Kockázatok orvoslása és a felhasználók tiltásának feloldása

  • Cikk

A vizsgálat befejezése után lépéseket kell tennie a kockázatos felhasználók szervizeléséhez vagy a letiltásuk feloldásához. A szervezetek kockázatalapú szabályzatok beállításával engedélyezhetik az automatikus szervizelést. A szervezeteknek meg kell próbálniuk kivizsgálni és kijavítani az összes kockázatos felhasználót egy olyan időszakban, amelyben a szervezet jól érzi magát. A Microsoft azt javasolja, hogy gyorsan cselekedjenek, mert a kockázatok használatakor az idő számít.

Kockázatkezelés

Minden aktív kockázatészlelés hozzájárul a felhasználó kockázati szintjének kiszámításához. A felhasználói kockázati szint annak a valószínűségnek a mutatója (alacsony, közepes, magas), hogy a felhasználó fiókja sérül. A kockázatos felhasználók és a megfelelő kockázatos bejelentkezések és észlelések vizsgálata után a kockázatos felhasználókat úgy kell elhárítania, hogy azok már ne legyenek veszélyben, és ne legyenek hozzáférésük letiltva.

Microsoft Entra ID-védelem megjelöl néhány kockázatészlelést és a megfelelő kockázatos bejelentkezéseket a kockázati állapottal elvetettként Az elutasított és a kockázat részletei Microsoft Entra ID-védelem értékelt bejelentkezés biztonságos. Ezt a műveletet azért hajtja végre, mert ezek az események már nem voltak kockázatosak.

Rendszergazda istratorok a következő lehetőségeket kínálják a szervizeléshez:

  • Állítson be kockázatalapú szabályzatokat, amelyek lehetővé teszik a felhasználók számára a kockázatok önjavítását.
  • Manuálisan állítsa alaphelyzetbe a jelszavát.
  • A felhasználói kockázat elvetése.
  • Szervizelés a Microsoft Defender for Identity szolgáltatásban.

Önjavítás kockázatalapú szabályzattal

Kockázatalapú szabályzatok beállításával engedélyezheti a felhasználók számára a bejelentkezési kockázatok és a felhasználói kockázatok önjavítását. Ha a felhasználók átadják a szükséges hozzáférés-vezérlést, például a többtényezős hitelesítést vagy a biztonságos jelszómódosítást, akkor a rendszer automatikusan elhárítja a kockázatokat. A megfelelő kockázatészleléseket, kockázatos bejelentkezéseket és kockázatos felhasználókat a Kockázat helyett a Szervizelt kockázati állapot jelenti.

A kockázatalapú szabályzatok alkalmazása előtt a felhasználók előfeltételei a következők:

  • MFA végrehajtása a bejelentkezési kockázat önjavításához:
    • A felhasználónak regisztrálnia kell a Microsoft Entra többtényezős hitelesítéshez.
  • Ha biztonságos jelszómódosítást szeretne végrehajtani a felhasználói kockázat önjavításához:
    • A felhasználónak regisztrálnia kell a Microsoft Entra többtényezős hitelesítéshez.
    • A helyszíniről a felhőbe szinkronizált hibrid felhasználók esetében engedélyezni kell a jelszóvisszaírást.

Ha a fenti előfeltételek teljesülése előtt a bejelentkezés során kockázatalapú szabályzatot alkalmaz egy felhasználóra, akkor a rendszer letiltja a felhasználót. Ez a blokkművelet azért van, mert nem tudják végrehajtani a szükséges hozzáférés-vezérlést, és rendszergazdai beavatkozásra van szükség a felhasználó letiltásának feloldásához.

A kockázatalapú szabályzatok kockázati szintek alapján vannak konfigurálva, és csak akkor érvényesek, ha a bejelentkezés vagy a felhasználó kockázati szintje megegyezik a konfigurált szinttel. Előfordulhat, hogy egyes észlelések nem jelentenek kockázatot arra a szintre, ahol a szabályzat érvényes, és a rendszergazdáknak manuálisan kell kezelnie ezeket a kockázatos felhasználókat. Rendszergazda istratorok megállapíthatják, hogy további intézkedésekre van szükség, például a helyekről való hozzáférés blokkolására vagy a szabályzataik elfogadható kockázatának csökkentésére.

Önkiszolgáló szervizelés önkiszolgáló jelszó-visszaállítással

Ha egy felhasználó regisztrálva van az önkiszolgáló jelszó-visszaállításra (SSPR), akkor önkiszolgáló jelszó-visszaállítással elháríthatja saját felhasználói kockázatát.

Manuális jelszó-visszaállítás

Ha a jelszó-visszaállítás felhasználói kockázati szabályzattal történő megkövetelése nem lehetséges, vagy az idő a lényeg, a rendszergazdák jelszó-visszaállítással elháríthatják a kockázatos felhasználókat.

Rendszergazda istratorok a következő lehetőségek közül választhatnak:

Ideiglenes jelszó létrehozása

Ideiglenes jelszó létrehozásával azonnal visszaállíthatja az identitást biztonságos állapotba. Ehhez a módszerhez kapcsolatba kell lépnie az érintett felhasználókat, mert tudniuk kell, hogy mi az ideiglenes jelszó. Mivel a jelszó ideiglenes, a rendszer arra kéri a felhasználót, hogy módosítsa a jelszót valami újra a következő bejelentkezés során.

  • Jelszavakat hozhatnak létre a felhőbeli és hibrid felhasználók számára a Microsoft Entra felügyeleti központban.

  • A hibrid felhasználók számára jelszavakat hozhatnak létre egy helyszíni címtárból, ha engedélyezve van a jelszókivonat-szinkronizálás és a helyszíni jelszómódosítás engedélyezése a felhasználói kockázati beállítások alaphelyzetbe állításához.

    Figyelmeztetés

    Ne válassza ki azt a lehetőséget , a következő bejelentkezéskor a felhasználónak módosítania kell a jelszót. Ez nem támogatott.

Jelszó kérése a felhasználótól

A felhasználók jelszó-kérése lehetővé teszi az önkiszolgáló helyreállítást anélkül, hogy kapcsolatba kellene lépnie az ügyfélszolgálattal vagy a rendszergazdával.

  • A felhőbeli és hibrid felhasználók biztonságos jelszómódosítást végezhetnek. Ez a módszer csak azokra a felhasználókra vonatkozik, akik már el tudják végezni az MFA-t. A nem regisztrált felhasználók esetében ez a beállítás nem érhető el.
  • A hibrid felhasználók elvégezhetik a jelszóváltoztatást egy helyszíni vagy hibrid csatlakoztatott Windows-eszközről, ha engedélyezve van a jelszókivonat-szinkronizálás és a helyszíni jelszómódosítás engedélyezése a felhasználói kockázati beállítások alaphelyzetbe állításához.

A helyszíni jelszó-visszaállítás engedélyezése a felhasználói kockázatok elhárításához

A jelszókivonat-szinkronizálást engedélyező szervezetek engedélyezhetik a helyszíni jelszómódosításokat a felhasználói kockázatok elhárításához.

Ez a konfiguráció két új képességet biztosít a szervezeteknek:

  • A kockázatos hibrid felhasználók rendszergazdai beavatkozás nélkül is önállóan szervizelhetnek. A jelszó helyszíni módosításakor a rendszer automatikusan elhárítja a felhasználói kockázatot a Microsoft Entra ID-védelem belül, és visszaállítja az aktuális felhasználói kockázati állapotot.
  • A szervezetek proaktív módon helyezhetnek üzembe felhasználói kockázati szabályzatokat, amelyek jelszómódosítást igényelnek a hibrid felhasználók biztonságos védelme érdekében. Ez a lehetőség erősíti a szervezet biztonsági állapotát, és leegyszerűsíti a biztonságkezelést azáltal, hogy biztosítja a felhasználói kockázatok azonnali kezelését, még összetett hibrid környezetekben is.

Képernyőkép a helyszíni jelszóváltoztatás engedélyezése a felhasználói kockázat visszaállításához jelölőnégyzetről.

A beállítás konfigurálása

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági operátorként.
  2. Keresse meg a Protection>Identity Protectiont> Gépház.
  3. Jelölje be a jelölőnégyzetet a helyszíni jelszóváltoztatás engedélyezéséhez a felhasználói kockázat alaphelyzetbe állításához.
  4. Válassza a Mentés parancsot.

Feljegyzés

Ha engedélyezi a helyszíni jelszómódosítást a felhasználói kockázat alaphelyzetbe állításához, az csak egy bejelentkezési funkció. Az éles környezetekben való engedélyezés előtt az ügyfeleknek ki kell értékelnie ezt a funkciót. Javasoljuk, hogy az ügyfelek biztonságossá tegye a helyszíni jelszómódosítást vagy a visszaállítási folyamatokat. Ha például többtényezős hitelesítést szeretne igényelni, mielőtt lehetővé tenné a felhasználók számára a helyszíni jelszó módosítását egy olyan eszközzel, mint a Microsoft Identity Manager önkiszolgáló jelszóátállítási portálja.

Felhasználói kockázat elvetése

Ha a vizsgálat és annak ellenőrzése után, hogy a felhasználói fiók nem kerül veszélybe, dönthet úgy, hogy bezárja a kockázatos felhasználót.

Ha legalább biztonsági operátorként szeretné megszüntetni a felhasználói kockázatot a Microsoft Entra felügyeleti központban, keresse meg a Protection>Identity Protection>kockázatos felhasználóit, jelölje ki az érintett felhasználót, és válassza a Felhasználói kockázat elvetése lehetőséget.

Ha a Felhasználói kockázat elvetése lehetőséget választja, a felhasználó már nem lesz veszélyben, és a felhasználó összes kockázatos bejelentkezése és a megfelelő kockázatészlelések is el lesznek utasítva.

Mivel ez a módszer nem befolyásolja a felhasználó meglévő jelszavát, nem hozza vissza identitását biztonságos állapotba.

Kockázat állapota és részletessége a kockázat elvetése alapján

  • Kockázatos felhasználó:
    • Kockázati állapot: "Veszélyben" –> "Elbocsátva"
    • Kockázat részletei (a kockázatkezelés részletei): "-" –> "Rendszergazda a felhasználóra vonatkozó összes kockázat elvetése"
  • A felhasználó összes kockázatos bejelentkezése és a megfelelő kockázatészlelések:
    • Kockázati állapot: "Veszélyben" –> "Elbocsátva"
    • Kockázat részletei (a kockázatkezelés részletei): "-" –> "Rendszergazda a felhasználóra vonatkozó összes kockázat elvetése"

Felhasználó biztonságának megerősítése

Ha a vizsgálat után a fiók biztonsága sérül:

  1. Válassza ki az eseményt vagy felhasználót a Kockázatos bejelentkezések vagy Kockázatos felhasználók jelentéseiben, és válassza a "Feltört megerősítése" lehetőséget.
  2. Ha egy kockázatalapú szabályzat nem aktiválódott, és a kockázat nem lett önművelt, akkor hajtsa végre az alábbi műveletek valamelyikét:
    1. kérjen egy új jelszót.
    2. Tiltsa le a felhasználót, ha gyanítja, hogy a támadó alaphelyzetbe állíthatja a jelszót, vagy többtényezős hitelesítést végezhet a felhasználó számára.
    3. Frissítési tokenek visszavonása.
    4. Tiltsa le a sérültnek ítélt eszközöket .
    5. Folyamatos hozzáférés-kiértékelés használata esetén vonja vissza az összes hozzáférési tokent.

További információ arról, hogy mi történik a kompromisszum megerősítésekor, olvassa el a Hogyan adjak kockázati visszajelzést, és mi történik a motorháztető alatt?.

Törölt felhasználók

A rendszergazdák nem hagyhatják figyelmen kívül a címtárból törölt felhasználók kockázatát. A törölt felhasználók eltávolításához nyisson meg egy Microsoft-támogatási esetet.

Felhasználók letiltásának feloldása

A rendszergazdák a kockázati szabályzatuk vagy vizsgálatuk alapján letilthatják a bejelentkezést. A blokkok bejelentkezési vagy felhasználói kockázat alapján is előfordulhatnak.

A felhasználói kockázat alapján történő letiltás feloldása

A rendszergazdáknak az alábbi lehetőségeik vannak a felhasználói kockázat miatt letiltott fiókok feloldására:

  1. Jelszó alaphelyzetbe állítása – Alaphelyzetbe állíthatja a felhasználó jelszavát. Ha egy felhasználó biztonsága sérül, vagy fennáll a veszély, a felhasználó jelszavát alaphelyzetbe kell állítani a fiók és a szervezet védelme érdekében.
  2. Felhasználói kockázat elvetése – A felhasználói kockázati szabályzat letiltja a felhasználót, ha eléri a hozzáférés letiltására vonatkozó konfigurált felhasználói kockázati szintet. Ha a vizsgálat után biztos abban, hogy a felhasználó nem kerül veszélybe, és biztonságosan engedélyezheti a hozzáférést, akkor csökkentheti a felhasználó kockázati szintjét a felhasználói kockázat elvetésével.
  3. A felhasználó kizárása a szabályzatból – Ha úgy gondolja, hogy a bejelentkezési szabályzat jelenlegi konfigurációja problémákat okoz bizonyos felhasználók számára, és biztonságos hozzáférést biztosítani ezekhez a felhasználókhoz anélkül, hogy ezt a szabályzatot alkalmaznánk rájuk, akkor kizárhatja őket ebből a szabályzatból. További információ: A kockázati szabályzatok konfigurálása és engedélyezése című cikk Kizárások című szakasza.
  4. Szabályzat letiltása – Ha úgy gondolja, hogy a szabályzatkonfiguráció problémát okoz az összes felhasználója számára, letilthatja a szabályzatot. További információ: Útmutató: Kockázati szabályzatok konfigurálása és engedélyezése.

Tiltás feloldása bejelentkezési kockázat alapján

A rendszergazdáknak az alábbi lehetőségeik vannak a bejelentkezési kockázat miatt blokkolt fiókok feloldására:

  1. Ismerős helyről vagy eszközről való bejelentkezés – A gyanús bejelentkezések vagy bejelentkezési kísérletek letiltásának egyik gyakori oka az ismeretlen helyek vagy eszközök. A felhasználók gyorsan megállapíthatják, hogy ez-e a blokkolás oka, ha egy ismerős helyről vagy eszközről próbálnak bejelentkezni.
  2. Felhasználó kizárása a szabályzatból – Ha úgy gondolja, hogy a bejelentkezési szabályzat jelenlegi konfigurációja problémát okoz bizonyos felhasználók számára, kizárhatja őket a szabályzatból. További információ: A kockázati szabályzatok konfigurálása és engedélyezése című cikk Kizárások című szakasza.
  3. Szabályzat letiltása – Ha úgy gondolja, hogy a szabályzatkonfiguráció problémát okoz az összes felhasználója számára, letilthatja a szabályzatot. További információ: Útmutató: Kockázati szabályzatok konfigurálása és engedélyezése.

Az észlelési architektúránk legutóbbi frissítésével már nem tudjuk automatikusan szervizelni az MFA-jogcímekkel rendelkező munkameneteket, ha jogkivonat-lopással vagy a Microsoft Threat Intelligence Center (MSTIC) Nemzetállapot IP-észlelése aktiválódik a bejelentkezés során.

A következő azonosítóvédelmi észlelések, amelyek gyanús jogkivonat-tevékenységet vagy az MSTIC nemzetállapot IP-észlelését azonosítják, már nem lesznek automatikusan szervizelve:

  • Microsoft Entra fenyegetésintelligencia
  • Rendellenes jogkivonat
  • Tokenkibocsátó anomáliája
  • MSTIC Nation State IP

Az ID Protection mostantól felfedi a bejelentkezési adatokat kibocsátó észlelések munkamenetadatait a Kockázatészlelés részletei panelen. Ez a módosítás biztosítja, hogy ne zárjuk be azokat az észleléseket tartalmazó munkameneteket, amelyek MFA-kkal kapcsolatos kockázattal járnak. A munkamenet részleteinek felhasználói szintű kockázati adatokkal való megadása értékes információkat nyújt a vizsgálathoz. Ezek az információk az alábbiak:

  • Tokenkibocsátó típusa
  • Bejelentkezési idő
  • IP-cím
  • Bejelentkezési hely
  • Bejelentkezési ügyfél
  • Bejelentkezési kérelem azonosítója
  • Bejelentkezési korrelációs azonosító

Ha felhasználói kockázatalapú feltételes hozzáférési szabályzatok vannak konfigurálva, és a gyanús jogkivonat-tevékenységet jelző észlelések egyike aktiválódik egy felhasználón, a végfelhasználónak biztonságos jelszómódosítást kell végrehajtania, és újra hitelesítenie kell a fiókját többtényezős hitelesítéssel a kockázat elhárításához.

PowerShell –előzetes verzió

A Microsoft Graph PowerShell SDK előzetes verziójú moduljának segítségével a szervezetek a PowerShell-lel kezelhetik a kockázatokat. Az előzetes verziójú modulok és a mintakód a Microsoft Entra GitHub adattárban található.

Az Invoke-AzureADIPDismissRiskyUser.ps1 adattárban található szkript lehetővé teszi, hogy a szervezetek kizárják a címtárukba tartozó összes kockázatos felhasználót.

Kapcsolódó tartalom