Emelt szintű hozzáférés: Fiókok

A fiókbiztonság az emelt szintű hozzáférés biztosításának kritikus összetevője. A munkamenetek teljes körű zéró megbízhatóságú biztonsága megköveteli annak szigorú megállapítását, hogy a munkamenetben használt fiók valójában az emberi tulajdonos felügyelete alatt áll, és nem egy támadó, aki megszemélyesíti őket.

Az erős fiókbiztonság a biztonságos kiépítéssel és a teljes életciklus-felügyelettel kezdődik a megszüntetésig, és minden munkamenetnek erős biztosítékokat kell kiépítenie arról, hogy a fiók jelenleg nem sérül az összes rendelkezésre álló adat alapján, beleértve az előzményviselkedési mintákat, a rendelkezésre álló fenyegetésfelderítést és az aktuális munkamenetben való használatot.

Fiókbiztonság

Ez az útmutató három biztonsági szintet határoz meg a fiókbiztonsághoz, amelyeket különböző bizalmassági szintű eszközökhöz használhat:

Protecting accounts end to end

Ezek a szintek világos és implementálható biztonsági profilokat hoznak létre minden egyes bizalmassági szinthez, amelyhez szerepköröket rendelhet hozzá, és gyorsan felskálázhat. Ezen fiókbiztonsági szintek mindegyike úgy lett kialakítva, hogy fenntartsa vagy javítsa a felhasználók hatékonyságát a felhasználói és rendszergazdai munkafolyamatok megszakításának korlátozásával vagy megszüntetésével.

Fiókbiztonság tervezése

Ez az útmutató az egyes szintek teljesítéséhez szükséges technikai vezérlőket ismerteti. Az implementálási útmutató az emelt szintű hozzáférés ütemtervében található.

Fiókbiztonsági vezérlők

Az interfészek biztonságának eléréséhez olyan technikai vezérlők kombinációjára van szükség, amelyek a fiókok védelmét is biztosítják, és jeleket is biztosítanak, amelyeket egy megbízható házirend-döntésben kell használni (lásd a biztonságos felületeket a szabályzatkonfigurációs referenciaanyaghoz).

Az ezekben a profilokban használt vezérlők a következők:

  • Többtényezős hitelesítés – számos különböző bizonyítékforrást biztosít arra vonatkozóan, hogy a (felhasználók számára a lehető legegyszerűbb, de a támadók számára nehezen utánozható) hitelesítés.
  • Fiókkockázat – Fenyegetések és anomáliák monitorozása – az UEBA és a fenyegetésfelderítés használata a kockázatos forgatókönyvek azonosításához
  • Egyéni figyelés – A bizalmasabb fiókok esetében az engedélyezett/elfogadott viselkedések/minták explicit meghatározása lehetővé teszi a rendellenes tevékenységek korai észlelését. Ez a vezérlő nem alkalmas a nagyvállalati általános célú fiókokhoz, mivel ezeknek a fiókoknak rugalmasnak kell lennie a szerepköreikhez.

A vezérlők kombinációja lehetővé teszi a biztonság és a használhatóság javítását is – például egy olyan felhasználót, aki a normál mintán belül marad (ugyanazt az eszközt használja nap mint nap ugyanazon a helyen), nem kell minden hitelesítéskor külső MFA-t kérnie.

Comparing each account tier and cost benefit

Vállalati biztonsági fiókok

A vállalati fiókok biztonsági vezérlői úgy lettek kialakítva, hogy minden felhasználó számára biztonságos alapkonfigurációt hozzanak létre, és biztonságos alapot biztosítsanak a speciális és emelt szintű biztonsághoz:

  • Erős többtényezős hitelesítés (MFA) kényszerítése – Győződjön meg arról, hogy a felhasználó hitelesítése egy vállalati felügyelt identitásrendszer által biztosított erős MFA-val történik (az alábbi ábrán látható). A többtényezős hitelesítéssel kapcsolatos további információkért tekintse meg az Azure 6. ajánlott biztonsági eljárását.

    Megjegyzés

    Bár a szervezete dönthet úgy, hogy egy átmeneti időszakban az MFA egy meglévő gyengébb formáját használja, a támadók egyre inkább kerülik a gyengébb MFA-védelmet, így az MFA-ba történő minden új befektetésnek a legerősebb formában kell lennie.

  • Fiók-/munkamenetkockázat kényszerítése – győződjön meg arról, hogy a fiók nem tud hitelesítést végezni, hacsak nem alacsony (vagy közepes?) kockázati szinten van. A feltételes vállalati fiókok biztonságáról további információt az interfész biztonsági szintjeiben talál.

  • Riasztások monitorozása és megválaszolása – A biztonsági műveleteknek integrálniuk kell a fiókbiztonsági riasztásokat, és megfelelő képzést kell kapniuk ezeknek a protokolloknak és rendszereknek a működéséről, hogy képesek legyenek gyorsan megérteni, mit jelent a riasztás, és ennek megfelelően reagálni.

Az alábbi ábra összehasonlítja az MFA és a jelszó nélküli hitelesítés különböző formáit. A legjobb dobozban lévő összes lehetőség magas biztonságnak és magas használhatóságnak minősül. Mindegyiknek különböző hardverkövetelményei vannak, ezért érdemes lehet keverni a különböző szerepkörökre vagy személyekre vonatkozó követelményeket. A feltételes hozzáférés minden jelszó nélküli megoldást többtényezős hitelesítésként ismer fel, mert ehhez valamilyen biometrikus, ismert vagy mindkettővel rendelkező megoldás kombinálására van szükség.

Comparison of authentication methods good, better, best

Megjegyzés

Ha többet szeretne tudni arról, hogy miért van korlátozva az SMS- és más telefonalapú hitelesítés, olvassa el az It's Time to Hang Up on Phone Transports for Authentication című blogbejegyzést.

Speciális fiókok

A speciális fiókok magasabb szintű védelmet nyújtanak a bizalmas felhasználók számára. A nagyobb üzleti hatásuk miatt a speciális fiókok további figyelést és rangsorolást igényelnek a biztonsági riasztások, incidensvizsgálatok és veszélyforrás-keresések során.

A speciális biztonság a vállalati biztonság erős MFA-jára épül, mivel azonosítja a legérzékenyebb fiókokat, és biztosítja a riasztások és a válaszfolyamatok rangsorolását:

  1. Bizalmas fiókok azonosítása – A fiókok azonosításához tekintse meg a speciális biztonsági szintű útmutatást.
  2. Speciális fiókok címkézése – Győződjön meg arról, hogy minden bizalmas fiók meg van címkézve
    1. A Microsoft Sentinel figyelőlistáinak konfigurálása a bizalmas fiókok azonosítására
    2. A prioritásos fiókvédelem konfigurálása az Office 365-höz készült Microsoft Defenderben , és speciális és kiemelt jogosultságú fiókok kijelölése prioritási fiókként –
  3. Biztonsági műveleti folyamatok frissítése – annak biztosítása érdekében, hogy ezek a riasztások a legmagasabb prioritást kapják
  4. Cégirányítás beállítása – Szabályozási folyamat frissítése vagy létrehozása annak biztosítása érdekében, hogy
    1. A létrehozott vagy módosított összes új szerepkör speciális vagy emelt szintű besorolásra lesz kiértékelve
    2. Minden új fiók meg van címkézve létrehozásukkor
    3. Folyamatos vagy időszakos sávon kívüli ellenőrzések annak biztosítása érdekében, hogy a szerepköröket és fiókokat ne hagyja ki a normál szabályozási folyamatok.

Kiemelt jogosultságú fiókok

A kiemelt jogosultságú fiókok rendelkeznek a legmagasabb szintű védelemmel, mert azok jelentős vagy jelentős potenciális hatást gyakorolnak a szervezet műveleteire, ha sérülnek.

A kiemelt jogosultságú fiókokba mindig tartoznak a legtöbb vagy az összes vállalati rendszerhez hozzáféréssel rendelkező informatikai rendszergazdák, beleértve a legtöbb vagy az összes üzleti szempontból kritikus rendszert is. Más, nagy üzleti hatással rendelkező fiókok is garantálhatják ezt a további védelmi szintet. A Privileged Security (Emelt szintű biztonság) című cikkben további információt talál arról, hogy mely szerepköröket és fiókokat kell védeni.

A speciális biztonság mellett a rendszerjogosított fiókok biztonsága is nő:

  • Megelőzés – vezérlők hozzáadásával korlátozhatja ezeknek a fiókoknak a használatát a kijelölt eszközökre, munkaállomásokra és közvetítőkre.
  • Válasz – szorosan monitorozza ezeket a fiókokat a rendellenes tevékenységekre vonatkozóan, és gyorsan kivizsgálja és orvosolja a kockázatot.

Emelt szintű fiókok biztonságának konfigurálása

A biztonsági gyors modernizálási terv útmutatását követve növelheti a kiemelt jogosultságú fiókok biztonságát, és csökkentheti a kezelési költségeket.

Következő lépések