikeln Så här: Konfigurera och aktivera riskprinciper.
  • Mät viktiga resultat: Organisationen har noll oadresserade användar- och inloggningsrisker.

Kommentar

Principer för villkorsstyrd åtkomst krävs för att blockera påföring av nya inloggningsrisker. Se avsnittet Villkorsstyrd åtkomst i Distribution av privilegierad åtkomst

Inledande distribution av administratörsarbetsstationer

  • Vad: Privilegierade konton som globala administratörer har dedikerade arbetsstationer att utföra administrativa uppgifter från.
  • Varför: Enheter där privilegierade administrationsuppgifter slutförs är mål för angripare. Att skydda inte bara kontot utan dessa tillgångar är viktiga för att minska din attackyta. Den här separationen begränsar deras exponering för vanliga attacker riktade mot produktivitetsrelaterade uppgifter som e-post och webbsurfning.
  • Vem: Det här initiativet leds vanligtvis av identitets- och nyckelhantering och/eller säkerhetsarkitektur.
  • Så här: Den första distributionen ska vara på företagsnivå enligt beskrivningen i artikeln Privileged Access Deployment (Privilegierad åtkomstdistribution)
  • Mät viktiga resultat: Varje privilegierat konto har en dedikerad arbetsstation att utföra känsliga uppgifter från.

Kommentar

Det här steget etablerar snabbt en säkerhetsbaslinje och måste utökas till specialiserade och privilegierade nivåer så snart som möjligt.

Nästa steg