1. Aşama - Kimlik denetim düzleminin güvenliğini sağlama

Bu makale, Ayrıcalıklı erişim mimarisi çözümü uygulama kılavuzunun bir parçasıdır.

Ayrıcalıklı erişim çoğu kuruluşta kritik bir güvenlik riski sunar çünkü kimlik sistemleri, bulut denetim düzlemleri ve iş açısından kritik varlıklar üzerinde doğrudan denetim sağlar.

Bu riski azaltarak ve hassas sistemler üzerindeki denetimi güçlendirerek güvenli bir ayrıcalıklı erişim mimarisinin iş senaryonuzda nasıl kritik bir rol oynadığını öğrenin: Kritik iş varlıklarını koruma .

Bu makale , Ayrıcalıklı erişim mimarisi uygulama çözümünün 1. Aşamasını uygulamanıza yardımcı olur. Bu aşama ayrıcalıklı kimlikleri, rol atamalarını ve yetkili yükseltme yollarını tanımlayıp koruyarak kimlik denetim düzleminin güvenliğini sağlar.

Önce 1. Aşama'nın uygulanması önemlidir. Ayrıcalıklı erişim cihazlarının güvenliğini sağlayan, Koşullu Erişim ilkelerini uygulayan ve ayrıcalıklı erişimi izleyen sonraki aşamalar temiz, iyi yönetilen bir kimlik denetim düzlemi olmasına bağlıdır.

Koruma hedefleri

1. Aşama, ayrıcalıklı erişimin şu şekilde olmasını sağlar:

  • Açık: Yalnızca tanımlı yükseltme yolları aracılığıyla ayrıcalık verin. Bunu asla ima yoluyla ya da yanlışlıkla yapmayın.
  • Geçici: Ayrıcalık otomatik olarak sona erer.
  • Kimliği kesin olarak doğrulandı: Yükseltme için güçlü kimlik doğrulaması gerektir.
  • Denetlenebilir: Tüm ayrıcalık değişikliklerini ve yükseltmelerini günlüğe kaydetme.
  • Kurtarılabilir: Kontrolleri zayıflatmadan acil durum erişimi sağlayın.

Koruma kapsamı

1. Aşama, ayrıcalıklı erişimin iki temel bileşenine odaklanır:

  • Ayrıcalıklı kimlikler: Aşağıdakileri içeren ayrıcalıklı eylemler gerçekleştirebilen kimlikler:

    • Ayrılmış yönetici kullanıcı hesapları
    • Yönetim grupları
    • Hizmet sorumluları ve yönetilen kimlikler
    • Azure RBAC rol atamaları
    • Acil durum (break-glass) erişim hesapları (mevcut değilse).

  • Yetkili yükseltme yolları: Kullanıcıların ayrıcalıklı olmayan durumlardan ayrıcalıklı durumlara geçiş yapmalarına olanak tanıyan mekanizmalar, örneğin:

    • - Privileged Identity Management (PIM) kullanarak zamana bağlı rol etkinleştirme
    • Hassas roller için onay iş akışları
    • Açık yönetim oturumları

  • Acil durum kurtarma erişimi: Önceden mevcut olmayan kırılabilir hesapları yapılandırma.

Bu bileşenler kontrol düzleminde çalışır. Ele geçirildilerse, saldırganlar cihazlara veya erişim ilkelerine dokunmadan kendilerine ayrıcalıklı erişim verebilir.

Risklerin azaltılması

Risk Neden önemlidir? 1. aşama hafifletme
Ayrıcalıklı kimliklerin denetimsiz oluşturulması Saldırganlar sessizce yeni yöneticiler veya rol atamaları oluşturur. Yetkili ayrıcalıklı kimlikler ve roller oluşturun.
Kimlerin kimlik sistemlerini yönetebileceğini kısıtlayın.
Kimlik sistemlerini ayrıcalıklı varlıklar olarak değerlendirin.
Sessiz ayrıcalık yükseltme Gruplar, RBAC veya iç içe geçmiş atamalar yoluyla edinilen yetki. Rolleri rasyonalize edin, grup tabanlı atamaları kullanın, ayakta erişimi kaldırın.
Kalıcı (sürekli) yönetici erişimi Çalınan kimlik bilgileri kalıcı ayrıcalığı korur. Kalıcı ayrıcalıklı erişimi süreli yetki yükseltmeyle değiştirin.
Zayıf veya örtük yükseltme yolları Saldırganlar, yöneticilerle aynı yolları kullanır. Güvenli, açık, denetlenebilir yükseltme iş akışlarını tanımlama
Aşağı akış korumalarını atlama Cihazın veya politikanın uygulanmasından önce elde edilen ayrıcalık. Önce kimlik kontrol düzlemi güvenliği sağlanmış.
Geri döndürülemez kimlik ele geçirilmesi Kontrolü geri kazanmanın güvenli bir yolu yok. Korumalı acil durum erişim hesapları oluşturun.
Düşük kimlik güvenliği durumu Zayıf kimlik denetimleri sonraki tüm aşamaları baltalar. Kimlik sistemlerini en yüksek güvenlik düzeyine yükseltin.

Aşama sonuçları

Bu aşamayı tamamladıktan sonra:

  • Tüm ayrıcalıklı erişim, bilinen ve açık kimliklere ve rollere bağlıdır.
  • Tüm ayrıcalıklar geçici, denetlenebilir ve kasıtlıdır.
  • Sürekli yönetici erişimi kaldırılır.
  • Kimlik sistemleri ayrıcalıklı varlıklar olarak değerlendirilir.
  • Kimlik güvenliğinin aşılmasından kurtarma, denetimleri zayıflatmadan mümkündür.
  • Modernleştirme sırasında yeni ayrıcalıklı risk uygulanmaz.

Bu aşama, denetim ve modernleştirme devam ederken yeni ayrıcalıklı risk oluşturulmasını da durdurur.

Prerequisites

1. Aşama'yı yapılandırmaya başlamadan önce aşağıdaki önkoşullara dikkat edin:

Belgeleri gözden geçirin:

Kuruluşunuzda:

  • Etkin, sahip olunan bir Microsoft Entra ID kiracınız olduğundan emin olun. Ayrıcalıklı kimlik yönetişimi için Microsoft Entra ID P2'yi önerdik.
  • Bu çözümde Microsoft 365 Kurumsal E5'e sahip olduğunuz varsayılır. Daha fazla bilgi için Microsoft 365 Kurumsal lisanslama bölümüne bakın.
  • En az iki acil durum erişim hesabı tanımladığınızdan emin olun.
  • Kimlik yönetişimi ve rol yönetimi için net sorumluluk.
  • Güvenli yönetici hesapları oluşturmak, bunları kurulum sırasında kullanılan iş istasyonunda kullanıma sunar. İlk yapılandırmanın bilinen güvenli bir cihazdan gerçekleştirildiğinden emin olun.

1. Adım: Ayrıcalıklı erişimi denetleme

Ayrıcalıklı kimliklerin ve erişim yollarının tam bir envanterini oluşturun. Aşağıdaki kaynakları denetleyin.

Source Ayrıntılar
Microsoft Entra dizin rolleri Kimlik denetim düzleminde kimlik, erişim veya güven sınırlarını değiştirerek doğrudan veya dolaylı olarak kiracı hakimiyetine yol açabilecek ayrıcalıklı rolleri belirleyin.

Her rol için:
- Doğrudan ve grup tabanlı atamaları tanımlama.
- Kalıcı ve PIM'e uygun atamaları tanımlama
- Mevcut etkinleştirme durumunu kaydedin.
Grup tabanlı ayrıcalık Dolaylı ayrıcalıklara sahip olan ve sadece kullanıcılara bakıldığında gözden kaçacak kişileri öğrenin.

- İç içe grup üyeliğini gözden geçirin
- Kullanıcıları, hizmet sorumlularını ve yönetilen kimlikleri tanımlama
- Ayrıcalığı nasıl devralınmış olduğunu kaydedin.
Azure RBAC rolleri Bu ayrıcalıklı kimliklerin dizinin kendisi dışında neler yapabileceğini öğrenin.

Yönetim grubu, abonelik ve kaynak kapsamlarında atamaları denetleyin.

Geniş veya basamaklı izinlere sahip kimlikleri tanımlama.
İnsan olmayan kimlikler Hangi insan olmayan kimliklerin ayrıcalıklı erişim yolunun bir parçası olduğunu öğrenin, örneğin:

Hizmet sorumluları ve yönetilen kimlikler
Otomasyon hesapları ve betikleri
Kiracı veya kaynak denetimi ile uygulama izinleri.

Sonuç, güvenilir bir ayrıcalıklı kimlik envanteridir.

Dizin rollerini tanımlama

Kimlik, kimlik doğrulaması veya kiracı genelindeki yapılandırmayı kimlerin değiştirebileceğini denetleyin.

  1. Microsoft Entra Yönetim Merkezi'nde Entra ID>Roller ve Yöneticiler bölümüne gidin.

  2. Tüm roller'i seçin. Bu sayfada, Genel Yönetici ve Ayrıcalıklı Rol Yöneticisi gibi kiracı genelindeki yönetici rolleri de dahil olmak üzere tüm yerleşik ve özel Microsoft Entra dizin rolleri listelenir.

    • Ayrıcalıklı roller rol atayabilen, güvenlik/kimlik doğrulamayı değiştirebilen veya uygulamaları, cihazları veya güvenlik ilkelerini yönetebilen rollerdir.
    • Ayrıcalıklı yerleşik rollerin tam listesi belgelerde de bulunabilir.

  3. Her ayrıcalıklı rol için önce doğrudan atamaları denetleyin. Doğrudan atanan her sorumlu (kullanıcı, grup veya hizmet sorumlusu (uygulama/yönetilen kimlik) için rolün nasıl verildiğini ve geçerli durumu denetleyin.

    • Kalıcı atama, rolün her zaman açık olduğu anlamına gelir. Bir kimlik oturum açar ve zaten Etkin (kalıcı) durumuyla ayrıcalığa sahiptir. Bu kesinlikle yüksek riskli.
    • PIM'e uygun atama, rolün kullanılabilir olduğu ancak etkinleştirilene kadar etkin olmadığı anlamına gelir. Kullanıcının rolü etkinleştirmesi gerekir. Genellikle zaman sınırlıdır ve genellikle gerekçe gerektirir. Kullanıcı ayrıcalıklı olabilir ancak şu anda etkin değilse durum Etkin veya Uygun olabilir.

  4. Şimdi grup atamalarına geçin. Bu, gruplar aracılığıyla dolaylı olarak atanan ayrıcalığı denetlediğinden önemlidir.

  5. Atanmış ayrıcalıklı role sahip her grubu açın.

  6. Grup üyelerini genişletin, iç içe grupları genişletin ve kullanıcıları, hizmet sorumlularını ve yönetilen kimlikleri kaydedin.

  7. Her kimlik için, ayrıcalığa hangi yolla sahip olunduğunu onaylayın:

    • Rol, grup veya alt grup aracılığıyla mı atandı?
    • Rol kalıcı mı yoksa PIM uygun mu?
    • Geçerli durum nedir?

Bu adımı tamamladıktan sonra kimlik denetim düzlemini kapsama almış olur ve Microsoft Entra için ayrıcalıklı kimliklere yönelik güvenilir bir envantere sahip olursunuz.

Azure RBAC rollerini tanımlama

Hangi kimliklerin ayrıcalıklı olduğunu öğrendiğinize göre şimdi Microsoft Entra Dizini dışında neler yapabileceklerini kontrol edelim. Başka nerede ve hangi kapsamda denetime sahipler?

  1. Tanımladığınız her ayrıcalıklı sorumlu için rolleri belirleyin.

  2. En yüksek kapsamdan (yönetim grupları) başlayın.

    1. Azure portalında >Yönetim grupları**Erişim denetimi (IAM) >Role atamaları bölümüne gidin.
    2. Atanan Filtre'yi> kullanın ve asıl adı arayın.
    3. Rol adı ve kapsam dahil olmak üzere tüm sonuçları kaydedin.

    Burada kimlikler bulursanız, bu onların Azure üzerinde geniş denetim yetkilerine sahip olduğunu gösterir; çünkü yönetim grubu kapsamında atanan Azure RBAC rolleri, tüm alt aboneliklere ve kaynaklara kadar devrolur.

  3. Şimdi Azure portal >Ubscriptions için aynı yordamları izleyin.

    Abonelik düzeyinde atanmış Azure RBAC rollerine sahip kimlikler ayrıcalıklıdır ve erişim verebilir veya temsilci atayabilir.

  4. Kimlikler yönetim grubu veya abonelik düzeyinde bulunamadıysa, Azure portalında aynı yordamla kaynak grupları düzeyinde denetleyebilirsiniz >Kaynak grupları.

  5. Sorumluların Anahtar Kasaları, depolama hesapları, sanal makineler veya otomasyon hesapları gibi stratejik tek tek kaynaklar üzerinde denetimi olup olmadığını da denetlemek isteyebilirsiniz. Bunu yapmak için her bir kaynak için Erişim denetimi (IAM)>Atandığı yer bölümünü kontrol edin.

Sonuçları kaydetme

  1. Tanımladığınız her hesap için, bir eşleme tablosunda denetim ayrıntılarını yakalayın.

  2. Geniş ayrıcalıklara sahip yüksek riskli hesapları belirleyin ve rol kapsamı (patlama yarıçapı) ve iş türü hakkında bilgi sağlayacak bir eşleme tablosu oluşturun.

    Hesabı Entra rolü Azure RBAC rolü Scope Ayrıcalıklı çalışma
    alice@contoso.com Genel Yönetici Sahibi Sub1, Sub2 Kullanıcıları, rolleri, abonelikleri yönetme.

  3. Bir hesap için gözlemlenen davranış hakkında daha fazla bilgi eklemek isterseniz:

    1. Uygulamalar, istemci uç noktaları ve kimlik doğrulama akışları hakkında bilgi için oturum açma günlüklerini gözden geçirin.
    2. Bir hesabın kullanılıp kullanılmadığını ve ilkeyi değiştirip değiştirmediğini, kaynakları/abonelikleri değiştirip değiştirmediğini veya başka bir etkinlik gerçekleştirip gerçekleştirmediğini denetlemek için bilgileri denetim ve etkinlik günlükleriyle ilişkilendirin.

2. Adım: Mevcut yapılandırmanızı değerlendirme

Envanteriniz açıkken, Sıfır Güven Değerlendirme aracını kullanarak ortamınızda ayrıcalıklı erişimin nasıl yapılandırıldığını değerlendirebilir ve denetimdeki boşlukları belirleyebilirsiniz.

Değerlendirme aracı tam envanterin yerini almaz ancak aşağıdakilerin yapılıp yapılmadığını anlamanıza yardımcı olmak için giriş olarak rol ve ilke verilerini kullanır:

  • Ayrıcalıklı roller korunur (MFA, Koşullu Erişim).
  • Ayrıcalıklı erişim, PIM ve JIT/JEA yaklaşımları ile yönetilir.
  • İlkeler tutarlı bir şekilde uygulanır.
  • Kimlikler, cihazlar ve erişim ilkeleri arasında boşluklar vardır.

Araçla kimlik değerlendirme hakkında daha fazla bilgi edinin.

3. Adım: Ayrılmış yönetim kimlikleri oluşturma

Standart kullanıcı hesaplarından ayrıcalıklı rolleri kaldırın.

Şu ayrılmış yönetim hesapları oluşturun:

  • Yalnızca ayrıcalıklı görevler için kullanılır
  • Üretkenlik araçlarına erişiminiz yok (e-posta, Teams, internette gezinme)
  • PIM aracılığıyla ayrıcalıklı erişim almaya uygun, kalıcı olarak atanmamış

Standart kullanıcı kimliklerinden tüm ayrıcalıklı rol atamalarını kaldırın.

Yönetici hesapları oluşturma

  1. Microsoft Entra Yönetim MerkeziMicrosoft Entra ID>Users adresine gidin.
  2. Yeni kullanıcı'ya tıklayın ve kullanıcı ayarlarını yapılandırın. ardından Oluştur'u seçin.
    • Ad: Güvenli İş İstasyonu Yöneticisi.
    • Kullanıcı asıl adı: secure-ws-admin@contoso.com
    • Kimlik doğrulama yöntemi: Parola (geçici).
    • Dizin rolleri: Atama yapmayın.
    • Kullanım konumu: İşletimsel konuma ayarlayın.

Bu size ayrıcalıksız temiz bir yönetici kimliği sağlar.

4. Adım: PAW'lar için kimlik oluşturma

Sonraki yordamlarda ayrıcalıklı bir yönetici iş istasyonu (PAW) ayarlarsınız.

PAW'lara erişebilecek ancak ayrıcalıklı eylemler gerçekleştiremeyen kimlikler tanımlamak istiyorsanız şunları yapabilirsiniz:

  • Yalnızca PAW'larda oturum açabilen bir kimlik oluşturun.
  • PAW'larda kimlerin oturum açmasına izin verildiğini denetleyen bir güvenlik grubu oluşturun.
    • Bu grup hiçbir zaman yönetici hakları vermez. Bu, şu amaçla kullanılır:
      • Yalnızca Güvenli İş İstasyonu Kullanıcılarının PAW'larda oturum açmasına vediğer kullanıcıları engellemesine izin verme dahil olmak üzere Koşullu Erişim.
      • Belirli grup tabanlı PAW lisansı uygulama.
    • Bu grubun tipik üyeleri arasında SOC analistleri, operatörler ve denetçiler yer alır.

Oturum açma kimliği oluşturma

  1. Microsoft Entra Yönetim MerkeziMicrosoft Entra ID>Users adresine gidin.
  2. Yeni kullanıcı'ya tıklayın ve kullanıcı ayarlarını yapılandırın. Ardından Oluştur'u seçin.
    • Ad: Güvenli İş İstasyonu Kullanıcısı
    • Kullanıcı asıl adı: secure-ws-user@contoso.com
    • Dizin rolleri: Atamayın

PAW erişim güvenlik grubu oluşturun

PAW'larda kimlerin oturum açabileceğini denetleyen bir grup yapılandırma

  1. Microsoft Entra Yönetim Merkezi'nde, Microsoft Entra ID>Gruplar>Yeni grup yolunu izleyin.

  2. Grup ayarlarını yapılandırın ve oluştur'u seçin.

    • Grup türü: Güvenlik
    • Grup adı: İş İstasyonu Kullanıcılarının Güvenliğini Sağlama
    • Üyelik: Atanan

  3. Gruba yalnızca PAW oturum açma kimliklerini ekleyin; yöneticileri varsayılan olarak eklemeyin.

5. Adım: Yönetim denetim grupları oluşturma

Ayrıcalıklı roller için kimlerin uygun olduğunu tanımlayan güvenlik grupları oluşturun. Bu gruplar:

  • Rol atanabilir olarak işaretlenmiştir
  • PIM aracılığıyla yönetilir
  • Yalnızca üyelikle ayrıcalık verme
  • Yükseltme için yetkilendirme sınırları görevi görürler

Üyelik değişiklikleri ayrıcalıklı eylemler olarak kabul edilir ve düzenli olarak gözden geçirilir

  1. Microsoft Entra Yönetim Merkezi'nde, Microsoft Entra ID>Gruplar>Yeni grup yolunu izleyin.

  2. Grup ayarlarını yapılandırın ve oluştur'u seçin.

    • Grup türü: Güvenlik
    • Ad: Güvenli İş İstasyonu Yöneticileri
    • Üyelik türü: Atanmış

  3. Ayrılmış yönetici kimlikleri ekleyin. Standart hesapları kullanmayın ve üyelik değişikliklerini hassas olarak değerlendirin. Düzenli olarak gözden geçirin.

Bu grup daha sonra şöyle olacaktır:

  • Rol atanabilir olarak işaretlendi
  • PIM aracılığıyla uygun (etkin değil) olarak atanan dizin rolleri
  • Ayrıcalıklı erişim ilkeleri için birincil hedefleme mekanizması olarak kullanın

6. Adım: PIM'i yapılandırma

Privileged Identity Management henüz etkinleştirilmediyse şimdi yapın.

Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi olarak oturum açtığınızdan emin olun.

Dizin rolleri için PIM'i etkinleştirme

  1. Microsoft Entra Yönetim MerkeziIdentity governance>Privileged Identity Management adresine gidin.
  2. Microsoft Entra rollerini seçin.

Kalıcı rolleri kaldırma

  1. Microsoft Entra roles bölümünde Roles öğesini seçin.

  2. Kuruluşunuz için tanımlanan ayrıcalıklı erişim rollerini açın.

    Microsoft tarafından önerilen en düşük küme aşağıdaki gibidir: - Genel Yönetici - Ayrıcalıklı Rol Yöneticisi - Güvenlik Yöneticisi - Exchange Yönetici - SharePoint Yönetici

  3. Atamaları seçin.

  4. Her Etkin (kalıcı) atama için:

    • Kalıcı atamayı kaldırma
    • Kullanıcıyı veya grubu Uygun olarak yeniden ekleyin.

Bundan sonra, kullanıcılar etkinleştirmedikleri sürece yönetici ayrıcalıklarına sahip olmaz.

Etkinleştirme ayarlarını yapılandırma

Her ayrıcalıklı rol için aşağıdakileri yapın:

  1. PIM>Microsoft Entra roles bölümünde Settings öğesini seçin.

  2. > rolünü seçin.

  3. Ayarları yapılandırma:

    • Etkinleştirme gerektirir
    • Etkinleştirmede MFA gerektir
    • Gerekçe gerektir
    • Maksimum etkinleştirme süresini ayarlayın (örneğin, yüksek etkili roller için 1-4 saat)
    • Onay gerektir (Genel Yönetici, Ayrıcalıklı Rol Yöneticisi, Güvenlik Yöneticisi için)
    • Bir veya daha fazla onaylayan seçin

  4. Güncelleştir'i seçin.

Grup tabanlı rol atamalarını kullanma

Ölçek ve idare için tek tek kullanıcılara değil gruplara rol atamanızı öneririz.

Rol atanabilir bir güvenlik grubu oluşturun ve bunu bir Entra rolüne (örneğin, Exchange Yöneticisi) atayın. Ardından, idare sürecinizle ve isteğe bağlı olarak Gruplar için PIM aracılığıyla üyeliği yönetin (rolü kimler alabilir).

  1. Microsoft Entra rolleri bu gruba atanabilir etkin ayarıyla bir güvenlik grubu oluşturun.
  2. PIM >Microsoft Entra roles bölümünde Add assignments öğesini seçin.
  3. Grubu rol için Uygun olarak atayın.
  4. Rol atamalarını doğrudan değiştirmek yerine kullanıcıları gruba ekleyin veya gruptan kaldırın.

Bu grup, ayrıcalıklı erişim için yetkilendirme sınırı haline gelir.

6. Adım tamamlandığında, aşağıdakiler yapılandırılır:

  • Kalıcı yönetim erişimi yok
  • Yetki talep edildi, onaylandı, süreyle sınırlandırıldı, kayda alındı
  • Yükseltme yolları açık ve gözden geçirilebilir

7. Adım: Acil durum hesaplarını yapılandırma

Acil durum erişim hesaplarınız yoksa, bunları şimdi yapılandırın. Koşullu Erişim, MFA kesintileri veya yanlış yapılandırmanın neden olduğu kimlik kilitleme senaryolarından kurtarmaları gerekir.

En az iki acil durum erişim hesabı oluşturmak için Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi olarak oturum açtığınızdan emin olun.

  1. Microsoft Entra Yönetim MerkeziUsers>Tüm kullanıcılar adresine gidin.
  2. Yeni kullanıcı'yı seçin ve yalnızca bulut kullanıcısı oluşturun.
  • *.onmicrosoft.com etki alanını kullanma
  • Kolay tahmin edilemeyen bir ad kullanın ("camı kır" değil)
  1. Genel Yönetici rolünü atayın.
  • Bu rolü PIM'e uygun hale getirmeyin; kalıcı olmalıdır.
  • Güvenli bir şekilde çevrimdışı olarak depolanan güçlü, uzun bir parola kullanın.
  • Kimlik avına dayanıklı kimlik doğrulamasını yapılandırın (örneğin, FIDO2 / geçiş anahtarı veya sertifika tabanlı kimlik doğrulaması)
  • MFA'yi kişisel bir telefona veya e-posta adresine bağlamayın.

İkinci bir acil durum hesabı oluşturmak için tekrarlayın.

Acil durum hesaplarını Koşullu Erişim'in dışında tutma

Bu, kurtarmanın her zaman mümkün olmasını sağlar.

  1. Microsoft Entra Yönetim MerkeziProtection>Conditional Access adresine gidin.

  2. Her ilke için:

    • Atamaları Düzenle'yi seçin.
    • En az bir acil durum erişim hesabını hariç tutun.

Normal yönetici hesaplarını ( yalnızca acil durum hesaplarını) hariç tutmamaya dikkat edin.

Acil durum hesabı kullanımını izleme

  1. Uyarıları etkinleştirin:

    • Acil durum hesaplarına göre oturum açma işlemleri
    • Bu hesapları içeren rol değişiklikleri

  2. Önceden onaylanmadığı sürece herhangi bir kullanımı güvenlik olayı olarak kabul edin.

  3. Kullanımı düzenli aralıklarla gözden geçirin.

7. Adımın tamamlanmasının ardından aşağıdakiler yapılandırılır:

  • Kimlik kontrol düzlemi kurtarılabilir
  • Sonraki aşamalar (PAW'lar, Koşullu Erişim) kalıcı kilitleme riskini almayacaktır
  • Acil durum erişimi yalıtılmış, izlenir ve nadiren kullanılır

Sonraki Adımlar

Kimlik denetim düzlemini güvenli hale getirdikten sonra, güvenli Privileged Access Workstations (PAW) ile ayrıcalıkların nerede kullanılabilmesini kısıtlayın.

  • Last updated on