Azure Active Directory Przewodnik referencyjny dotyczący operacji zarządzania uwierzytelnianiem

W tej sekcji przewodnika po operacjach usługi Azure AD opisano kontrole i akcje, które należy podjąć, aby zabezpieczyć poświadczenia i zarządzać nimi, zdefiniować środowisko uwierzytelniania, delegować przypisanie, zmierzyć użycie i zdefiniować zasady dostępu na podstawie bezpieczeństwa przedsiębiorstwa.

Uwaga

Te rekomendacje są aktualne w dniu opublikowania, ale mogą ulec zmianie wraz z czasem. Organizacje powinny stale oceniać swoje praktyki dotyczące tożsamości, gdy produkty i usługi firmy Microsoft ewoluują wraz z czasem.

Kluczowe procesy operacyjne

Przypisywanie właścicieli do kluczowych zadań

Zarządzanie Azure Active Directory wymaga ciągłego wykonywania kluczowych zadań operacyjnych i procesów, które mogą nie być częścią projektu związanego z projektem. Skonfigurowanie tych zadań w celu zoptymalizowania środowiska jest nadal ważne. Do najważniejszych zadań i ich zalecanych właścicieli należą:

Zadanie Właściciel
Zarządzanie cyklem życia konfiguracji logowania jednokrotnego w usłudze Azure AD Zespół operacyjny IAM
Projektowanie zasad dostępu warunkowego dla aplikacji usługi Azure AD Zespół architektury InfoSec
Archiwizowanie działań logowania w systemie SIEM Zespół operacyjny programu InfoSec
Archiwizowanie zdarzeń o ryzyku w systemie SIEM Zespół operacyjny programu InfoSec
Triage and investigate security reports (Ujednanie raportów dotyczących zabezpieczeń i ich badanie) Zespół operacyjny programu InfoSec
Triage and investigate risk events (Ocena i badanie zdarzeń o ryzyku) Zespół operacyjny programu InfoSec
Ocena i badanie użytkowników oflagowanych w raportach o ryzyku i lukach w zabezpieczeniach z Azure AD Identity Protection Zespół operacyjny programu InfoSec

Uwaga

Azure AD Identity Protection wymaga licencji Azure AD — wersja Premium P2 licencji. Aby znaleźć odpowiednią licencję dla swoich wymagań, zobacz Porównanie ogólnie dostępnych funkcji Azure AD — wersja Bezpłatna i Azure AD — wersja Premium wersji.

Podczas przeglądania listy może okazać się konieczne przypisanie właściciela do zadań, w przypadku których brakuje właściciela, lub dostosowanie własności zadań do właścicieli, którzy nie są dostosowani do powyższych zaleceń.

Zarządzanie poświadczeniami

Zasady dotyczące haseł

Bezpieczne zarządzanie hasłami jest jedną z najważniejszych części zarządzania tożsamościami i dostępem, a często największym celem ataków. Usługa Azure AD obsługuje kilka funkcji, które mogą pomóc zapobiec pomyślnemu atakowi.

Skorzystaj z poniższej tabeli, aby znaleźć zalecane rozwiązanie problemu, który należy rozwiązać:

Problem Zalecenie
Brak mechanizmu ochrony przed słabymi hasłami Włączanie samoobsługowego resetowania hasła (SSPR) i ochrony haseł w usłudze Azure AD
Brak mechanizmu wykrywania ujawnionych haseł Włączanie synchronizacji skrótów haseł w celu uzyskania szczegółowych informacji
Używanie AD FS i nie można przejść do uwierzytelniania zarządzanego Włączanie AD FS inteligentnej blokady ekstranetu i/lub inteligentnej blokady usługi Azure AD
Zasady haseł wykorzystują reguły oparte na złożoności, takie jak długość, wiele zestawów znaków lub wygaśnięcie Rozważ ponownie rozwiązania zalecane przez firmę Microsoft i zmień swoje podejście na zarządzanie hasłami i wd wdrażaj ochronę haseł w usłudze Azure AD.
Użytkownicy nie są zarejestrowani do korzystania z uwierzytelniania wieloskładnikowego (MFA) Zarejestruj wszystkie informacje o zabezpieczeniach użytkownika, aby można było ich użyć jako mechanizmu weryfikacji tożsamości użytkownika wraz z jego hasłem
Nie ma możliwości odwoływania haseł na podstawie ryzyka związanego z użytkownikiem Wdrażanie zasad ryzyka związanego z użytkownikiem usługi Azure AD Identity Protection w celu wymuszania zmian haseł w przypadku wycieku poświadczeń przy użyciu funkcji SSPR
Nie istnieje mechanizm inteligentnej blokady chroniący złośliwe uwierzytelnianie przed złośliwymi użytkownikami, którzy pochodzą ze zidentyfikowanych adresów IP Wdrażanie uwierzytelniania zarządzanego przez chmurę przy użyciu synchronizacji skrótów haseł lub uwierzytelniania pass-through (PTA)

Włączanie samoobsługowego resetowania hasła i ochrony hasłem

Użytkownicy, którzy muszą zmienić lub zresetować swoje hasła, są jednym z największych źródeł ilości i kosztów rozmów telefonicznych z kosztami pomocy technicznej. Oprócz kosztów zmiana hasła jako narzędzia w celu ograniczenia ryzyka związanego z użytkownikiem jest podstawowym krokiem w zakresie poprawy poziomu bezpieczeństwa organizacji.

Zaleca się co najmniej wdrożenie samoobsługowego resetowania hasła (SSPR) usługi Azure AD i lokalnej ochrony hasłem w celu wykonania:

  • Zamieć rozmowy z działu pomocy technicznej.
  • Zastąp użycie haseł tymczasowych.
  • Zastąp wszystkie istniejące, samoobsługowe rozwiązania do zarządzania hasłami, które opiera się na rozwiązaniu lokalnym.
  • Wyeliminuj słabe hasła w organizacji.

Uwaga

W przypadku organizacji Azure AD — wersja Premium P2 subskrypcją zaleca się wdrożenie funkcji SSPR i użycie jej w ramach zasad ryzyka związanego z użytkownikiem usługi Identity Protection.

Silne zarządzanie poświadczeniami

Hasła same w sobie nie są wystarczająco bezpieczne, aby uniemożliwić złym aktorom uzyskanie dostępu do środowiska. Każdy użytkownik z uprzywilejowanym kontem musi mieć co najmniej włączoną obsługę uwierzytelniania wieloskładnikowego (MFA). Najlepiej w idealnym przypadku włączyć rejestrację połączoną i wymagać od wszystkich użytkowników zarejestrowania się w celu korzystania z uwierzytelniania wieloskładnikowego i funkcji SSPR przy użyciu połączonego procesu rejestracji. W końcu zalecamy przyjęcie strategii w celu zapewnienia odporności w celu zmniejszenia ryzyka blokady z powodu nieprzewidzianych okoliczności.

Połączony przepływ obsługi użytkownika

Odporność lokalnego uwierzytelniania na awarię

Oprócz korzyści związanych z prostotą i włączeniem wykrywania wycieków poświadczeń usługa Azure AD Password Hash Sync (PHS) i usługa Azure AD MFA umożliwiają użytkownikom dostęp do aplikacji SaaS i usługi Microsoft 365 pomimo outages w środowisku lokalnym z powodu cyberataków, takich jak NotPetya. Istnieje również możliwość włączenia funkcji PHS w połączeniu z federacją. Włączenie funkcji PHS umożliwia rezerwowe uwierzytelnianie, gdy usługi federacyjnie nie są dostępne.

Jeśli Twoja organizacja lokalna nie ma strategii odporności na awarie lub ma strategię, która nie jest zintegrowana z usługą Azure AD, należy wdrożyć usługę Azure AD PHS i zdefiniować plan odzyskiwania po awarii, który obejmuje phS. Włączenie funkcji phS usługi Azure AD umożliwi użytkownikom uwierzytelnianie w usłudze Azure AD, jeśli lokalna usługa Active Directory niedostępna.

przepływ synchronizacji skrótów haseł

Aby lepiej zrozumieć opcje uwierzytelniania, zobacz Choose the right authentication method for your Azure Active Directory hybrid identity solution (Wybieranie właściwej metody uwierzytelniania dla rozwiązania do Azure Active Directory tożsamości hybrydowej).

Programowe użycie poświadczeń

Skrypty usługi Azure AD korzystające z programu PowerShell lub aplikacji korzystających z interfejsu API Graph Microsoft wymagają bezpiecznego uwierzytelniania. Słabe zarządzanie poświadczeniami podczas wykonywania tych skryptów i narzędzi zwiększa ryzyko kradzieży poświadczeń. Jeśli używasz skryptów lub aplikacji, które opierają się na zakodowanych hasłach lub monitach o hasło, najpierw przejrzyj hasła w plikach konfiguracji lub kodzie źródłowym, a następnie zastąp te zależności i używaj tożsamości zarządzanych platformy Azure, uwierzytelniania Integrated-Windows lub certyfikatów, jeśli to możliwe. W przypadku aplikacji, w których poprzednie rozwiązania nie są możliwe, rozważ użycie Azure Key Vault.

Jeśli ustalisz, że istnieją jednostki usługi z poświadczeniami haseł i nie masz pewności, jak te poświadczenia hasła są zabezpieczone przez skrypty lub aplikacje, skontaktuj się z właścicielem aplikacji, aby lepiej zrozumieć wzorce użycia.

Firma Microsoft zaleca również skontaktowanie się z właścicielami aplikacji w celu zrozumienia wzorców użycia, jeśli istnieją jednostki usługi z poświadczeniami haseł.

Środowisko uwierzytelniania

Uwierzytelnianie lokalne

Uwierzytelnianie federacyjna ze zintegrowanym uwierzytelnianiem Windows (IWA Sign-On) lub bezproblemowym uwierzytelnianiem zarządzanym za pomocą logowania jednokrotnego (SSO) z synchronizacją skrótów haseł lub uwierzytelnianiem pass-through jest najlepszym środowiskiem użytkownika w sieci firmowej z wbudowanymi kontrolerami domeny. Minimalizuje to monitowanie o poświadczenia i zmniejsza ryzyko, że użytkownicy będą padać ofiarą ataków wyłudzających informacje. Jeśli już używasz uwierzytelniania zarządzanego przez chmurę z phS lub PTA, ale użytkownicy nadal muszą wpisać swoje hasło podczas uwierzytelniania lokalnego, należy natychmiast wdrożyć bezproblemowe logowanie jednokrotne. Z drugiej strony, jeśli obecnie masz plany migracji do uwierzytelniania zarządzanego przez chmurę, musisz wdrożyć bezproblemowe logowanie jednokrotne w ramach projektu migracji.

Zasady dostępu do zaufania urządzeń

Podobnie jak użytkownik w organizacji, urządzenie jest podstawową tożsamością, którą chcesz chronić. Tożsamość urządzenia umożliwia ochronę zasobów w dowolnym momencie i z dowolnej lokalizacji. Uwierzytelnianie urządzenia i ewidencjonowanie jego typu zaufania zwiększa poziom bezpieczeństwa i użyteczność dzięki:

  • Unikanie problemów, na przykład z uwierzytelniania wieloskładnikowego, gdy urządzenie jest zaufane
  • Blokowanie dostępu z niezaufanych urządzeń
  • W Windows 10 urządzeń bezproblemowo wyloguj się do zasobów lokalnych.

Ten cel można zrealizować, przenosząc tożsamości urządzeń i zarządzając nimi w usłudze Azure AD przy użyciu jednej z następujących metod:

  • Organizacje mogą używać Microsoft Intune urządzenia i wymuszać zasady zgodności, potwierdzać kondycję urządzenia i ustawiać zasady dostępu warunkowego na podstawie tego, czy urządzenie jest zgodne. Microsoft Intune zarządzać urządzeniami z systemem iOS, komputerami Mac (za pośrednictwem integracji jamf), komputerami stacjonarnymi z systemem Windows (natywnie przy użyciu usługi Mobile Zarządzanie urządzeniami na platformie Windows 10 i współzawłaszczać zarządzanie z systemem Microsoft Endpoint Configuration Manager) oraz urządzeniami przenośnymi z systemem Android.
  • Hybrydowe dołączanie do usługi Azure AD zapewnia zarządzanie przy użyciu zasad grupy lub Microsoft Endpoint Configuration Manager w środowisku z komputerami przyłączonymi do domeny usługi Active Directory. Organizacje mogą wdrażać środowisko zarządzane za pośrednictwem phS lub PTA z bezproblemowym logowaniem jednokrotnym. Wprowadzenie urządzeń do usługi Azure AD maksymalizuje produktywność użytkowników dzięki funkcji logowania jednokrotnego w chmurze i zasobach lokalnych, umożliwiając jednocześnie bezpieczny dostęp do zasobów w chmurze i lokalnych przy użyciu dostępu warunkowego.

Jeśli masz urządzenia z systemem Windows przyłączone do domeny, które nie są zarejestrowane w chmurze lub przyłączone do domeny urządzenia usługi Windows zarejestrowane w chmurze, ale bez zasad dostępu warunkowego, należy zarejestrować niezarejestrowane urządzenia i w obu przypadkach użyć hybrydowego dołączania do usługi Azure AD jako kontroli w zasadach dostępu warunkowego.

Zrzut ekranu przedstawiający przyznawanie uprawnień w zasadach dostępu warunkowego wymagających urządzenia hybrydowego

Jeśli zarządzasz urządzeniami za pomocą rozwiązania MDM lub usługi Microsoft Intune, ale nie używasz kontrolek urządzeń w zasadach dostępu warunkowego, zalecamy użycie polecenia Wymagaj, aby urządzenie było oznaczone jako zgodne jako kontrolka w tych zasadach.

Zrzut ekranu przedstawiający przyznawanie uprawnień w zasadach dostępu warunkowego wymagających zgodności urządzeń

Windows Hello for Business

W Windows 10 program Windows Hello for Business zastępuje hasła za pomocą silnego uwierzytelniania dwuskładnikowego na komputerach. Windows Hello dla firm umożliwia bardziej usprawnione środowisko uwierzytelniania wieloskładnikowego dla użytkowników i zmniejsza zależność od haseł. Jeśli nie rozpoczęto wdrażania urządzeń Windows 10 lub wdrożono je tylko częściowo, zalecamy uaktualnienie do programu Windows 10 i włączenie usługi Windows Hello for Business na wszystkich urządzeniach.

Jeśli chcesz dowiedzieć się więcej na temat uwierzytelniania bez hasła, zobacz A world without passwords with Azure Active Directory(Świat bez haseł z Azure Active Directory ).

Uwierzytelnianie i przypisywanie aplikacji

Logowanie pojedyncze dla aplikacji

Zapewnienie standardowego mechanizmu logowania pojedynczego dla całego przedsiębiorstwa ma kluczowe znaczenie dla najlepszego doświadczenia użytkownika, zmniejszenia ryzyka, możliwości tworzenia raportów i zapewniania ładu. Jeśli używasz aplikacji, które obsługują logowanie jednokrotne z usługą Azure AD, ale są obecnie skonfigurowane do używania kont lokalnych, należy ponownie skonfigurować te aplikacje do używania logowania jednokrotnego z usługą Azure AD. Podobnie jeśli używasz aplikacji, które obsługują logowanie jednokrotne w usłudze Azure AD, ale korzystają z innego dostawcy tożsamości, należy ponownie skonfigurować te aplikacje do korzystania z logowania jednokrotnego w usłudze Azure AD. W przypadku aplikacji, które nie obsługują protokołów federacji, ale obsługują uwierzytelnianie oparte na formularzach, zalecamy skonfigurowanie aplikacji do używania magazynu haseł z usługą Azure AD serwer proxy aplikacji.

Logowanie oparte na hasłach w aplikacji AppProxy

Uwaga

Jeśli nie masz mechanizmu odnajdywania nieza zarządzania aplikacjami w organizacji, zalecamy zaimplementowanie procesu odnajdywania przy użyciu rozwiązania brokera zabezpieczeń dostępu do chmury (CASB), takiego jak Usługa Microsoft Defender dla aplikacji w chmurze.

Na koniec, jeśli masz galerię aplikacji usługi Azure AD i używasz aplikacji, które obsługują logowanie jednokrotne z usługą Azure AD, zalecamy wyświetlanie aplikacji w galerii aplikacji.

Migracja aplikacji AD FS do usługi Azure AD

Migrowanie aplikacji z usługi AD FS do usługi Azure AD zapewnia dodatkowe możliwości w zakresie zabezpieczeń, bardziej spójnego zarządzania i lepszego środowiska współpracy. Jeśli masz aplikacje skonfigurowane w usłudze AD FS, które obsługują logowanie jednokrotne z usługą Azure AD, należy ponownie skonfigurować te aplikacje do używania logowania jednokrotnego z usługą Azure AD. Jeśli masz aplikacje skonfigurowane w usłudze AD FS z nietypowymi konfiguracjami nieobsługiwanymi przez usługę Azure AD, skontaktuj się z właścicielami aplikacji, aby dowiedzieć się, czy specjalna konfiguracja jest bezwzględnym wymaganiem aplikacji. Jeśli nie jest to wymagane, należy ponownie skonfigurować aplikację do używania logowania jednokrotnego z usługą Azure AD.

Usługa Azure AD jako podstawowy dostawca tożsamości

Uwaga

Usługa Azure AD Połączenie Health dla usług ADFS może służyć do zbierania szczegółowych informacji o konfiguracji poszczególnych aplikacji, które mogą być potencjalnie migrowane do usługi Azure AD.

Przypisywanie użytkowników do aplikacji

Przypisywanie użytkowników do aplikacji najlepiej jest mapować przy użyciu grup, ponieważ zapewniają one większą elastyczność i możliwość zarządzania na dużą skalę. Zalety korzystania z grup obejmują dynamiczne członkostwo w grupach oparte na atrybutach i delegowanie do właścicieli aplikacji. W związku z tym, jeśli już używasz grup i zarządzasz nimi, zalecamy podjęcia następujących działań w celu usprawnienia zarządzania na dużą skalę:

  • Delegowanie zarządzania grupą i ładu do właścicieli aplikacji.
  • Zezwalaj na dostęp samoobsługowy do aplikacji.
  • Zdefiniuj grupy dynamiczne, jeśli atrybuty użytkownika mogą spójnie określać dostęp do aplikacji.
  • Zaim implementuj zaświadczenia dla grup używanych do uzyskiwania dostępu do aplikacji przy użyciu przeglądów dostępu usługi Azure AD.

Z drugiej strony, jeśli znajdziesz aplikacje, które mają przypisanie do poszczególnych użytkowników, pamiętaj, aby zaimplementować ład wokół tych aplikacji.

Zasady dostępu

Nazwane lokalizacje

Nazwane lokalizacje w usłudze Azure AD mogą oznaczać etykietami zakresy zaufanych adresów IP w organizacji. Usługa Azure AD używa nazwanych lokalizacji w następujących celach:

Nazwana lokalizacja

Na podstawie priorytetu skorzystaj z poniższej tabeli, aby znaleźć zalecane rozwiązanie, które najlepiej odpowiada potrzebom Twojej organizacji:

Priority Scenariusz Zalecenie
1 Jeśli używasz phS lub PTA i nazwane lokalizacje nie zostały zdefiniowane Definiowanie nazwanych lokalizacji w celu usprawnienia wykrywania zdarzeń o ryzyku
2 Jeśli jesteś federowany i nie używasz oświadczenia "insideCorporateNetwork", a nazwane lokalizacje nie zostały zdefiniowane Definiowanie nazwanych lokalizacji w celu usprawnienia wykrywania zdarzeń o ryzyku
3 Jeśli w zasadach dostępu warunkowego nie używasz nazwanych lokalizacji i nie ma ryzyka ani kontroli urządzeń w zasadach dostępu warunkowego Konfigurowanie zasad dostępu warunkowego w celu dołączania nazwanych lokalizacji
4 Jeśli jesteś federowany i używasz oświadczenia "insideCorporateNetwork", a nazwane lokalizacje nie zostały zdefiniowane Definiowanie nazwanych lokalizacji w celu usprawnienia wykrywania zdarzeń o ryzyku
5 Jeśli używasz zaufanych adresów IP z usługą MFA zamiast nazwanych lokalizacji i oznaczasz je jako zaufane Definiowanie nazwanych lokalizacji i oznaczanie ich jako zaufanych w celu usprawnienia wykrywania zdarzeń o ryzyku

Zasady dostępu opartego na ryzykach

Usługa Azure AD może obliczyć ryzyko dla każdego logowania i każdego użytkownika. Użycie ryzyka jako kryterium w zasadach dostępu może zapewnić lepsze środowisko użytkownika, na przykład mniejszą liczbę monitów o uwierzytelnienie i lepsze zabezpieczenia, na przykład monitowanie użytkowników tylko wtedy, gdy są potrzebne, oraz automatyzowanie odpowiedzi i korygowania.

Zasady ryzyka związanego z logowaniem

Jeśli masz już licencje Azure AD — wersja Premium P2, które obsługują używanie ryzyka w zasadach dostępu, ale nie są używane, zdecydowanie zalecamy dodanie ryzyka do twojego bezpieczeństwa.

Zasady dostępu do aplikacji klienckiej

Microsoft Intune Zarządzanie aplikacjami (MAM) umożliwia wypychanie kontrolek ochrony danych, takich jak szyfrowanie magazynu, numer PIN, zdalne czyszczenie magazynu itp., do zgodnych klienckich aplikacji mobilnych, takich jak Outlook Mobile. Ponadto można utworzyć zasady dostępu warunkowego w celu ograniczenia dostępu do usług w chmurze, takich jak Exchange Online z zatwierdzonych lub zgodnych aplikacji.

Jeśli pracownicy instalują aplikacje z obsługą zarządzania aplikacjami mobilnymi, takie jak aplikacje mobilne usługi Office w celu uzyskiwania dostępu do zasobów firmowych, takich jak Exchange Online lub SharePoint Online, a Ty obsługujesz również model BYOD (przyniesiesz własne urządzenie), zalecamy wdrożenie zasad zarządzania aplikacjami mobilnymi w celu zarządzania konfiguracją aplikacji na urządzeniach osobistych bez rejestracji MDM, a następnie zaktualizowanie punktu dostępu warunkowego w celu umożliwienia dostępu tylko klientom z możliwością zarządzania aplikacjami mobilnymi.

Kontrola udzielenia dostępu warunkowego

Jeśli pracownicy instalują aplikacje z możliwością zarządzania aplikacjami mobilnymi względem zasobów firmy, a dostęp do nich jest ograniczony na urządzeniach zarządzanych przez usługę Intune, należy rozważyć wdrożenie zasad zarządzania aplikacjami mobilnymi w celu zarządzania konfiguracją aplikacji dla urządzeń osobistych i zaktualizowanie zasad dostępu warunkowego, aby zezwolić na dostęp tylko od klientów z możliwością zarządzania aplikacjami mobilnymi.

Implementacja dostępu warunkowego

Dostęp warunkowy jest niezbędnym narzędziem do poprawy poziomu bezpieczeństwa organizacji. Dlatego ważne jest, aby postępować zgodnie z tymi najlepszymi rozwiązaniami:

  • Upewnij się, że wszystkie aplikacje SaaS mają zastosowane co najmniej jedne zasady
  • Unikaj łączenia filtru Wszystkie aplikacje z kontrolką bloku, aby uniknąć ryzyka blokady
  • Unikaj używania filtru Wszyscy użytkownicy i nieumyślnego dodawania gości
  • Migrowanie wszystkich "starszych" zasad do Azure Portal
  • Przechwyć wszystkie kryteria dla użytkowników, urządzeń i aplikacji
  • Użyj zasad dostępu warunkowego do zaimplementowania uwierzytelnianiawieloskładnikowego zamiast uwierzytelniania wieloskładnikowego dla uwierzytelniania wieloskładnikowego
  • Mieć niewielki zestaw podstawowych zasad, które mogą być stosowane do wielu aplikacji
  • Definiowanie pustych grup wyjątków i dodawanie ich do zasad w celu realizacji strategii wyjątków
  • Planowanie kont z przerwami bez kontrolek uwierzytelniania wieloskładnikowego
  • Zapewnianie spójnego Microsoft 365 aplikacji klienckich, na przykład Teams, OneDrive, Outlook itp.) przez zaimplementowanie tego samego zestawu kontrolek dla usług, takich jak Exchange Online i SharePoint Online
  • Przypisywanie do zasad powinno być implementowane za pośrednictwem grup, a nie użytkowników indywidualnych
  • Regularnie przeglądaj grupy wyjątków używane w zasadach, aby ograniczyć czas, w jaki użytkownicy nie mają bezpieczeństwa. Jeśli jesteś właścicielem usługi Azure AD P2, możesz zautomatyzować ten proces za pomocą przeglądów dostępu

Obszar powierzchni dostępu

Starsze uwierzytelnianie

Silne poświadczenia, takie jak uwierzytelnianie wieloskładnikowe, nie mogą chronić aplikacji przy użyciu starszych protokołów uwierzytelniania, co sprawiają, że jest to preferowany wektor ataku przez złośliwych aktorów. Blokowanie starszego uwierzytelniania ma kluczowe znaczenie dla poprawy bezpieczeństwa dostępu.

Starsze uwierzytelnianie to termin, który odnosi się do protokołów uwierzytelniania używanych przez aplikacje, takich jak:

  • Starsze Office klientów, którzy nie korzystają z nowoczesnego uwierzytelniania (na przykład Office 2010)
  • Klienci, którzy używają protokołów poczty, takich jak IMAP/SMTP/POP

Osoby atakujące zdecydowanie preferują te protokoły — w rzeczywistości niemal 100% ataków na ataki typu "attack" na hasła korzysta ze starszych protokołów uwierzytelniania. Hakerzy używają starszych protokołów uwierzytelniania, ponieważ nie obsługują logowania interakcyjnego, co jest konieczne w przypadku dodatkowych wyzwań związanych z zabezpieczeniami, takich jak uwierzytelnianie wieloskładnikowe i uwierzytelnianie urządzeń.

Jeśli starsze uwierzytelnianie jest powszechnie używane w środowisku, należy zaplanować migrację starszych klientów do klientów, którzy obsługują nowoczesne uwierzytelnianie tak szybko, jak to możliwe. W tym samym tokenie, jeśli niektórzy użytkownicy już używają nowoczesnego uwierzytelniania, ale inni nadal używają starszego uwierzytelniania, należy wykonać następujące kroki, aby zablokować starszych klientów uwierzytelniania:

  1. Użyj raportów działań logowania, aby zidentyfikować użytkowników, którzy nadal używają starszego uwierzytelniania, i zaplanować korygowanie:

    a. Uaktualnij klientów z możliwością nowoczesnego uwierzytelniania do użytkowników, których to dotyczy.

    b. Zaplanuj harmonogram działania w trybie cutover, aby zablokować go na instrukcje opisane poniżej.

    c. Zidentyfikuj, które starsze aplikacje mają trudną zależność od starszego uwierzytelniania. Zobacz krok 3 poniżej.

  2. Wyłącz starsze protokoły w źródle (na przykład skrzynki pocztowej usługi Exchange) dla użytkowników, którzy nie korzystali ze starszego uwierzytelniania, aby uniknąć więcej narażenia.

  3. W przypadku pozostałych kont (najlepiej tożsamości innych niż ludzkie, takich jak konta usług), użyj dostępu warunkowego, aby ograniczyć starsze protokoły po uwierzytelnieniu.

W przypadku ataku z niedozwolonym udzieleniem zgody osoba atakująca tworzy aplikację zarejestrowaną w usłudze Azure AD, która żąda dostępu do danych, takich jak informacje kontaktowe, wiadomości e-mail lub dokumenty. Użytkownicy mogą udzielać zgody na złośliwe aplikacje za pośrednictwem ataków wyłudzających informacje podczas trafiania na złośliwe witryny internetowe.

Poniżej znajduje się lista aplikacji z uprawnieniami, które warto sprawdzać w przypadku usług w chmurze firmy Microsoft:

  • Aplikacje z aplikacją lub delegowane * . Uprawnienia ReadWrite
  • Aplikacje z delegowanymi uprawnieniami mogą odczytywać i wysyłać wiadomości e-mail w imieniu użytkownika oraz zarządzać nimi
  • Aplikacje, które mają przyznane uprawnienia przy użyciu następujących uprawnień:
Zasób Uprawnienie
Exchange Online EAS. AccessAsUser.All
EWS. AccessAsUser.All
Mail.Read
Microsoft Graph API Mail.Read
Mail.Read.Shared
Mail.ReadWrite
  • Aplikacje, dla których udzielono pełnej personifikacji użytkownika, zalogował się użytkownik. Przykład:
Zasób Uprawnienie
Microsoft Graph API Directory.AccessAsUser.All
Interfejs API REST platformy Azure user_impersonation

Aby uniknąć tego scenariusza, należy odwoływać się do wykrywania i korygowania niedozwolonych grantów w programie Office 365 w celu identyfikowania i naprawiania wszelkich aplikacji z niedozwolonym grantem lub aplikacji, które mają więcej grantów niż jest to konieczne. Następnie całkowicie usuń samoobsługę i ustanów procedury ładu. Na koniec zaplanuj regularne przeglądy uprawnień aplikacji i usuń je, gdy nie są potrzebne.

Ustawienia użytkowników i grup

Poniżej przedstawiono ustawienia użytkownika i grupy, które można zablokować, jeśli nie ma jawnej potrzeby biznesowej:

Ustawienia użytkownika

  • Użytkownicy zewnętrzni — współpraca zewnętrzna może odbywać się organicznie w przedsiębiorstwie dzięki usługom, Teams, Power BI, SharePoint Online i Azure Information Protection. Jeśli masz jawne ograniczenia dotyczące kontrolowania współpracy zewnętrznej inicjowanej przez użytkownika, zaleca się włączenie użytkowników zewnętrznych za pomocą zarządzania uprawnieniami usługi Azure AD lub kontrolowanej operacji, takiej jak za pośrednictwem działu pomocy technicznej. Jeśli nie chcesz zezwalać na organiczną współpracę zewnętrzną dla usług, możesz całkowicie zablokować członkom możliwość zapraszania użytkowników zewnętrznych. Możesz również zezwalać na określone domeny lub blokować je w zaproszeniach użytkowników zewnętrznych.
  • Rejestracje aplikacji — po Rejestracje aplikacji użytkownicy końcowi mogą samodzielnie dołączać aplikacje i udzielać dostępu do swoich danych. Typowym przykładem rejestracji aplikacji jest umożliwienie użytkownikom wtyczek usługi Outlook lub asystentom głosowym, takim jak Alexa i Siri, odczytywanie wiadomości e-mail i kalendarzy lub wysyłanie wiadomości e-mail w ich imieniu. Jeśli klient zdecyduje się wyłączyć rejestrację aplikacji, zespoły programów InfoSec i IAM muszą uczestniczyć w zarządzaniu wyjątkami (rejestracjami aplikacji, które są wymagane na podstawie wymagań biznesowych), ponieważ muszą zarejestrować aplikacje przy użyciu konta administratora i najprawdopodobniej wymagają zaprojektowania procesu do obsługi tego procesu.
  • Portal administracyjny — organizacje mogą zablokować blok usługi Azure AD w usłudze Azure Portal, aby osoby inne niż administratorzy nie mogą uzyskać dostępu do zarządzania usługi Azure AD w Azure Portal i pomylić. Przejdź do ustawień użytkownika w portalu zarządzania usługi Azure AD, aby ograniczyć dostęp:

Ograniczony dostęp do portalu administracyjnego

Uwaga

Osoby inne niż administratorzy mogą nadal mieć dostęp do interfejsów zarządzania usługi Azure AD za pośrednictwem wiersza polecenia i innych interfejsów programowych.

Ustawienia grupy

Samoobsługowe zarządzanie grupami / Użytkownicy mogą tworzyć grupy zabezpieczeń/Microsoft 365 grupy. Jeśli nie ma bieżącej inicjatywy samoobsługowej dla grup w chmurze, klienci mogą zdecydować się na jej wyłączenie, dopóki nie będą gotowi do korzystania z tej funkcji.

Ruch z nieoczekiwanych lokalizacji

Osoby atakujące pochodzą z różnych części świata. Zarządzanie tym ryzykiem przy użyciu zasad dostępu warunkowego z lokalizacją jako warunkiem. Warunek lokalizacji zasad dostępu warunkowego umożliwia zablokowanie dostępu do lokalizacji, z których nie ma powodu biznesowego do zalogowania się.

Tworzenie nowej nazwanej lokalizacji

Jeśli jest dostępna, użyj rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), aby analizować i znaleźć wzorce dostępu w różnych regionach. Jeśli nie używasz produktu SIEM lub nie pozyczysz informacji o uwierzytelnianiu z usługi Azure AD, zalecamy użycie rozwiązania Azure Monitor do identyfikowania wzorców dostępu w różnych regionach.

Użycie dostępu

Dzienniki usługi Azure AD zarchiwizowane i zintegrowane z planami reagowania na zdarzenia

Dostęp do działań związanych z logowaniem, inspekcji i zdarzeń o ryzyku dla usługi Azure AD ma kluczowe znaczenie dla rozwiązywania problemów, analizy użycia i badania śledczego. Usługa Azure AD zapewnia dostęp do tych źródeł za pośrednictwem interfejsów API REST, które mają ograniczony okres przechowywania. System zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) lub równoważna technologia archiwalna jest kluczem do długoterminowego przechowywania inspekcji i możliwości obsługi. Aby włączyć długoterminowe przechowywanie dzienników usługi Azure AD, należy dodać je do istniejącego rozwiązania SIEM lub użyć Azure Monitor. Archiwizowanie dzienników, które mogą być używane w ramach planów i badań reagowania na zdarzenia.

Podsumowanie

Bezpieczna infrastruktura tożsamości ma 12 aspektów. Ta lista pomaga w dalszym zabezpieczaniu poświadczeń i zarządzaniu nimi, definiowaniu środowiska uwierzytelniania, delegowaniu przypisania, mierzeniu użycia i definiowaniu zasad dostępu w oparciu o poziom zabezpieczeń przedsiębiorstwa.

  • Przypisywanie właścicieli do kluczowych zadań.
  • Implementowanie rozwiązań do wykrywania słabych lub przecieków haseł, ulepszania zarządzania hasłami i ich ochrony oraz dalszego zabezpieczania dostępu użytkowników do zasobów.
  • Zarządzanie tożsamościami urządzeń w celu ochrony zasobów w dowolnym momencie i z dowolnej lokalizacji.
  • Implementowanie uwierzytelniania bez hasła.
  • Zapewnianie standardowego mechanizmu logowania pojedynczego w całej organizacji.
  • Migrowanie aplikacji z AD FS do usługi Azure AD w celu zapewnienia lepszych zabezpieczeń i bardziej spójnego zarządzania.
  • Przypisywanie użytkowników do aplikacji przy użyciu grup w celu zapewnienia większej elastyczności i możliwości zarządzania na dużą skalę.
  • Konfigurowanie zasad dostępu opartych na ryzyku.
  • Blokowanie starszych protokołów uwierzytelniania.
  • Wykrywanie i korygowanie niedozwolonych zgód.
  • Zablokuj ustawienia użytkowników i grup.
  • Włącz długoterminowe przechowywanie dzienników usługi Azure AD na potrzeby rozwiązywania problemów, analizy użycia i badań śledczych.

Następne kroki

Wprowadzenie do operacji kontroli i akcji nadzoru nad tożsamościami.