安全快速现代化计划

这一快速现代化计划(简称 RAMP)将帮助你快速采用 Microsoft 推荐的特权访问策略

此路线图是基于特权访问部署指南中建立的技术控制。 完成这些步骤,然后使用此 RAMP 中的步骤为你的组织配置控件。

特权访问 RAMP 摘要

注意

其中许多步骤都包含绿地/棕地动态,因为组织通常会在部署这些计划或配置帐户的方式方面出现安全风险。 此路线图优先阻止新安全风险的积累,然后清除已经聚集的其余风险项目。

随着路线图的推进,你可以利用 Microsoft 安全分数在转型过程中长期跟踪很多项目,并可以与类似组织比较这些项目。 可在安全分数概述一文中详细了解 Microsoft 安全分数。

该 RAMP 中的每一项都是作为一个计划而构建的,将使用一种基于目标和关键成果 (OKR) 方法的格式来跟踪和管理该计划。 每一项都包含目标、原因、人员、做法以及度量标准(关键结果)。 某些项需要改变流程和人员的知识或技能,而其他项则是更简单的技术变更。 其中的许多计划将包括传统 IT 部门之外的成员,在进行决策制定和实施这些更改时应该纳入这些成员,以确保他们已成功集成到你的组织中。

至关重要的是,作为组织进行合作、打造合作关系并且为传统上不属于此流程的人员提供培训。 在整个组织中让用户接受并认可至关重要,否则很多项目都会失败。

隔离和管理特权帐户

紧急访问帐户

  • 目标:确保在紧急情况下,你不会被你的 Microsoft Entra 组织意外锁定。
  • 原因:紧急访问帐户很少使用,如果泄露,会对组织造成巨大损害,但在极少数需要紧急访问帐户的情况下,紧急访问帐户对于组织的可用性又是至关重要的。 确保你有一种可应对预期和意外事件的访问连续性计划。
  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。
  • 做法:按照 Microsoft Entra ID 中管理紧急访问帐户中的指导进行操作。
  • 度量关键结果
    • 已建立的:紧急访问流程是根据 Microsoft 的指南设计的,可以满足组织的需求
    • 维护的:紧急访问已在过去 90 天内进行了审核和测试

启用 Microsoft Entra Privileged Identity Management

  • 内容:在 Microsoft Entra 生产环境中使用 Microsoft Entra Privileged Identity Management (PIM) 以发现和保护特权帐户
  • 原因:Privileged Identity Management 提供基于时间和基于审批的角色激活,用于缓解访问权限过度、不必要或滥用的风险。
  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。
  • 做法:按照部署 Microsoft EntraD Privileged Identity Management (PIM) 一文中的指导来部署和配置 Microsoft Entra Privileged Identity Management。
  • 度量关键结果:完全适用的特权访问角色正在使用 Microsoft Entra PIM

识别特权帐户并进行分类 (Microsoft Entra ID)

  • 目标:确定对业务影响程度较高的所有角色和组,这些角色和组需要特权级的安全级别(立即需要或者逐渐需要)。 在后面的步骤特权访问管理中,这些管理员将需要单独的帐户。

  • 原因:必须完成此步骤以标识并最大限度地减少需要单独帐户和特权访问保护的人员数量。

  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。

  • 做法:启用 Microsoft Entra Privileged Identity Management 后,根据组织的风险策略,至少要查看充当以下 Microsoft Entra 角色的用户:

    • 全局管理员
    • 特权角色管理员
    • Exchange 管理员
    • SharePoint 管理员

    有关管理员角色的完成列表,请参阅 Microsoft Entra ID 中的管理员角色权限

    删除这些角色不再需要的任何帐户。 然后,对分配给管理员角色的剩余帐户进行分类:

    • 分配给管理用户,但也用于非管理生产用途,如读取和响应电子邮件。
    • 分配给管理用户,且仅用于管理目的
    • 跨多个用户共享
    • 适用于不受限紧急访问情况
    • 适用于自动化脚本
    • 适用于外部用户

如果组织中没有 Microsoft Entra Privileged Identity Management,可以使用 PowerShell API。 请从全局管理员角色开始,因为全局管理员在组织订阅的所有云服务中拥有相同的权限。 无论这些角色是在哪个位置分配的(在 Microsoft 365 管理中心分配、在 Azure 门户分配或者通过 Microsoft PowerShell 的 Azure AD 模块分配),都会授予这些权限。

  • 度量关键结果:过去 90 天内完成了特权访问角色的审核和识别

单独帐户(本地 AD 帐户)

  • 目标:确保本地特权管理帐户的安全性(如果尚未实现)。 此阶段包括:

    • 为需要执行本地管理任务的用户创建单独的管理员帐户
    • 为 Active Directory 管理员部署特权访问工作站
    • 为工作站和服务器创建唯一的本地管理员密码
  • 原因:强化用于管理任务的帐户。 管理员帐户应禁用邮件,并且不允许使用个人 Microsoft 帐户。

  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。

  • 做法:被授予管理权限的所有人员必须具有与用户帐户不同的单独帐户来使用管理功能。 不要在用户之间共享这些帐户。

    • 标准用户帐户 - 针对标准用户任务授予的标准用户权限,例如电子邮件、Web 浏览和使用业务线应用程序。 这些帐户没有被授予管理权限。
    • 管理帐户 - 针对分配有相应管理权限的人员创建的单独帐户。
  • 度量关键结果:所有的本地特权用户都具有单独的专用帐户

Microsoft Defender for Identity

  • 内容:Microsoft Defender for Identity 将本地信号与云洞察相结合,以简化格式监视、保护和调查事件,让你的安全团队能够检测到针对身份基础结构的高级攻击,并具有以下能力:

    • 使用基于学习的分析监视用户、实体行为和活动
    • 保护存储在 Active Directory 中的用户标识和凭据
    • 识别并调查整个杀伤链中的可疑用户活动和高级攻击
    • 提供关于简单时间线的明确事件信息,以进行快速会审
  • 原因:可能在很长时间内无法检测到新式攻击者。 如果不能从整体上了解整个标识环境,许多威胁便很难发现。

  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。

  • 做法:部署并启用 Microsoft Defender for Identity 并审查所有待处理的警报。

  • 度量关键结果:所有未处理的警报均由相应的团队审查和缓解。

改善凭据管理体验

实施和记录自助服务密码重置和组合的安全信息注册

  • 目标:在组织中启用并配置自助服务密码重置 (SSPR) 并启用组合式安全信息注册体验。
  • 原因:用户在注册后可以重置其自己的密码。 组合式安全信息注册体验提供了更好的用户体验,允许注册 Microsoft Entra 多重身份验证和自助式密码重置。 组合使用这些工具时,有助于降低支持人员成本且提高用户满意度。
  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。
  • 做法:要启用和部署 SSPR,请参阅计划 Microsoft Entra 自助式密码重置部署一文。
  • 度量关键结果:自助服务密码重置已完全配置并且可供组织使用

保护管理员帐户 - 为 Microsoft Entra ID 特权用户启用 MFA/无密码并要求使用

  • 目标:要求 Microsoft Entra ID 中的所有特权帐户都使用强多重身份验证

  • 原因:为了保护对 Microsoft 365 中的数据和服务的访问。

  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。

    • 赞助:该计划通常由首席信息安全官、首席信息官或标识主管赞助
    • 执行:该计划是一项合作任务,涉及到以下几个方面
  • 做法:启用 Microsoft Entra 多重身份验证 (MFA),并注册所有其他高特权单用户非联合管理员帐户。 对于永久分配给一个或多个 Microsoft Entra 管理员角色的所有个人用户,要求其在登录时进行多重身份验证。

    要求管理员将无密码登录方法(如 FIDO2 安全密钥或 Windows Hello 企业版)与唯一、长且复杂的密码结合使用。 使用组织策略文档强制执行这一更改。

遵循以下两篇文章中的指导进行操作:规划 Microsoft Entra 多重身份验证部署在 Microsoft Entra ID 中规划无密码身份验证部署

  • 度量关键结果:所有的特权用户在登录时都在使用无密码身份验证或强形式的多重身份验证。 有关多重身份验证的说明,请参阅特权访问帐户

阻止特权用户帐户的旧式身份验证协议

  • 目标:阻止特权用户帐户使用旧式身份验证协议。

  • 原因:组织应阻止这些旧的身份验证协议,因为无法对其实施多重身份验证。 如果仍然启用旧版身份验证协议,可能会为攻击者留下一个入口。 某些旧版应用程序可能依赖于这些协议,组织可以选择为某些帐户创建特定例外。 应跟踪这些例外并实施额外的监视控制措施。

  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。

  • 做法:要在组织中阻止旧式身份验证协议,请按照做法:通过条件访问阻止旧式应用程序向 Microsoft Entra ID 进行身份验证一文中的指导进行操作。

  • 度量关键结果

    • 已阻止旧式协议:对所有用户阻止所有旧式协议,除了少数经过授权的例外情况
    • 每 90 天审查一次例外,并在一年内永久过期。 应用程序所有者必须在批准例外后的一年内解决所有例外问题
  • 目标:禁止最终用户同意 Microsoft Entra 应用程序。

注意

这一更改将需要将决策过程与组织的安全和身份管理团队集中起来。

  • 原因:用户在同意可能恶意访问组织数据的应用时,可能无意中为组织带来风险。
  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。
    • 赞助:该计划通常由首席信息安全官、首席信息官或标识主管赞助
    • 执行:该计划是一项合作任务,涉及到以下几个方面
  • 做法:按照管理对应用程序的同意和评估同意请求一文中的指导,建立集中式许可过程,以便保持对访问数据的应用程序的可见性和控制。
  • 度量关键结果:最终用户不能同意 Microsoft Entra 应用程序访问

清除帐户和登录风险

  • 目标:启用 Microsoft Entra ID 保护并清除发现的任何风险。
  • 原因:有风险的用户和登录行为可能是针对组织的攻击来源。
  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。
    • 赞助:该计划通常由首席信息安全官、首席信息官或标识主管赞助
    • 执行:该计划是一项合作任务,涉及到以下几个方面
  • 做法:创建用于监视和管理用户和登录风险的过程。 决定你将使用 Microsoft Entra 多重身份验证和 SSPR 进行自动修正,还是阻止自动修正并要求管理员进行干预。 请按照如何操作:配置和启用风险策略一文中的指导进行操作。
  • 度量关键结果:组织中未解决的用户和登录风险数量为零。

注意

需要使用条件性访问策略来阻止新登录风险的聚集。 请参阅特权访问部署的“条件访问”部分

管理工作站初始部署

  • 目标:特权帐户(如管理 Microsoft Entra ID 的帐户)具有执行管理任务所需的专用工作站
  • 原因:完成特权管理任务的设备是攻击者的目标。 这些资产不仅能够保护帐户,对于减少攻击面也至关重要。 这种隔离会限制其在与工作效率相关的任务(如电子邮件和 Web 浏览)中面临的常见攻击。
  • 人员:该计划通常由标识和密钥管理和/或安全体系结构主导。
    • 赞助:该计划通常由首席信息安全官、首席信息官或标识主管赞助
    • 执行:该计划是一项合作任务,涉及到以下几个方面
  • 做法:按照特权访问部署一文中所述,初始部署应为企业级别
  • 度量关键结果:每个特权帐户都有一个专用的工作站用于执行敏感任务。

注意

这一步骤可快速建立安全基线,并且必须尽快增加到专用和特权级别。

后续步骤