Felügyelet

Rendszergazda istration az informatikai rendszerek monitorozásának, karbantartásának és működtetésének gyakorlata, hogy megfeleljen az üzlet által megkövetelt szolgáltatási szinteknek. Rendszergazda istration a legmagasabb szintű biztonsági kockázatokat is magában foglalja, mivel ezeknek a feladatoknak a végrehajtásához kiemelt hozzáférésre van szükség ezen rendszerek és alkalmazások széles köréhez. A támadók tudják, hogy ha rendszergazdai jogosultságokkal férnek hozzá egy fiókhoz, hozzáférhetnek a legtöbb vagy az összes megcélzott adathoz, így a felügyelet biztonsága az egyik legfontosabb biztonsági terület.

A Microsoft például jelentős befektetéseket tesz a felhőrendszerek és informatikai rendszerek rendszergazdáinak védelmébe és képzésére:

A Microsoft által javasolt alapvető felügyeleti jogosultsági stratégia a rendelkezésre álló vezérlők használata a kockázat csökkentése érdekében

Kockázatnak való kitettség csökkentése (hatókör és idő) – A minimális jogosultság elve a legjobban az igény szerinti jogosultságokat biztosító modern vezérlőkkel valósítható meg. Ez segít a kockázat korlátozásában azáltal, hogy korlátozza a rendszergazdai jogosultságoknak való kitettséget a következőkkel:

• Hatókör – A Just Enough Access (JEA) csak a szükséges jogosultságokat biztosítja a szükséges rendszergazdai művelethez (szemben a közvetlen és azonnali jogosultságokkal több vagy az összes rendszer számára egyszerre, ami szinte soha nem szükséges).

• Idő – A Just in Time (JIT) megközelítések a szükséges jogosultsági jogosultságot biztosították.

• A fennmaradó kockázatok csökkentése – Megelőző és nyomozói vezérlők kombinációjával csökkentheti az olyan kockázatokat, mint például a rendszergazdai fiókok elkülönítése a leggyakoribb adathalászati és általános webböngészési kockázatoktól, a munkafolyamat egyszerűsítése és optimalizálása, a hitelesítési döntések megbízhatóságának növelése, valamint a normál alapszintű viselkedésből származó anomáliák azonosítása, amelyek blokkolhatók vagy vizsgálhatók.

A Microsoft rögzítette és dokumentálta a rendszergazdai fiókok védelmére vonatkozó ajánlott eljárásokat, és közzétette a kiemelt hozzáférés védelmét szolgáló rangsorolt ütemterveket, amelyek hivatkozásként használhatók a kiemelt hozzáférésű fiókok kockázatcsökkentéseinek rangsorolásához.

• A Privileged Access (SPA) biztonsági ütemterve a helyszíni Active Directory rendszergazdái számára

• Útmutató a Microsoft Entra ID rendszergazdáinak biztonságossá tételéhez

Kritikus hatással járó rendszergazdák számának minimalizálása

A legkevesebb fiók megadása olyan jogosultságokhoz, amelyek kritikus üzleti hatással lehetnek

Minden rendszergazdai fiók egy potenciális támadási felületet jelöl, amelyet a támadó meg tud célozni, így a jogosultsággal rendelkező fiókok számának minimalizálása segít korlátozni az általános szervezeti kockázatot. A tapasztalat azt tanította nekünk, hogy ezeknek a kiemelt csoportoknak a tagsága természetes módon növekszik az idő múlásával, amikor az emberek szerepköröket váltanak, ha a tagság nem korlátozott és felügyelt.

Olyan megközelítést ajánlunk, amely csökkenti a támadási felület kockázatát, miközben biztosítja az üzletmenet folytonosságát, ha valami történik a rendszergazdával:

• Legalább két fiók hozzárendelése a kiemelt csoporthoz az üzletmenet folytonossága érdekében

• Ha két vagy több fiókra van szükség, adja meg az egyes tagok indoklását, beleértve az eredeti két fiókot is.

• Rendszeresen tekintse át a tagságot és az egyes csoporttagok indoklását

Felügyelt fiókok rendszergazdáknak

Győződjön meg arról, hogy a vállalati címtár felügyeli a kritikus fontosságú rendszergazdákat a szervezeti szabályzatok betartatása érdekében.

Az olyan fogyasztói fiókok, mint például a @Hotmail.com, a @live.com, a @outlook.com, nem biztosítják a megfelelő biztonsági láthatóságot és ellenőrzést a szervezet szabályzatainak és a jogszabályi követelmények betartásának biztosításához. Mivel az Azure-üzemelő példányok gyakran kicsiben és informálisan indulnak el, mielőtt nagyvállalati felügyeletű bérlőkké nőnének, bizonyos fogyasztói fiókok hosszú ideig rendszergazdai fiókként maradnak, például az eredeti Azure-projektmenedzserek, vakfoltok és potenciális kockázatok miatt.

Fiókok elkülönítése rendszergazdák számára

Győződjön meg arról, hogy minden kritikus fontosságú rendszergazda külön fiókkal rendelkezik a felügyeleti feladatokhoz (szemben az e-mailekhez, a webböngészéshez és más hatékonyságnövelő feladatokhoz használt fiókkal).

Az adathalászat és a webböngésző támadásai a leggyakoribb támadási vektorok, amelyek feltörik a fiókokat, beleértve a felügyeleti fiókokat is.

Hozzon létre egy külön rendszergazdai fiókot minden olyan felhasználó számára, aki kritikus jogosultságokat igénylő szerepkörrel rendelkezik. Ezekben a felügyeleti fiókokban tiltsa le a hatékonyságnövelő eszközöket, például az Office 365-ös e-maileket (licenc eltávolítása). Ha lehetséges, tiltsa le az tetszőleges webböngészést (proxy- és/vagy alkalmazásvezérlőkkel), miközben kivételeket engedélyez az Azure Portalon és a felügyeleti feladatokhoz szükséges egyéb webhelyeken való böngészéshez.

Nincs állandó hozzáférés / Csak időben jogosultságok

Ne biztosítson állandó "állandó" hozzáférést a kritikus hatással rendelkező fiókokhoz

Az állandó jogosultságok növelik az üzleti kockázatot azáltal, hogy növelik azt az időt, amikor a támadó a fiókot használhatja a károkozáshoz. Az ideiglenes jogosultságok arra kényszerítik a fiókot megcélzó támadókat, hogy azon a korlátozott időtartamon belül dolgozzanak, amikor a rendszergazda már használja a fiókot, vagy kezdeményezzék a jogosultságszint-emelést (ami növeli az észlelés és a környezetből való eltávolítás esélyét).

Az alábbi módszerek egyikével adjon meg csak szükség szerint szükséges jogosultságokat:

• Just in Time – Engedélyezze a Microsoft Entra Privileged Identity Management (PIM) vagy egy harmadik féltől származó megoldás számára, hogy egy jóváhagyási munkafolyamat követését követelje meg a kritikus hatású fiókokhoz tartozó jogosultságok beszerzéséhez

• Üvegtörés – Ritkán használt fiókok esetén kövesse a vészhelyzeti hozzáférési folyamatot a fiókokhoz való hozzáféréshez. Ez előnyben részesíti azokat a jogosultságokat, amelyeknek kevés szükségük van a rendszeres működésre, például a globális rendszergazdai fiókok tagjaira.

Vészhelyzeti hozzáférés vagy "Break Glass" fiókok

Győződjön meg arról, hogy vészhelyzet esetén rendelkezik a felügyeleti hozzáférés megszerzésére szolgáló mechanizmussal

Bár ritka, néha szélsőséges körülmények merülnek fel, amikor a rendszergazdai hozzáférés minden szokásos eszköze elérhetetlen.

Javasoljuk, hogy kövesse a Microsoft Entra ID-ban a segélyhívási hozzáférés felügyeleti fiókjainak kezelésével kapcsolatos utasításokat, és győződjön meg arról, hogy a biztonsági műveletek gondosan figyelik ezeket a fiókokat.

Rendszergazda munkaállomás biztonsága

Győződjön meg arról, hogy a rendszergazdák kritikus hatással vannak a munkaállomás használatára emelt szintű biztonsági védelemmel és monitorozással

A böngészést és az adathalászathoz hasonló e-maileket használó támadási vektorok olcsók és gyakoriak. A kritikus hatásoknak a rendszergazdáktól való elkülönítése jelentősen csökkenti a jelentős incidensek kockázatát, amikor az egyik fiók veszélybe kerül, és jelentős károkat okoz a vállalkozásban vagy a küldetésben.

Válassza ki a rendszergazdai munkaállomás biztonságának szintjét a következő címen elérhető lehetőségek alapján: https://aka.ms/securedworkstation

• Rendkívül biztonságos hatékonyságnövelő eszköz (továbbfejlesztett biztonsági munkaállomás vagy speciális munkaállomás)
  Ezt a biztonsági folyamatot a kritikus fontosságú rendszergazdák számára úgy kezdheti el, hogy egy magasabb biztonsági munkaállomást biztosít számukra, amely továbbra is lehetővé teszi az általános böngészési és hatékonysági feladatokat. Ha ezt ideiglenes lépésként használja, megkönnyíti a teljesen elkülönített munkaállomásokra való áttérést mind a kritikus hatással bíró rendszergazdák, mind a felhasználókat és munkaállomásaikat támogató informatikai személyzet számára.

• Privileged Access Workstation (specializált munkaállomás vagy biztonságos munkaállomás)
  Ezek a konfigurációk ideális biztonsági állapotot jelentenek a kritikus hatással rendelkező rendszergazdák számára, mivel erősen korlátozzák az adathalászati, böngésző- és hatékonyságnövelő alkalmazások támadási vektoraihoz való hozzáférést. Ezek a munkaállomások nem teszik lehetővé az általános internetes böngészést, csak az Azure Portalhoz és más felügyeleti webhelyekhez való böngészőhozzáférést teszik lehetővé.

Kritikus fontosságú rendszergazdai függőségek – Fiók/munkaállomás

Gondosan válassza ki a helyszíni biztonsági függőségeket a kritikus hatással rendelkező fiókok és munkaállomásaik számára

Annak érdekében, hogy a helyszíni jelentős incidensek kockázatát a felhőbeli eszközök jelentős biztonsága érdekében el lehessen hárítani, meg kell szüntetnie vagy minimalizálnia kell a helyszíni erőforrások által a felhőben lévő kritikus fontosságú fiókokat érintő ellenőrzési eszközöket. Például a helyszíni Active Directoryt veszélyeztető támadók hozzáférhetnek és feltörhetik azokat a felhőalapú eszközöket, amelyek olyan fiókokra támaszkodnak, mint az Azure-beli erőforrások, az Amazon Web Services (AWS), a ServiceNow stb. A támadók a helyszíni tartományokhoz csatlakoztatott munkaállomásokat is használhatják a tőlük felügyelt fiókokhoz és szolgáltatásokhoz való hozzáféréshez.

Válassza ki a helyszíni ellenőrzési eszközöktől való elkülönítés szintjét, más néven a kritikus fontosságú fiókok biztonsági függőségeit

• Felhasználói fiókok – Válassza ki a kritikus hatású fiókok üzemeltetésének helyét

  • Natív Microsoft Entra-fiókok –*Natív Microsoft Entra-fiókok létrehozása, amelyek nincsenek szinkronizálva a helyszíni Active Directoryval

  • Szinkronizálás helyi Active Directory (nem ajánlott)– Kihasználhatja a helyszíni Active Directoryban üzemeltetett meglévő fiókokat.

• Munkaállomások – A kritikus rendszergazdai fiókok által használt munkaállomások kezelésének és védelmének kiválasztása:

  • Natív felhőfelügyelet és biztonság (ajánlott) – Csatlakozzon a munkaállomásokhoz a Microsoft Entra ID-hoz, és kezelje/kijavítsa őket az Intune-nal vagy más felhőszolgáltatásokkal. Védelem és figyelés a Windows Microsoft Defender ATP-vel vagy más, nem helyszíni fiókok által felügyelt felhőszolgáltatással.

  • Kezelés meglévő rendszerekkel – Csatlakozás meglévő AD-tartományhoz > meglévő felügyelet/biztonság kihasználása.

Jelszó nélküli vagy többtényezős hitelesítés rendszergazdáknak

Az összes kritikus hatással járó rendszergazdának jelszó nélküli vagy többtényezős hitelesítést (MFA) kell használnia.

A támadási módszerek arra a pontra fejlődtek, ahol a jelszavak önmagukban nem tudják megbízhatóan megvédeni a fiókokat. Ez jól dokumentálva van egy Microsoft Ignite-munkamenetben.

A Rendszergazda-fiókoknak és minden kritikus fióknak az alábbi hitelesítési módszerek egyikét kell használnia. Ezek a képességek a legmagasabb költség/támadási nehézség (legerősebb/előnyben részesített lehetőségek) és a legalacsonyabb költség/nehezen támadandó lehetőségek szerint vannak felsorolva:

• Jelszó nélküli (például Windows Hello)
  https://aka.ms/HelloForBusiness

• Jelszó nélküli (Authenticator alkalmazás)
  </azure/active-directory/authentication/howto-authentication-phone-sign-in>

• Multifactor Authentication (Többtényezős hitelesítés)
  </azure/active-directory/authentication/howto-mfa-userstates>

Vegye figyelembe, hogy az SMS szöveges üzenetalapú MFA nagyon olcsóvá vált a támadók számára, hogy megkerüljék, ezért javasoljuk, hogy ne támaszkodjon rá. Ez a beállítás még mindig erősebb, mint a jelszavak önmagában, de sokkal gyengébb, mint a többi MFA-lehetőség

Feltételes hozzáférés kényszerítése rendszergazdák számára – Teljes felügyelet

Az összes rendszergazda és egyéb kritikus fontosságú fiók hitelesítésének tartalmaznia kell a kulcsfontosságú biztonsági attribútumok mérését és érvényesítését a Teljes felügyelet stratégia támogatásához.

Az Azure Rendszergazda-fiókokat veszélyeztető támadók jelentős károkat okozhatnak. A feltételes hozzáférés jelentősen csökkentheti ezt a kockázatot a biztonsági higiénia kényszerítésével, mielőtt engedélyezi az Azure-felügyelethez való hozzáférést.

Konfiguráljon feltételes hozzáférési szabályzatot az Azure-felügyelethez , amely megfelel a szervezet kockázatvállalási igényeinek és működési igényeinek.

• Többtényezős hitelesítés és/vagy kapcsolat megkövetelése a kijelölt munkahelyi hálózatról

• Eszközintegritás megkövetelése a Microsoft Defender ATP-vel (erős garancia)

Részletes és egyéni engedélyek elkerülése

Kerülje azokat az engedélyeket, amelyek kifejezetten az egyes erőforrásokra vagy felhasználókra hivatkoznak

Az egyes engedélyek szükségtelen bonyolultságot és zavart okoznak, mivel nem hordozzák magukban az új hasonló erőforrásokra vonatkozó szándékot. Ez aztán egy összetett, örökölt konfigurációban halmozódik fel, amelyet nehéz fenntartani vagy módosítani anélkül, hogy "valami feltörésétől" tartana– ami negatívan befolyásolja mind a biztonságot, mind a megoldás rugalmasságát.

Adott erőforrás-specifikus engedélyek hozzárendelése helyett használja a

• Felügyeleti csoportok vállalati szintű engedélyekhez

• Erőforráscsoportok az előfizetéseken belüli engedélyekhez

Ahelyett, hogy engedélyeket ad egy adott felhasználónak, a Microsoft Entra ID-ban rendeljen hozzá hozzáférést a csoportokhoz. Ha nincs megfelelő csoport, az identitáscsoporttal együttműködve hozzon létre egyet. Ez lehetővé teszi a csoporttagok azure-beli külső hozzáadását és eltávolítását, valamint az engedélyek naprakészségének biztosítását, valamint lehetővé teszi a csoport más célokra, például levelezőlistákra való használatát.

Beépített szerepkörök használata

Ha lehetséges, használja a beépített szerepköröket az engedélyek hozzárendeléséhez.

A testreszabás összetettséghez vezet, amely növeli a keveredést, és összetettebbé, kihívást jelentőbbé és törékenyebbé teszi az automatizálást. Ezek a tényezők mind negatívan befolyásolják a biztonságot

Javasoljuk, hogy értékelje ki a legtöbb normál forgatókönyvre tervezett beépített szerepköröket . Az egyéni szerepkörök hatékonyak és néha hasznosak, de fenntartottnak kell lenniük olyan esetekben, amikor a beépített szerepkörök nem működnek.

Életciklus-felügyelet létrehozása kritikus hatású fiókokhoz

Győződjön meg arról, hogy rendelkezik a rendszergazdai fiókok letiltásának vagy törlésének folyamatával, amikor a rendszergazdai személyzet kilép a szervezetből (vagy elhagyja a felügyeleti pozíciókat)

További részletekért lásd: Felhasználói és vendégfelhasználói hozzáférés kezelése hozzáférési felülvizsgálatokkal .

Támadásszimuláció kritikus hatású fiókokhoz

Rendszeresen szimulálja a rendszergazda felhasználók elleni támadásokat a jelenlegi támadási technikákkal, hogy megtanítsa és felkészítse őket.

Kapcsolatok a védelem kritikus részét képezik, különösen a kritikus hatású fiókokhoz hozzáféréssel rendelkező személyzetét. Annak biztosítása, hogy ezek a felhasználók (és ideális esetben az összes felhasználó) rendelkezzenek a támadások elkerüléséhez és elhárításához szükséges ismeretekkel és készségekkel, csökkentik az általános szervezeti kockázatot.

Használhatja az Office 365 támadásszimulációs képességeit vagy bármilyen számú harmadik féltől származó ajánlatot.

Következő lépések

A Microsoft további biztonsági útmutatását a Microsoft biztonsági dokumentációjában találja.