Microsoft Entra Id'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama
İş varlıklarının güvenliği, BT sistemlerinizi yöneten ayrıcalıklı hesapların bütünlüğüne bağlıdır. Siber saldırganlar, hassas verilere erişim elde etmek için yönetici hesaplarını ve diğer ayrıcalıklı erişimi hedeflemek için kimlik bilgisi hırsızlığı saldırılarını kullanır.
Bulut hizmetleri için önleme ve yanıt, bulut hizmeti sağlayıcısının ve müşterinin ortak sorumluluklarıdır. Uç noktalara ve buluta yönelik en son tehditler hakkında daha fazla bilgi için bkz. Microsoft Güvenlik Zekası Raporu. Bu makale, geçerli planlarınızla burada açıklanan yönergeler arasındaki boşlukları kapatmaya yönelik bir yol haritası geliştirmenize yardımcı olabilir.
Not
Microsoft, en yüksek güven, şeffaflık, standartlara uygunluk ve mevzuat uyumluluğu düzeylerine bağlıdır. Microsoft genel olay yanıtı ekibinin bulut hizmetlerine yönelik saldırıların etkilerini nasıl azaltıp güvenliğin microsoft iş ürünlerinde ve bulut hizmetlerinde nasıl yerleşik olduğu hakkında daha fazla bilgi edinmek için Bkz. Microsoft Güven Merkezi- Microsoft Güven Merkezi'ndeki Güvenlik ve Microsoft uyumluluk hedefleri - Uyumluluk.
Geleneksel olarak, kurumsal güvenlik, bir ağın güvenlik çevresi olarak giriş ve çıkış noktalarına odaklanırdı. Ancak, İnternet'te SaaS uygulamaları ve kişisel cihazlar bu yaklaşımı daha az etkili hale getirmektedir. Microsoft Entra Id'de ağ güvenlik çevresini kuruluşunuzun kimlik katmanındaki kimlik doğrulamasıyla değiştiririz ve kullanıcılar denetimde ayrıcalıklı yönetim rollerine atanır. Ortamın şirket içi, bulut veya karma olması fark etmeksizin erişimleri korunmalıdır.
Ayrıcalıklı erişimin güvenliğini sağlamak için şunlarda değişiklik yapılması gerekir:
- İşlemler, yönetim uygulamaları ve bilgi yönetimi
- Konak savunmaları, hesap korumaları ve kimlik yönetimi gibi teknik bileşenler
Ayrıcalıklı erişiminizi, ilgilendiğiniz Microsoft hizmetleri yönetilen ve bildirilen bir şekilde güvenli hale getirin. Şirket içi yönetici hesaplarınız varsa, Ayrıcalıklı Erişimin Güvenliğini Sağlama sayfasında Active Directory'de şirket içi ve karma ayrıcalıklı erişim kılavuzuna bakın.
Not
Bu makaledeki kılavuz, öncelikle Microsoft Entra Id P1 ve P2'ye dahil edilen Microsoft Entra Id özelliklerine başvurur. Microsoft Entra ID P2, EMS E5 paketine ve Microsoft 365 E5 paketine dahildir. Bu kılavuzda, kuruluşunuzun kullanıcılarınız için satın alınmış Microsoft Entra ID P2 lisansları olduğu varsayılır. Bu lisanslara sahip değilseniz, yönergelerden bazıları kuruluşunuz için geçerli olmayabilir. Ayrıca, bu makale boyunca Genel Yönetici terimi "şirket yöneticisi" veya "kiracı yöneticisi" ile aynı anlama gelir.
Yol haritası geliştirme
Microsoft, siber saldırganlara karşı ayrıcalıklı erişimin güvenliğini sağlamak için bir yol haritası geliştirmenizi ve izlemenizi önerir. Yol haritanızı her zaman mevcut özelliklerinize ve kuruluşunuzdaki belirli gereksinimlere uyacak şekilde ayarlayabilirsiniz. Yol haritasının her aşaması, saldırganların şirket içi, bulut ve hibrit varlıklarınız için ayrıcalıklı erişime saldırma maliyetlerini ve zorluklarını artırmalıdır. Microsoft aşağıdaki dört yol haritası aşamasını önerir. Önce en etkili ve en hızlı uygulamaları zamanlayın. Bu makale, Microsoft'un siber saldırı olayı ve yanıt uygulamasıyla ilgili deneyimlerini temel alan bir kılavuz olabilir. Bu yol haritasının zaman çizelgeleri yaklaşık değerlerdir.
1. Aşama (24-48 saat): Hemen yapmanızı önerdiğimiz kritik öğeler
2. Aşama (2-4 hafta): En sık kullanılan saldırı tekniklerini azaltma
3. Aşama (1-3 ay): Görünürlük oluşturma ve yönetici etkinliğinin tam denetimini oluşturma
Aşama 4 (altı ay ve sonrası): Güvenlik platformunuzu daha da sağlamlaştırmak için savunma oluşturmaya devam edin
Bu yol haritası çerçevesi, önceden dağıtmış olabileceğiniz Microsoft teknolojilerinin kullanımını en üst düzeye çıkarmak için tasarlanmıştır. Dağıttığınız veya dağıtmayı düşündüğünüz diğer satıcıların güvenlik araçlarına bağlanmayı göz önünde bulundurun.
1. Aşama: Şu anda yapılacak kritik öğeler
Yol haritasının 1. aşaması, hızlı ve uygulanması kolay kritik görevlere odaklanır. Temel düzeyde güvenli ayrıcalıklı erişim sağlamak için bu birkaç öğeyi ilk 24-48 saat içinde hemen yapmanızı öneririz. Güvenli Ayrıcalıklı Erişim yol haritasının bu aşaması aşağıdaki eylemleri içerir:
Genel hazırlık
Microsoft Entra Privileged Identity Management kullanma
Microsoft Entra Privileged Identity Management'ı (PIM) Microsoft Entra üretim ortamınızda kullanmaya başlamanızı öneririz. PIM'i kullanmaya başladıktan sonra ayrıcalıklı erişim rolü değişiklikleri için bildirim e-posta iletileri alırsınız. Bildirimler, yüksek ayrıcalıklı rollere ek kullanıcılar eklendiğinde erken uyarı sağlar.
Microsoft Entra Privileged Identity Management, Microsoft Entra ID P2 veya EMS E5'e dahildir. Şirket içinde ve bulutta uygulamalara ve kaynaklara erişimi korumanıza yardımcı olmak için Enterprise Mobility + Security ücretsiz 90 günlük deneme sürümüne kaydolun. Microsoft Entra Privileged Identity Management ve Microsoft Entra Kimlik Koruması Microsoft Entra ID raporlama, denetim ve uyarıları kullanarak güvenlik etkinliğini izleyin.
Microsoft Entra Privileged Identity Management'ı kullanmaya başladıktan sonra:
Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.
Privileged Identity Management'ı kullanmak istediğiniz dizinleri değiştirmek için Microsoft Entra yönetim merkezinin sağ üst köşesinde kullanıcı adınızı seçin.
Kimlik idaresi>Privileged Identity Management'a göz atın.
Kuruluşunuzda PIM kullanan ilk kişinin Güvenlik Yöneticisi ve Ayrıcalıklı Rol Yöneticisi rollerine atandığından emin olun. Kullanıcıların Microsoft Entra dizin rol atamalarını yalnızca Ayrıcalıklı Rol Yöneticileri yönetebilir. PIM güvenlik sihirbazı, ilk bulma ve atama deneyiminde size yol gösterir. Şu anda ek bir değişiklik yapmadan sihirbazdan çıkabilirsiniz.
Yüksek ayrıcalıklı rollere sahip hesapları tanımlama ve kategorilere ayırma
Microsoft Entra Privileged Identity Management'ı kullanmaya başladıktan sonra, aşağıdaki Microsoft Entra rollerinde yer alan kullanıcıları görüntüleyin:
- Genel Yönetici
- Ayrıcalıklı Rol Yöneticisi
- Exchange Yöneticisi
- SharePoint Yöneticisi
Kuruluşunuzda Microsoft Entra Privileged Identity Management yoksa Microsoft Graph PowerShell'i kullanabilirsiniz. Genel Yönetici, kuruluşunuzun abone olduğu tüm bulut hizmetlerinde aynı izinlere sahip olduğundan Genel Yönetici rolüyle başlayın. Bu izinler atandıkları yere bakılmaksızın verilir: Microsoft 365 yönetim merkezi, Microsoft Entra yönetim merkezinde veya Microsoft Graph PowerShell kullanılarak.
Bu rollerde artık gerekli olmayan tüm hesapları kaldırın. Ardından, yönetici rollerine atanan kalan hesapları kategorilere ayırın:
- Yönetici kullanıcılara atanmış, ancak yönetici olmayan amaçlarla da (örneğin, kişisel e-posta) kullanılır
- Yönetici kullanıcılara atanır ve yalnızca yönetim amacıyla kullanılır
- Birden çok kullanıcı arasında paylaşıldı
- Cam kıran acil durum erişim senaryoları için
- Otomatik betikler için
- Dış kullanıcılar için
En az iki acil durum erişim hesabı tanımlama
Microsoft, kuruluşların genel yönetici rolüne kalıcı olarak atanmış iki yalnızca bulut acil durum erişim hesabına sahip olması önerilir. Bu hesaplar yüksek ayrıcalıklıdır ve belirli kişilere atanmamışlardır. Hesaplar, normal hesapların kullanılamadığı veya diğer tüm yöneticilerin yanlışlıkla kilitlendiği acil durum veya "kırılan" senaryolarla sınırlıdır. Bu hesaplar, acil durum erişim hesabı önerilerine göre oluşturulmalıdır.
Çok faktörlü kimlik doğrulamasını açın ve diğer tüm yüksek ayrıcalıklı tek kullanıcılı federasyon dışı yönetici hesaplarını kaydedin
Microsoft Entra yönetici rollerinden birine veya daha fazlasına kalıcı olarak atanan tüm bireysel kullanıcılar için oturum açma sırasında Microsoft Entra çok faktörlü kimlik doğrulamasını zorunlu kılar: Genel Yönetici, Ayrıcalıklı Rol Yöneticisi, Exchange Yöneticisi ve SharePoint Yöneticisi. Yöneticilerinizde çok faktörlü kimlik doğrulamasını zorunlu kılma sayfasındaki kılavuzu kullanın ve tüm bu kullanıcıların adresinde https://aka.ms/mfasetupkaydoldığından emin olun. Microsoft 365'te kullanıcı ve cihaz erişimini koruma kılavuzunun 2. ve 3. adımı altında daha fazla bilgi bulunabilir.
2. Aşama: Sık kullanılan saldırıları azaltma
Yol haritasının 2. aşaması, kimlik bilgisi hırsızlığı ve kötüye kullanımda en sık kullanılan saldırı tekniklerini azaltmaya odaklanır ve yaklaşık 2-4 hafta içinde uygulanabilir. Güvenli Ayrıcalıklı Erişim yol haritasının bu aşaması aşağıdaki eylemleri içerir.
Genel hazırlık
Hizmet, sahip ve yönetici envanteri oluşturma
"Kendi cihazını getir" ve evden çalışma ilkelerindeki artış ve kablosuz bağlantının büyümesi, ağınıza kimlerin bağlanacağını izlemeyi kritik öneme sahiptir. Güvenlik denetimi, ağınızdaki kuruluşunuzun desteklemediği ve yüksek riski temsil eden cihazları, uygulamaları ve programları gösterebilir. Daha fazla bilgi için bkz . Azure güvenlik yönetimine ve izlemeye genel bakış. Envanter işleminize aşağıdaki görevlerin tümünü eklediğinizden emin olun.
Yönetici rollerine sahip kullanıcıları ve yönetebilecekleri hizmetleri belirleyin.
Kuruluşunuzdaki hangi kullanıcıların Microsoft Entra Id'ye yönetici erişimi olduğunu öğrenmek için Microsoft Entra PIM'i kullanın.
Microsoft Entra Id'de tanımlanan rollerin ötesinde Microsoft 365, kuruluşunuzdaki kullanıcılara atayabileceğiniz bir dizi yönetici rolüyle birlikte gelir. Her yönetici rolü ortak iş işlevleriyle eşler ve kuruluşunuzdaki kişilere Microsoft 365 yönetim merkezi belirli görevleri gerçekleştirme izni verir. Microsoft Entra Id'de yönetilmeyen roller de dahil olmak üzere kuruluşunuzdaki hangi kullanıcıların Microsoft 365'e yönetici erişimi olduğunu öğrenmek için Microsoft 365 yönetim merkezi kullanın. Daha fazla bilgi için bkz . Microsoft 365 yönetici rolleri ve Office 365 için güvenlik uygulamaları hakkında.
Azure, Intune veya Dynamics 365 gibi kuruluşunuzun bağlı olduğu hizmetlerde envanteri yapın.
Yönetim amacıyla kullanılan hesaplarınızın şunlardan emin olun:
- Çalışan e-posta adreslerinin bunlara iliştirilmiş olması
- Microsoft Entra çok faktörlü kimlik doğrulamasına kaydolarak veya şirket içinde MFA'ya kaydolarak
Yönetici erişimi için kullanıcılardan iş gerekçelerini isteyin.
Gerek duymayan kişiler ve hizmetler için yönetici erişimini kaldırın.
İş veya okul hesaplarına geçiş yapılması gereken yönetim rollerindeki Microsoft hesaplarını belirleme
İlk Genel Yöneticileriniz Microsoft Entra Kimliğini kullanmaya başladığında mevcut Microsoft hesabı kimlik bilgilerini yeniden kullanıyorsa, Microsoft hesaplarını tek tek bulut tabanlı veya eşitlenmiş hesaplarla değiştirin.
Genel Yönetici hesapları için ayrı kullanıcı hesaplarının ve posta iletmenin sağlanması
Kişisel e-posta hesapları siber saldırganlar tarafından düzenli olarak kimlik avına alınır ve bu da kişisel e-posta adreslerini Genel Yönetici hesapları için kabul edilemez hale getiren bir risktir. İnternet risklerini yönetim ayrıcalıklarından ayırmaya yardımcı olmak için, yönetim ayrıcalıklarına sahip her kullanıcı için ayrılmış hesaplar oluşturun.
- Kullanıcıların Genel Yönetici görevlerini gerçekleştirmesi için ayrı hesaplar oluşturduğunuzdan emin olun.
- Genel Yöneticilerinizin e-postaları yanlışlıkla açmadığından veya yönetici hesaplarıyla program çalıştırmadığından emin olun.
- Bu hesapların e-postalarının çalışan bir posta kutusuna iletildiğinden emin olun.
- Genel Yönetici (ve diğer ayrıcalıklı gruplar) hesapları, şirket içi Active Directory bağlı olmayan yalnızca bulut hesapları olmalıdır.
Yönetim hesaplarının parolalarının yakın zamanda değiştiğinden emin olun
Tüm kullanıcıların son 90 günde en az bir kez yönetici hesaplarında oturum açtığından ve parolalarını değiştirdiğinden emin olun. Ayrıca, paylaşılan hesapların son zamanlarda parolalarının değiştirildiğini doğrulayın.
Parola karması eşitlemeyi açma
Microsoft Entra Connect, şirket içi Active Directory kullanıcı parolasının karması karmasını bulut tabanlı bir Microsoft Entra kuruluşuna eşitler. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ile federasyon kullanıyorsanız yedek olarak parola karması eşitlemesini kullanabilirsiniz. şirket içi Active Directory veya AD FS sunucularınız geçici olarak kullanılamıyorsa bu yedekleme yararlı olabilir.
Parola karması eşitleme, kullanıcıların şirket içi Active Directory örneğinde oturum açmak için kullandıkları parolayı kullanarak bir hizmette oturum açmasına olanak tanır. Parola karması eşitlemesi, parola karmalarını güvenliği aşıldığı bilinen parolalarla karşılaştırarak Microsoft Entra Kimlik Koruması güvenliği aşılmış kimlik bilgilerini algılamasına olanak tanır. Daha fazla bilgi için bkz . Microsoft Entra Connect Sync ile parola karması eşitlemesi uygulama.
Ayrıcalıklı rollerdeki ve kullanıma sunulan kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme
Microsoft Entra Id, tüm kullanıcılarınız için çok faktörlü kimlik doğrulaması gerektirmenizi önerir. Hesapları tehlikeye atılırsa (örneğin, finansal memurlar) önemli bir etki yaratabilecek kullanıcıları dikkate almayı unutmayın. MFA, güvenliği aşılmış bir parola nedeniyle saldırı riskini azaltır.
Açmak:
İş İçin Windows Hello kullanıyorsanız, MFA gereksinimi Windows Hello oturum açma deneyimi kullanılarak karşılanabilir. Daha fazla bilgi için bkz . Windows Hello.
Microsoft Entra Kimlik Koruması
Microsoft Entra Kimlik Koruması, kuruluşunuzun kimliklerini etkileyen olası güvenlik açıklarını algılayan algoritma tabanlı bir izleme ve raporlama aracıdır. Algılanan şüpheli etkinliklere otomatik yanıtlar yapılandırabilir ve bunları çözmek için uygun eylemleri gerçekleştirebilirsiniz. Daha fazla bilgi için bkz. Microsoft Entra Kimlik Koruması.
Microsoft 365 Güvenlik Puanınızı alma (Microsoft 365 kullanıyorsanız)
Güvenli Puan, kullandığınız Microsoft 365 hizmetleri için ayarlarınıza ve etkinliklerinize bakar ve bunları Microsoft tarafından oluşturulan bir temelle karşılaştırır. Güvenlik uygulamalarıyla ne kadar uyumlu olduğunuz temelinde bir puan alırsınız. bir Microsoft 365 İş Standart veya Kurumsal abonelik için yönetici izinlerine sahip olan herkes adresinden https://security.microsoft.com/securescore
Güvenli Puana erişebilir.
Microsoft 365 güvenlik ve uyumluluk kılavuzunu gözden geçirin (Microsoft 365 kullanılıyorsa)
Güvenlik ve uyumluluk planı, Office 365 müşterisinin Office 365'i yapılandırma ve diğer EMS özelliklerini etkinleştirme yaklaşımını özetler. Ardından, Microsoft 365'te verilere ve hizmetlere erişimi koruma hakkında 3-6 arası adımları ve Microsoft 365'te güvenlik ve uyumluluğu izleme kılavuzunu gözden geçirin.
Microsoft 365 Etkinlik İzleme'yi yapılandırma (Microsoft 365 kullanılıyorsa)
Yönetici hesabına sahip olan ancak bu portallarda oturum açmadıkları için Microsoft 365 erişimi gerekmeyebilecek personeli belirlemek için Microsoft 365 kullanan kullanıcılar için kuruluşunuzu izleyin. Daha fazla bilgi için Microsoft 365 yönetim merkezi etkinlik raporları bölümüne bakın.
Olay/acil durum yanıt planı sahipleri oluşturma
Başarılı bir olay yanıtı özelliği oluşturmak için önemli planlama ve kaynaklar gerekir. Siber saldırıları sürekli izlemeli ve olay işleme öncelikleri oluşturmalısınız. İlişki oluşturmak ve diğer iç gruplar ve plan sahipleri ile iletişim kurmak için olay verilerini toplayın, analiz edin ve raporlayın. Daha fazla bilgi için bkz . Microsoft Güvenlik Yanıt Merkezi.
Henüz yapılmadıysa şirket içi ayrıcalıklı yönetim hesaplarının güvenliğini sağlama
Microsoft Entra kuruluşunuz şirket içi Active Directory ile eşitlenmişse Güvenlik Ayrıcalıklı Erişim Yol Haritası'ndaki yönergeleri izleyin: Bu aşama şunları içerir:
- Şirket içi yönetim görevlerini gerçekleştirmesi gereken kullanıcılar için ayrı yönetici hesapları oluşturma
- Active Directory yöneticileri için Privileged Access workstations dağıtma
- İş istasyonları ve sunucular için benzersiz yerel yönetici parolaları oluşturma
Azure'a erişimi yöneten kuruluşlar için ek adımlar
Aboneliklerin envanterini tamamlama
Kuruluşunuzda üretim uygulamalarını barındıran abonelikleri tanımlamak için Enterprise portalını ve Azure portalını kullanın.
Microsoft hesaplarını yönetici rollerinden kaldırma
Xbox, Live ve Outlook gibi diğer programlardan gelen Microsoft hesapları, kuruluşunuzun abonelikleri için yönetici hesapları olarak kullanılmamalıdır. Tüm Microsoft hesaplarından yönetici durumunu kaldırın ve yerine Microsoft Entra Id (örneğin, chris@contoso.com) iş veya okul hesapları yazın. Yönetici amacıyla, diğer hizmetlerde değil, Microsoft Entra Kimliği'nde kimliği doğrulanmış hesaplara bağlıdır.
Azure etkinliğini izleme
Azure Etkinlik Günlüğü, Azure'da abonelik düzeyi olayların geçmişini sağlar. Hangi kaynakları kimin oluşturduğu, güncelleştirdiği ve sildiği ve bu olayların ne zaman gerçekleştiği hakkında bilgi sunar. Daha fazla bilgi için bkz . Azure aboneliğinizdeki önemli eylemleri denetleme ve alma.
Microsoft Entra Id aracılığıyla diğer bulut uygulamalarına erişimi yöneten kuruluşlar için ek adımlar
Koşullu Erişim ilkelerini yapılandırma
Şirket içi ve bulutta barındırılan uygulamalar için Koşullu Erişim ilkeleri hazırlayın. Kullanıcıların çalışma alanına katılmış cihazlarınız varsa Microsoft Entra cihaz kaydını kullanarak şirket içi Koşullu Erişimi ayarlama bölümünden daha fazla bilgi edinin.
3. Aşama: Yönetici etkinliğinin denetimini alma
3. aşama, 2. aşamadaki risk azaltmaları üzerine inşa edilir ve yaklaşık 1-3 ay içinde uygulanmalıdır. Güvenli Ayrıcalıklı Erişim yol haritasının bu aşaması aşağıdaki bileşenleri içerir.
Genel hazırlık
Yönetici rollerindeki kullanıcıların erişim gözden geçirmesini tamamlama
Daha fazla kurumsal kullanıcı, bulut hizmetleri aracılığıyla ayrıcalıklı erişim elde eder ve bu da yönetilmeyen erişime yol açabilir. Günümüzde kullanıcılar Microsoft 365 için Genel Yöneticiler, Azure aboneliği yöneticileri olabilir veya VM'lere veya SaaS uygulamaları aracılığıyla yönetici erişimine sahip olabilir.
Kuruluşunuzda tüm çalışanların sıradan iş işlemlerini ayrıcalıksız kullanıcılar olarak işlemesi ve ardından yalnızca gerektiğinde yönetici hakları vermesi gerekir. Yönetici ayrıcalıklarını etkinleştirmeye uygun kullanıcıları belirlemek ve onaylamak için erişim gözden geçirmelerini tamamlayın.
Şunu yapmanızı öneririz:
- Hangi kullanıcıların Microsoft Entra yöneticisi olduğunu belirleyin, isteğe bağlı, tam zamanında yönetici erişimini ve rol tabanlı güvenlik denetimlerini etkinleştirin.
- Yönetici ayrıcalıklı erişimi için net bir gerekçesi olmayan kullanıcıları farklı bir role dönüştürün (uygun rol yoksa, kaldırın).
Tüm kullanıcılar için daha güçlü kimlik doğrulaması dağıtımına devam edin
Yüksek oranda kullanıma sunulan kullanıcıların Microsoft Entra çok faktörlü kimlik doğrulaması veya Windows Hello gibi modern ve güçlü kimlik doğrulamasına sahip olmasını zorunlu kılar. Yüksek oranda kullanıma sunulan kullanıcılara örnek olarak şunlar verilebilir:
- C paketi yöneticileri
- Üst düzey yöneticiler
- Kritik BT ve güvenlik personeli
Microsoft Entra Id için yönetim için ayrılmış iş istasyonları kullanma
Saldırganlar, verilerin bütünlüğünü ve orijinalliğini bozmak için ayrıcalıklı hesapları hedeflemeye çalışabilir. Genellikle program mantığını değiştiren veya yöneticinin kimlik bilgilerini girmesini engelleyen kötü amaçlı kod kullanırlar. Privileged Access Workstations (PAW) İnternet saldırılarına ve tehdit vektörlerine karşı korunan hassas görevler için ayrılmış bir işletim sistemi sağlar. Bu hassas görevleri ve hesapları günlük kullanım iş istasyonlarından ve cihazlardan ayırmak şunlardan güçlü koruma sağlar:
- Kimlik avı saldırıları
- Uygulama ve işletim sistemi güvenlik açıkları
- Kimliğe bürünme saldırıları
- Tuş vuruşu günlüğü, Karma Geçişi ve Anahtar Geçişi gibi kimlik bilgisi hırsızlığı saldırıları
Ayrıcalıklı erişim iş istasyonları dağıtarak yöneticilerin kimlik bilgilerini sağlamlaştırılmamış bir masaüstü ortamına girme riskini azaltabilirsiniz. Daha fazla bilgi için bkz . Privileged Access Workstations.
Olayları işlemek için Ulusal Standartlar ve Teknoloji Enstitüsü önerilerini gözden geçirin
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), özellikle olayla ilgili verileri analiz etmek ve her olaya uygun yanıtı belirlemek için olay işleme yönergeleri sağlar. Daha fazla bilgi için bkz . (NIST) Bilgisayar Güvenliği Olay İşleme Kılavuzu (SP 800-61, Düzeltme 2).
Ek yönetim rollerine JIT için Privileged Identity Management (PIM) uygulama
Microsoft Entra Id için Microsoft Entra Privileged Identity Management özelliğini kullanın. Ayrıcalıklı rollerin zaman sınırlı olarak etkinleştirilmesi, şu olanaklara sahip olmanıza olanak tanıyarak çalışır:
Belirli bir görevi gerçekleştirmek için yönetici ayrıcalıklarını etkinleştirme
Etkinleştirme işlemi sırasında MFA'yı zorunlu kılma
Yöneticileri bant dışı değişiklikler hakkında bilgilendirmek için uyarıları kullanma
Kullanıcıların önceden yapılandırılmış bir süre boyunca ayrıcalıklı erişimlerini korumalarını sağlama
Güvenlik yöneticilerinin şunları sağlamasına izin verin:
- Tüm ayrıcalıklı kimlikleri bulma
- Denetim raporlarını görüntüleme
- Yönetici ayrıcalıklarını etkinleştirmeye uygun olan her kullanıcıyı tanımlamak için erişim gözden geçirmeleri oluşturma
Zaten Microsoft Entra Privileged Identity Management kullanıyorsanız, zamana bağlı ayrıcalıklar için zaman çerçevelerini gerektiği gibi ayarlayın (örneğin, bakım pencereleri).
Parola tabanlı oturum açma protokollerine maruz kalma durumunu belirleme (Exchange Online kullanılıyorsa)
Kimlik bilgilerinin tehlikeye atılması durumunda kuruluş için yıkıcı olabilecek tüm olası kullanıcıları belirlemenizi öneririz. Bu kullanıcılar için güçlü kimlik doğrulama gereksinimleri koyun ve kullanıcı adı ve parola kullanarak e-postalarında oturum açmalarını sağlamak için Microsoft Entra Koşullu Erişim'i kullanın. Koşullu Erişim kullanarak eski kimlik doğrulamasını engelleyebilir ve Exchange Online aracılığıyla temel kimlik doğrulamasını engelleyebilirsiniz.
Microsoft 365 rolleri için rolleri gözden geçirme değerlendirmesini tamamlama (Microsoft 365 kullanılıyorsa)
Tüm yönetici kullanıcılarının doğru rollerde olup olmadığını değerlendirin (bu değerlendirmeye göre silin ve yeniden atayın).
Microsoft 365'te kullanılan güvenlik olayı yönetimi yaklaşımını gözden geçirin ve kendi kuruluşunuzla karşılaştırın
Bu raporu Microsoft 365'teki Güvenlik Olayı Yönetimi'nden indirebilirsiniz.
Şirket içi ayrıcalıklı yönetim hesaplarının güvenliğini sağlama
Microsoft Entra Kimliğiniz şirket içi Active Directory bağlıysa Güvenlik Ayrıcalıklı Erişim Yol Haritası: 2. Aşama'daki yönergeleri izleyin. Bu aşamada şunları yapmak için:
- Tüm yöneticiler için Privileged Access workstations dağıtma
- MFA gerektir
- Etki alanı denetleyicisi bakımı için Yeterli Yönetici'yi kullanarak etki alanlarının saldırı yüzeyini azaltın
- Saldırı algılama için Advanced Threat Analytics'i dağıtma
Azure'a erişimi yöneten kuruluşlar için ek adımlar
Tümleşik izleme oluşturma
Bulut için Microsoft Defender:
- Azure abonelikleriniz genelinde tümleşik güvenlik izleme ve ilke yönetimi sağlar
- Aksi takdirde farkında olmayan tehditleri algılamaya yardımcı olur
- Çok çeşitli güvenlik çözümleriyle çalışır
Barındırılan Sanal Makineler içinde ayrıcalıklı hesaplarınızın envanterini oluşturma
Kullanıcılara genellikle tüm Azure abonelikleriniz veya kaynaklarınız için sınırsız izinler vermeniz gerekmez. Yalnızca işlerini yapması gereken kullanıcılarınıza erişim vermek için Microsoft Entra yönetici rollerini kullanın. Microsoft Entra yönetici rollerini kullanarak bir yöneticinin yalnızca abonelikteki VM'leri yönetmesine izin verirken, başka bir yönetici de aynı abonelikteki SQL veritabanlarını yönetebilir. Daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimi nedir?
Microsoft Entra yönetici rolleri için PIM uygulama
Azure kaynaklarına erişimi yönetmek, denetlemek ve izlemek için Privileged identity Management'ı Microsoft Entra yönetici rolleriyle kullanın. PIM kullanmak ayrıcalıkların açığa çıkarma süresini düşürerek ve raporlar ve uyarılar aracılığıyla bunların kullanımına ilişkin görünürlüğünüzü artırarak koruma sağlar. Daha fazla bilgi için bkz . Microsoft Entra Privileged Identity Management nedir?
SIEM sistemlerinize ilgili Azure günlüklerini göndermek için Azure günlük tümleştirmelerini kullanma
Azure günlük tümleştirmesi, Azure kaynaklarınızdaki ham günlükleri kuruluşunuzun mevcut Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sistemleriyle tümleştirmenizi sağlar. Azure günlük tümleştirmesi, Windows Olay Görüntüleyicisi günlüklerinden ve Azure kaynaklarından Windows olaylarını toplar:
- Azure etkinlik günlükleri
- uyarıları Bulut için Microsoft Defender
- Azure kaynak günlükleri
Microsoft Entra Id aracılığıyla diğer bulut uygulamalarına erişimi yöneten kuruluşlar için ek adımlar
Bağlı uygulamalar için kullanıcı sağlamayı uygulama
Microsoft Entra ID, Dropbox, Salesforce ve ServiceNow gibi bulut uygulamalarında kullanıcı kimlikleri oluşturmayı ve korumayı otomatikleştirmenizi sağlar. Daha fazla bilgi için bkz . Microsoft Entra Id ile SaaS uygulamalarına kullanıcı sağlama ve sağlamayı kaldırmayı otomatikleştirme.
Bilgi korumasını tümleştirme
Bulut için Microsoft Defender Uygulamaları, dosyaları araştırmanıza ve Azure Information Protection sınıflandırma etiketlerine göre ilkeler ayarlamanıza olanak tanıyarak bulut verilerinizin daha fazla görünürlüğünü ve denetimini sağlar. Buluttaki dosyaları tarayın ve sınıflandırın ve Azure bilgi koruma etiketlerini uygulayın. Daha fazla bilgi için bkz . Azure Information Protection tümleştirmesi.
Koşullu Erişimi Yapılandırma
SaaS uygulamaları ve Microsoft Entra bağlı uygulamaları için grup, konum ve uygulama duyarlılığına göre Koşullu Erişim'i yapılandırın.
Bağlı bulut uygulamalarında etkinliği izleme
Bağlı uygulamalarda kullanıcı erişiminin de korunduğundan emin olmak için Bulut için Microsoft Defender Uygulamaları kullanmanızı öneririz. Bu özellik, bulut uygulamalarına kurumsal erişimin güvenliğini sağlar ve yönetici hesaplarınızın güvenliğini sağlayarak şunları yapmanızı sağlar:
- Görünürlüğü ve denetimi bulut uygulamalarına genişletme
- Erişim, etkinlikler ve veri paylaşımı için ilkeler oluşturma
- Riskli etkinlikleri, anormal davranışları ve tehditleri otomatik olarak tanımlama
- Veri sızıntısını önleme
- Riski en aza indirme ve otomatik tehdit önleme ve ilke uygulama
Bulut için Defender Apps SIEM aracısı, Microsoft 365 uyarılarının ve etkinliklerinin merkezi olarak izlenmesini sağlamak için Bulut için Defender Uygulamaları SIEM sunucunuzla tümleştirir. Sunucunuzda çalışır ve Bulut için Defender Uygulamalarından uyarıları ve etkinlikleri çeker ve bunları SIEM sunucusuna akışla aktarır. Daha fazla bilgi için bkz . SIEM tümleştirmesi.
4. Aşama: Savunma oluşturmaya devam et
Yol haritasının 4. aşaması altı ay ve sonrasında uygulanmalıdır. Bugün bilinen olası saldırılara karşı ayrıcalıklı erişim korumalarınızı güçlendirmek için yol haritanızı tamamlayın. Yarının güvenlik tehditleri için, maliyetleri artırmaya ve ortamınızı hedefleyen saldırganların başarı oranını azaltmaya yönelik devam eden bir süreç olarak güvenliği görüntülemenizi öneririz.
Ayrıcalıklı erişimin güvenliğini sağlamak, iş varlıklarınız için güvenlik güvenceleri oluşturmak için önemlidir. Ancak, sürekli güvenlik güvenceleri sağlayan eksiksiz bir güvenlik programının parçası olmalıdır. Bu program aşağıdakiler gibi öğeleri içermelidir:
- Politika
- Işlem
- Bilgi güvenliği
- Sunucu
- Uygulama
- Adet
- Aygıtları
- Bulut dokusu
Ayrıcalıklı erişim hesaplarını yönetirken aşağıdaki uygulamaları öneririz:
- Yöneticilerin ayrıcalıksız kullanıcılar olarak günlük işlerini gerçekleştirdiğinden emin olun
- Yalnızca gerektiğinde ayrıcalıklı erişim verin ve daha sonra kaldırın (tam zamanında)
- Ayrıcalıklı hesaplarla ilgili denetim etkinliği günlüklerini tutma
Eksiksiz bir güvenlik yol haritası oluşturma hakkında daha fazla bilgi için bkz . Microsoft bulut BT mimarisi kaynakları. Yol haritanızın herhangi bir bölümünü uygulamanıza yardımcı olacak Microsoft hizmetleri ile etkileşim kurmak için Microsoft temsilcinize başvurun veya kuruluşunuzu korumak için kritik siber savunmalar oluşturma bölümüne bakın.
Güvenli Ayrıcalıklı Erişim yol haritasının devam eden bu son aşaması aşağıdaki bileşenleri içerir.
Genel hazırlık
Microsoft Entra Id'de yönetici rollerini gözden geçirme
Mevcut yerleşik Microsoft Entra yönetici rollerinin hala güncel olup olmadığını belirleyin ve kullanıcıların yalnızca ihtiyaç duydukları rollerde olduğundan emin olun. Microsoft Entra Id ile farklı işlevlere hizmet vermek için ayrı yöneticiler atayabilirsiniz. Daha fazla bilgi için bkz . Microsoft Entra yerleşik rolleri.
Microsoft Entra'ya katılmış cihazların yönetimine sahip kullanıcıları gözden geçirin
Daha fazla bilgi için bkz . Microsoft Entra karma birleştirilmiş cihazları yapılandırma.
Yerleşik Microsoft 365 yönetici rollerinin üyelerini gözden geçirme
Microsoft 365 kullanmıyorsanız bu adımı atlayın.
Olay yanıt planını doğrulama
Microsoft, planınızı geliştirmek için planınızın beklendiği gibi çalıştığını düzenli olarak doğrulamanızı önerir:
- Neyin kaçırıldığını görmek için mevcut yol haritanızı inceleyin
- Otopsi analizine bağlı olarak mevcut uygulamaları gözden geçirin veya yeni uygulamalar tanımlayın
- Güncelleştirilmiş olay yanıt planınızın ve uygulamalarınızın kuruluşunuz genelinde dağıtıldığından emin olun
Azure'a erişimi yöneten kuruluşlar için ek adımlar
Bir Azure aboneliğinin sahipliğini başka bir hesaba aktarmanız gerekip gerekmediğini belirleyin.
"Kırık cam": acil bir durumda ne yapmalı?
Önemli yöneticilere ve güvenlik görevlilerine olayla ilgili bilgileri bildirin.
Saldırı playbook'unuzu gözden geçirin.
Microsoft Entra Id'de oturum açmak için "break glass" hesabınızın kullanıcı adı ve parola bileşimine erişin.
Azure desteği isteği açarak Microsoft'tan yardım alın.
Microsoft Entra oturum açma raporlarına bakın. Gerçekleşen bir olay ile rapora dahil edilmesi arasında biraz zaman olabilir.
Karma ortamlar için şirket içi altyapınız federasyon ve AD FS sunucunuz kullanılamıyorsa, parola karması eşitlemesini kullanmak için federasyon kimlik doğrulamasından geçici olarak geçiş yapabilirsiniz. Bu anahtar, AD FS sunucusu kullanılabilir duruma gelene kadar etki alanı federasyonunun yönetilen kimlik doğrulamasına geri döndürülür.
Ayrıcalıklı hesaplar için e-postayı izleyin.
Olası adli ve yasal araştırma için ilgili günlüklerin yedeklerini kaydettiğinizden emin olun.
Microsoft Office 365'in güvenlik olaylarını nasıl işlediği hakkında daha fazla bilgi için bkz . Microsoft Office 365'te Güvenlik Olayı Yönetimi.
SSS: Ayrıcalıklı erişimin güvenliğini sağlamaya yönelik yanıtlar
S: Henüz güvenli erişim bileşeni uygulamadıysam ne yapmalıyım?
Yanıt: En az iki ayrı hesap tanımlayın, ayrıcalıklı yönetici hesaplarınıza MFA atayın ve kullanıcı hesaplarını Genel Yönetici hesaplarından ayırın.
S: İhlalden sonra ilk olarak çözülmesi gereken en önemli sorun nedir?
Yanıt: Yüksek oranda kullanıma sunulan kişiler için en güçlü kimlik doğrulamasına ihtiyacınız olduğundan emin olun.
S: Ayrıcalıklı yöneticilerimiz devre dışı bırakılırsa ne olur?
Yanıt: Her zaman güncel tutulan bir Genel Yönetici hesabı oluşturun.
S: Yalnızca bir Genel Yönetici kaldıysa ve bu yöneticiye ulaşılamıyorsa ne olur?
Yanıt: Anında ayrıcalıklı erişim elde etmek için kırılan hesaplarınızdan birini kullanın.
S: Kuruluşumdaki yöneticileri nasıl koruyabilirim?
Yanıt: Yöneticilerin her zaman günlük işlerini standart "ayrıcalıksız" kullanıcılar olarak yapmalarını sağlayın.
S: Microsoft Entra Id içinde yönetici hesapları oluşturmaya yönelik en iyi yöntemler nelerdir?
Yanıt: Belirli yönetici görevleri için ayrıcalıklı erişim ayırın.
S: Kalıcı yönetici erişimini azaltmak için hangi araçlar var?
Yanıt: Privileged Identity Management (PIM) ve Microsoft Entra yönetici rolleri.
S: Yönetici hesaplarını Microsoft Entra Id ile eşitleme konusunda Microsoft'un konumu nedir?
Yanıt: Katman 0 yönetici hesapları yalnızca şirket içi AD hesapları için kullanılır. Bu tür hesaplar genellikle buluttaki Microsoft Entra Id ile eşitlenmez. Katman 0 yönetici hesapları, şirket içi Active Directory ormanı, etki alanları, etki alanı denetleyicileri ve varlıklar için doğrudan veya dolaylı yönetim denetimine sahip hesapları, grupları ve diğer varlıkları içerir.
S: Yöneticilerin portalda rastgele yönetici erişimi atamasını nasıl engelleyebiliriz?
Yanıt: Tüm kullanıcılar ve çoğu yönetici için ayrıcalıklı olmayan hesaplar kullanın. İlk olarak, hangi az sayıda yönetici hesabının ayrıcalıklı olması gerektiğini belirlemek için kuruluşun ayak izini geliştirin. Ayrıca yeni oluşturulan yönetici kullanıcıları izleyin.
Sonraki adımlar
Ürün Güvenliği için Microsoft Güven Merkezi – Microsoft bulut ürün ve hizmetlerinin güvenlik özellikleri
Microsoft uyumluluk teklifleri – Microsoft'un bulut hizmetleri için kapsamlı uyumluluk teklifleri kümesi
Risk değerlendirmesi yapma yönergeleri - Microsoft bulut hizmetleri için güvenlik ve uyumluluk gereksinimlerini yönetme
Diğer Microsoft Online Services
Microsoft Intune Güvenliği – Intune, buluttan mobil cihaz yönetimi, mobil uygulama yönetimi ve bilgisayar yönetimi özellikleri sağlar.
Microsoft Dynamics 365 güvenliği – Dynamics 365, müşteri ilişkileri yönetimi (CRM) ve kurumsal kaynak planlama (ERP) özelliklerini bir hale getiren Microsoft bulut tabanlı bir çözümdür.