Správa

Správa je praktika monitorování, údržby a provozu systémů INFORMAČNÍCH TECHNOLOGIÍ (IT), aby splňovala úrovně služeb, které podnik potřebuje. Správa představuje některá z nejvyšších bezpečnostních rizik, protože provádění těchto úkolů vyžaduje privilegovaný přístup k velmi široké sadě těchto systémů a aplikací. Útočníci vědí, že získání přístupu k účtu s oprávněními správce jim může umožnit přístup k většině nebo ke všem datům, na která by se zaměřoval, a zabezpečení správy tak bude jednou z nejdůležitějších oblastí zabezpečení.

Jako příklad společnost Microsoft významně investuje do ochrany a školení správců pro naše cloudové systémy a IT systémy:

Doporučená hlavní strategie microsoftu pro oprávnění správce je použití dostupných ovládacích prvků ke snížení rizik

Snížení expozice rizik (rozsah a čas) – Princip nejmenšího oprávnění je nejlepší dosáhnout pomocí moderních ovládacích prvků, které poskytují oprávnění na vyžádání. To pomáhá omezit riziko tím, že omezíte expozici oprávněním správce:

• Obor – Just Enough Access (JEA) poskytuje pouze požadovaná oprávnění pro požadovanou operaci správy (vs. s přímými a okamžitými oprávněními k mnoha nebo všem systémům najednou, což se téměř nikdy nevyžaduje).

• Čas – přístupy JIT (Just in Time) za předpokladu, že jsou privilegované podle potřeby.

• Zmírnění zbývajících rizik : Pomocí kombinace preventivních a detektivových kontrol můžete omezit rizika, jako je izolování účtů správce od nejběžnějších rizik phishingu a obecného procházení webu, zjednodušení a optimalizace jejich pracovního postupu, zvýšení jistoty o rozhodnutích o ověřování a identifikace anomálií od normálního chování podle směrného plánu, které se může zablokovat nebo prozkoumat.

Microsoft zaznamenal a zdokumentoval osvědčené postupy pro ochranu účtů pro správu a publikoval plány s prioritami pro ochranu privilegovaného přístupu, který se může použít jako odkazy pro stanovení priorit pro zmírnění rizik u účtů s privilegovaný přístup.

• Plán zabezpečení privilegovaného přístupu (SPA) pro správce místní služby Active Directory

• Pokyny pro zabezpečení správců Azure Active Directory

Minimalizace počtu správců s kritickým dopadem

Udělení nejmenšího počtu účtů oprávněním, která mohou mít zásadní dopad na firmy

Každý účet správce představuje potenciální povrch útoku, na který může útočník zaměřit, takže minimalizace počtu účtů s tímto oprávněním pomáhá omezit celkové riziko organizace. Zkušenosti nás naučily, že členství v těchto privilegovaných skupinách se v průběhu času přirozeně zvětšuje, protože lidé mění role, pokud se členství aktivně nespravuje a nespravuje.

Doporučujeme použít přístup, který sníží toto riziko útoku na povrch a zároveň zajistí nepřetržitou práci v případě, že se něco stane správci:

• Přiřazení aspoň dvou účtů skupině privilegovaných služeb pro nepřetržitou práci

• Pokud jsou potřeba dva nebo více účtů, uveďte odůvodnění pro každého člena včetně původních dvou účtů.

• Pravidelná kontrola odůvodnění & členství pro každého člena skupiny

Spravované účty pro správce

Zajistěte, aby všichni správci s kritickým dopadem ve službě spravování podle podnikového adresáře sledovali vynucení zásad organizace.

Spotřebitelské účty, jako jsou například účty Microsoft, například @Hotmail.com, @live.com, @outlook.com, nepomáhodují dostatečnou viditelnost a kontrolu zabezpečení, aby se zajistilo dodržování zásad organizace a dodržování regulačních požadavků. Vzhledem k tomu, že nasazení Azure často začínají malé a neformálně před tím, než se rozrostou na tenanty spravované podniky, zůstávají některé spotřebitelské účty jako účty správy dlouho potom, například původní projektové manažery Azure, vytváření nevidomých míst a potenciálních rizik.

Samostatné účty pro správce

Ujistěte se, že všichni správci s kritickým dopadem mají samostatný účet pro úkoly správy (vs účet, který používají pro e-mail, procházení webu a další úkoly související s produktivitou).

Útoky phishing a webový prohlížeč představují nejběžnější způsoby útoku na ohrožení účtů, včetně účtů pro správu.

Vytvořte samostatný účet pro správu pro všechny uživatele, kteří mají roli vyžadující kritická oprávnění. U těchto účtů pro správu zablokujte nástroje pro zvýšení produktivity, Office 365 e-mail (odeberte licenci). Pokud je to možné, zablokujte libovolné procházení webu (pomocí proxy serveru nebo ovládacích prvků aplikace) a povolte výjimky pro procházení webu Azure Portal a dalších webů, které jsou potřeba pro úkoly správy.

Bez trvalého přístupu / Oprávnění Just in Time (Jen v čase)

Vyhněte se poskytování trvalého přístupu k účtům s kritickým dopadem

Trvalá oprávnění zvyšují obchodní riziko tím, že zvětšují dobu, po kterou útočník může účet použít k poškození. Dočasná oprávnění nutí útočníky, kteří cílí na účet, aby buď pracovali v omezeném čase, kdy správce účet už používá, nebo aby zahájil zvýšení oprávnění (což zvyšuje jejich pravděpodobnost zjištění a odebrání z prostředí).

Udělit oprávnění požadovaná jenom podle potřeby pomocí jedné z těchto metod:

• Just in Time (Právě včas) – Povolte azure AD Privileged Identity Management (PIM) nebo řešení třetích stran tak, aby vyžadovalo, aby se po pracovním postupu schválení získala oprávnění k účtům s kritickým dopadem.

• Break glass – U zřídka používaných účtů postupujte podle postupu tísňového přístupu, abyste získali přístup k účtům. Tato možnost se upřednostní u oprávnění, která jen málo potřebují běžné provozní využití, jako jsou členové účtů globálního správce.

Přístup k tísňové volání nebo účty Break Glass

Ujistěte se, že máte mechanismus pro získání přístupu správce v případě nouze.

I když jsou tyto situace vzácné, někdy nastanou extrémní okolnosti, kdy nejsou dostupné všechny běžné způsoby přístupu správce.

Doporučujeme řídit se pokyny v tématu Správa účtů pro správu přístupu k tísňového volání v Azure AD a zajistit, aby operace zabezpečení tyto účty pečlivě sledovaly.

Zabezpečení pracovní stanice správce

Zajistěte, aby správci kritického dopadu používejte pracovní stanici se zvýšenými bezpečnostními ochranami a monitorováním.

Útokové vektory, které používají procházení a e-maily, jako je phishing, jsou levné a běžné. Izolování správců kritického dopadu z těchto rizik výrazně sníží riziko závažného incidentu, kdy je jeden z těchto účtů ohrožen a použit k podstatnému poškození vaší firmy nebo poslání.

Zvolte úroveň zabezpečení pracovní stanice správce na základě možností dostupných na adrese https://aka.ms/securedworkstation

• Vysoce zabezpečené zařízení pro zvýšení produktivity (pracovní stanice s vyšším zabezpečením nebo specializovaná pracovní stanice)
  Tuto cestu zabezpečení pro správce s kritickým dopadem můžete zahájit tím, že jim poskytnete pracovní stanici s vyšším zabezpečením, která jim umožní provádět obecné procházení a úkoly související s produktivitou. Použití tohoto nástroje jako dočasného kroku usnadňuje přechod na plně izolované pracovní stanice jak pro správce kritického dopadu, tak pro pracovníky IT podporující tyto uživatele a jejich pracovní stanice.

• Pracovní stanice s oprávněním přístupu (specializovaná pracovní stanice nebo zabezpečená pracovní stanice)
  Tyto konfigurace představují ideální stav zabezpečení pro správce kritického dopadu, protože výrazně omezují přístup k útokům phishing, prohlížeče a vektorům útoku na aplikace produktivity. Tyto pracovní stanice nepovolují obecné procházení internetu, ale povolují přístup jenom k portálu Azure Portal a dalším webům pro správu.

Závislosti správců s kritickým dopadem – účet/pracovní stanice

Pečlivě vyberte místní závislosti zabezpečení pro účty s kritickým dopadem a jejich pracovní stanice.

Abyste se stali významným ohrožením cloudových prostředků, musíte odstranit nebo minimalizovat prostředky kontroly, že místní zdroje musí mít zásadní dopad na účty v cloudu, aby se staly rizikem, které místně přelévá. Například útočníci, kteří ohrozí místní službu Active Directory, mají přístup k cloudovým prostředkům, které spoléhají na tyto účty, jako jsou prostředky v Azure, Amazon Web Services (AWS), ServiceNow a tak dále. Útočníci získají přístup k účtům a službám spravovaným z nich také pomocí pracovních stanic připojených k místním doménám.

Zvolte úroveň izolace z místních prostředků řízení označované také jako závislosti zabezpečení pro účty s kritickým dopadem.

• Uživatelské účty – zvolte, kde se mají hostovat účty s kritickým dopadem.

  • Nativní účty Azure AD –*Vytvoření nativních účtů Azure AD, které nejsou synchronizovány s místním adresářem Active Directory

  • Synchronizace z místní služby Active Directory (Nedoporučuje se, viz Nesynchronovat účty místního správce s poskytovateli cloudovýchidentit ) – Využijte stávající účty hostované v místním adresáři active directory.

• Pracovní stanice – Zvolte, jak budete spravovat a zabezpečit pracovní stanice používané účty důležitých správců:

  • Nativní zabezpečení cloudové správy (doporučeno) – Připojte pracovní stanice k & Azure AD & Manage/Patch s Intune nebo jinými cloudovými službami. Chraňte a sledujte pomocí Windows atp v programu Microsoft Defender nebo jiné cloudové služby, kterou nespravují místní účty.

  • Správa pomocí existujících systémů – Připojení ke stávající doméně AD & využívá stávající správu/zabezpečení.

Souvisí to s pokyny Nesynchronovat účty místního správce s poskytovateli cloudových identit s poskytovateli cloudových identit v části správy, která zmírňuje inverzní riziko přechádování z cloudových prostředků na místní prostředky.

Passwordless Or multi-factor authentication for admins

Vyžadovat, aby všichni správci s kritickým dopadem používejte ověřování bez hesla nebo vícefaktorové ověřování (MFA).

Metody útoku se vyvinuly do bodu, kdy hesla sama o sobě nemohou spolehlivě chránit účet. To je dobře zdokumentované v relaci Microsoft Ignite .

Účty pro správu a všechny důležité účty by měly používat jednu z následujících metod ověřování. Tyto funkce jsou uvedené v pořadí podle priorit podle nejvyšších nákladů/nesnáz útoku (nejpevnějších/preferovaných možností) až po nejnižší náklady nebo obtížně napadaní:

• Bez hesla (například Windows Hello)
  https://aka.ms/HelloForBusiness

• Bez hesla (Authenticator Aplikace)
  https://docs.microsoft.com/azure/active-directory/authentication/howto-authentication-phone-sign-in

• Vícefaktorové ověřování
  https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-userstates

Upozorňujeme, že MFA založené na smsových textových zprávch je pro útočníky velmi levné, takže doporučujeme, abyste se na něj nespoléhají. Tato možnost je stále silnější než samotná hesla, ale je mnohem slabší než jiné možnosti MFA.

Vynucení podmíněného přístupu pro správce – nulový vztah důvěryhodnosti

Ověřování pro všechny správce a další účty s kritickým dopadem by mělo zahrnovat měření a vynucení klíčových atributů zabezpečení pro podporu strategie Nulové důvěryhodnosti.

Útočníci, které kompromitují účty správce Azure, mohou způsobit značné škody. Podmíněný přístup může toto riziko výrazně snížit tím, že vynucuje zabezpečení před povolením přístupu ke správě Azure.

Nakonfigurujte zásady podmíněného přístupu pro správu Azure, které splňují požadavky vaší organizace na riziko a provozní potřeby.

• Vyžadovat vícefaktorové ověřování a/nebo připojení z určené pracovní sítě

• Vyžadování integrity zařízení pomocí programu Microsoft Defender ATP (Strong Assurance)

Vyhněte se podrobným a vlastním oprávněním

Vyhněte se oprávněním, která specificky odkazují na jednotlivé zdroje nebo uživatele

Konkrétní oprávnění vytvářejí nepožádoucí složitost a nejasnosti, protože nenesou záměr k novým podobným zdrojům. To se pak hromadí ve složité starší konfiguraci, která se obtížně udržuje nebo mění bez obav z "porušení" – negativně ovlivňuje zabezpečení i agilitu řešení.

Místo přiřazení konkrétních oprávnění specifických pro zdroje použijte buď

• Skupiny pro správu pro oprávnění pro celou organizaci

• Skupiny prostředků pro oprávnění v rámci předplatných

Místo udělování oprávnění konkrétním uživatelům přiřaďte přístup ke skupinám v Azure AD. Pokud není příslušná skupina, vytvořte ji s týmem identity. To umožňuje přidávat a odebírat členy skupiny externě do Azure a zajistit, aby byla oprávnění aktuální, a zároveň umožnit, aby se skupina používala k jiným účelům, jako jsou seznamy adres.

Použití předdefinované role

Pokud je to možné, přiřaďte oprávnění pomocí předdefinované role.

Přizpůsobení vede ke složitosti, která zvyšuje nejasnosti a zvyšuje složitost, náročnost a zranitelnost automatizace. Všechny tyto faktory mají negativní dopad na zabezpečení.

Doporučujeme vyhodnotit předdefinované role navržené tak, aby pokryly většinu běžných scénářů. Vlastní role jsou výkonné a někdy užitečné funkce, ale měly by být rezervované pro případy, kdy integrované role nebudou fungovat.

Vytvoření správy životního cyklu pro účty s kritickým dopadem

Ujistěte se, že máte proces zakázání nebo odstranění účtů pro správu, když pracovníci správce opustí organizaci (nebo opustíte administrativní pozice).

Další podrobnosti najdete v článku Pravidelná kontrola kritického přístupu.

Simulaci útoku pro účty s kritickým dopadem

Pravidelně simulujte útoky proti administrativním uživatelům pomocí aktuálních technik útoku, které je vyučují a zmocní.

Lidé jsou důležitou součástí vaší obhajoby, zejména vaši pracovníci s přístupem k účtům s kritickým dopadem. Zajištěním toho, aby tito uživatelé (a v ideálním případě všichni uživatelé) měli znalosti a dovednosti, aby se vyhnuli útokům a odolali útokům, sníží se celkové riziko organizace.

Můžete použít možnosti Office 365 útoku nebo libovolný počet nabídek třetích stran.

Další kroky

Další pokyny k zabezpečení od Microsoftu najdete v dokumentaci k zabezpečení Microsoftu.