3. Aşama - Ayrıcalıklı erişim ilkelerini zorunlu kılma

Bu makale, Ayrıcalıklı erişim mimarisi çözümü uygulama kılavuzunun bir parçasıdır.

Ayrıcalıklı erişim çoğu kuruluşta kritik bir güvenlik riski sunar çünkü kimlik sistemleri, bulut denetim düzlemleri ve iş açısından kritik varlıklar üzerinde doğrudan denetim sağlar.

Bu riski azaltarak ve hassas sistemler üzerindeki denetimi güçlendirerek güvenli bir ayrıcalıklı erişim mimarisinin iş senaryonuzda nasıl kritik bir rol oynadığını öğrenin: Kritik iş varlıklarını koruma .

Bu makalede uygulamanın 3. Aşaması açıklanmaktadır. Ayrıcalıklı kimliklerin kullanılabilmesini kısıtlamak için ayrıcalıklı erişim ilkelerini zorunlu kılar.

2. Aşamada oluşturulan güvenilir cihaz sinyallerini kullanarak Koşullu Erişim'i yapılandırarak ayrıcalıklı rollerin, portalların ve yönetim arabirimlerinin yalnızca onaylı, düşük riskli ayrıcalıklı erişim iş istasyonlarından (PAW) kullanılabilmesini sağlarsınız.

Koruma hedefleri

3. Aşama aşağıdaki koruma hedeflerini uygular:

  • Ayrıcalıklı kimlik bilgilerinin PAW olmayan cihazlardan kullanılamayacağından emin olun.
  • Yönetici portallarına ve arabirimlerine yalnızca uyumlu ve düşük riskli cihazlardan erişilebilir.
  • Ayrıcalıklı erişim güçlü kullanıcı kimlik doğrulaması ve doğrulanmış cihaz güveni gerektirir.
  • Yönetim arabirimlerine (portallar, API'ler, PowerShell) erişimi onaylı PAW'larla kısıtlayın.
  • Çalınan kimlik bilgileri standart veya yönetilmeyen uç noktalardan yeniden kullanılamaz.
  • Ayrıcalıklı erişim yolları açık, denetlenebilir ve zorlanabilir.

Koruma kapsamı

3. Aşama, ayrıcalıklı erişim arabirimlerini ve aşağıdakiler gibi ayrıcalıklı eylemlerin gerçekleştiği iş akışlarını korur:

  • Bulut yönetim portalları (Azure portalı, Microsoft Entra yönetim merkezi, Microsoft 365 yönetim merkezi)
  • Güvenlik yönetimi portalları (Microsoft Defender portalları)
  • Ayrıcalıklı rol kullanımı ve etkinleştirme (PIM denetimindeki roller dahil)
  • Yönetici tarayıcı oturumları
  • Ayrıcalıklı cihazlar tarafından kullanılan ağ çıkış yolları

3. aşama cihazları veya kimlikleri yeniden yapılandırmaz. 1. ve 2. aşamaların çıktılarını kullanarak politikayı uygular.

Risklerin azaltılması

Risk Neden önemlidir? 3. Aşama azaltma
PAW olmayan cihazlardan yeniden kullanılan ayrıcalıklı kimlik bilgileri MFA ve onaylar, saldırganların güvenliği aşılmış standart iş istasyonlarında çalınan belirteçleri veya kimlik bilgilerini yeniden kullanmasını engellemez. Koşullu Erişim, yalnızca uyumlu, düşük riskli PAW'lardan kimlik doğrulaması yapmak için ayrıcalıklı roller gerektirir.
Yüksek riskli veya eşleşmeyen cihazlardan ayrıcalıklı erişim Güvenlik açığı bulunan bir cihaz, saldırganların yönetim denetimini hemen kullanmasına olanak tanır. Erişim kararları, ayrıcalıklı erişim vermeden önce Intune uyumluluğunu ve Uç Nokta için Microsoft Defender risk düzeyini değerlendirir.
Erişilebilen yönetim portalları yönetilmeyen veya BYOD cihazlardan Bulut kontrol düzlemlerine kuruluş denetimi dışındaki cihazlardan ulaşılabilir hale gelir. Koşullu Erişim, yönetim portallarına erişimi yalnızca PAW'larla sınırlar ve PAW olmayan cihazlardan erişimi engeller.
Alternatif arabirimler kullanarak korumalı portalları atlama Saldırganlar PowerShell, API'ler veya alternatif yönetici uç noktalarını kullanarak denetimlerden kaçınabilir. Uygulama, yalnızca ana portallarda değil, yönetim arayüzlerinde de tutarlı biçimde geçerlidir.
Güvenliği aşılmış iş istasyonlarından ayrıcalıklı rollerin etkinleştirilmesi Güvenli olmayan bir cihazda rol etkinleştirme gerçekleşirse onay iş akışları ele geçirilebilir. PIM rolünün etkinleştirilmesi ve rolün kullanılması, aynı Koşullu Erişim cihaz güveni gereksinimlerine tabidir.
Tek başına kimlik bilgileri ayrıcalıklı erişim izni verir Yalnızca kimlik korumaları güvenilir bir yürütme ortamı olduğunu varsayar. 3. Aşama kimlik, cihaz ve arabirim koşullarını bağlar, böylece kimlik bilgileri tek başına yetersiz kalır.
Uygulama üzerinde görünürlük eksikliği İlke uygulama olmadan, ayrıcalıklı erişimin kısıtlanmış olduğunu kanıtlamak zordur. Koşullu Erişim kararları ve Defender telemetrisi denetlenebilir, gözlemlenebilir zorlama kanıtı sağlar.
İş istasyonunun ele geçirilmesinden sonra hızlı ilerleme Saldırganlar, ele geçirilmiş bir cihazdan hızla tüm kuruluş üzerinde kontrole geçer. 3. Aşama, çalınan kimlik bilgilerinin PAW'lar dışında kullanılamaz olmasını ve yaygın yükseltme yollarının kesilmesini sağlar.

Aşama sonuçları

3. Aşamayı tamamladıktan sonra:

  • Ayrıcalıklı rollere ve yönetici portallarına yalnızca uyumlu, düşük riskli PAW'lardan erişilebilir.
  • Koşullu Erişim, PAW olmayan cihazlardan ayrıcalıklı erişimi engeller.
  • Cihaz uyumluluğu ve Uç Nokta için Microsoft Defender risk sinyalleri, kararlara erişmek için gerekli girişlerdir.
  • Kimlik, cihaz ve arabirim katmanları arasında ayrıcalıklı erişim zorunlu kılındı.
  • Erişim denemeleri günlüğe kaydedilir, gözlemlenebilir ve denetlenebilir.

Prerequisites

Bu makaledeki yordamları yapılandırmadan önce:

  • Kimlik denetim düzleminin güvenliğini sağlamak için 1. Aşama yönergelerini tamamlayın.
  • PAW'ları dağıtıma almak ve güçlendirmek için 2. Aşamayı tamamlayın.
  • Uç nokta tümleştirmesi için cihaz uyumluluğunun ve Defender etkin olduğundan emin olun.

1. Adım — Ayrıcalıklı erişim için MFA ve cihaz güveni gerektir

Ayrıcalıklı erişimin güçlü kullanıcı kimlik doğrulaması ve güvenilir cihazlar gerektirdiğine emin olun.

  1. Microsoft Entra Yönetim MerkeziProtection>Conditional Access>Policies adresine gidin.
  2. Yeni politika oluştur'u seçin.
  3. Atamalar>Kullanıcılar bölümünde şu ayarları yapılandırır:
    • Genel Yönetici, Güvenlik Yöneticisi gibi ayrıcalıklı dizin rollerini ekleyin.
    • Acil durum break-glass grubunu dışla.
  4. Assignments>Bulut uygulamaları içinde Azure portalı, Microsoft Entra yönetim merkezi, Microsoft 365 yönetim merkezi ve Defender portalları gibi bulut yönetimi uygulamaları bulunur.
  5. Erişim denetimlerinde şu ayarlarla erişim izni verin:
    • Çok faktörlü kimlik doğrulaması gerektir
    • Cihazın uyumlu olarak işaretlenmesini gerektirme
    • Uç Nokta için Microsoft Defender cihaz riski düzeyi: Düşük olmalı
  6. İlkeyi etkinleştirin.

2. Adım - Yönetim portallarını PAW'larla sınırlandırma

Yönetim portallarına yalnızca uyumlu PAW'lardan erişilebilir olduğundan emin olun.

  1. Microsoft Entra Yönetim MerkeziProtection>Conditional Access>Policies adresine gidin.
  2. Ek ilke oluşturmak için Yeni ilke oluştur'u seçin.
  3. Atamalar'da >Kullanıcılar şu ayarları yapılandırır:
    • Genel Yönetici, Güvenlik Yöneticisi gibi ayrıcalıklı dizin rollerini ekleyin.
    • Acil durum cam grubunu dışla.
  4. Atamalar'da >Bulut uygulamaları, ortamınızda ayrıcalıklı erişim için kullanılan yönetici uygulamalarını içerir.
  5. Erişim denetimlerinde şu ayarlarla erişim izni verin:
    • Cihazın uyumlu olarak işaretlenmesini gerektirme
    • Uç Nokta için Microsoft Defender cihaz riski = Düşük olmasını gerektir
  6. İlkeyi etkinleştirin.

3. Adım - PAW olmayan cihazlardan ayrıcalıklı erişimi engelleme

Yönetim portallarına ayrıcalıklı erişimin, genel uyumluluk gereksinimlerini karşılasa bile PAW olmayan cihazlardan engellendiğinden emin olun.

  1. Microsoft Entra Yönetim MerkeziProtection>Conditional Access>Policies adresine gidin.
  2. Üçüncü bir ilke oluşturmak için Yeni ilke oluştur'u seçin.
  3. Atamalar>Kullanıcılar içinde şu ayarlar yapılandırılır:
    • Genel Yönetici, Güvenlik Yöneticisi gibi ayrıcalıklı dizin rollerini ekleyin.
    • Belirlenen acil durum erişim hesaplarını hariç tutun.
  4. Assignments>Bulut uygulamaları içinde aynı yönetim portalları yer alır.
  5. Koşullar'ın altında Cihazlar için filtrele'yi seçin.
  6. Cihaz filtresini PAW olmayan cihazları hedeflemek için yapılandırın:
    • Filtrelenmiş cihazları dahil et'i seçin:
    • KURULUŞUNUZUn PAW'ları ayırt etmek için kullandığı özniteliği veya kuralı temel alarak PAW olmayan cihazları tanımlayan bir cihaz filtresi yapılandırın. Bunun 2. Aşamada oluşturulan tanımlama yöntemiyle eşleştiğinden emin olun.
  7. Cihaz filtresi koşulunu uygulamak için Bitti'yi seçin.
  8. Erişim denetimleri'nin altında Erişimi engelle'yi seçin.
  9. İlkeyi etkinleştirmek için Oluştur'u seçin.

4. Adım - PAW ağ erişimini kısıtlama

PAW ağ erişimini yalnızca gerekli yönetim ve yönetim uç noktalarıyla sınırlayın. Bu yapılandırma, geniş protokol tabanlı izinler yerine gerekli uç noktalara izin vermek için açık güvenlik duvarı kurallarına dayanır.

  1. Microsoft Intune yönetim merkezinde Endpoint security>Firewall adresine gidin.

  2. İlke Oluştur'u seçin.

  3. İlkeyi yapılandırın: - Platform: Windows 10 ve üzeri. 1. Güvenlik duvarı profili ayarlarını yapılandırın:

    • Gelen bağlantılar: Engelle
    • Giden bağlantılar: İzin ver (varsayılan olarak, aşağıdaki kurallar tarafından denetlenmektedir)

  4. Ayarlar'ın altında Güvenlik duvarı kurallarını yapılandırın. Ayrıcalıklı yönetim için gereken trafiği tanımlamak için güvenlik duvarı kurallarını kullanın.

  5. Aşağıdakiler gibi gerekli hizmetler için giden izin kuralları oluşturun:

    • DNS
    • DHCP
    • NTP
    • Intune ve Microsoft Entra ID gibi gerekli Microsoft bulut yönetimi uç noktaları.
    • Gerekli yönetim uç noktaları.

    Her kural şu özelliklere sahip olmalıdır:

    • Yön: Giden olarak belirtin.
    • Eylem Belirt: İzin Ver
    • Hedef uç noktaları tanımlama (IP aralıkları, FQDN'ler veya desteklenen hizmet etiketleri)

  6. Sınırsız HTTP/HTTPS gibi geniş kapsamlı izin verme kurallarının yapılandırılmadığından emin olun.

  7. İlkeyi Güvenli İş İstasyonu Cihazlarına (PAW) atayın.

  8. İlkeyi dağıtmak için Oluştur'u seçin.

Böylece ayrıcalıklı erişimin zorunlu kılınması katmanı tamamlanmış olur. Sonraki makale ölçüm, izleme ve başarı ölçütlerini kapsayacak şekilde bunu temel alabilir.

Sonraki Adımlar

Ayrıcalıklı erişim zorlama katmanının uygulanmasıyla, son adım izlemeyi yapılandırmaktır.

  • Last updated on