特殊許可權存取:帳戶

  • 發行項

帳戶安全性是保護特殊許可權存取的重要元件。 會話的端對端 零信任 安全性需要強烈建議您確定會話中使用的帳戶實際上是在人類擁有者的控制下,而不是攻擊者模擬這些帳戶。

強帳戶安全性從安全佈建和完整生命週期管理開始,以取消布建,而且每個會話都必須根據目前會話中所有可用的數據,包括歷程記錄行為模式、可用的威脅情報,以及目前會話的使用方式,建立帳戶目前不會遭到入侵的強式保證。

帳戶安全性

本指南會針對帳戶安全性定義三個安全性層級,以用於具有不同敏感度層級的資產:

Protecting accounts end to end

這些層級會針對您可以指派角色的每個敏感度層級建立清楚且可實作的安全性配置檔,並快速相應放大。 所有這些帳戶安全性層級都是為了藉由限制或消除用戶和系統管理工作流程的中斷,來維護或改善人員的生產力。

規劃帳戶安全性

本指南概述符合每個層級所需的技術控制件。 實作指引位於特殊許可權存取藍圖

帳戶安全性控制

若要達到介面的安全性,需要同時保護帳戶的技術控件組合,並提供要用於 零信任 原則決策中的訊號(請參閱保護原則設定參考的介面)。

這些設定檔中使用的控制件包括:

  • 多重要素驗證 - 提供不同的證明來源,證明 (設計為盡可能方便使用者,但很難讓對手模擬)。
  • 帳戶風險 - 威脅和異常監視 - 使用 UEBA 和威脅情報來識別有風險的案例
  • 自定義監視 - 針對更敏感的帳戶,明確定義允許/接受的行為/模式,允許早期偵測異常活動。 此控件不適用於企業中的一般用途帳戶,因為這些帳戶需要其角色的彈性。

控件的組合也可讓您改善安全性和可用性,例如,每次驗證時,都不需要在相同位置使用相同的裝置(在相同位置使用相同裝置)的使用者進行驗證。

Comparing each account tier and cost benefit

企業安全性帳戶

企業帳戶的安全性控制旨在為所有使用者建立安全基準,並提供特殊化和特殊許可權安全性的安全基礎:

  • 強制執行強式多重要素驗證 (MFA) - 確定使用者使用企業受控識別系統提供的強式 MFA 進行驗證(如下圖所示)。 如需多重要素驗證的詳細資訊,請參閱 Azure 安全性最佳做法 6

    注意

    雖然貴組織可以選擇在轉換期間使用現有較弱的 MFA 形式,但攻擊者越來越迴避較弱的 MFA 保護,因此對 MFA 的所有新投資都應該處於最強的形式。

  • 強制執行帳戶/會話風險 - 確保帳戶無法驗證,除非帳戶處於低(或中?)風險層級。 如需條件式企業帳戶安全性的詳細資訊,請參閱介面安全性層級。

  • 監視和回應警示 - 安全性作業應該整合帳戶安全性警示,並取得這些通訊協定和系統運作方式的充分訓練,以確保他們能夠快速理解警示的意義,並據以做出反應。

下圖提供不同形式的 MFA 和無密碼驗證的比較。 最佳方塊中的每個選項都會被視為高安全性和高可用性。 每個都有不同的硬體需求,因此您可能會想要混合和比對哪些硬體需求適用於不同的角色或個人。 條件式存取會將所有 Microsoft 無密碼解決方案辨識為多重要素驗證,因為它們需要結合您擁有的內容與生物特徵辨識、您知道的內容或兩者。

Comparison of authentication methods good, better, best

注意

如需 SMS 和其他電話型驗證為何受限的詳細資訊,請參閱部落格文章:是時候在 電話 傳輸中掛斷驗證了。

特製化帳戶

特殊帳戶是適合敏感性使用者的較高保護層級。 由於業務影響較高,特製化帳戶在安全性警示、事件調查和威脅搜捕期間需要額外的監視和優先順序。

特製化安全性是以企業安全性的強式 MFA 為基礎,藉由識別最敏感的帳戶,並確保已優先處理警示和回應程式:

  1. 識別敏感性帳戶 - 請參閱識別這些帳戶的特殊安全性層級指引。
  2. 標記特製化帳戶 - 確定已標記每個敏感性帳戶
    1. 設定 Microsoft Sentinel 監看清單 以識別這些敏感性帳戶
    2. 在 適用於 Office 365 的 Microsoft Defender 中設定優先順序帳戶保護,並將特製化和特殊許可權帳戶指定為優先順序帳戶 -
  3. 更新安全性作業程式 - 以確保這些警示的優先順序最高
  4. 設定治理 - 更新或建立治理程式以確保
    1. 要評估的所有新角色都會在建立或變更時評估為特製化或特殊許可權分類
    2. 所有新帳戶都會在建立時加上標記
    3. 連續或定期頻外檢查,以確保一般治理程式不會遺漏角色和帳戶。

特殊權限帳戶

特殊許可權帳戶具有最高層級的保護,因為它們在遭到入侵時,對組織的作業造成重大或重大潛在影響。

特殊許可權帳戶一律包含 IT 管理員,可存取大部分或所有企業系統,包括大部分或所有業務關鍵系統。 其他對業務影響較高的帳戶也可能需要這種額外的保護層級。 如需哪些角色和帳戶應該在哪個層級受到保護的詳細資訊,請參閱 Privileged Security 一文

除了特製化安全性之外,特殊許可權帳戶安全性也會增加:

  • 預防 - 新增控件,以限制這些帳戶的使用至指定的裝置、工作站和媒介。
  • 回應 - 密切監視這些帳戶是否有異常活動,並快速調查並補救風險。

設定特殊許可權帳戶安全性

請遵循安全性快速現代化計劃中的指引,以增加特殊許可權帳戶的安全性,並降低管理的成本。

下一步