Biztonsági alapértékek tervezése

  • 2 perc

A biztonság kezelése az identitással kapcsolatos gyakori támadások, például a jelszópermetezés, a visszajátszás és az adathalászat egyre népszerűbbé válásával nehézkes lehet. A biztonsági alapértelmezések biztonságos alapértelmezett beállításokat biztosítanak, amelyeket a Microsoft a szervezetek nevében kezel, hogy az ügyfelek biztonságban maradjanak, amíg a szervezetek készen nem állnak a saját identitásbiztonsági történetük kezelésére. A biztonsági alapértelmezett beállítások előre konfigurált biztonsági beállításokat biztosítanak, például:

  • Minden felhasználónak regisztrálnia kell a többtényezős hitelesítésre.

  • Többtényezős hitelesítés megkövetelése a rendszergazdáktól.

  • Az örökölt hitelesítési protokollok blokkolása.

  • Szükség esetén többtényezős hitelesítés megkövetelése a felhasználóknak.

  • Olyan kiemelt tevékenységek védelme, mint az Azure Portalhoz való hozzáférés.

    Screenshot of the Microsoft Entra admin center with the toggle to enable security defaults.

Availability

A Microsoft biztonsági alapértelmezései mindenki számára elérhetők. A cél annak biztosítása, hogy minden szervezet számára engedélyezve legyen az alapszintű biztonság, plusz költségek nélkül. A biztonsági alapértelmezett beállításokat az Azure Portalon kapcsolhatja be. Ha a bérlő 2019. október 22-én vagy azt követően jött létre, lehetséges, hogy a biztonsági alapértelmezések már engedélyezve vannak a bérlőben. Az összes felhasználó védelme érdekében a biztonsági alapértelmezett funkciók az összes létrehozott új bérlőre ki lesznek állítva.

Kinek?

Ki használja az alapértelmezett biztonsági beállításokat? Ki ne használjon alapértelmezett biztonsági beállításokat?
Azok a szervezetek, amelyek növelni szeretnék a biztonsági helyzetüket, de nem tudják, hogyan és hol kezdjenek Azok a szervezetek, amelyek jelenleg feltételes hozzáférési szabályzatokat használnak a jelek összehozására, a döntések meghozatalára és a szervezeti szabályzatok kikényszerítésére
A Microsoft Entra id licencelésének ingyenes szintjét használó szervezetek A Microsoft Entra ID Premium-licencekkel rendelkező szervezetek
A feltételes hozzáférés használatát garantáló összetett biztonsági követelményekkel rendelkező szervezetek

Kikényszerített szabályzatok

Egyesített többtényezős hitelesítés regisztrációja

A bérlő összes felhasználójának többtényezős hitelesítésre (MFA) kell regisztrálnia többtényezős hitelesítés formájában. A felhasználóknak 14 napjuk van arra, hogy a Microsoft Entra-azonosítón belül regisztráljanak többtényezős hitelesítésre a Microsoft Authenticator alkalmazással. A 14 nap leteltét követően a felhasználó nem tud bejelentkezni a regisztráció befejezéséig. A felhasználó 14 napos időszaka az első sikeres interaktív bejelentkezés után kezdődik, miután engedélyezte a biztonsági alapértelmezett beállításokat.

Rendszergazdák védelme

A kiemelt hozzáféréssel rendelkező felhasználók nagyobb hozzáféréssel rendelkeznek a környezethez. Ezeknek a fiókoknak a teljesítménye miatt különleges gondossággal kell kezelnie őket. A kiemelt fiókok védelmének javításának egyik gyakori módja, ha a bejelentkezéshez erősebb fiókellenőrzési formát kell megkövetelni. A Microsoft Entra ID-ban a többtényezős hitelesítés megkövetelésével erősebb fiókhitelesítést kaphat.

A többtényezős hitelesítéssel való regisztráció befejezése után a következő kilenc Microsoft Entra-rendszergazdai szerepkörre lesz szükség a további hitelesítés minden bejelentkezéskor:

  • Global Administrator
  • SharePoint Rendszergazda istrator
  • Exchange-rendszergazda
  • Feltételes hozzáférési Rendszergazda istrator
  • Security Administrator
  • Segélyszolgálat Rendszergazda istrator
  • Billing Administrator
  • Felhasználói rendszergazda
  • Hitelesítési rendszergazda

Az összes felhasználó védelme

Általában úgy gondoljuk, hogy a rendszergazdai fiókok az egyetlen olyan fiók, amely további hitelesítési rétegeket igényel. Rendszergazda istratorok széles körű hozzáféréssel rendelkeznek a bizalmas információkhoz, és módosíthatják az előfizetésre vonatkozó beállításokat. A támadók azonban gyakran célba érik a végfelhasználókat.

Miután ezek a támadók hozzáférést kaptak, hozzáférést kérhetnek a kiemelt adatokhoz az eredeti fióktulajdonos nevében. Akár a teljes könyvtárat is letölthetik, hogy adathalász támadást hajtsanak végre az egész szervezeten.

Az összes felhasználó védelmét javító egyik gyakori módszer a fiókhitelesítés erősebb formája, például a többtényezős hitelesítés megkövetelése mindenki számára. Miután a felhasználók befejezték a többtényezős hitelesítés regisztrációját, a rendszer szükség esetén további hitelesítést kér. Ez a funkció védi a Microsoft Entra ID azonosítóval regisztrált összes alkalmazást, beleértve az SaaS-alkalmazásokat is.

Az örökölt hitelesítés letiltása

Annak érdekében, hogy a felhasználók könnyen hozzáférhessenek a felhőalkalmazásokhoz, a Microsoft Entra ID számos hitelesítési protokollt támogat, beleértve az örökölt hitelesítést is. Az örökölt hitelesítés az alábbiak által küldött hitelesítési kérés:

  • A modern hitelesítést nem használó ügyfelek (például office 2010-ügyfél). A modern hitelesítés olyan ügyfeleket foglal magában, amelyek protokollokat implementálnak, például az OAuth 2.0-t, hogy támogassák az olyan funkciókat, mint a többtényezős hitelesítés és az intelligens kártyák. Az örökölt hitelesítés általában csak kevésbé biztonságos mechanizmusokat, például jelszavakat támogat.
  • Az olyan levelezési protokollokat használó ügyfél, mint az IMAP, az SMTP vagy a POP3.

Ma a bejelentkezési kísérletek jelentős része örökölt hitelesítésből származik. Az örökölt hitelesítés nem támogatja a többtényezős hitelesítést. Még ha engedélyezve is van egy többtényezős hitelesítési szabályzat a címtárban, a támadók egy régebbi protokoll használatával hitelesíthetik magukat, és megkerülhetik a többtényezős hitelesítést.

Miután engedélyezte a biztonsági alapértelmezett beállításokat a bérlőben, a rendszer letiltja a régebbi protokoll által küldött összes hitelesítési kérést. A biztonsági alapértelmezések letiltják az Exchange Active Sync alapszintű hitelesítését.