Dostęp uprzywilejowany: konta

Zabezpieczenia konta to krytyczny składnik zabezpieczania uprzywilejowanego dostępu. Kompleksowe zabezpieczenia zerowego zaufania dla sesji wymagają silnego ustalenia, że konto używane w sesji jest w rzeczywistości pod kontrolą właściciela człowieka, a nie osoba atakująca personifikująca je.

Silne zabezpieczenia konta zaczynają się od bezpiecznej aprowizacji i pełnego zarządzania cyklem życia w celu anulowania aprowizacji, a każda sesja musi ustanowić silne gwarancje, że konto nie jest obecnie naruszone na podstawie wszystkich dostępnych danych, w tym historycznych wzorców zachowania, dostępnych analiz zagrożeń i użycia w bieżącej sesji.

Zabezpieczenia konta

Te wskazówki definiują trzy poziomy zabezpieczeń dla zabezpieczeń konta, których można używać dla zasobów z różnymi poziomami poufności:

Protecting accounts end to end

Te poziomy określają jasne i możliwe do wdrożenia profile zabezpieczeń odpowiednie dla każdego poziomu poufności, do którego można przypisać role i szybko skalować je w poziomie. Wszystkie te poziomy zabezpieczeń konta zostały zaprojektowane tak, aby utrzymać lub zwiększyć produktywność użytkowników, ograniczając lub eliminując przerwy w przepływach pracy użytkowników i administratorów.

Planowanie zabezpieczeń konta

Te wskazówki przedstawiają mechanizmy kontroli technicznej wymagane do spełnienia poszczególnych poziomów. Wskazówki dotyczące implementacji są dostępne w planie dostępu uprzywilejowanego.

Mechanizmy kontroli zabezpieczeń konta

Osiągnięcie zabezpieczeń interfejsów wymaga kombinacji mechanizmów kontroli technicznej, które chronią konta i zapewniają sygnały, które mają być używane w decyzji dotyczącej zasad zero trust (zobacz Zabezpieczanie interfejsów w celu uzyskania informacji o konfiguracji zasad).

Kontrolki używane w tych profilach obejmują:

  • Uwierzytelnianie wieloskładnikowe — dostarczanie różnorodnych źródeł dowodu, że element (zaprojektowany tak łatwo, jak to możliwe dla użytkowników, ale trudny do naśladowania przez przeciwnika).
  • Ryzyko związane z kontem — monitorowanie zagrożeń i anomalii — używanie analizy UEBA i analizy zagrożeń do identyfikowania ryzykownych scenariuszy
  • Monitorowanie niestandardowe — w przypadku bardziej poufnych kont jawne definiowanie dozwolonych/akceptowanych zachowań/wzorców umożliwia wczesne wykrywanie nietypowych działań. Ta kontrolka nie jest odpowiednia dla kont ogólnego przeznaczenia w przedsiębiorstwie, ponieważ te konta wymagają elastyczności dla swoich ról.

Kombinacja kontrolek umożliwia również poprawę bezpieczeństwa i użyteczności — na przykład użytkownik, który pozostaje w normalnym wzorcu (przy użyciu tego samego urządzenia w tej samej lokalizacji dzień po dniu) nie musi być monitowany o spoza uwierzytelniania wieloskładnikowego za każdym razem, gdy się uwierzytelnia.

Comparing each account tier and cost benefit

Konta zabezpieczeń przedsiębiorstwa

Mechanizmy kontroli zabezpieczeń dla kont przedsiębiorstwa zostały zaprojektowane w celu utworzenia bezpiecznego punktu odniesienia dla wszystkich użytkowników i zapewnienia bezpiecznej podstawy dla wyspecjalizowanych i uprzywilejowanych zabezpieczeń:

  • Wymuszanie silnego uwierzytelniania wieloskładnikowego (MFA) — upewnij się, że użytkownik jest uwierzytelniany przy użyciu silnego uwierzytelniania wieloskładnikowego dostarczonego przez system tożsamości zarządzanych przez przedsiębiorstwo (opisany na poniższym diagramie). Aby uzyskać więcej informacji na temat uwierzytelniania wieloskładnikowego, zobacz Najlepsze rozwiązanie w zakresie zabezpieczeń platformy Azure 6.

    Uwaga

    Chociaż Organizacja może zdecydować się na użycie istniejącej słabszej formy uwierzytelniania wieloskładnikowego w okresie przejściowym, osoby atakujące coraz częściej unikają słabszych zabezpieczeń uwierzytelniania wieloskładnikowego, więc wszystkie nowe inwestycje w uwierzytelnianie wieloskładnikowe powinny znajdować się na najsilniejszych formach.

  • Wymuszanie ryzyka związanego z kontem/sesją — upewnij się, że konto nie może się uwierzytelnić, chyba że jest ono na niskim (lub średnim?) poziomie ryzyka. Zobacz Poziomy zabezpieczeń interfejsu, aby uzyskać szczegółowe informacje na temat warunkowych zabezpieczeń konta przedsiębiorstwa.

  • Monitorowanie alertów i reagowanie na nie — operacje zabezpieczeń powinny integrować alerty zabezpieczeń konta i uzyskiwać wystarczające szkolenia dotyczące sposobu działania tych protokołów i systemów, aby zapewnić szybkie zrozumienie, co oznacza alert i odpowiednio reaguje.

Na poniższym diagramie przedstawiono porównanie różnych form uwierzytelniania wieloskładnikowego i uwierzytelniania bez hasła. Każda opcja w najlepszym polu jest uznawana za wysokie bezpieczeństwo i wysoką użyteczność. Każdy z nich ma inne wymagania sprzętowe, więc warto mieszać i dopasowywać te, które mają zastosowanie do różnych ról lub osób. Wszystkie rozwiązania bez hasła firmy Microsoft są rozpoznawane przez dostęp warunkowy jako uwierzytelnianie wieloskładnikowe, ponieważ wymagają one połączenia czegoś, co masz z danymi biometrycznymi, coś, co znasz, lub oba te rozwiązania.

Comparison of authentication methods good, better, best

Uwaga

Aby uzyskać więcej informacji na temat tego, dlaczego uwierzytelnianie sms i inne uwierzytelnianie oparte na telefonie jest ograniczone, zobacz wpis w blogu It's Time to Hang Up on Phone Transports for Authentication (Czas zawieszać się na telefonach na potrzeby uwierzytelniania).

Wyspecjalizowane konta

Wyspecjalizowane konta to wyższy poziom ochrony odpowiedni dla poufnych użytkowników. Ze względu na ich większy wpływ na działalność biznesową wyspecjalizowane konta gwarantują dodatkowe monitorowanie i priorytetyzację podczas alertów zabezpieczeń, badań dotyczących zdarzeń i wyszukiwania zagrożeń.

Wyspecjalizowane zabezpieczenia bazują na silnej usłudze MFA w zabezpieczeniach przedsiębiorstwa, identyfikując najbardziej poufne konta i zapewniając priorytety alertów i procesów reagowania:

  1. Identyfikowanie kont poufnych — zobacz specjalistyczne wskazówki dotyczące poziomu zabezpieczeń dotyczące identyfikowania tych kont.
  2. Tagowanie wyspecjalizowanych kont — upewnij się, że każde poufne konto jest oznakowane
    1. Konfigurowanie list obserwowanych usługi Microsoft Sentinel w celu identyfikowania tych poufnych kont
    2. Konfigurowanie ochrony konta priorytetowego w usłudze Microsoft Defender dla usługi Office 365 i wyznaczanie specjalnych i uprzywilejowanych kont jako kont priorytetowych —
  3. Aktualizowanie procesów operacji zabezpieczeń — aby upewnić się, że te alerty mają najwyższy priorytet
  4. Konfigurowanie ładu — aktualizowanie lub tworzenie procesu zapewniania ładu w celu zapewnienia, że
    1. Wszystkie nowe role, które mają być oceniane pod kątem wyspecjalizowanych lub uprzywilejowanych klasyfikacji podczas ich tworzenia lub zmieniania
    2. Wszystkie nowe konta są oznaczane podczas ich tworzenia
    3. Ciągłe lub okresowe kontrole poza pasmem, aby upewnić się, że role i konta nie zostały pominięte przez normalne procesy nadzoru.

Konta uprzywilejowane

Konta uprzywilejowane mają najwyższy poziom ochrony, ponieważ stanowią znaczący lub istotny potencjalny wpływ na operacje organizacji w przypadku naruszenia zabezpieczeń.

Konta uprzywilejowane zawsze obejmują administratorów IT z dostępem do większości lub wszystkich systemów przedsiębiorstwa, w tym większości lub wszystkich systemów krytycznych dla działania firmy. Inne konta o dużym wpływie biznesowym mogą również uzasadniać ten dodatkowy poziom ochrony. Aby uzyskać więcej informacji na temat ról i kont, które powinny być chronione na jakim poziomie, zobacz artykuł Privileged Security (Zabezpieczenia uprzywilejowane).

Oprócz wyspecjalizowanych zabezpieczeń zabezpieczenia uprzywilejowanego konta zwiększają zarówno:

  • Zapobieganie — dodawanie kontrolek w celu ograniczenia użycia tych kont do wyznaczonych urządzeń, stacji roboczych i pośredników.
  • Odpowiedź — ściśle monitoruj te konta pod kątem nietypowych działań i szybko zbadaj i koryguj ryzyko.

Konfigurowanie zabezpieczeń konta uprzywilejowanego

Postępuj zgodnie ze wskazówkami w planie szybkiej modernizacji zabezpieczeń , aby zwiększyć bezpieczeństwo kont uprzywilejowanych i zmniejszyć koszty zarządzania.

Następne kroki