Privilegovaný přístup: Účty

Zabezpečení účtu je důležitá součást zabezpečení privilegovaného přístupu. End to end Zero Trust security for sessions requires strongly establishing that the account being used in the session is actually under the human owner and not an attacker impersonating them.

Zabezpečení silného účtu začíná zabezpečeným zřizováním a s kompletním řízením životního cyklu až po zrušení zřízení a každá relace musí vytvořit silné záruky, že účet není v současné době ohrožený na základě všech dostupných dat, včetně historických vzorců chování, dostupných informací o hrozbách a využití v aktuální relaci.

Zabezpečení účtu

Tyto pokyny definují tři úrovně zabezpečení pro zabezpečení účtu, které můžete použít pro aktiva s různými úrovněmi citlivosti:

Tyto úrovně zavedou jasné a implementovatelné profily zabezpečení, které jsou vhodné pro každou úroveň citlivosti, ke které můžete role přiřazovat a rychle škálovat. Všechny tyto úrovně zabezpečení účtu jsou navržené tak, aby lidem zachovaly nebo zlepšily produktivitu tím, že omezují nebo eliminují přerušení pracovních postupů uživatelů a správců.

Plánování zabezpečení účtu

Tyto pokyny popisují technické kontroly potřebné ke splnění jednotlivých úrovní. Pokyny k implementaci jsou v přehledu privilegovaného přístupu.

Ovládací prvky zabezpečení účtu

Dosažení zabezpečení rozhraní vyžaduje kombinaci technických ovládacích prvků, které chrání účty a poskytují signály, které se mají použít při rozhodování o zásadách nulové důvěryhodnosti (viz Zabezpečení rozhraní pro referenční informace o konfiguraci zásad).

Mezi ovládací prvky používané v těchto profilech patří:

• Vícefaktorové ověřování – poskytuje různé zdroje důkazu, že (navržený tak, aby byl pro uživatele co nejsnadnější, ale těžko napodobovat uživatele).
• Riziko účtu – monitorování hrozeb a anomálií – pomocí UEBA a threat intelligence k identifikaci riskových scénářů
• Vlastní monitorování – U citlivějších účtů umožňuje explicitně definovat povolené/akceptované chování/vzory včasné zjišťování neobvyklé aktivity. Tento ovládací prvek není vhodný pro účty pro obecné účely v podniku, protože tyto účty potřebují flexibilitu pro své role.

Kombinace ovládacích prvků také umožňuje zlepšit zabezpečení i použitelnost – například uživatel, který zůstane v normálním režimu (používá stejné zařízení ve stejném umístění den po dni), nemusí být při každém ověření vyzván k zadání mimo MFA.

Enterprise zabezpečení

Ovládací prvky zabezpečení pro podnikové účty jsou určené k vytvoření zabezpečeného směrného plánu pro všechny uživatele a poskytují zabezpečený základ pro specializované a privilegované zabezpečení:

• Vynucení silného vícefaktorového ověřování (MFA) – Ujistěte se, že je uživatel ověřen pomocí silného vícefaktorového ověřování, který poskytuje podnikový systém identit (podrobně uvedený v následujícím diagramu). Další informace o vícefaktorové ověřování najdete v tématu Osvědčené postupy zabezpečení Azure 6.

  Poznámka:

  I když se vaše organizace může rozhodnout, že během přechodného období použije stávající slabší formu MFA, útočníci se čím dál častěji vyhnou slabším ochraně MFA, takže všechny nové investice do MFA by měly být v nejpevnějších formách.

• Vynucení rizika účtu/relace – ujistěte se, že účet není schopen ověřit, pokud není na nízkém (nebo středním?) rizik. Podrobnosti o podmíněném zabezpečení podnikového účtu najdete v tématu Úrovně zabezpečení rozhraní.

• Sledování upozornění a reakce na ně : Operace zabezpečení by měly integrovat výstrahy zabezpečení účtu a získat dostatečné školení o tom, jak tyto protokoly a systémy fungují, aby byly schopny rychle pochopit, co upozornění znamená, a reagovat odpovídajícím způsobem.

  • Povolení ochrany identity Azure AD
  • Prozkoumat rizika Azure AD Identity Protection
  • Poradce při potížích nebo prošetřovat chyby přihlášení podmíněného přístupu

Následující diagram poskytuje porovnání s různými formami MFA a ověřování bez hesla. Každá možnost v nejlepším poli se považuje za vysokou bezpečnost i vysokou použitelnost. Každý z nich má různé hardwarové požadavky, takže můžete chtít kombinovat a odpovídat požadavkům, které se vztahují na různé role nebo jednotlivce. Všechna řešení Microsoftu bez hesla jsou podmíněným přístupem rozpoznána jako vícefaktorové ověřování, protože vyžadují kombinaci něčeho, co máte s biometrickými prvky, něčím, co znáte, nebo obojím.

Specializované účty

Specializované účty jsou vyšší úroveň ochrany, která je vhodná pro citlivé uživatele. Vzhledem k jejich vyššímu obchodnímu dopadu si specializované účty zaručují další monitorování a stanovení priorit při výstrahách zabezpečení, vyšetřování incidentů a hledání hrozeb.

Specializované buildy zabezpečení na silné MFA v podnikovém zabezpečení tím, že identifikují nejcitlivější účty a zajišťují, aby se upřednostněly výstrahy a procesy odpovědí:

1. Identifikace citlivých účtů – podívejte se na pokyny pro specializovanou úroveň zabezpečení pro identifikaci těchto účtů.
2. Označení specializovaných účtů – ujistěte se, že každý citlivý účet je označený
   1. Konfigurace seznamů Microsoft Sentinel Watchlists k identifikaci těchto citlivých účtů
   2. Konfigurace ochrany prioritních účtů v programu Microsoft Defender pro Office 365 a určení specializovaných a privilegovaných účtů jako prioritních účtů –
3. Procesy operace zabezpečení aktualizací – aby se zajistilo, že tato upozornění mají nejvyšší prioritu
4. Nastavení zásad správného řízení – aktualizujte nebo vytvořte proces zásad správného řízení, abyste
   1. Všechny nové role, pro které se vyhodnocují specializované nebo privilegované klasifikace při jejich vytváření nebo změně
   2. Při vytváření jsou označené všechny nové účty.
   3. Průběžná nebo pravidelná mimo pásmo kontrol, aby se zajistilo, že se role a účty nezmeškaly běžnými procesy zásad správného řízení.

Privilegované účty

Privilegované účty mají nejvyšší úroveň ochrany, protože představují významný nebo materiální potenciální dopad na operace organizace, pokud jsou ohrožené.

Mezi privilegované účty patří vždy správci IT s přístupem k většině nebo všem podnikovým systémům, včetně většiny nebo všech důležitých podnikových systémů. Další účty s vysokým obchodním dopadem mohou tuto dodatečnou úroveň ochrany zaručovat. Další informace o tom, které role a účty by měly být chráněny na jaké úrovni, najdete v článku Privilegované zabezpečení.

Kromě specializovaného zabezpečení zvyšuje privilegované zabezpečení účtu obě:

• Prevence – přidejte ovládací prvky, které omezí používání těchto účtů na určená zařízení, pracovní stanice a zprostředkovatele.
• Odpověď – pečlivě sledujte tyto účty kvůli neobvyklé aktivitě a rychle prošetřujte a opravujte rizika.

Konfigurace zabezpečení privilegovaného účtu

Postupujte podle pokynů v plánu rychlé modernizace zabezpečení, abyste zvýšili zabezpečení vašich privilegovaných účtů a snížili náklady na správu.

Další kroky

• Přehled zabezpečení privilegovaného přístupu
• Strategie privilegovaného přístupu
• Měření úspěšnosti
• Úrovně zabezpečení
• Zprostředkovatelé
• Rozhraní
• Zařízení s privilegovaný přístup
• Enterprise přístupového modelu