Privilegierter Zugriff: KontenPrivileged access: Accounts

Kontosicherheit ist eine wichtige Komponente bei der Sicherung des privilegierten Zugriffs.Account security is a critical component of securing privileged access. Die Sicherheit von End-to-End-Vertrauens Stellungen für Sitzungen erfordert dringend, dass das Konto, das in der Sitzung verwendet wird, tatsächlich der Kontrolle des Menschen Besitzers und nicht eines Angreifers ist, der die Identität annimmt.End to end Zero Trust security for sessions requires strongly establishing that the account being used in the session is actually under the control of the human owner and not an attacker impersonating them.

Die starke Kontosicherheit beginnt mit der sicheren Bereitstellung und der vollständigen Lebenszyklus Verwaltung bis zum Aufheben der Bereitstellung. jede Sitzung muss strenge Zusicherungen einrichten, dass das Konto derzeit nicht auf der Grundlage sämtlicher verfügbarer Daten, einschließlich Verlaufs Muster, verfügbarer Bedrohungs Informationen und Verwendung in der aktuellen Sitzung, beeinträchtigt wird.Strong account security starts with secure provisioning and full lifecycle management through to deprovisioning, and each session must establish strong assurances that the account isn't currently compromised based on all available data including historical behavior patterns, available threat intelligence, and usage in the current session.

KontosicherheitAccount security

Diese Anleitung definiert drei Sicherheitsstufen für die Kontosicherheit, die Sie für Assets mit unterschiedlichen Empfindlichkeitsstufen verwenden können:This guidance defines three security levels for account security that you can use for assets with different sensitivity levels:

Ende des Schutzes von Konten

Diese Ebenen richten klare und umsetzbare Sicherheitsprofile ein, die für jede Vertraulichkeits Stufe geeignet sind, der Sie Rollen zuweisen und diese schnell horizontal hochskalieren können.These levels establish clear and implementable security profiles appropriate for each sensitivity level that you can assign roles to and scale out rapidly. Alle diese Konto Sicherheitsstufen sind darauf ausgelegt, die Produktivität für Personen zu gewährleisten, indem die Unterbrechung für Benutzer-und Administrator Workflows eingeschränkt oder eliminiert wird.All of these account security levels are designed to maintain or improve productivity for people by limiting or eliminating interruption to user and admin workflows.

Planen der KontosicherheitPlanning account security

In dieser Anleitung werden die technischen Kontrollen erläutert, die zur Erfüllung der einzelnen Ebenen erforderlich sind.This guidance outlines the technical controls required to meet each level. Implementierungs Leit Fäden finden Sie in der Roadmap für den privilegierten Zugriff.Implementation guidance is in the privileged access roadmap.

Konto SicherheitskontrollenAccount security controls

Um die Sicherheit für die Schnittstellen zu erreichen, ist eine Kombination aus technischen Steuerelementen erforderlich, mit denen die Konten geschützt werden, und Signale bereitgestellt werden, die bei der Entscheidung über die Richtlinie für NULL Vertrauens Stellungen verwendet werden können (sieheAchieving security for the interfaces requires a combination of technical controls that both protect the accounts and provide signals to be used in a Zero Trust policy decision (see Securing Interfaces for policy configuration reference).

Zu den in diesen Profilen verwendeten Steuerelementen gehören:The controls used in these profiles include:

  • Multi-Factor Authentication: bietet verschiedene Nachweis Quellen, die (so einfach wie möglich für Benutzer, aber für einen Angreifer schwierig zu imitieren sind).Multi-factor authentication - providing diverse sources of proof that the (designed to be as easy as possible for users, but difficult for an adversary to mimic).
  • Konto Risiko: Bedrohungs-und anomalieüberwachung: Verwenden von ueba und Bedrohungs Informationen zum erkennen riskanter SzenarienAccount risk - Threat and Anomaly Monitoring - using UEBA and Threat intelligence to identify risky scenarios
  • Benutzerdefinierte Überwachung: bei komplexeren Konten ermöglicht das explizite Definieren von zulässigen/akzeptierten Verhalten/Mustern eine frühe Erkennung anormaler Aktivitäten.Custom monitoring - For more sensitive accounts, explicitly defining allowed/accepted behaviors/patterns allows early detection of anomalous activity. Dieses Steuerelement eignet sich nicht für allgemeine Konten in Unternehmen, da diese Konten Flexibilität für Ihre Rollen benötigen.This control is not suitable for general purpose accounts in enterprise as these accounts need flexibility for their roles.

Durch die Kombination von Steuerelementen können Sie sowohl die Sicherheit als auch die Benutzerfreundlichkeit verbessern, z. b. Wenn ein Benutzer, der in seinem normalen Muster bleibt (über das gleiche Gerät am selben Tag nach Tag), nicht bei jedem authentifizieren zu einer externen MFA aufgefordert werden muss.The combination of controls also enables you to improve both security and usability - for example a user who stays within their normal pattern (using the same device in same location day after day) does not need to be prompted for outside MFA every time they authenticate.

Vergleichen der einzelnen Konto Ebenen und Kostenvorteile

Unternehmens Sicherheits KontenEnterprise security accounts

Die Sicherheitskontrollen für Unternehmenskonten sind so konzipiert, dass für alle Benutzer eine sichere Baseline erstellt und eine sichere Grundlage für spezialisierte und privilegierte Sicherheit bereitgestellt wird:The security controls for enterprise accounts are designed to create a secure baseline for all users and provide a secure foundation for specialized and privileged security:

  • Erzwingen der starken mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA): Stellen Sie sicher, dass der Benutzer mit einer starken MFA authentifiziert ist, die von einem vom Unternehmen verwalteten Identitätssystem bereitgestellt wird (siehe Abbildung unten).Enforce strong multi-factor authentication (MFA) - Ensure that the user is authenticated with strong MFA provided by an enterprise-managed identity system (detailed in the diagram below). Weitere Informationen zur Multi-Factor Authentication finden Sie unter Bewährte Methoden für die Azure-Sicherheit 6.For more information about multi-factor authentication, see Azure security best practice 6.

    Hinweis

    In Ihrer Organisation können Sie sich entscheiden, eine vorhandene schwächere Form der MFA während eines Übergangszeitraums zu verwenden, aber die Angreifer werden immer häufiger die schwächeren MFA-Schutzmaßnahmen treffen, sodass sich alle neuen Investitionen in MFA auf den stärksten Formularen befinden sollten.While your organization may choose to use an existing weaker form of MFA during a transition period, attackers are increasingly evading the weaker MFA protections, so all new investment into MFA should be on the strongest forms.

  • Konto-/sitzungsrisiko erzwingen: Stellen Sie sicher, dass das Konto nicht authentifiziert werden kann, sofern es sich nicht um eine niedrige (oder mittlere) Risikostufe handelt.Enforce account/session risk - ensure that the account is not able to authenticate unless it is at a low (or medium?) risk level. Ausführliche Informationen zur bedingten Sicherheit von Unternehmenskonten finden Sie unter Schnittstellen Sicherheitsstufen.See Interface Security Levels for details on conditional enterprise account security.

  • Überwachen und reagieren auf Warnungen: Sicherheitsvorgänge sollten Konto Sicherheitswarnungen integrieren und ausreichende Schulungen zur Funktionsweise dieser Protokolle und Systeme durchlaufen, um sicherzustellen, dass Sie schnell verstehen können, was eine Warnung bedeutet, und entsprechend reagieren.Monitor and respond to alerts - Security operations should integrate account security alerts and get sufficient training on how these protocols and systems work to ensure they are able to rapidly comprehend what an alert means and react accordingly.

Im folgenden Diagramm finden Sie einen Vergleich mit verschiedenen Formen der MFA und der passworeless-Authentifizierung.The following diagram provides a comparison to different forms of MFA and passwordless authentication. Jede Option im besten Feld wird als hohe Sicherheit und hohe Nutzbarkeit betrachtet.Each option in the best box is considered both high security and high usability. Jede verfügt über unterschiedliche Hardwareanforderungen, sodass Sie ggf. eine Kombination aus den verschiedenen Rollen oder Einzelpersonen treffen möchten.Each has different hardware requirements so you may want to mix and match which ones apply to different roles or individuals. Alle Microsoft-passuneless-Lösungen werden vom bedingten Zugriff als Multi-Factor Authentication erkannt, da Sie eine Kombination von etwas benötigen, das Sie mit Biometrie haben, etwas, das Sie wissen, oder beides.All Microsoft passwordless solutions are recognized by Conditional Access as multi-factor authentication because they require combining something you have with either biometrics, something you know, or both.

Vergleich der Authentifizierungsmethoden gut, besser, am besten

Hinweis

Weitere Informationen zu den Gründen, warum SMS und andere Telefon basierte Authentifizierung eingeschränkt sind, finden Sie im Blogbeitrag so ist es an der Zeit, auf Telefon Transporten für die Authentifizierung zu hängen.For more information on why SMS and other phone based authentication is limited, see the blog post It's Time to Hang Up on Phone Transports for Authentication.

Spezialisierte KontenSpecialized accounts

Spezialisierte Konten sind eine höhere Schutz Ebene, die für sensible Benutzer geeignet ist.Specialized accounts are a higher protection level suitable for sensitive users. Aufgrund ihrer größeren Auswirkung auf das Unternehmen garantieren spezialisierte Konten eine zusätzliche Überwachung und Priorisierung bei Sicherheitswarnungen, Incident-Ermittlungen und Bedrohungs Jagd.Because of their higher business impact, specialized accounts warrant additional monitoring and prioritization during security alerts, incident investigations, and threat hunting.

Spezialisierte Sicherheit basiert auf der starken MFA in der Unternehmenssicherheit, indem die sensibelsten Konten identifiziert werden und sichergestellt wird, dass Warnungen und Antwort Prozesse priorisiert werden:Specialized security builds on the strong MFA in enterprise security by identifying the most sensitive accounts and ensuring alerts and response processes are prioritized:

  1. Erkennen von sensiblen Konten: Informationen zur Identifizierung dieser Konten finden Sie unter spezieller Sicherheitsstufen-Leitfaden.Identify Sensitive Accounts - See specialized security level guidance for identifying these accounts.
  2. Markieren spezieller Konten: Stellen Sie sicher, dass jedes sensible Konto gekennzeichnet istTag Specialized Accounts - Ensure each sensitive account is tagged
    1. Konfigurieren von Azure Sentinel Watchlists zum Identifizieren dieser sensiblen KontenConfigure Azure Sentinel Watchlists to identify these sensitive accounts
    2. Konfigurieren des Prioritäts Konto Schutzes in Microsoft Defender für Office 365 und Festlegen spezieller und privilegierter Konten als Prioritäts Konten:Configure Priority Account Protection in Microsoft Defender for Office 365 and designate specialized and privileged accounts as priority accounts -
  3. Prozesse zum Aktualisieren von sicherheitsvorgängen: um sicherzustellen, dass diese Warnungen die höchste Priorität erhalten.Update Security Operations processes - to ensure these alerts are given the highest priority
  4. Einrichten von Governance-Update oder CREATE Governance-Prozess, um sicherzustellen, dassSet up Governance - Update or create governance process to ensure that
    1. Alle neuen Rollen für werden bei der Erstellung oder Änderung für spezialisierte oder privilegierte Klassifizierungen ausgewertet.All new roles to are evaluated for specialized or privileged classifications as they are created or changed
    2. Alle neuen Konten werden bei ihrer Erstellung markiert.All new accounts are tagged as they are created
    3. Kontinuierliche oder periodische out-of-Band-Überprüfungen, um sicherzustellen, dass Rollen und Konten nicht durch normale governanceprozesse übersehen werdenContinuous or periodic out of band checks to ensure that roles and accounts didn't get missed by normal governance processes.

Privilegierte KontenPrivileged accounts

Privilegierte Konten haben das höchste Maß an Schutz, da Sie eine bedeutende oder potenzielle potenzielle Auswirkung auf den Betrieb der Organisation darstellen, wenn Sie gefährdet sind.Privileged accounts have the highest level of protection because they represent a significant or material potential impact on the organization's operations if compromised.

Privilegierte Konten enthalten immer IT-Administratoren Zugriff auf die meisten oder alle Unternehmenssysteme, einschließlich der meisten oder aller geschäftskritischen Systeme.Privileged accounts always include IT Admins with access to most or all enterprise systems, including most or all business critical systems. Andere Konten mit hoher Auswirkung auf das Unternehmen können diese zusätzliche Schutz Ebene ebenfalls rechtfertigen.Other accounts with a high business impact may also warrant this additional level of protection. Weitere Informationen dazu, welche Rollen und Konten auf welcher Ebene geschützt werden sollten, finden Sie im Artikel privilegierte Sicherheit.For more information about which roles and accounts should be protected at what level, see the article Privileged Security.

Zusätzlich zu spezieller Sicherheit erhöht die Sicherheit privilegierter Konten beide:In addition to specialized security , privileged account security increases both:

  • Verhinderung: Fügen Sie Steuerelemente hinzu, um die Verwendung dieser Konten auf die vorgesehenen Geräte, Arbeitsstationen und Vermittler einzuschränken.Prevention - add controls to restrict the usage of these accounts to the designated devices, workstations, and intermediaries.
  • Antwort: Überwachen Sie diese Konten genau auf anormale Aktivitäten, und untersuchen und beheben Sie das Risiko schnell.Response - closely monitor these accounts for anomalous activity and rapidly investigate and remediate the risk.

Konfigurieren der Sicherheit privilegierter KontenConfiguring privileged account security

Befolgen Sie die Anweisungen im Plan für die schnelle Modernisierung der Sicherheit , um die Sicherheit ihrer privilegierten Konten zu erhöhen und die Kosten für die Verwaltung zu verringern.Follow the guidance in the Security rapid modernization plan to both increase the security of your privileged accounts and decrease your cost to manage.

Nächste SchritteNext steps