Beveiliging van beheerdersaccounts
Beheer is het bewaken, onderhouden en gebruiken van IT-systemen (Information Technology) om te voldoen aan de serviceniveaus die het bedrijf nodig heeft. Beheer introduceert enkele van de beveiligingsrisico's met de hoogste impact, omdat het uitvoeren van deze taken bevoegde toegang vereist tot een zeer brede set van deze systemen en toepassingen. Aanvallers weten dat het verkrijgen van toegang tot een account met beheerdersbevoegdheden hen toegang kan geven tot de meeste of alle gegevens die ze als doel zouden hebben, waardoor de beveiliging van beheer een van de meest kritieke beveiligingsgebieden wordt.
Microsoft doet bijvoorbeeld aanzienlijke investeringen in beveiliging en training van beheerders voor onze cloudsystemen en IT-systemen:
De aanbevolen kernstrategie van Microsoft voor beheerdersbevoegdheden is het gebruik van de beschikbare besturingselementen om risico's te beperken
Risicoblootstelling beperken (bereik en tijd) – Het principe van minste bevoegdheden kan het beste worden bereikt met moderne besturingselementen die op aanvraag bevoegdheden bieden. Dit helpt risico's te beperken door de blootstelling van beheerdersbevoegdheden te beperken door:
Bereik: Just Enough Access (JEA) biedt alleen de vereiste bevoegdheden voor de vereiste beheerbewerking (in vergelijking met directe en directe bevoegdheden voor veel of alle systemen tegelijk, wat bijna nooit vereist is).
Tijd: jit-benaderingen (Just-In-Time) hebben de vereiste bevoegdheden gegeven wanneer ze nodig zijn.
De resterende risico's beperken: gebruik een combinatie van preventieve en detectiecontroles om risico's te beperken, zoals het isoleren van beheerdersaccounts van de meest voorkomende risico's phishing en algemene surfen, vereenvoudigen en optimaliseren van hun werkstroom, het verhogen van de zekerheid van verificatiebeslissingen en het identificeren van afwijkingen van normaal basislijngedrag die kunnen worden geblokkeerd of onderzocht.
Microsoft heeft best practices vastgelegd en gedocumenteerd voor het beveiligen van beheerdersaccounts en gepubliceerde geprioriteerde roadmaps voor het beveiligen van bevoegde toegang die kunnen worden gebruikt als verwijzingen voor het prioriteren van oplossingen voor accounts met bevoegde toegang.
Het aantal beheerders met kritieke gevolgen minimaliseren
Het minste aantal accounts verlenen aan bevoegdheden die een kritieke bedrijfsimpact kunnen hebben
Elk beheerdersaccount vertegenwoordigt een potentieel aanvalsoppervlak dat een aanvaller kan aanvallen, dus het minimaliseren van het aantal accounts met die bevoegdheid helpt het algehele organisatierisico te beperken. De ervaring heeft ons geleerd dat het lidmaatschap van deze bevoorrechte groepen na een bepaalde periode op natuurlijke wijze toeneemt naarmate mensen van rol veranderen als het lidmaatschap niet actief wordt beperkt en beheerd.
We raden een benadering aan die het risico op aanvallen vermindert en tegelijkertijd de bedrijfscontinuïteit garandeert voor het geval er iets gebeurt met een beheerder:
Wijs ten minste twee accounts toe aan de bevoorrechte groep voor bedrijfscontinuïteit
Wanneer er twee of meer accounts vereist zijn, geeft u een reden op voor elk lid, inclusief de oorspronkelijke twee
Controleer regelmatig het lidmaatschap & reden voor elk groepslid
Beheerde accounts voor beheerders
Zorg ervoor dat alle beheerders van kritieke gevolgen worden beheerd door de bedrijfsdirectory om het afdwingen van organisatiebeleid te volgen.
Consumentenaccounts zoals Microsoft-accounts zoals Hotmail.com, live.com, outlook.com bieden onvoldoende zichtbaarheid en controle over de beveiliging om ervoor te zorgen dat het beleid van de organisatie en eventuele wettelijke vereisten worden @ @ @ gevolgd. Omdat Azure-implementaties vaak klein en informeel beginnen voordat ze worden groeit tot enterprise-beheerde tenants, blijven sommige consumentenaccounts lang daarna als beheerdersaccounts, bijvoorbeeld oorspronkelijke Azure-projectmanagers, waardoor er blind spots en potentiële risico's zijn.
Afzonderlijke accounts voor beheerders
Zorg ervoor dat alle beheerders van kritieke gevolgen een afzonderlijk account hebben voor beheertaken (in vergelijking met het account dat ze gebruiken voor e-mail, surfen op internet en andere productiviteitstaken).
Phishing- en webbrowseraanvallen vertegenwoordigen de meest voorkomende aanvalsvectoren voor aanvallen op accounts, waaronder beheerdersaccounts.
Maak een afzonderlijk beheerdersaccount voor alle gebruikers die een rol hebben waarvoor kritieke bevoegdheden zijn vereist. Blokkeer voor deze beheerdersaccounts productiviteitshulpprogramma's zoals Office 365 e-mail (licentie verwijderen). Blokkeer indien mogelijk willekeurig surfen op internet (met proxy- en/of toepassingsbesturingselementen) terwijl u uitzonderingen toestaat voor het bladeren naar de Azure Portal en andere sites die vereist zijn voor beheertaken.
Geen permanente toegang / Just-In-Time-bevoegdheden
Voorkom permanente permanente toegang voor accounts met kritieke gevolgen
Permanente bevoegdheden verhogen het bedrijfsrisico door de tijd te vergroten die een aanvaller kan gebruiken om schade aan te brengen met het account. Tijdelijke bevoegdheden dwingen aanvallers die een account als doel hebben om te werken binnen de beperkte tijdstippen dat de beheerder het account al gebruikt of om verhoging van bevoegdheden te initiëren (waardoor de kans op gedetecteerde en verwijderde bevoegdheden uit de omgeving toeneemt).
Verleen bevoegdheden die alleen vereist zijn met behulp van een van deze methoden:
Just-In-Time - Schakel Azure AD Privileged Identity Management (PIM) of een oplossing van derden in om het volgen van een goedkeuringswerkstroom te vereisen voor het verkrijgen van bevoegdheden voor accounts met kritieke gevolgen
Break glass – Voor zelden gebruikte accounts volgt u een proces voor toegang in noodgevallen om toegang te krijgen tot de accounts. Dit heeft de voorkeur voor bevoegdheden die weinig nodig hebben voor normaal operationeel gebruik, zoals leden van globale beheerdersaccounts.
Accounts voor toegang in noodgevallen of Break Glass
Zorg ervoor dat u een mechanisme hebt voor het verkrijgen van beheerderstoegang in geval van een noodgeval
Hoewel er zeldzame, soms extreme omstandigheden optreden, zijn alle normale beheertoegangsmiddelen niet beschikbaar.
U wordt aangeraden de instructies te volgen in Beheerdersaccounts voor noodtoegang beheren in Azure AD en ervoor te zorgen dat deze accounts zorgvuldig worden bewaakt door beveiligingsbewerkingen.
Beveiliging van beheerwerkstations
Zorg ervoor dat beheerders met kritieke gevolgen een werkstation met verhoogde beveiliging en bewaking gebruiken
Aanvalsvectoren die gebruikmaken van browsen en e-mail, zoals phishing, zijn goedkoop en gebruikelijk. Het isoleren van kritieke impactbeheerders van deze risico's vermindert het risico op een groot incident waarbij een van deze accounts is aangetast en wordt gebruikt om uw bedrijf of missie aanzienlijk te beschadigen.
Kies het beveiligingsniveau van het beheerwerkstation op basis van de beschikbare opties op https://aka.ms/securedworkstation
Uiterst veilig productiviteitsapparaat (verbeterd beveiligingswerkstation of gespecialiseerd werkstation)
U kunt dit beveiligingstraject voor beheerders met kritieke gevolgen starten door ze een hoger beveiligingswerkstation te bieden dat nog steeds algemene browse- en productiviteitstaken mogelijk maakt. Als u dit als een tussentijdse stap gebruikt, kunt u de overgang naar volledig geïsoleerde werkstations voor zowel de kritieke impactbeheerders als het IT-personeel dat deze gebruikers en hun werkstations ondersteunt, gemaken.Privileged Access Workstation (gespecialiseerd werkstation of beveiligd werkstation)
Deze configuraties vertegenwoordigen de ideale beveiligingstoestand voor beheerders van kritieke gevolgen, omdat ze de toegang tot aanvalsvectoren voor phishing, browsers en productiviteitstoepassing sterk beperken. Op deze werkstations is algemeen surfen op internet niet toegestaan, alleen browsertoegang tot Azure Portal en andere beheersites.
Kritieke invloed op beheerdersafhankelijkheden – account/werkstation
Kies zorgvuldig de on-premises beveiligingsafhankelijkheden voor accounts met kritieke gevolgen en hun werkstations
Als u het risico wilt beperken dat een groot incident on-premises overloop naar een grote compromitteerd cloudactiva, moet u de controlemiddelen elimineren of minimaliseren die on-premises resources hebben om kritieke gevolgen te hebben voor accounts in de cloud. Een voorbeeld: aanvallers die de on-premises Active Directory in gevaar brengen, hebben toegang tot cloudactiva die afhankelijk zijn van deze accounts, zoals resources in Azure, Amazon Web Services (AWS), ServiceNow, en meer. Aanvallers kunnen ook werkstations gebruiken die zijn verbonden met die on-premises domeinen om toegang te krijgen tot accounts en services die door hen worden beheerd.
Kies het isolatieniveau van on-premises beheermiddelen, ook wel beveiligingsafhankelijkheden genoemd voor accounts met kritieke gevolgen
Gebruikersaccounts: kies waar de accounts met kritieke gevolgen moeten worden hosten
Native Azure AD-accounts -*Native Azure AD-accounts maken die niet zijn gesynchroniseerd met on-premises Active Directory
Synchroniseren vanuit on-premises Active Directory
Bestaande accounts gebruiken die worden gehost in de on-premises Active Directory.
Werkstations: kies hoe u de werkstations wilt beheren en beveiligen die worden gebruikt door kritieke beheerdersaccounts:
Systeemeigen cloudbeheer en -beveiliging (aanbevolen): voeg werkstations toe aan Azure AD & beheren/patchen met Intune of andere cloudservices. Bebeveiligen en controleren met Windows Microsoft Defender for Endpoints of een andere cloudservice die niet wordt beheerd door on-premises accounts.
Beheren met bestaande systemen: voeg een bestaand AD-domein toe en gebruik bestaand beheer/beveiliging.
Wachtwoordloze of meervoudige verificatie voor beheerders
Vereisen dat alle kritieke gevolgen beheerders wachtwoordloze verificatie of meervoudige verificatie (MFA) gebruiken.
Aanvalsmethoden hebben zich ontwikkeld tot het punt waar wachtwoorden alleen een account niet betrouwbaar kunnen beveiligen. Dit is goed gedocumenteerd in een Microsoft Ignite-sessie.
Beheerdersaccounts en alle kritieke accounts moeten een van de volgende verificatiemethoden gebruiken. Deze mogelijkheden worden vermeld in voorkeurs volgorde op de hoogste kosten/problemen met aanvallen (sterkste/voorkeursopties) tot de laagste kosten/moeilijk aan te vallen:
Houd er rekening mee dat MFA op basis van sms-berichten zeer goedkoop is geworden voor aanvallers om te omzeilen. Daarom raden we u aan te voorkomen dat u er gebruik van maakt. Deze optie is nog steeds sterker dan wachtwoorden alleen, maar is veel zwakker dan andere MFA-opties
Voorwaardelijke toegang afdwingen voor beheerders - Zero Trust
Verificatie voor alle beheerders en andere accounts met kritieke gevolgen moet bestaan uit het meten en afdwingen van belangrijke beveiligingskenmerken ter ondersteuning van een Zero Trust strategie.
Aanvallers die azure-beheerdersaccounts in gevaar brengen, kunnen aanzienlijke schade veroorzaken. Voorwaardelijke toegang kan dat risico aanzienlijk verminderen door beveiligingshygiëne af te afdwingen voordat toegang tot Azure-beheer wordt toe te staan.
Configureer het beleid voor voorwaardelijke toegang voor Azure-beheer dat voldoet aan de risicobereidheid en operationele behoeften van uw organisatie.
Meervoudige verificatie en/of verbinding van aangewezen werknetwerk vereisen
Apparaatintegriteit vereisen met Microsoft Defender voor eindpunten (Sterke zekerheid)
Vermijd gedetailleerde en aangepaste machtigingen
Vermijd machtigingen die specifiek verwijzen naar afzonderlijke resources of gebruikers
Specifieke machtigingen zorgen voor onnodige complexiteit en verwarring, omdat ze niet de intentie hebben om nieuwe vergelijkbare resources te gebruiken. Dit wordt vervolgens opgestapeld in een complexe, verouderde configuratie die moeilijk te onderhouden of te wijzigen is zonder dat u bang bent dat er iets misgaat, wat een negatieve invloed heeft op de flexibiliteit van zowel de beveiliging als de oplossing.
In plaats van specifieke resourcespecifieke machtigingen toe te wijzen, gebruikt u een van beide
Beheergroepen voor bedrijfsbrede machtigingen
Resourcegroepen voor machtigingen binnen abonnementen
Wijs geen machtigingen toe aan specifieke gebruikers, maar wijs toegang toe aan groepen in Azure AD. Als er geen geschikte groep is, moet u samenwerken met het identiteitsteam om er een te maken. Hiermee kunt u groepsleden extern aan Azure toevoegen en verwijderen en ervoor zorgen dat de machtigingen actueel zijn, terwijl de groep ook kan worden gebruikt voor andere doeleinden, zoals adressenlijsten.
Ingebouwde rollen gebruiken
Gebruik waar mogelijk ingebouwde rollen voor het toewijzen van machtigingen.
Aanpassing leidt tot complexiteit waardoor de verwarring toeneemt en automatisering complexer, lastiger en kwetsbaarder wordt. Deze factoren hebben allemaal een negatieve invloed op de beveiliging
U wordt aangeraden de ingebouwde rollen te evalueren die zijn ontworpen voor de meest normale scenario's. Aangepaste rollen zijn een krachtige en soms nuttige mogelijkheid, maar ze moeten worden gereserveerd voor gevallen waarin ingebouwde rollen niet werken.
Levenscyclusbeheer voor accounts met kritieke gevolgen vaststellen
Zorg ervoor dat u een proces hebt voor het uitschakelen of verwijderen van beheerdersaccounts wanneer beheerders de organisatie verlaten (of beheerdersposities verlaten)
Zie Regelmatig kritieke toegang controleren voor meer informatie.
Simulatie van aanvallen voor accounts met kritieke gevolgen
Simuleer regelmatig aanvallen op gebruikers met beheerders beheerders met de huidige aanvalstechnieken om hen te informeren en te helpen.
Mensen zijn een essentieel onderdeel van uw verdediging, met name uw personeel met toegang tot accounts met kritieke gevolgen. Door ervoor te zorgen dat deze gebruikers (en idealiter alle gebruikers) over de kennis en vaardigheden beschikken om aanvallen te voorkomen en te voorkomen, vermindert u het algehele organisatierisico.
U kunt Office 365 mogelijkheden voor aanvalssimulatie of een aantal aanbiedingen van derden gebruiken.