Plán rychlé modernizace zabezpečení

Tento plán rychlé modernizace (RAMP) vám pomůže rychle přijmout doporučenou strategii privilegovaného přístupu Od Microsoftu.

Tento plán vychází z technických kontrol vytvořených v pokynech k nasazení privilegovaného přístupu . Proveďte tyto kroky a pak pomocí kroků v této rampě nakonfigurujte ovládací prvky pro vaši organizaci.

Souhrn privilegovaného přístupu RAMP

Poznámka

Mnoho z těchto kroků bude mít dynamickou zelenou nebo brownfieldovou úroveň, protože organizace často mají bezpečnostní rizika způsobem, jakým už jsou nasazené nebo nakonfigurované účty. Tento plán upřednostňuje zastavení akumulace nových bezpečnostních rizik nejprve a potom později vyčistí zbývající položky, které už byly kumulovány.

Při procházení plánu můžete pomocí služby Microsoft Secure Score sledovat a porovnávat mnoho položek na cestě s ostatními v podobných organizacích v průběhu času. Další informace o službě Microsoft Secure Score najdete v článku Přehled skóre zabezpečení.

Každá položka v této rampě je strukturovaná jako iniciativa, která se bude sledovat a spravovat pomocí formátu, který vychází z metodologie cílů a klíčových výsledků (OKR). Každá položka obsahuje co (cíl), proč, kdo, jak a jak měřit (klíčové výsledky). Některé položky vyžadují změny procesů a dovedností lidí, zatímco jiné jsou jednodušší změny technologií. Mnoho z těchto iniciativ bude zahrnovat členy mimo tradiční IT oddělení, které by mělo být součástí rozhodování a implementace těchto změn, aby se zajistilo, že jsou ve vaší organizaci úspěšně integrovány.

Je důležité spolupracovat jako organizace, vytvářet partnerství a informovat lidi, kteří tradičně nebyli součástí tohoto procesu. Je důležité vytvořit a udržovat nákupy v celé organizaci bez toho, aby řada projektů selhala.

Oddělení a správa privilegovaných účtů

Účty pro nouzový přístup

  • Co: Ujistěte se, že jste omylem nezamknuli z vaší organizace Azure Active Directory (Azure AD) v nouzové situaci.
  • Proč: Účty pro nouzový přístup zřídka používané a vysoce škodlivé pro organizaci v případě ohrožení zabezpečení, ale jejich dostupnost pro organizaci je také kriticky důležitá pro několik scénářů, pokud jsou potřeba. Ujistěte se, že máte plán pro kontinuitu přístupu, který vyhovuje očekávaným i neočekávaným událostem.
  • Kdo: Tuto iniciativu obvykle vede architektura identit a klíčů a/nebo architektura zabezpečení.
  • Postupy: Postupujte podle pokynů v části Správa účtů pro nouzový přístup v Azure AD.
  • Měření klíčových výsledků:
    • Zavedený Proces nouzového přístupu byl navržen na základě pokynů Microsoftu, které splňují potřeby organizace.
    • Udržovaný Nouzový přístup byl zkontrolován a testován během posledních 90 dnů.

Povolení Azure AD Privileged Identity Management

  • Co: Zjišťování a zabezpečení privilegovaných účtů pomocí Azure AD Privileged Identity Management (PIM) v produkčním prostředí Azure AD
  • Proč: Privileged Identity Management poskytuje aktivaci rolí na základě času a schválení, aby se zmírnit rizika nadměrného, zbytečného nebo zneužití přístupových oprávnění.
  • Kdo: Tuto iniciativu obvykle vede architektura identit a klíčů a/nebo architektura zabezpečení.
  • Postupy: Nasazení a konfigurace Azure AD Privileged Identity Management s využitím pokynů v článku Nasazení Azure AD Privileged Identity Management (PIM).
  • Měření klíčových výsledků: 100 % platných privilegovaných přístupových rolí používá Azure AD PIM

Identifikace a kategorizace privilegovaných účtů (Azure AD)

  • Co: Identifikujte všechny role a skupiny s vysokým obchodním dopadem, který bude vyžadovat úroveň privilegovaného zabezpečení (okamžitě nebo v průběhu času). Tito správci budou vyžadovat účty s rychlostí v pozdějším kroku správy privilegovaného přístupu.

  • Proč: Tento krok je nutný k identifikaci a minimalizaci počtu lidí, kteří vyžadují samostatné účty a ochranu privilegovaného přístupu.

  • Kdo: Tuto iniciativu obvykle vede architektura identit a klíčů a/nebo architektura zabezpečení.

  • Postupy: Po zapnutí Azure AD Privileged Identity Management si prohlédněte uživatele, kteří mají minimálně následující role Azure AD na základě zásad rizik vaší organizace:

    • Globální správce
    • Správce privilegovaných rolí
    • Správce Exchange
    • Správce SharePointu

    Úplný seznam rolí správce najdete v tématu Oprávnění role správce v Azure Active Directory.

    Odeberte všechny účty, které už v těchto rolích nepotřebujete. Potom kategorizovat zbývající účty, které jsou přiřazeny k rolím správce:

    • Přiřazeno správcům, ale také slouží k nespravovacím účelům, jako je čtení e-mailů a odpovídání na ně.
    • Přiřazeno administrativním uživatelům a používáno pouze pro účely správy
    • Sdílené mezi více uživateli
    • Scénáře nouzového přístupu pro break-glass
    • Pro automatizované skripty
    • Pro externí uživatele

Pokud ve vaší organizaci nemáte Azure AD Privileged Identity Management, můžete použít rozhraní API PowerShellu. Začněte také s rolí globálního správce, protože globální správce má stejná oprávnění pro všechny cloudové služby, pro které se vaše organizace přihlásila k odběru. Tato oprávnění jsou udělena bez ohledu na to, kde byla přiřazena: v Centrum pro správu Microsoftu 365, Azure Portal nebo modulu Azure AD pro Microsoft PowerShell.

  • Měření klíčových výsledků: Kontrola a identifikace rolí privilegovaného přístupu byla dokončena během posledních 90 dnů.

Samostatné účty (místní účty AD)

  • Co: Zabezpečte místní privilegované účty pro správu, pokud jste to ještě neudělali. Tato fáze zahrnuje:

    • Vytváření samostatných účtů správců pro uživatele, kteří potřebují provádět místní úlohy správy
    • Nasazení pracovních stanic s privilegovaným přístupem pro správce služby Active Directory
    • Vytváření jedinečných hesel místních správců pro pracovní stanice a servery
  • Proč: Posílení zabezpečení účtů používaných pro úlohy správy Účty správce by měly mít zakázané e-maily a žádné osobní účty Microsoft by neměly být povolené.

  • Kdo: Tuto iniciativu obvykle vede architektura identit a klíčů a/nebo architektura zabezpečení.

  • Postupy: Všichni pracovníci, kteří mají oprávnění mít oprávnění správce, musí mít samostatné účty pro funkce správy, které se liší od uživatelských účtů. Tyto účty nesdílejte mezi uživateli.

    • Standardní uživatelské účty – udělena standardní uživatelská oprávnění pro standardní uživatelské úkoly, jako je například e-mail, prohlížení webu a použití obchodních aplikací. Těmto účtům se neudělují oprávnění správce.
    • Účty správců – samostatné účty vytvořené pro pracovníky, kteří mají přiřazená příslušná oprávnění ke správě.
  • Klíčové výsledky měření: 100 % místních privilegovaných uživatelů má samostatné vyhrazené účty.

Microsoft Defender for Identity

  • Co: Microsoft Defender for Identity kombinuje místní signály s cloudovými přehledy, které monitorují, chrání a prošetřují události ve zjednodušeném formátu, což týmům zabezpečení umožňuje detekovat pokročilé útoky na infrastrukturu identit s možností:

    • Monitorování uživatelů, chování entit a aktivit pomocí analýz založených na učení
    • Ochrana identit uživatelů a přihlašovacích údajů uložených ve službě Active Directory
    • Identifikace a zkoumání podezřelých aktivit uživatelů a pokročilých útoků v celém řetězci kill
    • Poskytnutí jasných informací o incidentech na jednoduché časové ose pro rychlé třídění
  • Proč: Moderní útočníci můžou zůstat nezjištění po dlouhou dobu. Mnoho hrozeb je obtížné najít bez cohesivního obrázku celého prostředí identity.

  • Kdo: Tuto iniciativu obvykle vede architektura identit a klíčů a/nebo architektura zabezpečení.

  • Postupy: Nasazení a povolení Microsoft Defender for Identity a kontrola otevřených upozornění

  • Klíčové výsledky měření: Všechna otevřená upozornění kontrolovaná a zmírněná příslušnými týmy.

Vylepšení prostředí pro správu přihlašovacích údajů

Implementace a dokument samoobslužného resetování hesla a kombinovaná registrace bezpečnostních informací

Ochrana účtů správců – Povolení a vyžadování vícefaktorového ověřování nebo bez hesla pro Azure AD privilegovaných uživatelů

  • Co: Vyžadování všech privilegovaných účtů v Azure AD k použití silného vícefaktorového ověřování

  • Proč: Ochrana přístupu k datům a službám v Microsoftu 365

  • Kdo: Tuto iniciativu obvykle vede architektura identit a klíčů a/nebo architektura zabezpečení.

  • Postupy: Zapněte Azure AD Multi-Factor Authentication (MFA) a zaregistrujte všechny ostatní vysoce privilegované účty bez federovaného správce. Vyžadovat vícefaktorové ověřování při přihlášení pro všechny jednotlivé uživatele, kteří jsou trvale přiřazeni k jedné nebo více rolím správce Azure AD jako:

    • Globální správce
    • Správce privilegovaných rolí
    • Správce Exchange
    • Správce SharePointu

    Vyžadovat, aby správci používali metody přihlašování bez hesla, jako jsou klíče zabezpečení FIDO2 nebo Windows Hello pro firmy ve spojení s jedinečnými, dlouhými a složitými hesly. Vynucujte tuto změnu pomocí dokumentu zásad organizace.

Postupujte podle pokynů v následujících článcích: Plánování nasazení Azure AD vícefaktorového ověřování a plánování nasazení ověřování bez hesla v Azure Active Directory.

  • Klíčové výsledky měření: 100 % privilegovaných uživatelů používá ověřování bez hesla nebo silnou formu vícefaktorového ověřování pro všechna přihlášení. Popis vícefaktorového ověřování najdete v tématu Účty privilegovaného přístupu .

Blokování starších ověřovacích protokolů pro privilegované uživatelské účty

  • Co: Blokování starší verze ověřovacího protokolu pro privilegované uživatelské účty

  • Proč: Organizace by měly tyto starší ověřovací protokoly blokovat, protože u nich není možné vynutit vícefaktorové ověřování. Povolení starších ověřovacích protokolů může útočníkům vytvořit vstupní bod. Některé starší aplikace se můžou spoléhat na tyto protokoly a organizace mají možnost vytvářet konkrétní výjimky pro určité účty. Tyto výjimky by se měly sledovat a implementovat další kontroly monitorování.

  • Kdo: Tuto iniciativu obvykle vede architektura identit a klíčů a/nebo architektura zabezpečení.

  • Postupy: Pokud chcete blokovat starší ověřovací protokoly ve vaší organizaci, postupujte podle pokynů v článku Postupy: Blokování starší verze ověřování pro Azure AD s podmíněným přístupem.

  • Měření klíčových výsledků:

    • Zastaralé protokoly jsou blokované: Všechny starší protokoly jsou blokované pro všechny uživatele s pouze autorizovanými výjimkami.
    • Výjimky se kontrolují každých 90 dnů a platnost vyprší trvale do jednoho roku. Vlastníci aplikací musí opravit všechny výjimky do jednoho roku od schválení první výjimky.
  • Co: Zakažte souhlas koncového uživatele s Azure AD aplikacemi.

Poznámka

Tato změna bude vyžadovat centralizaci rozhodovacího procesu s týmy pro správu zabezpečení a identit vaší organizace.

Vyčištění rizik pro účet a přihlášení

  • Co: Povolte Azure AD Identity Protection a vyčistěte všechna rizika, která najde.
  • Proč: Rizikové chování uživatele a přihlašování může být zdrojem útoků na vaši organizaci.
  • Kdo: Tuto iniciativu obvykle vede architektura identit a klíčů a/nebo architektura zabezpečení.
  • Postupy: Vytvoření procesu, který monitoruje a spravuje rizika uživatelů a přihlašování. Rozhodněte se, jestli budete automatizovat nápravu pomocí Azure AD Multi-Factor Authentication a SSPR nebo blokovat a vyžadovat zásah správce. Postupujte podle pokynů v článku Postupy: Konfigurace a povolení zásad rizik.
  • Klíčové výsledky měření: Organizace má nula neadresných rizik pro uživatele a přihlášení.

Poznámka

Zásady podmíněného přístupu se vyžadují k blokování nabíhání nových rizik přihlašování. Viz část Podmíněný přístup nasazení privilegovaného přístupu.

počáteční nasazení pracovních stanic Správa

  • Co: Privilegované účty, jako jsou globální správci, mají vyhrazené pracovní stanice pro provádění úloh správy z.
  • Proč: Zařízení, kde jsou dokončeny úlohy privilegované správy, jsou cílem útočníků. Zabezpečení nejen účtu, ale tyto prostředky jsou zásadní pro snížení oblasti útoku. Toto oddělení omezuje jejich vystavení běžným útokům zaměřeným na úlohy související s produktivitou, jako je e-mail a procházení webu.
  • Kdo: Tuto iniciativu obvykle vede architektura identit a klíčů a/nebo architektura zabezpečení.
  • Postupy: Počáteční nasazení by mělo být na úrovni Enterprise, jak je popsáno v článku Nasazení privilegovaného přístupu
  • Klíčové výsledky měření: Každý privilegovaný účet má vyhrazenou pracovní stanici pro provádění citlivých úloh z.

Poznámka

Tento krok rychle vytvoří standardní hodnoty zabezpečení a musí být co nejdříve zvýšen na specializované a privilegované úrovně.

Další kroky