Ayrıcalıklı erişim: Hesaplar

Hesap güvenliği, ayrıcalıklı erişim güvenliğini sağlamanın kritik bir bileşenidir. Oturumlar için Sıfır Güven uçtan uca güvenlik, oturumda kullanılan hesabın gerçekte kimliğine bürünen bir saldırganın değil, insan sahibinin denetiminde olduğunu kesin olarak belirlemeyi gerektirir.

Güçlü hesap güvenliği, güvenli sağlama, devreden çıkarma ve tüm yaşam döngüsü yönetimi ile başlar; her oturumda, geçmiş davranış kalıpları, mevcut tehdit istihbaratı ve geçerli oturumdaki kullanım dâhil olmak üzere tüm erişilebilir verilere dayanarak hesabın şu anda tehlikeye girmediğinden emin olunması gerekir.

Hesap güvenliği

Bu kılavuz, farklı duyarlılık düzeylerine sahip varlıklar için kullanabileceğiniz hesap güvenliği için üç güvenlik düzeyi tanımlar:

hesapları uçtan uca koruma

Bu düzeyler, hızla rol atayabileceğiniz ve ölçeği genişletebileceğiniz her duyarlılık düzeyine uygun net ve uygulanabilir güvenlik profilleri oluşturur. Bu hesap güvenlik düzeylerinin tümü, kullanıcı ve yönetici iş akışlarında kesintiyi sınırlayarak veya ortadan kaldırarak kişilerin üretkenliğini korumak veya iyileştirmek için tasarlanmıştır.

Hesap güvenliğini planlama

Bu kılavuzda her düzeyi karşılamak için gereken teknik denetimler özetlenmiştir. Uygulama kılavuzu, ayrıcalıklı erişim yol haritasındadır.

Hesap güvenlik denetimleri

Arabirimler için güvenliğin sağlanması, hem hesapları koruyan hem de Sıfır Güven ilkesi kararında kullanılacak sinyalleri sağlayan teknik denetimlerin bir bileşimini gerektirir (bkz. İlke yapılandırma başvurusu için Arabirimleri Güvenli Hale Getirme).

Bu profillerde kullanılan denetimler şunlardır:

• Çok faktörlü kimlik doğrulaması - 'nin (kullanıcılar için mümkün olduğunca kolay, ancak bir saldırganın taklit edilmesi zor olacak şekilde tasarlanmıştır) çeşitli kanıt kaynakları sağlar.
• Hesap riski - Tehdit ve Anomali İzleme - riskli senaryoları tanımlamak için UEBA ve Tehdit bilgilerini kullanma
• Özel izleme - Daha hassas hesaplar için izin verilen/kabul edilen davranışları/desenleri açıkça tanımlamak anormal etkinliğin erken algılanmasına olanak tanır. Bu hesapların rolleri için esnekliğe ihtiyacı olduğundan, bu denetim kuruluştaki genel amaçlı hesaplar için uygun değildir.

Denetimlerin birleşimi aynı zamanda hem güvenliği hem de kullanılabilirliği geliştirmenizi sağlar. Örneğin, normal düzeninde kalan bir kullanıcının (aynı cihazı her gün aynı konumda kullanarak) her kimlik doğrulamasında ek MFA istemine gerek duyulmaz.

Kurumsal güvenlik hesapları

Kurumsal hesapların güvenlik denetimleri, tüm kullanıcılar için güvenli bir temel oluşturacak ve özel ve ayrıcalıklı güvenlik için güvenli bir temel sağlayacak şekilde tasarlanmıştır:

• Güçlü çok faktörlü kimlik doğrulamasını (MFA) zorunlu kılma - Kullanıcının, kuruluş tarafından yönetilen bir kimlik sistemi tarafından sağlanan güçlü MFA ile kimliğinin doğrulandığından emin olun (aşağıdaki diyagramda ayrıntılı olarak verilmiştir). Çok faktörlü kimlik doğrulaması hakkında daha fazla bilgi için bkz. Azure güvenliği için en iyi yöntem 6.

  Not

  Kuruluşunuz geçiş döneminde mevcut daha zayıf bir MFA biçimini kullanmayı seçebileceğinden, saldırganlar giderek daha zayıf MFA korumalarından kurtulmaktadır, bu nedenle MFA'ya yapılan tüm yeni yatırımlar en güçlü biçimlerde olmalıdır.

• Hesap/oturum riskini zorunlu kılma - Hesabın düşük (veya orta) bir risk düzeyine sahip olmadığı sürece kimlik doğrulamasına izin vermediğinden emin olun. Koşullu kurumsal hesap güvenliğiyle ilgili ayrıntılar için bkz. Arabirim Güvenlik Düzeyleri.

• Uyarıları izleme ve yanıtlama - Güvenlik işlemleri hesap güvenlik uyarılarını tümleştirmeli ve bu protokollerin ve sistemlerin bir uyarının ne anlama geldiğini hızla kavrayabilmelerini ve buna göre tepki verebildiklerinden emin olmak için bu protokollerin ve sistemlerin nasıl çalıştığı hakkında yeterli eğitimi almalıdır.

  • Microsoft Entra ID Protection'i etkinleştir
  • Riski araştırma Microsoft Entra ID Protection
  • Koşullu Erişim Oturum Açma hatalarını giderme/araştırma

Aşağıdaki diyagramda farklı MFA biçimleriyle parolasız kimlik doğrulaması karşılaştırması sağlanmaktadır. Box Best'teki her seçenek hem yüksek güvenlik hem de yüksek kullanılabilirliktir. Her birinin farklı donanım gereksinimleri vardır, bu nedenle farklı rollere veya kişilere uygulananları karıştırmak ve eşleştirmek isteyebilirsiniz. Tüm Microsoft parolasız çözümleri Koşullu Erişim tarafından çok faktörlü kimlik doğrulaması olarak kabul edilir çünkü sahip olduğunuz bir öğeyi biyometriyle, bildiğiniz bir şeyle veya her ikisiyle birleştirmeyi gerektirir.

karşılaştırması

Not

SMS ve diğer telefon tabanlı kimlik doğrulamasının neden sınırlı olduğu hakkında daha fazla bilgi için Kimlik Doğrulamada Telefon Yöntemlerini Bırakma Zamanıblog gönderisine bakın.

Özelleştirilmiş hesaplar

Özelleştirilmiş hesaplar, hassas kullanıcılar için uygun olan daha yüksek bir koruma düzeyi sağlar. İş üzerindeki etkileri yüksek olduğundan, özel hesaplar güvenlik uyarıları, olay incelemeleri ve tehdit avcılığı sırasında ek izleme ve öncelik belirleme garantisi verir.

Kurumsal güvenlikte güçlü MFA'nın bir parçası olan özel güvenlik, en hassas hesapları belirleyerek ve uyarı ile yanıt işlemlerinin önceliklendirilmesini sağlayarak güç kazanır.

1. Hassas Hesapları Tanımlama - Bu hesapları tanımlamak için özel güvenlik düzeyi kılavuzuna bakın.
2. Özel Hesapları etiketleme - Her hassas hesabın etiketlendiğinden emin olun
   1. Bu hassas hesapları tanımlamak için Microsoft Sentinel İzleme Listeleri yapılandırmak
   2. Office 365 için Microsoft Defender'da Öncelik hesabı korumasını yapılandırma ve özel ve ayrıcalıklı hesapları öncelik hesapları olarak belirleme -
3. Bu uyarılara en yüksek önceliği vermek için Güvenlik İşlemleri işlemlerini güncelleştirin
4. İdareyi Ayarlama - İdare sürecini güncelleştirin veya oluşturarak
   1. Tüm yeni roller, oluşturulduklarında veya değiştirildiğinde özelleştirilmiş veya ayrıcalıklı sınıflandırmalar için değerlendirilir
   2. Tüm yeni hesaplar oluşturulduklarında etiketlenir
   3. Rollerin ve hesapların normal idare işlemleri tarafından kaçırılmadığından emin olmak için sürekli veya düzenli aralıklarla bant dışı denetimler.

Ayrıcalıklı hesaplar

Ayrıcalıklı hesaplar, güvenliği ihlal edilirse kuruluşun operasyonları üzerinde önemli veya önemli bir olası etkiyi temsil ettiğinden en yüksek koruma düzeyine sahiptir.

Ayrıcalıklı hesaplar her zaman iş açısından kritik sistemlerin çoğu veya tümü dahil olmak üzere çoğu veya tüm kurumsal sistemlere erişimi olan BT Yöneticileri içerir. İş etkisi yüksek olan diğer hesaplar da bu ek koruma düzeyini garanti edebilir. Hangi rol ve hesapların hangi düzeyde korunması gerektiği hakkında daha fazla bilgi için Privileged Security makalesine bakın.

Özel güvenliğe ek olarak, ayrıcalıklı hesap güvenliği her ikisini de artırır:

• Önleme - Bu hesapların kullanımını belirlenen cihazlara, iş istasyonlarına ve aracılara kısıtlamak için denetimler ekleyin.
• Yanıt - Bu hesapları anormal etkinlik için yakından izleyin ve riski hızla araştırıp düzeltin.

Ayrıcalıklı hesap güvenliğini yapılandırma

Hem ayrıcalıklı hesaplarınızın güvenliğini artırmak hem de yönetme maliyetinizi azaltmak için Güvenlik hızlı modernleştirme planı yönergeleri izleyin.

Sonraki adımlar

• Ayrıcalıklı erişimin güvenliğini sağlamaya genel bakış
• Ayrıcalıklı erişim stratejisi
• Başarıyı ölçme
• Güvenlik düzeyleri
• Aracılar
• Arabirimleri
• Ayrıcalıklı erişim cihazları
• Kurumsal erişim modeli