Zabezpečení účtu správce

Správa je postupy monitorování, údržby a provozních informačních technologií (IT) pro splnění úrovní služeb, které podnik vyžaduje. Správa přináší některé z nejvyšších rizik zabezpečení, protože provádění těchto úloh vyžaduje privilegovaný přístup k velmi široké sadě těchto systémů a aplikací. Útočníci ví, že získání přístupu k účtu s oprávněním správce může získat přístup k většině nebo všem datům, která by mohla cílit, a tím zajišťuje zabezpečení správy jedné z nejdůležitějších oblastí zabezpečení.

Microsoft jako příklad přináší významné investice do ochrany a školení správců pro naše cloudové systémy a IT systémy:

Doporučená základní strategie Microsoftu pro oprávnění správce je použití dostupných ovládacích prvků k omezení rizik.

Snížení rizika při expozici (rozsah a čas) – Princip nejnižších oprávnění je nejlepší dosáhnout moderních ovládacích prvků, které poskytují oprávnění na vyžádání. Tato nápovědě vám umožní omezit riziko tím, že omezí oprávnění správce na základě těchto údajů:

• Rozsah – pouze dostatečný přístup (JEA) poskytuje pouze požadovaná oprávnění pro požadovanou operaci správy (vs. má přímá a okamžitá oprávnění k mnoha nebo všem systémům v čase, což není téměř nikdy nutné).

• Přístupy Time - in time (JIT) poskytují požadovaná oprávnění podle potřeby.

• Zmírnění zbývajících rizik – Využijte kombinaci preventivních a vyšetřovací nástroj ovládacích prvků k omezení rizik, jako je izolace účtů správců, od nejběžnějších rizik, která phishing a obecné procházení, zjednodušují a optimalizují jejich pracovní postupy, zvyšují záruku rozhodnutí o ověřování a identifikují anomálie z normálního chování standardních hodnot, které je možné zablokovat nebo prozkoumat.

Společnost Microsoft zachytil a zdokumentoval osvědčené postupy pro ochranu privilegovaných účtů a publikovaných plány pro ochranu privilegovaného přístupu, které lze použít jako odkazy pro stanovení priorit rizik pro účty s privilegovaným přístupem.

• Plán zabezpečení privilegovaného přístupu (SPA) pro správce místní služby Active Directory

• Pokyny pro zabezpečení správců Azure Active Directory

Minimalizace počtu důležitých správců s negativním dopadem

Udělit nejmenšímu počtu účtů oprávnění, které mohou mít zásadní dopad na chod firmy

Každý účet správce představuje možnou plochu útoku, kterou může útočník cílit, takže minimalizací počtu účtů s tímto oprávněním pomáhá omezit celkové riziko organizace. Zkušenost má na starosti, že členství těchto privilegovaných skupin se v průběhu času zvětšuje přirozeně, protože lidé mění role, pokud je členství neaktivně neomezeno a spravováno.

Doporučujeme přístup, který omezuje toto riziko při útoku a přitom zajišťuje kontinuitu podnikových aplikací v případě, že se něco stane správci:

• Přiřazení alespoň dvou účtů k privilegované skupině pro kontinuitu podnikových aplikací

• Pokud potřebujete dva nebo více účtů, poskytněte pro každého člena odůvodnění, včetně původních dvou.

• Pravidelně kontrolujte & odůvodnění členství pro každého člena skupiny.

Spravované účty pro správce

Ujistěte se, že všichni správci s kritickým dopadem jsou spravováni podnikovým adresářem, aby mohli dodržovat vynucování

Uživatelské účty, jako jsou například účty Microsoft, jako je @ hotmail.com, @ live.com, @ Outlook.com, nenabízejí dostatečnou viditelnost a kontrolu zabezpečení, aby se zajistilo dodržování zásad organizace a dodržování zákonných požadavků. Vzhledem k tomu, že se nasazení Azure často spouští malým a bezproblémovým způsobem, než se připravují do klientů spravovaných v podniku, některé účty příjemců zůstanou jako účty pro správu, a to například jako originální vedoucí projektu Azure, vytváření nepřímých bodů a potenciální rizika.

Samostatné účty pro správce

Ujistěte se, že všichni správci s kritickým dopadem mají samostatný účet pro úlohy správy (vs účet, který používají k e-mailu, procházení webu a další úkoly produktivity).

Útoky phishing a webový prohlížeč reprezentují nejběžnější vektory útoku na zabezpečení účtů, včetně účtů pro správu.

Vytvořte samostatný účet správce pro všechny uživatele, kteří mají roli vyžadující kritická oprávnění. u těchto účtů pro správu zablokujte nástroje pro zvýšení produktivity, jako je Office 365 e-mail (odebrat licenci). Pokud je to možné, zablokujte libovolné procházení webu (s proxy a/nebo aplikační ovládací prvky) a umožněte výjimky pro procházení Azure Portal a dalších lokalit vyžadovaných pro úlohy správy.

Žádná oprávnění k žádnému Stálému přístupu/k času

Vyhněte se poskytování trvalého "stálého" přístupu ke všem účtům s kritickým dopadem

Trvalá oprávnění zvyšují obchodní riziko tím, že zvyšují dobu, kterou útočník může použít k poškození účtu. Dočasná oprávnění vynucují útočníky cílící na účet, aby fungovali v omezené době, kdy správce už účet používá, nebo pro inicializaci zvýšení oprávnění (což zvyšuje pravděpodobnost zjištění a odebrání z prostředí).

Udělte oprávnění požadovaná pouze v případě potřeby pomocí jedné z těchto metod:

• Právě v čase – povolte Azure AD Privileged Identity Management (PIM) nebo řešení třetí strany, aby se po schválení pracovního postupu vyžadovalo získání oprávnění pro účty s kritickým dopadem.

• Rozbití – U zřídka používaných účtů získáte přístup k účtům pomocí procesu nouzového přístupu. To je preferované pro oprávnění, která mají málo potřebnou běžnou provozní spotřebu jako členové účtů globálních správců.

Nouzový přístup nebo účty "break sklo"

Ujistěte se, že máte mechanismus pro získání přístupu pro správu v případě nouze.

V některých případech se občas vyskytují extrémní okolnosti, kdy nejsou k dispozici všechny běžné prostředky přístupu pro správu.

Doporučujeme vám postupovat podle pokynů v tématu Správa účtů pro správu pro nouzový přístup ve službě Azure AD a zajistit, aby tyto účty byly pečlivě sledovány.

Zabezpečení pracovní stanice správce

Zajistěte důležité, aby správci používali pracovní stanici se zvýšenými bezpečnostními ochranami a monitorováním.

Vektory útoku, které používají procházení a e-maily jako phishing, jsou levné a běžné. Izolaci důležitých správců z těchto rizik výrazně sníží riziko závažného incidentu, při kterém je jeden z těchto účtů ohrožen a který se použije k nahodilé poškození vaší firmy nebo mise.

Vyberte úroveň zabezpečení pracovní stanice správce na základě možností, které jsou k dispozici na adrese. https://aka.ms/securedworkstation

• Vysoce zabezpečené zařízení pro zvýšení produktivity (rozšířené pracovní stanice zabezpečení nebo specializované pracovní stanice)
  Tuto cestu zabezpečení můžete spustit pro správce s kritickým dopadem tím, že jim poskytnete vyšší pracovní stanici zabezpečení, která pořád umožňuje obecné úlohy procházení a produktivity. Použití tohoto postupu jako dočasného kroku usnadňuje přechod na plně izolované pracovní stanice pro správce kritického dopadu i na pracovníky IT podporující tyto uživatele a jejich pracovní stanice.

• Pracovní stanice privilegovaného přístupu (specializovaná pracovní stanice nebo zabezpečená pracovní stanice)
  Tyto konfigurace představují ideální stav zabezpečení správců s kritickým dopadem, protože silně omezují přístup k útokům na útoky typu phishing, prohlížeč a produktivita. Tyto pracovní stanice neumožňují obecné prohlížení internetu, umožňují jenom přístup z prohlížeče k Azure Portal a dalším webům pro správu.

Závislosti správců s kritickým dopadem – účet/pracovní stanice

Pečlivě vybírejte místní závislosti zabezpečení pro účty s kritickým dopadem a jejich pracovní stanice.

Pokud chcete, aby riziko z většího počtu incidentů v místním prostředí nahodilo z důvodu selhání cloudových prostředků bylo významné, je nutné odstranit nebo minimalizovat prostředky řízení, které mají místní prostředky v cloudu důležité. Jako příklad můžou útočníci, kteří ohrožují místní službu Active Directory, získat přístup k cloudovým prostředkům, které spoléhají na tyto účty jako prostředky v Azure, Amazon Web Services (AWS), ServiceNow a tak dále. Útočníci můžou k přístupu k účtům a službám spravovaným z nich používat taky pracovní stanice připojené k místním doménám.

Vyberte úroveň izolace z místních prostředků, které se také označují jako závislosti zabezpečení pro účty s kritickým dopadem.

• Uživatelské účty – určete, kam se mají hostovat účty kritických dopadů.

  • Nativní účty Azure AD – * vytváření nativních účtů Azure AD, které nejsou synchronizované s místní službou Active Directory

  • Synchronizovat z místní služby Active Directory

  • Používejte stávající účty hostované v místní službě Active Directory.

• Pracovní stanice – vyberte způsob, jakým budete spravovat a zabezpečovat pracovní stanice používané kritickými účty správců:

  • Správa nativního cloudu a zabezpečení (doporučeno): připojení pracovních stanic k Azure AD & spravovat/opravovat pomocí Intune nebo jiných cloudových služeb. chraňte a sledujte Windows Microsoft defenderu pro koncové body nebo jinou cloudovou službu, která není spravovaná místními účty na bázi.

  • Správa se stávajícími systémy: Připojte se k existující doméně služby AD a používejte stávající správu a zabezpečení.

Nepřístupné heslo nebo ověřování Multi-Factor Authentication pro správce

Vyžadovat, aby všichni správci s kritickými dopady používali ověřování pomocí hesla nebo vícefaktorové ověřování (MFA).

Metody útoku se vyvíjely do bodu, ve kterém samotné hesla nemůžou spolehlivě chránit účet. To je dobře dokumentováno v relaci Microsoft Ignite.

Účty pro správu a všechny důležité účty by měly používat jednu z následujících metod ověřování. Tyto funkce jsou uvedené v pořadí podle priority podle nejvyšší ceny/obtížnosti útoků (nejsilnější/preferované možnosti) na nejnižší náklady nebo obtížně se zlými úmysly:

• Nejenom hesla (například Windows Hello)

• nejenom hesla (Authenticator aplikace)

• Vícefaktorového ověřování

Počítejte s tím, že útok na SMS SMS založená na SMS je velmi levný, aby útočníci mohl obejít. proto doporučujeme, abyste se vyhnuli spoléhání na něj. Tato možnost je stále silnější než samotná hesla, ale je mnohem slabší než u jiných možností vícefaktorového ověřování.

Vymáhat podmíněný přístup pro správce – nulový vztah důvěryhodnosti

Ověřování pro všechny správce a další účty s kritickým dopadem by měly zahrnovat měření a vynucování klíčových atributů zabezpečení pro podporu nulové strategie důvěryhodnosti.

Útočníci narušit účty správce Azure můžou způsobit značnou škodu. Podmíněný přístup může významně snížit toto riziko tím, že vynucuje hygienu zabezpečení před tím, než povolí přístup ke správě Azure.

Nakonfigurujte zásady podmíněného přístupu pro správu Azure , které vyhovují rizikovým pozdějim a provozním potřebám vaší organizace.

• Vyžadování vícefaktorového ověřování a/nebo připojení z určené pracovní sítě

• Vyžadovat integritu zařízení pomocí programu Microsoft Defender pro koncové body (silná záruka)

Vyhněte se podrobným a vlastním oprávněním

Nepoužívejte oprávnění, která specificky odkazují na jednotlivé prostředky nebo uživatele.

Konkrétní oprávnění vytvářejí nepotřebnou složitost a nejasnost, protože nevedou k úmyslům nově podobných prostředků. Pak se nashromáždí do komplexní starší verze konfigurace, která se obtížně udržuje nebo mění bez obav z "poškození něčeho" – negativně ovlivňuje flexibilitu zabezpečení i řešení.

Místo přiřazování konkrétních oprávnění specifických pro prostředky použijte některou z těchto

• Skupiny pro správu pro celopodnikové oprávnění

• Skupiny prostředků pro oprávnění v rámci předplatných

Místo udělení oprávnění konkrétním uživatelům přiřaďte přístup ke skupinám v Azure AD. Pokud není k dispozici odpovídající skupina, pracujte s týmem identity a vytvořte si ji. To vám umožní přidávat a odebírat členy skupiny externě v Azure a zajistit, aby oprávnění byla aktuální, a zároveň umožnit použití skupiny k jiným účelům, jako jsou seznamy poštovních zpráv.

Použití předdefinované role

Pokud je to možné, přiřaďte oprávnění pomocí předdefinované role.

Přizpůsobení vede ke složitosti, která zvyšuje nejasnosti a zvyšuje složitost, náročnost a zranitelnost automatizace. Všechny tyto faktory mají negativní vliv na zabezpečení.

Doporučujeme vyhodnotit předdefinované role navržené tak, aby pokryje většinu běžných scénářů. Vlastní role jsou výkonné a někdy užitečné funkce, ale měly by být rezervované pro případy, kdy předdefinované role nebudou fungovat.

Vytvoření správy životního cyklu pro účty s kritickým dopadem

Ujistěte se, že máte proces pro zakázání nebo odstranění účtů pro správu, když pracovníci s právy správce opustí organizaci (nebo necháte pozici správce).

Další podrobnosti najdete v tématu Pravidelná kontrola kritického přístupu.

Simulace útoku pro účty s kritickým dopadem

Pravidelně simulujte útoky na uživatele s právy pro správu pomocí aktuálních technik útoku, které je poučí a zmocní.

Lidé jsou důležitou součástí vaší obrany, zejména vaši pracovníci s přístupem k účtům s kritickým dopadem. Zajištěním, že tito uživatelé (a v ideálním případě všichni uživatelé) budou mít znalosti a dovednosti, jak se vyhnout útokům a odolat jim, sníží celkové riziko vaší organizace.

Můžete využít možnosti Office 365 útoku nebo libovolný počet nabídek třetích stran.