Kockázatok orvoslása és a felhasználók tiltásának feloldása
A vizsgálat befejezése után lépéseket kell tennie a kockázatos felhasználók szervizeléséhez vagy a letiltásuk feloldásához. A szervezetek kockázatalapú szabályzatok beállításával engedélyezhetik az automatikus szervizelést. A szervezeteknek meg kell próbálniuk kivizsgálni és kijavítani az összes kockázatos felhasználót egy olyan időszakban, amelyben a szervezet jól érzi magát. A Microsoft azt javasolja, hogy gyorsan cselekedjenek, mert a kockázatok használatakor az idő számít.
Kockázatkezelés
Minden aktív kockázatészlelés hozzájárul a felhasználó kockázati szintjének kiszámításához. A felhasználói kockázati szint annak a valószínűségnek a mutatója (alacsony, közepes, magas), hogy a felhasználó fiókja sérül. A kockázatos felhasználók és a megfelelő kockázatos bejelentkezések és észlelések vizsgálata után a kockázatos felhasználókat úgy kell elhárítania, hogy azok már ne legyenek veszélyben, és ne legyenek hozzáférésük letiltva.
Microsoft Entra ID-védelem megjelöl néhány kockázatészlelést és a megfelelő kockázatos bejelentkezéseket a kockázati állapottal elvetettként Az elutasított és a kockázat részletei Microsoft Entra ID-védelem értékelt bejelentkezés biztonságos. Ezt a műveletet azért hajtja végre, mert ezek az események már nem voltak kockázatosak.
Rendszergazda istratorok a következő lehetőségeket kínálják a szervizeléshez:
- Állítson be kockázatalapú szabályzatokat, amelyek lehetővé teszik a felhasználók számára a kockázatok önjavítását.
- Manuálisan állítsa alaphelyzetbe a jelszavát.
- A felhasználói kockázat elvetése.
- Szervizelés a Microsoft Defender for Identity szolgáltatásban.
Önjavítás kockázatalapú szabályzattal
Kockázatalapú szabályzatok beállításával engedélyezheti a felhasználók számára a bejelentkezési kockázatok és a felhasználói kockázatok önjavítását. Ha a felhasználók átadják a szükséges hozzáférés-vezérlést, például a többtényezős hitelesítést vagy a biztonságos jelszómódosítást, akkor a rendszer automatikusan elhárítja a kockázatokat. A megfelelő kockázatészleléseket, kockázatos bejelentkezéseket és kockázatos felhasználókat a Kockázat helyett a Szervizelt kockázati állapot jelenti.
A kockázatalapú szabályzatok alkalmazása előtt a felhasználók előfeltételei a következők:
- MFA végrehajtása a bejelentkezési kockázat önjavításához:
- A felhasználónak regisztrálnia kell a Microsoft Entra többtényezős hitelesítéshez.
- Ha biztonságos jelszómódosítást szeretne végrehajtani a felhasználói kockázat önjavításához:
- A felhasználónak regisztrálnia kell a Microsoft Entra többtényezős hitelesítéshez.
- A helyszíniről a felhőbe szinkronizált hibrid felhasználók esetében engedélyezni kell a jelszóvisszaírást.
Ha a fenti előfeltételek teljesülése előtt a bejelentkezés során kockázatalapú szabályzatot alkalmaz egy felhasználóra, akkor a rendszer letiltja a felhasználót. Ez a blokkművelet azért van, mert nem tudják végrehajtani a szükséges hozzáférés-vezérlést, és rendszergazdai beavatkozásra van szükség a felhasználó letiltásának feloldásához.
A kockázatalapú szabályzatok kockázati szintek alapján vannak konfigurálva, és csak akkor érvényesek, ha a bejelentkezés vagy a felhasználó kockázati szintje megegyezik a konfigurált szinttel. Előfordulhat, hogy egyes észlelések nem jelentenek kockázatot arra a szintre, ahol a szabályzat érvényes, és a rendszergazdáknak manuálisan kell kezelnie ezeket a kockázatos felhasználókat. Rendszergazda istratorok megállapíthatják, hogy további intézkedésekre van szükség, például a helyekről való hozzáférés blokkolására vagy a szabályzataik elfogadható kockázatának csökkentésére.
Önkiszolgáló szervizelés önkiszolgáló jelszó-visszaállítással
Ha egy felhasználó regisztrálva van az önkiszolgáló jelszó-visszaállításra (SSPR), akkor önkiszolgáló jelszó-visszaállítással elháríthatja saját felhasználói kockázatát.
Manuális jelszó-visszaállítás
Ha a jelszó-visszaállítás felhasználói kockázati szabályzattal történő megkövetelése nem lehetséges, vagy az idő a lényeg, a rendszergazdák jelszó-visszaállítással elháríthatják a kockázatos felhasználókat.
Rendszergazda istratorok a következő lehetőségek közül választhatnak:
Ideiglenes jelszó létrehozása
Ideiglenes jelszó létrehozásával azonnal visszaállíthatja az identitást biztonságos állapotba. Ehhez a módszerhez kapcsolatba kell lépnie az érintett felhasználókat, mert tudniuk kell, hogy mi az ideiglenes jelszó. Mivel a jelszó ideiglenes, a rendszer arra kéri a felhasználót, hogy módosítsa a jelszót valami újra a következő bejelentkezés során.
Jelszavakat hozhatnak létre a felhőbeli és hibrid felhasználók számára a Microsoft Entra felügyeleti központban.
A hibrid felhasználók számára jelszavakat hozhatnak létre egy helyszíni címtárból, ha engedélyezve van a jelszókivonat-szinkronizálás és a helyszíni jelszómódosítás engedélyezése a felhasználói kockázati beállítások alaphelyzetbe állításához.
Figyelmeztetés
Ne válassza ki azt a lehetőséget , a következő bejelentkezéskor a felhasználónak módosítania kell a jelszót. Ez nem támogatott.
Jelszó kérése a felhasználótól
A felhasználók jelszó-kérése lehetővé teszi az önkiszolgáló helyreállítást anélkül, hogy kapcsolatba kellene lépnie az ügyfélszolgálattal vagy a rendszergazdával.
- A felhőbeli és hibrid felhasználók biztonságos jelszómódosítást végezhetnek. Ez a módszer csak azokra a felhasználókra vonatkozik, akik már el tudják végezni az MFA-t. A nem regisztrált felhasználók esetében ez a beállítás nem érhető el.
- A hibrid felhasználók elvégezhetik a jelszóváltoztatást egy helyszíni vagy hibrid csatlakoztatott Windows-eszközről, ha engedélyezve van a jelszókivonat-szinkronizálás és a helyszíni jelszómódosítás engedélyezése a felhasználói kockázati beállítások alaphelyzetbe állításához.
A helyszíni jelszó-visszaállítás engedélyezése a felhasználói kockázatok elhárításához
A jelszókivonat-szinkronizálást engedélyező szervezetek engedélyezhetik a helyszíni jelszómódosításokat a felhasználói kockázatok elhárításához.
Ez a konfiguráció két új képességet biztosít a szervezeteknek:
- A kockázatos hibrid felhasználók rendszergazdai beavatkozás nélkül is önállóan szervizelhetnek. A jelszó helyszíni módosításakor a rendszer automatikusan elhárítja a felhasználói kockázatot a Microsoft Entra ID-védelem belül, és visszaállítja az aktuális felhasználói kockázati állapotot.
- A szervezetek proaktív módon helyezhetnek üzembe felhasználói kockázati szabályzatokat, amelyek jelszómódosítást igényelnek a hibrid felhasználók biztonságos védelme érdekében. Ez a lehetőség erősíti a szervezet biztonsági állapotát, és leegyszerűsíti a biztonságkezelést azáltal, hogy biztosítja a felhasználói kockázatok azonnali kezelését, még összetett hibrid környezetekben is.
A beállítás konfigurálása
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági operátorként.
- Keresse meg a Protection>Identity Protectiont> Gépház.
- Jelölje be a jelölőnégyzetet a helyszíni jelszóváltoztatás engedélyezéséhez a felhasználói kockázat alaphelyzetbe állításához.
- Válassza a Mentés parancsot.
Feljegyzés
Ha engedélyezi a helyszíni jelszómódosítást a felhasználói kockázat alaphelyzetbe állításához, az csak egy bejelentkezési funkció. Az éles környezetekben való engedélyezés előtt az ügyfeleknek ki kell értékelnie ezt a funkciót. Javasoljuk, hogy az ügyfelek biztonságossá tegye a helyszíni jelszómódosítást vagy a visszaállítási folyamatokat. Ha például többtényezős hitelesítést szeretne igényelni, mielőtt lehetővé tenné a felhasználók számára a helyszíni jelszó módosítását egy olyan eszközzel, mint a Microsoft Identity Manager önkiszolgáló jelszóátállítási portálja.
Felhasználói kockázat elvetése
Ha a vizsgálat és annak ellenőrzése után, hogy a felhasználói fiók nem kerül veszélybe, dönthet úgy, hogy bezárja a kockázatos felhasználót.
Ha legalább biztonsági operátorként szeretné megszüntetni a felhasználói kockázatot a Microsoft Entra felügyeleti központban, keresse meg a Protection>Identity Protection>kockázatos felhasználóit, jelölje ki az érintett felhasználót, és válassza a Felhasználói kockázat elvetése lehetőséget.
Ha a Felhasználói kockázat elvetése lehetőséget választja, a felhasználó már nem lesz veszélyben, és a felhasználó összes kockázatos bejelentkezése és a megfelelő kockázatészlelések is el lesznek utasítva.
Mivel ez a módszer nem befolyásolja a felhasználó meglévő jelszavát, nem hozza vissza identitását biztonságos állapotba.
Kockázat állapota és részletessége a kockázat elvetése alapján
- Kockázatos felhasználó:
- Kockázati állapot: "Veszélyben" –> "Elbocsátva"
- Kockázat részletei (a kockázatkezelés részletei): "-" –> "Rendszergazda a felhasználóra vonatkozó összes kockázat elvetése"
- A felhasználó összes kockázatos bejelentkezése és a megfelelő kockázatészlelések:
- Kockázati állapot: "Veszélyben" –> "Elbocsátva"
- Kockázat részletei (a kockázatkezelés részletei): "-" –> "Rendszergazda a felhasználóra vonatkozó összes kockázat elvetése"
Felhasználó biztonságának megerősítése
Ha a vizsgálat után a fiók biztonsága sérül:
- Válassza ki az eseményt vagy felhasználót a Kockázatos bejelentkezések vagy Kockázatos felhasználók jelentéseiben, és válassza a "Feltört megerősítése" lehetőséget.
- Ha egy kockázatalapú szabályzat nem aktiválódott, és a kockázat nem lett önművelt, akkor hajtsa végre az alábbi műveletek valamelyikét:
- kérjen egy új jelszót.
- Tiltsa le a felhasználót, ha gyanítja, hogy a támadó alaphelyzetbe állíthatja a jelszót, vagy többtényezős hitelesítést végezhet a felhasználó számára.
- Frissítési tokenek visszavonása.
- Tiltsa le a sérültnek ítélt eszközöket .
- Folyamatos hozzáférés-kiértékelés használata esetén vonja vissza az összes hozzáférési tokent.
További információ arról, hogy mi történik a kompromisszum megerősítésekor, olvassa el a Hogyan adjak kockázati visszajelzést, és mi történik a motorháztető alatt?.
Törölt felhasználók
A rendszergazdák nem hagyhatják figyelmen kívül a címtárból törölt felhasználók kockázatát. A törölt felhasználók eltávolításához nyisson meg egy Microsoft-támogatási esetet.
Felhasználók letiltásának feloldása
A rendszergazdák a kockázati szabályzatuk vagy vizsgálatuk alapján letilthatják a bejelentkezést. A blokkok bejelentkezési vagy felhasználói kockázat alapján is előfordulhatnak.
A felhasználói kockázat alapján történő letiltás feloldása
A rendszergazdáknak az alábbi lehetőségeik vannak a felhasználói kockázat miatt letiltott fiókok feloldására:
- Jelszó alaphelyzetbe állítása – Alaphelyzetbe állíthatja a felhasználó jelszavát. Ha egy felhasználó biztonsága sérül, vagy fennáll a veszély, a felhasználó jelszavát alaphelyzetbe kell állítani a fiók és a szervezet védelme érdekében.
- Felhasználói kockázat elvetése – A felhasználói kockázati szabályzat letiltja a felhasználót, ha eléri a hozzáférés letiltására vonatkozó konfigurált felhasználói kockázati szintet. Ha a vizsgálat után biztos abban, hogy a felhasználó nem kerül veszélybe, és biztonságosan engedélyezheti a hozzáférést, akkor csökkentheti a felhasználó kockázati szintjét a felhasználói kockázat elvetésével.
- A felhasználó kizárása a szabályzatból – Ha úgy gondolja, hogy a bejelentkezési szabályzat jelenlegi konfigurációja problémákat okoz bizonyos felhasználók számára, és biztonságos hozzáférést biztosítani ezekhez a felhasználókhoz anélkül, hogy ezt a szabályzatot alkalmaznánk rájuk, akkor kizárhatja őket ebből a szabályzatból. További információ: A kockázati szabályzatok konfigurálása és engedélyezése című cikk Kizárások című szakasza.
- Szabályzat letiltása – Ha úgy gondolja, hogy a szabályzatkonfiguráció problémát okoz az összes felhasználója számára, letilthatja a szabályzatot. További információ: Útmutató: Kockázati szabályzatok konfigurálása és engedélyezése.
Tiltás feloldása bejelentkezési kockázat alapján
A rendszergazdáknak az alábbi lehetőségeik vannak a bejelentkezési kockázat miatt blokkolt fiókok feloldására:
- Ismerős helyről vagy eszközről való bejelentkezés – A gyanús bejelentkezések vagy bejelentkezési kísérletek letiltásának egyik gyakori oka az ismeretlen helyek vagy eszközök. A felhasználók gyorsan megállapíthatják, hogy ez-e a blokkolás oka, ha egy ismerős helyről vagy eszközről próbálnak bejelentkezni.
- Felhasználó kizárása a szabályzatból – Ha úgy gondolja, hogy a bejelentkezési szabályzat jelenlegi konfigurációja problémát okoz bizonyos felhasználók számára, kizárhatja őket a szabályzatból. További információ: A kockázati szabályzatok konfigurálása és engedélyezése című cikk Kizárások című szakasza.
- Szabályzat letiltása – Ha úgy gondolja, hogy a szabályzatkonfiguráció problémát okoz az összes felhasználója számára, letilthatja a szabályzatot. További információ: Útmutató: Kockázati szabályzatok konfigurálása és engedélyezése.
Jogkivonat-lopással kapcsolatos észlelések
Az észlelési architektúránk legutóbbi frissítésével már nem tudjuk automatikusan szervizelni az MFA-jogcímekkel rendelkező munkameneteket, ha jogkivonat-lopással vagy a Microsoft Threat Intelligence Center (MSTIC) Nemzetállapot IP-észlelése aktiválódik a bejelentkezés során.
A következő azonosítóvédelmi észlelések, amelyek gyanús jogkivonat-tevékenységet vagy az MSTIC nemzetállapot IP-észlelését azonosítják, már nem lesznek automatikusan szervizelve:
- Microsoft Entra fenyegetésintelligencia
- Rendellenes jogkivonat
- Tokenkibocsátó anomáliája
- MSTIC Nation State IP
Az ID Protection mostantól felfedi a bejelentkezési adatokat kibocsátó észlelések munkamenetadatait a Kockázatészlelés részletei panelen. Ez a módosítás biztosítja, hogy ne zárjuk be azokat az észleléseket tartalmazó munkameneteket, amelyek MFA-kkal kapcsolatos kockázattal járnak. A munkamenet részleteinek felhasználói szintű kockázati adatokkal való megadása értékes információkat nyújt a vizsgálathoz. Ezek az információk az alábbiak:
- Tokenkibocsátó típusa
- Bejelentkezési idő
- IP-cím
- Bejelentkezési hely
- Bejelentkezési ügyfél
- Bejelentkezési kérelem azonosítója
- Bejelentkezési korrelációs azonosító
Ha felhasználói kockázatalapú feltételes hozzáférési szabályzatok vannak konfigurálva, és a gyanús jogkivonat-tevékenységet jelző észlelések egyike aktiválódik egy felhasználón, a végfelhasználónak biztonságos jelszómódosítást kell végrehajtania, és újra hitelesítenie kell a fiókját többtényezős hitelesítéssel a kockázat elhárításához.
PowerShell –előzetes verzió
A Microsoft Graph PowerShell SDK előzetes verziójú moduljának segítségével a szervezetek a PowerShell-lel kezelhetik a kockázatokat. Az előzetes verziójú modulok és a mintakód a Microsoft Entra GitHub adattárban található.
Az Invoke-AzureADIPDismissRiskyUser.ps1
adattárban található szkript lehetővé teszi, hogy a szervezetek kizárják a címtárukba tartozó összes kockázatos felhasználót.