Ayrıcalıklı erişim: Hesaplar

Hesap güvenliği, ayrıcalıklı erişimin güvenliğini sağlamanın kritik bir bileşenidir. Oturumlar için uçtan uca Sıfır Güven güvenlik, oturumda kullanılan hesabın gerçekte kimliğine bürünen bir saldırganın değil, insan sahibinin denetiminde olduğunu kesin olarak belirlemeyi gerektirir.

Güçlü hesap güvenliği sağlamayı kaldırma yoluyla güvenli sağlama ve tam yaşam döngüsü yönetimi ile başlar ve her oturumda geçmiş davranış desenleri, kullanılabilir tehdit bilgileri ve geçerli oturumdaki kullanım dahil olmak üzere tüm kullanılabilir verilere göre hesabın şu anda gizliliğinin ihlal edilmediğinden emin olunması gerekir.

Hesap güvenliği

Bu kılavuz, farklı duyarlılık düzeylerine sahip varlıklar için kullanabileceğiniz hesap güvenliği için üç güvenlik düzeyi tanımlar:

Bu düzeyler, hızla rol atayabileceğiniz ve ölçeği genişletebileceğiniz her duyarlılık düzeyine uygun net ve uygulanabilir güvenlik profilleri oluşturur. Bu hesap güvenlik düzeylerinin tümü, kullanıcı ve yönetici iş akışlarında kesintiyi sınırlayarak veya ortadan kaldırarak kişilerin üretkenliğini korumak veya iyileştirmek için tasarlanmıştır.

Hesap güvenliğini planlama

Bu kılavuzda her düzeyi karşılamak için gereken teknik denetimler özetlenmiştir. Uygulama kılavuzu ayrıcalıklı erişim yol haritasındadır.

Hesap güvenlik denetimleri

Arabirimler için güvenliğin sağlanması, hem hesapları koruyan hem de Sıfır Güven ilke kararında kullanılacak sinyalleri sağlayan teknik denetimlerin bir bileşimini gerektirir (bkz. İlke yapılandırma başvurusu için Arabirimleri Güvenli Hale Getirme).

Bu profillerde kullanılan denetimler şunlardır:

• Çok faktörlü kimlik doğrulaması - 'nin (kullanıcılar için mümkün olduğunca kolay, ancak bir saldırganın taklit edilmesi zor olacak şekilde tasarlanmıştır) çeşitli kanıt kaynakları sağlar.
• Hesap riski - Tehdit ve Anomali İzleme - riskli senaryoları tanımlamak için UEBA ve Tehdit bilgilerini kullanma
• Özel izleme - Daha hassas hesaplar için izin verilen/kabul edilen davranışları/desenleri açıkça tanımlamak anormal etkinliğin erken algılanmasına olanak tanır. Bu hesapların rolleri için esnekliğe ihtiyacı olduğundan, bu denetim kuruluştaki genel amaçlı hesaplar için uygun değildir.

Denetimlerin birleşimi aynı zamanda hem güvenliği hem de kullanılabilirliği geliştirmenizi sağlar. Örneğin, her kimlik doğrulamasında normal düzeninde kalan bir kullanıcıdan (aynı cihazı her gün aynı konumda kullanarak) MFA dışından istenmesi gerekmez.

Kurumsal güvenlik hesapları

Kurumsal hesapların güvenlik denetimleri, tüm kullanıcılar için güvenli bir temel oluşturacak ve özel ve ayrıcalıklı güvenlik için güvenli bir temel sağlayacak şekilde tasarlanmıştır:

• Güçlü çok faktörlü kimlik doğrulamasını zorunlu kılma (MFA) - Kullanıcının kurumsal olarak yönetilen bir kimlik sistemi tarafından sağlanan güçlü MFA ile kimliğinin doğrulandığından emin olun (aşağıdaki diyagramda ayrıntılı olarak verilmiştir). Çok faktörlü kimlik doğrulaması hakkında daha fazla bilgi için bkz . Azure güvenliği için en iyi yöntem 6.

  Not

  Kuruluşunuz geçiş döneminde mevcut daha zayıf bir MFA biçimini kullanmayı seçebileceğinden, saldırganlar giderek daha zayıf MFA korumalarından kurtulmaktadır, bu nedenle MFA'ya yapılan tüm yeni yatırımlar en güçlü biçimlerde olmalıdır.

• Hesap/oturum riskini zorunlu kılma - Hesabın düşük (veya orta) bir risk düzeyine sahip olmadığı sürece kimlik doğrulamasına izin vermediğinden emin olun. Koşullu kurumsal hesap güvenliğiyle ilgili ayrıntılar için bkz. Arabirim Güvenlik Düzeyleri.

• Uyarıları izleme ve yanıtlama - Güvenlik işlemleri hesap güvenlik uyarılarını tümleştirmeli ve bu protokollerin ve sistemlerin bir uyarının ne anlama geldiğini hızla kavrayabilmelerini ve buna göre tepki verebildiklerinden emin olmak için bu protokollerin ve sistemlerin nasıl çalıştığı hakkında yeterli eğitimi almalıdır.

  • Microsoft Entra Kimlik Koruması etkinleştirme
  • Risk Microsoft Entra Kimlik Koruması araştırma
  • Koşullu Erişim Oturum Açma hatalarını giderme/araştırma

Aşağıdaki diyagramda farklı MFA biçimleriyle parolasız kimlik doğrulaması karşılaştırması sağlanmaktadır. En iyi kutudaki her seçenek hem yüksek güvenlik hem de yüksek kullanılabilirlik olarak kabul edilir. Her birinin farklı donanım gereksinimleri vardır, bu nedenle farklı rollere veya kişilere uygulananları karıştırmak ve eşleştirmek isteyebilirsiniz. Tüm Microsoft parolasız çözümleri, koşullu erişim tarafından çok faktörlü kimlik doğrulaması olarak kabul edilir çünkü sahip olduğunuz bir şeyi biyometri, bildiğiniz bir şey veya her ikisi ile birleştirmeleri gerekir.

Not

SMS ve diğer telefon tabanlı kimlik doğrulamasının neden sınırlı olduğu hakkında daha fazla bilgi için Kimlik Doğrulaması için Telefon Aktarımlarında Kapatma Zamanı geldi blog gönderisine bakın.

Özelleştirilmiş hesaplar

Özelleştirilmiş hesaplar, hassas kullanıcılar için uygun olan daha yüksek bir koruma düzeyidir. İş üzerindeki etkileri yüksek olduğundan, özel hesaplar güvenlik uyarıları, olay incelemeleri ve tehdit avcılığı sırasında ek izleme ve öncelik belirleme garantisi verir.

En hassas hesapları belirleyerek ve uyarılarla yanıt işlemlerinin önceliklerinin belirlenmesini sağlayarak kurumsal güvenlikte güçlü MFA'ya özel güvenlik derlemeleri:

1. Hassas Hesapları Tanımlama - Bu hesapları tanımlamak için özel güvenlik düzeyi kılavuzuna bakın.
2. Özel Hesapları Etiketle - Her hassas hesabın etiketlendiğinden emin olun
   1. Bu hassas hesapları tanımlamak için Microsoft Sentinel İzleme Listelerini yapılandırma
   2. Office 365 için Microsoft Defender'de Öncelik hesabı korumasını yapılandırma ve özel ve ayrıcalıklı hesapları öncelik hesapları olarak belirleme -
3. Güvenlik İşlemlerini Güncelleştirme - bu uyarılara en yüksek önceliğe sahip olduğundan emin olmak için
4. İdareyi Ayarlama - İdare sürecini güncelleştirin veya oluşturarak
   1. Tüm yeni roller, oluşturulduklarında veya değiştirildiğinde özelleştirilmiş veya ayrıcalıklı sınıflandırmalar için değerlendirilir
   2. Tüm yeni hesaplar oluşturulduklarında etiketlenir
   3. Rollerin ve hesapların normal idare işlemleri tarafından kaçırılmadığından emin olmak için sürekli veya düzenli aralıklarla bant dışı denetimler.

Ayrıcalıklı hesaplar

Ayrıcalıklı hesaplar, güvenliği ihlal edilirse kuruluşun operasyonları üzerinde önemli veya önemli bir olası etkiyi temsil ettiğinden en yüksek koruma düzeyine sahiptir.

Ayrıcalıklı hesaplar her zaman iş açısından kritik sistemlerin çoğu veya tümü dahil olmak üzere çoğu veya tüm kurumsal sistemlere erişimi olan BT Yönetici içerir. İş etkisi yüksek olan diğer hesaplar da bu ek koruma düzeyini garanti edebilir. Hangi rol ve hesapların hangi düzeyde korunması gerektiği hakkında daha fazla bilgi için Privileged Security makalesine bakın.

Özelleştirilmiş güvenliğe ek olarak, ayrıcalıklı hesap güvenliği her ikisini de artırır:

• Önleme - Bu hesapların kullanımını belirlenen cihazlara, iş istasyonlarına ve aracılara kısıtlamak için denetimler ekleyin.
• Yanıt - Bu hesapları anormal etkinlik için yakından izleyin ve riski hızla araştırıp düzeltin.

Ayrıcalıklı hesap güvenliğini yapılandırma

Hem ayrıcalıklı hesaplarınızın güvenliğini artırmak hem de yönetme maliyetinizi azaltmak için Güvenlik hızlı modernleştirme planındaki yönergeleri izleyin.

Sonraki adımlar

• Ayrıcalıklı erişimin güvenliğini sağlamaya genel bakış
• Ayrıcalıklı erişim stratejisi
• Başarıyı ölçme
• Güvenlik düzeyleri
• Aracı
• Arabirimler
• Ayrıcalıklı erişim cihazları
• Kurumsal erişim modeli