Güvenlik varsayılanlarını belirleme
Parola spreyi, yeniden yürütme ve kimlik avı gibi kimlikle ilgili yaygın saldırıların giderek daha popüler hale gelmesiyle güvenliği yönetmek zor olabilir. Güvenlik varsayılanları, kuruluşlar kendi kimlik güvenlik hikayelerini yönetmeye hazır olana kadar müşterileri güvende tutmak için Microsoft'un kuruluşlar adına yönettiği güvenli varsayılan ayarlar sağlar. Güvenlik varsayılanları, aşağıdakiler gibi önceden yapılandırılmış güvenlik ayarları sağlar:
Tüm kullanıcıların çok faktörlü kimlik doğrulamasına kaydolmasını gerektirme.
Yöneticilerin çok faktörlü kimlik doğrulaması gerçekleştirmesini gerektirme.
Eski kimlik doğrulama protokollerini engelleme.
Kullanıcıların gerektiğinde çok faktörlü kimlik doğrulaması gerçekleştirmesini zorunlu kılması.
Azure portalına erişim gibi ayrıcalıklı etkinlikleri koruma.
Kullanılabilirlik
Microsoft güvenlik varsayılanları herkes tarafından kullanılabilir. Amaç, tüm kuruluşların ek ücret ödemeden temel düzeyde güvenlik etkinleştirilmiş olduğundan emin olmaktır. Azure portalında güvenlik varsayılanlarını açarsınız. Kiracınız 22 Ekim 2019 veya sonrasında oluşturulduysa, kiracınızda güvenlik varsayılanları zaten etkin olabilir. Tüm kullanıcılarımızı korumak için güvenlik varsayılanları özelliği oluşturulan tüm yeni kiracılara dağıtılıyor.
Kimin için?
| Güvenlik varsayılanlarını kimler kullanmalıdır? | Güvenlik varsayılanlarını kimler kullanmamalıdır? |
|---|---|
| Güvenlik duruşlarını artırmak isteyen ancak nasıl veya nereden başlayacağını bilemeyen kuruluşlar | Şu anda sinyalleri bir araya getirmek, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için Koşullu Erişim ilkeleri kullanan kuruluşlar |
| Microsoft Entra ID Lisanslama'nın ücretsiz katmanını kullanan kuruluşlar | Microsoft Entra ID Premium lisanslarına sahip kuruluşlar |
| Koşullu Erişim'i kullanmayı garanti eden karmaşık güvenlik gereksinimleri olan kuruluşlar |
Politikalar uygulanmaktadır
Birleşik çok faktörlü kimlik doğrulama kaydı
Kiracınızdaki tüm kullanıcıların Çok Faktörlü Kimlik Doğrulaması biçiminde çok faktörlü kimlik doğrulamasına (MFA) kaydolması gerekir. Kullanıcıların Microsoft Authenticator uygulamasını kullanarak Microsoft Entra Id içinde çok faktörlü kimlik doğrulamasına kaydolması için 14 günü vardır. 14 gün geçtikten sonra kayıt tamamlanana kadar kullanıcı oturum açamaz. Kullanıcının 14 günlük süresi, güvenlik varsayılanlarını etkinleştirdikten sonra ilk başarılı etkileşimli oturum açma işleminin ardından başlar.
Yöneticileri koruma
Ayrıcalıklı erişimi olan kullanıcıların çevrenize artırılmış erişimi vardır. Bu hesapların sahip olduğu güç nedeniyle, onlara özel bir özen göstermelisiniz. Ayrıcalıklı hesapların korunmasını iyileştirmenin yaygın yöntemlerinden biri, oturum açma için daha güçlü bir hesap doğrulama biçimi gerektirmektir. Microsoft Entra Id'de, çok faktörlü kimlik doğrulaması gerektirerek daha güçlü bir hesap doğrulaması alabilirsiniz.
Çok Faktörlü Kimlik Doğrulaması ile kayıt tamamlandıktan sonra, her oturum açtıklarında ek kimlik doğrulaması gerçekleştirmek için aşağıdaki dokuz Microsoft Entra yönetici rolü gerekir:
- Genel Yönetici
- SharePoint Yöneticisi
- Exchange Yöneticisi
- Koşullu Erişim Yöneticisi
- Güvenlik Yöneticisi
- Yardım Masası Yöneticisi
- Faturalama Yöneticisi
- Kullanıcı Yöneticisi
- Kimlik Doğrulama Yöneticisi
Tüm kullanıcıları koruma
Fazladan kimlik doğrulaması katmanı gerektiren tek hesapların yönetici hesapları olduğunu düşünme eğilimindeyiz. Yöneticiler hassas bilgilere geniş erişime sahiptir ve abonelik genelindeki ayarlarda değişiklik yapabilir. Ancak saldırganlar genellikle son kullanıcıları hedefler.
Bu saldırganlar erişim elde ettikten sonra, özgün hesap sahibi adına ayrıcalıklı bilgilere erişim isteyebilir. Hatta tüm kuruluşunuza kimlik avı saldırısı gerçekleştirmek için rehberin tamamını bile indirebilirler.
Tüm kullanıcılar için korumayı geliştirmenin yaygın yöntemlerinden biri, herkes için çok faktörlü kimlik doğrulaması gibi daha güçlü bir hesap doğrulama biçimi gerektirmektir. Kullanıcılar Çok Faktörlü Kimlik Doğrulaması kaydını tamamladıktan sonra, gerektiğinde ek kimlik doğrulaması istenir. Bu işlev, SaaS uygulamaları dahil olmak üzere Microsoft Entra Id ile kaydedilen tüm uygulamaları korur.
Eski kimlik doğrulamasını engelleme
Microsoft Entra ID, kullanıcılarınıza bulut uygulamalarınıza kolay erişim sağlamak için eski kimlik doğrulaması da dahil olmak üzere çeşitli kimlik doğrulama protokollerini destekler. Eski kimlik doğrulaması, bir kimlik doğrulama isteğidir.
- Modern kimlik doğrulaması kullanmayan istemciler (örneğin, office 2010 istemcisi). Modern kimlik doğrulaması, çok faktörlü kimlik doğrulaması ve akıllı kartlar gibi özellikleri desteklemek için OAuth 2.0 gibi protokoller uygulayan istemcileri kapsar. Eski kimlik doğrulaması genellikle yalnızca parolalar gibi daha az güvenli mekanizmaları destekler.
- IMAP, SMTP veya POP3 gibi posta protokollerini kullanan istemci.
Bugün, güvenliği tehlikeye atan oturum açma girişimlerinin çoğu eski kimlik doğrulamasından kaynaklandı. Eski kimlik doğrulaması çok faktörlü kimlik doğrulamasını desteklemez. Dizininizde çok faktörlü kimlik doğrulama ilkesi etkinleştirilmiş olsa bile, saldırgan daha eski bir protokol kullanarak kimlik doğrulaması yapabilir ve çok faktörlü kimlik doğrulamasını atlayabilir.
Kiracınızda güvenlik varsayılanları etkinleştirildikten sonra, eski bir protokol tarafından yapılan tüm kimlik doğrulama istekleri engellenir. Güvenlik varsayılanları Exchange Active Sync temel kimlik doğrulamayı engeller.