Yönetim

Yönetici stration, işletmenin gerektirdiği hizmet düzeylerini karşılamak için Bilgi Teknolojisi (BT) sistemlerini izleme, koruma ve çalıştırma uygulamasıdır. Yönetici istrasyon, bu görevlerin gerçekleştirilmesi için çok geniş bir sistem ve uygulama kümesine ayrıcalıklı erişim gerektirdiğinden, en yüksek etki alanı güvenlik risklerinden bazılarını ortaya koymektedir. Saldırganlar, yönetici ayrıcalıklarına sahip bir hesaba erişim kazanmanın hedefledikleri verilerin çoğuna veya tümüne erişmelerini sağlayıp yönetimin güvenliğini en kritik güvenlik alanlarından biri haline getirebileceğini bilir.

Örneğin Microsoft, bulut sistemlerimiz ve BT sistemlerimiz için yöneticilerin korunması ve eğitimi için önemli yatırımlar yapar:

Microsoft'un yönetim ayrıcalıkları için önerilen temel stratejisi, riski azaltmak için kullanılabilir denetimleri kullanmaktır

Risk riskini azaltma (kapsam ve zaman) – En düşük ayrıcalık ilkesi, isteğe bağlı ayrıcalıklar sağlayan modern denetimlerle en iyi şekilde gerçekleştirilir. Bu, yönetim ayrıcalıklarının kapsamını şu şekilde sınırlayarak riski sınırlamaya yardımcı olur:

• Kapsam – Yeterli Erişim (JEA), yalnızca gerekli yönetim işlemi için gerekli ayrıcalıkları sağlar (aynı anda birçok veya tüm sistemler için doğrudan ve hemen hemen ayrıcalıklara sahip olmak ve neredeyse hiç gerekli değildir).

• Time – Tam Zamanında (JIT) yaklaşımları gerektiğinde gerekli ayrıcalığı sağladı.

• Kalan riskleri azaltma – Yönetici hesaplarını kimlik avı ve genel web'e göz atma gibi en yaygın risklerden yalıtmak, iş akışlarını basitleştirmek ve iyileştirmek, kimlik doğrulama kararlarının güvencesini artırmak ve engellenebilir veya araştırılabilir normal temel davranışlardan anomalileri belirlemek gibi riskleri azaltmak için önleyici ve dedektif denetimlerinin bir bileşimini kullanın.

Microsoft, yönetici hesaplarını korumaya yönelik en iyi yöntemleri yakalayıp belgelemiştir ve ayrıcalıklı erişimi olan hesapların risk azaltmalarını önceliklendirmek için başvuru olarak kullanılabilecek ayrıcalıklı erişimi korumaya yönelik öncelikli yol haritaları yayımlamıştır.

• Şirket içi Active Directory yöneticileri için Privileged Access (SPA) yol haritasının güvenliğini sağlama

• Microsoft Entra Id yöneticilerinin güvenliğini sağlama kılavuzu

Kritik etki yöneticilerinin sayısını en aza indirme

İş açısından kritik etki yaratabilecek ayrıcalıklara en az sayıda hesap verme

Her yönetici hesabı, bir saldırganın hedefleyebilecekleri olası saldırı yüzeyini temsil eder, bu nedenle bu ayrıcalığı olan hesap sayısını en aza indirmek, genel kuruluş riskini sınırlamaya yardımcı olur. Deneyim bize bu ayrıcalıklı grupların üyeliğinin, kişiler etkin olarak sınırlı ve yönetilmemesi durumunda roller değiştikçe doğal bir şekilde büyüdüğünü öğretti.

Yöneticiye bir şey olması durumunda iş sürekliliğini güvence altına alırken bu saldırı yüzeyi riskini azaltan bir yaklaşım öneririz:

• İş sürekliliği için ayrıcalıklı gruba en az iki hesap atama

• İki veya daha fazla hesap gerektiğinde, özgün ikisi de dahil olmak üzere her üye için gerekçe sağlayın

• Her grup üyesi için üyeliği ve gerekçeyi düzenli olarak gözden geçirme

Yöneticiler için yönetilen hesaplar

kuruluş ilkesi zorlamasını izlemek için içindeki tüm kritik etki yöneticilerinin kurumsal dizin tarafından yönetildiğinden emin olun.

@Hotmail.com, @live.com, @outlook.com gibi Microsoft hesapları gibi tüketici hesapları, kuruluşun ilkelerinin ve mevzuat gereksinimlerine uyulmasını sağlamak için yeterli güvenlik görünürlüğü ve denetimi sunmaz. Azure dağıtımları genellikle kurumsal olarak yönetilen kiracılara dönüşmeden önce küçük ve resmi olmayan bir şekilde başladığından, bazı tüketici hesapları uzun süre sonra yönetim hesapları olarak kalır; örneğin, özgün Azure proje yöneticileri, kör noktalar oluşturma ve olası riskler.

Yöneticiler için ayrı hesaplar

Tüm kritik etki yöneticilerinin yönetim görevleri için ayrı bir hesabı olduğundan emin olun (e-posta, web'e göz atma ve diğer üretkenlik görevleri için kullandıkları hesap yerine).

Kimlik avı ve web tarayıcısı saldırıları, yönetim hesapları dahil olmak üzere hesapların güvenliğini aşmaya yönelik en yaygın saldırı vektörlerini temsil eder.

Kritik ayrıcalıklar gerektiren bir role sahip olan tüm kullanıcılar için ayrı bir yönetim hesabı oluşturun. Bu yönetim hesapları için Office 365 e-postası (lisansı kaldır) gibi üretkenlik araçlarını engelleyin. Mümkünse, Azure portalına ve yönetim görevleri için gereken diğer sitelere göz atma özel durumlarına izin verirken rastgele web'e gözatmayı (ara sunucu ve/veya uygulama denetimleriyle) engelleyin.

Ayakta erişim yok / Tam Zamanında ayrıcalıkları

Kritik etki hesapları için kalıcı "ayakta" erişim sağlamaktan kaçının

Kalıcı ayrıcalıklar, saldırganın zarar vermek için hesabı kullanabildiği süreyi artırarak iş riskini artırır. Geçici ayrıcalıklar, bir hesabı hedefleyen saldırganları yöneticinin zaten hesabı kullandığı sınırlı süre içinde çalışmaya veya ayrıcalık yükseltmesi başlatmaya zorlar (bu da algılanma ve ortamdan kaldırılma olasılığını artırır).

Aşağıdaki yöntemlerden birini kullanarak yalnızca gerekli ayrıcalıkları verin:

• Tam Zamanında - Kritik etki hesapları için ayrıcalıklar elde etmek üzere bir onay iş akışının takip edilebilmesi için Microsoft Entra Privileged Identity Management'ı (PIM) veya üçüncü taraf bir çözümü etkinleştirin

• Break glass : Nadiren kullanılan hesaplar için, hesaplara erişim kazanmak için acil durum erişim sürecini izleyin. Bu, genel yönetici hesaplarının üyeleri gibi düzenli işlem kullanımına çok az ihtiyacı olan ayrıcalıklar için tercih edilir.

Acil durum erişimi veya 'Break Glass' hesapları

Acil durumlarda yönetim erişimi elde etmek için bir mekanizmaya sahip olduğunuzdan emin olun

Nadir olsa da, bazen tüm normal yönetim erişim araçlarının kullanılamadığı aşırı koşullar ortaya çıkar.

Microsoft Entra Id'de acil durum erişim yönetim hesaplarını yönetme ve güvenlik işlemlerinin bu hesapları dikkatle izlediğinden emin olma yönergelerini izlemenizi öneririz.

Yönetici iş istasyonu güvenliği

Yöneticilerin yükseltilmiş güvenlik korumaları ve izlemesi olan bir iş istasyonu kullanmasını kritik düzeyde etkilediğinden emin olun

Gözatma kullanan saldırı vektörleri ve kimlik avı gibi e-postalar ucuz ve yaygın. Yöneticilerin kritik etkiyi bu risklerden yalıtmak, bu hesaplardan birinin gizliliğinin ihlal edildiği ve işletmenize veya misyonunuza önemli ölçüde zarar vermek için kullanıldığı önemli bir olay riskini önemli ölçüde azaltır.

adresinde sağlanan seçeneklere göre yönetici iş istasyonu güvenlik düzeyini seçin https://aka.ms/securedworkstation

• Yüksek Oranda Güvenli Üretkenlik Cihazı (Gelişmiş Güvenlik İş İstasyonu veya Özel İş İstasyonu)
  Kritik etki yöneticilerine genel göz atma ve üretkenlik görevlerine hala izin veren daha yüksek bir güvenlik iş istasyonu sağlayarak bu güvenlik yolculuğuna başlayabilirsiniz. Bunu geçici bir adım olarak kullanmak, hem kritik etki yöneticileri hem de bu kullanıcıları ve iş istasyonlarını destekleyen BT personeli için tamamen yalıtılmış iş istasyonlarına geçişi kolaylaştırmaya yardımcı olur.

• Ayrıcalıklı Erişim İş İstasyonu (Özel İş İstasyonu veya Güvenli İş İstasyonu)
  Bu yapılandırmalar kimlik avı, tarayıcı ve üretkenlik uygulaması saldırı vektörlerine erişimi büyük ölçüde kısıtladıkları için kritik etki yöneticileri için ideal güvenlik durumunu temsil eder. Bu iş istasyonları genel İnternet'e gözatmaya izin vermez, yalnızca Azure portalına ve diğer yönetim sitelerine tarayıcı erişimine izin verir.

Kritik etki yönetici bağımlılıkları – Hesap/İş İstasyonu

Kritik etki hesapları ve iş istasyonları için şirket içi güvenlik bağımlılıklarını dikkatle seçin

Şirket içi varlıkların büyük bir risk altına alınmasına neden olan şirket içi olay riskini içermek için, şirket içi kaynakların buluttaki hesapları kritik düzeyde etkilemesi için sahip olduğu denetim araçlarını ortadan kaldırmanız veya en aza indirmeniz gerekir. Örnek olarak, şirket içi Active Directory'yi tehlikeye atan saldırganlar Azure, Amazon Web Services (AWS), ServiceNow vb. kaynaklar gibi bu hesapları kullanan bulut tabanlı varlıklara erişebilir ve bu varlıkların güvenliğini tehlikeye atabilir. Saldırganlar ayrıca şirket içi etki alanlarına katılmış iş istasyonlarını kullanarak kendilerinden yönetilen hesaplara ve hizmetlere erişim sağlayabilir.

Kritik etki hesapları için güvenlik bağımlılıkları olarak da bilinen şirket içi denetim araçlarından yalıtım düzeyini seçin

• Kullanıcı Hesapları – Kritik etki hesaplarının barındırıldığı yeri seçin

  • Yerel Microsoft Entra hesapları -*Şirket içi Active Directory ile eşitlenmemiş Yerel Microsoft Entra hesapları oluşturma

  • şirket içi Active Directory eşitle (Önerilmez)- Şirket içi Active Directory'de barındırılan mevcut hesaplardan yararlanın.

• İş İstasyonları – Kritik yönetici hesapları tarafından kullanılan iş istasyonlarını nasıl yönetebileceğinizi ve güvenliğini nasıl sağlayabileceğinizi seçin:

  • Yerel Bulut Yönetimi ve Güvenlik (Önerilen) - İş istasyonlarını Microsoft Entra Id'ye ekleyin ve Intune veya diğer bulut hizmetleriyle yönetin/yama yapın. Windows Microsoft Defender ATP veya şirket içi tabanlı hesaplar tarafından yönetilmeyen başka bir bulut hizmetiyle koruma ve izleme.

  • Mevcut Sistemlerle Yönet - Mevcut AD etki alanına katılın ve mevcut yönetim/güvenlik özelliklerinden yararlanın.

Yöneticiler için Parolasız veya çok faktörlü kimlik doğrulaması

Tüm kritik etki yöneticilerinin parolasız kimlik doğrulaması veya çok faktörlü kimlik doğrulaması (MFA) kullanmasını zorunlu kılar.

Saldırı yöntemleri, parolaların tek başına bir hesabı güvenilir bir şekilde koruyamayacağı bir noktaya kadar gelişmiştir. Bu, Bir Microsoft Ignite Oturumunda iyi belgelenmiştir.

Yönetici istrative hesapları ve tüm kritik hesaplar aşağıdaki kimlik doğrulama yöntemlerinden birini kullanmalıdır. Bu özellikler en yüksek maliyet/saldırı zorluğuna (en güçlü/tercih edilen seçenekler) en düşük maliyete/saldırı zorluğuna göre tercih sırasına göre listelenir:

• Parolasız (Windows Hello gibi)
  https://aka.ms/HelloForBusiness

• Parolasız (Authenticator Uygulaması)
  </azure/active-directory/authentication/howto-authentication-phone-sign-in>

• Multi-Factor Authentication
  </azure/active-directory/authentication/howto-mfa-userstates>

SMS Kısa Mesaj tabanlı MFA'nın saldırganların atlanması için çok ucuz hale geldiğini unutmayın, bu nedenle buna güvenmekten kaçınmanızı öneririz. Bu seçenek yalnızca parolalardan daha güçlüdür ancak diğer MFA seçeneklerinden çok daha zayıftır

Yöneticiler için koşullu erişimi zorunlu kılma - Sıfır Güven

Tüm yöneticiler ve diğer kritik etki hesapları için kimlik doğrulaması, Sıfır Güven stratejisini desteklemek için temel güvenlik özniteliklerinin ölçülmesi ve uygulanması içermelidir.

Azure Yönetici hesaplarını tehlikeye atan saldırganlar önemli zararlara neden olabilir. Koşullu Erişim, Azure yönetimine erişime izin vermeden önce güvenlik hijyenini zorunlu kılarak bu riski önemli ölçüde azaltabilir.

Kuruluşunuzun risk iştahını ve operasyonel gereksinimlerini karşılayan Azure yönetimi için Koşullu Erişim ilkesini yapılandırın.

• Belirlenmiş iş ağından Çok Faktörlü Kimlik Doğrulaması ve/veya bağlantı iste

• Microsoft Defender ATP ile Cihaz bütünlüğünü gerektirme (Güçlü Güvence)

Ayrıntılı ve özel izinlerden kaçının

Tek tek kaynaklara veya kullanıcılara özel olarak başvuran izinlerden kaçının

Belirli izinler, amacı yeni benzer kaynaklara taşımadıkları için gereksiz karmaşıklık ve karışıklık oluşturur. Daha sonra bu, "bir şeyi bozma" korkusu olmadan bakımı veya değiştirilmesi zor olan karmaşık bir eski yapılandırmaya dönüşür ve bu da hem güvenlik hem de çözüm çevikliğini olumsuz etkiler.

Kaynağa özgü belirli izinleri atamak yerine

• Kuruluş genelinde izinler için Yönetim Grupları

• Abonelikler içindeki izinler için kaynak grupları

Belirli kullanıcılara izin vermek yerine, Microsoft Entra Id'de gruplara erişim atayın. Uygun bir grup yoksa, kimlik ekibiyle birlikte çalışarak bir grup oluşturun. Bu, Azure'a dışarıdan grup üyeleri ekleyip kaldırmanıza ve izinlerin geçerli olduğundan emin olmanıza olanak tanırken, grubun posta listeleri gibi diğer amaçlar için de kullanılmasına olanak tanır.

Yerleşik rolleri kullanma

Mümkün olduğunda izinleri atamak için yerleşik rolleri kullanın.

Özelleştirme karışıklığı artıran karmaşıklığa yol açar ve otomasyonu daha karmaşık, zorlayıcı ve kırılgan hale getirir. Bu faktörlerin tümü güvenliği olumsuz etkiler

Çoğu normal senaryoyu kapsayacak şekilde tasarlanmış yerleşik rolleri değerlendirmenizi öneririz. Özel roller güçlü ve bazen kullanışlı bir özelliktir, ancak yerleşik rollerin çalışmayacağı durumlar için ayrılmalıdır.

Kritik etki hesapları için yaşam döngüsü yönetimi oluşturma

Yönetici personeli kuruluş dışına çıktığında yönetim hesaplarını devre dışı bırakma veya silme işlemine sahip olduğunuzdan emin olun (veya yönetim pozisyonlarından ayrılın)

Daha fazla ayrıntı için bkz . Erişim gözden geçirmeleriyle kullanıcı ve konuk kullanıcı erişimini yönetme.

Kritik etki hesapları için saldırı benzetimi

Yönetici kullanıcılara yönelik saldırıları eğitmek ve güçlendirmek için geçerli saldırı teknikleriyle düzenli olarak simüle edin.

Kişiler, özellikle kritik etki hesaplarına erişimi olan personeliniz olmak üzere savunmanızın kritik bir parçasıdır. Bu kullanıcıların (ve ideal olarak tüm kullanıcıların) saldırılardan kaçınmaya ve saldırılara karşı direnmeye yönelik bilgi ve becerilere sahip olmasını sağlamak, genel kuruluş riskinizi azaltır.

Office 365 Saldırı Benzetimi özelliklerini veya herhangi bir sayıda üçüncü taraf teklifini kullanabilirsiniz.

Sonraki adımlar

Microsoft'un ek güvenlik yönergeleri için Bkz . Microsoft güvenlik belgeleri.