安全性快速現代化方案
這個快速現代化計劃(RAMP)將協助您快速採用 Microsoft 建議 的特殊許可權存取策略。
此藍圖是以特殊許可權存取部署指引中建立的技術控制為基礎。 完成這些步驟,然後使用此RAMP中的步驟來設定貴組織的控件。
注意
許多這些步驟都會有綠色/棕色地帶動態,因為組織通常會在部署或設定帳戶時有安全性風險。 此藍圖會優先停止新的安全性風險累積,然後稍後清除已累積的其餘專案。
當您完成藍圖時,您可以使用 Microsoft 安全分數來追蹤和比較旅程中的許多專案,以及一段時間內類似組織中的其他人。 在安全分數概觀一文中深入瞭解 Microsoft 安全分數。
此RAMP中的每個專案都會結構化為一項計劃,該計劃會使用以目標和關鍵結果 (OKR) 方法為基礎的格式進行追蹤和管理。 每個專案都包含什麼(目標)、原因、人員、如何及如何測量(主要結果)。 有些專案需要變更流程和人員的專業知識/技能,而另一些則是更簡單的技術變更。 其中許多計劃將包含傳統 IT 部門以外的成員,這些成員應該包含在這些變更的決策和實作中,以確保這些變更已成功整合到您的組織中。
作為一個組織合作、建立夥伴關係,並教育傳統上不屬於此程式的人,這一點非常重要。 建立和維護整個組織的購買非常重要,而不會讓許多項目失敗。
區隔和管理特殊權限帳戶
緊急存取帳戶
- 內容:請確定您不會在緊急情況下意外鎖定 Microsoft Entra 組織。
- 原因:如果遭到入侵,則很少使用緊急存取帳戶,而且對組織造成嚴重損害,但對於需要時,對少數案例而言,其可用性也非常重要。 請確定您有一個可同時容納預期和非預期事件之存取持續性的計劃。
- 神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
- 如何:遵循管理 Microsoft Entra ID 中的緊急存取帳戶中的指引。
- 測量關鍵結果:
- 已建立 的緊急存取程式是根據符合組織需求的 Microsoft 指導方針所設計
- 在過去90天內,已檢閱及測試維護 緊急存取
啟用 Microsoft Entra Privileged Identity Management
- 內容:在您的 Microsoft Entra 生產環境中使用 Microsoft Entra Privileged Identity Management (PIM)來探索及保護特殊許可權帳戶
- 原因:P rivileged Identity Management 提供以時間為基礎的和核准型角色啟用,以降低過度、不必要的或誤用訪問許可權的風險。
- 神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
- 如何:使用部署 Microsoft Entra Privileged Identity Management (PIM) 一文中的指引來部署及設定 Microsoft Entra Privileged Identity Management。
- 測量密鑰結果:100% 適用的特殊許可權存取角色使用 Microsoft Entra PIM
識別和分類特殊權限帳戶 (Microsoft Entra ID)
內容:識別具有高業務影響的所有角色和群組,這些角色和群組將需要特殊許可權的安全性層級(立即或經過一段時間)。 這些系統管理員會在稍後的步驟 中要求疏散帳戶特殊許可權存取管理。
原因:必須執行此步驟,才能識別並最小化需要個別帳戶和特殊許可權存取保護的人員數目
神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
如何:開啟 Microsoft Entra Privileged Identity Management 之後,根據您的組織風險原則,檢視下列 Microsoft Entra 角色的使用者:
- 全域管理員
- 特殊權限角色管理員
- Exchange 系統管理員
- SharePoint 系統管理員
如需系統管理員角色的完整清單,請參閱 Microsoft Entra ID 中的 管理員 istrator 角色許可權。
拿掉這些角色中不再需要的任何帳戶。 然後,將指派給系統管理員角色的其餘帳戶分類:
- 指派給系統管理使用者,但也用於非系統管理生產力用途,例如讀取和響應電子郵件。
- 指派給系統管理使用者,並僅用於系統管理用途
- 跨多位使用者共用
- 針對打破玻璃緊急存取案例
- 適用於自動化指令碼
- 適用於外部使用者
如果您的組織中沒有 Microsoft Entra Privileged Identity Management,您可以使用 PowerShell API。 此外,請從 Global 管理員 istrator 角色開始,因為 Global 管理員 istrator 在貴組織已訂閱的所有雲端服務中具有相同的許可權。 無論這些許可權在何處獲指派,都授與這些許可權:在 Microsoft 365 系統管理中心、Azure 入口網站 或 Microsoft PowerShell 的 Azure AD 模組中。
- 測量重要結果: 過去90天內已完成特殊許可權存取角色的檢閱和識別
個別帳戶 (內部部署 AD 帳戶)
內容:如果尚未完成,請保護內部部署特殊許可權系統管理帳戶。 此階段包括:
- 為需要執行內部部署系統管理工作的使用者建立個別的系統管理員帳戶
- 為 Active Directory 系統管理員部署特殊許可權存取工作站
- 為工作站和伺服器建立唯一的本機系統管理員密碼
原因:強化用於系統管理工作的帳戶。 系統管理員帳戶應該已停用郵件,而且不應允許個人 Microsoft 帳戶。
神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
如何:獲授權擁有系統管理許可權的所有人員,都必須針對與用戶帳戶不同的系統管理功能,擁有個別的帳戶。 請勿在用戶之間共用這些帳戶。
- 標準使用者帳戶 - 已授與標準使用者權限來執行標準使用者工作,例如,電子郵件、Web 瀏覽,以及使用企業營運系統應用程式。 這些帳戶未獲授與系統管理許可權。
- 系統管理帳戶 - 將已指派適當系統管理權限的人員所建立的帳戶分隔開來。
測量主要結果: 100% 的內部部署特殊許可權用戶有個別的專用帳戶
適用於身分識別的 Microsoft Defender
內容:適用於身分識別的 Microsoft Defender 結合內部部署訊號與雲端深入解析,以簡化格式監視、保護及調查事件,讓安全性小組能夠偵測身分識別基礎結構的進階攻擊,並能夠:
- 透過學習型分析來監視使用者、實體行為及動作
- 保護儲存於 Active Directory 中的使用者身分識別和認證
- 識別和調查狙殺鏈中可疑的使用者活動及進階攻擊
- 在簡單的時間軸上提供清晰的事件資訊,以進行快速分級
原因:新式攻擊者可能會長時間無法察覺。 如果沒有整個身分識別環境的一致性圖片,就很難找到許多威脅。
神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
如何:部署和啟用 適用於身分識別的 Microsoft Defender 並檢閱任何開啟的警示。
測量重要結果:由適當的小組檢閱並減輕所有開啟的警示。
改善認證管理體驗
實作並記錄自助式密碼重設和合併的安全性信息註冊
- 內容:在您的組織中啟用和設定自助式密碼重設 (SSPR),並啟用合併的安全性資訊註冊體驗。
- 原因:一旦用戶註冊后,就可以重設自己的密碼。 結合的安全性資訊註冊體驗提供更好的用戶體驗,允許註冊 Microsoft Entra 多重要素驗證和自助式密碼重設。 這些工具一起使用時,有助於降低技術服務人員成本和更滿意的使用者。
- 神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
- 如何:若要啟用和部署SSPR,請參閱規劃 Microsoft Entra 自助式密碼重設部署一文。
- 測量密鑰結果:已完整設定自助式密碼重設,並可供組織使用
保護系統管理員帳戶 - 針對 Microsoft Entra ID 特殊許可權使用者啟用並要求 MFA /無密碼
內容:要求 Microsoft Entra ID 中的所有特殊許可權帳戶使用強式多重要素驗證
原因:保護對 Microsoft 365 中數據和服務的存取。
神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
如何:開啟 Microsoft Entra 多重要素驗證 (MFA),並註冊所有其他具有特殊許可權的單一使用者非同盟系統管理員帳戶。 針對永久指派給一或多個 Microsoft Entra 系統管理員角色的個別使用者,在登入時需要多重要素驗證,例如:
- 全域管理員
- 特殊許可權角色管理員
- Exchange 系統管理員
- SharePoint 系統管理員
要求系統管理員使用無密碼登入方法,例如 FIDO2 安全性密鑰或 Windows Hello 企業版 搭配唯一、冗長的複雜密碼。 使用組織原則文件強制執行這項變更。
請遵循下列文章中的指引: 規劃 Microsoft Entra 多重要素驗證部署 ,並在 Microsoft Entra ID 中規劃無密碼驗證部署。
- 測量密鑰結果:100% 的特殊許可權用戶會針對所有登入使用無密碼驗證或強形式的多重要素驗證。 如需多重要素驗證的描述,請參閱特殊許可權存取帳戶
封鎖特殊許可權用戶帳戶的舊版驗證通訊協定
內容:封鎖舊版驗證通訊協議用於具特殊許可權的用戶帳戶。
原因:組織應該封鎖這些舊版驗證通訊協定,因為無法對其強制執行多重要素驗證。 若讓舊版驗證通訊協定保持啟用,可能會為攻擊者製造進入點。 某些舊版應用程式可能會依賴這些通訊協定,而且組織可以選擇針對特定帳戶建立特定例外狀況。 應該追蹤這些例外狀況,並實作其他監視控件。
神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
如何:若要封鎖組織中的舊版驗證通訊協定,請遵循如何:使用條件式存取封鎖舊版驗證至 Microsoft Entra ID 一文中的指引。
測量關鍵結果:
- 已封鎖舊版通訊協定: 所有用戶都會封鎖所有舊版通訊協定,只有授權的例外狀況
- 例外狀況 每 90 天檢閱一次,並在一年內永久到期。 應用程式擁有者必須在第一次例外狀況核准後的一年內修正所有例外狀況
應用程式同意程式
- 內容:停用使用者同意 Microsoft Entra 應用程式。
注意
這項變更需要集中處理貴組織的安全性和身分識別系統管理小組的決策程式。
- 原因:使用者可以不小心建立組織風險,方法是提供可惡意存取組織數據之應用程式的同意。
- 神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
- 如何:建立集中式同意程式,以遵循管理對應用程式的同意和評估同意要求一文中的指引,以維護可存取數據的集中式可見度和控制。
- 測量主要結果:用戶無法同意 Microsoft Entra 應用程式存取
清除帳戶和登入風險
- 內容:啟用 Microsoft Entra ID Protection 並清除它找到的任何風險。
- 原因:有風險的使用者和登入行為可能是對您組織的攻擊來源。
- 神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
- 贊助: 此方案通常是由 CISO、CIO 或身分識別主管贊助
- 執行: 此計劃是牽涉到的共同作業工作
- 原則和標準 小組會記錄明確的需求和標準(根據本指南)
- 身分識別和金鑰管理 或 中央 IT 作業 ,以實作任何變更
- 安全性合規性管理 監視器以確保合規性
- 已針對相關支援呼叫更新中央 IT 作業 技術服務人員程式,並已針對這些呼叫人員進行訓練
- 如何:建立可監視和管理使用者和登入風險的程式。 決定您是否將補救自動化、使用 Microsoft Entra 多重要素驗證和 SSPR,或封鎖並要求系統管理員介入。請遵循如何:設定和啟用風險原則一文中的指引。
- 測量關鍵結果:組織沒有未新增的使用者和登入風險。
注意
需要條件式存取原則,才能封鎖新登入風險的累算。 請參閱特殊許可權存取部署的條件 式存取一節
管理員 工作站初始部署
- 內容:全域 管理員 管理員等特殊許可權帳戶具有專用工作站來執行系統管理工作。
- 原因:特殊許可權管理工作已完成的裝置是攻擊者的目標。 不僅保護帳戶,而且這些資產對於減少受攻擊面區至關重要。 此區隔會限制他們接觸針對生產力相關工作的常見攻擊,例如電子郵件和網頁流覽。
- 神秘:此方案通常是由身分識別和密鑰管理和/或安全性架構所領導。
- 作法:初始部署應如特殊許可權存取部署一文 所述,應為企業層級
- 測量主要結果:每個特殊許可權帳戶都有專用的工作站來執行敏感性工作。
注意
此步驟會快速建立安全性基準,且必須儘快提高到特製化和特殊許可權層級。