Uprzywilejowany dostęp: kontaPrivileged access: Accounts

Zabezpieczenia konta są krytycznym składnikiem zabezpieczania dostępu uprzywilejowanego.Account security is a critical component of securing privileged access. Zakończenie zerowego zabezpieczenia zaufania dla sesji wymaga ścisłego ustalenia, że konto używane w sesji jest rzeczywiście pod kontrolą właściciela ludzkiego, a nie przez osobę atakującą.End to end Zero Trust security for sessions requires strongly establishing that the account being used in the session is actually under the control of the human owner and not an attacker impersonating them.

Zabezpieczenia silnego konta zaczynają się od bezpiecznego aprowizacji i pełnego zarządzania cyklem życia za pośrednictwem programu w celu anulowania obsługi administracyjnej, a każda sesja musi ustanowić silną gwarancję, że konto nie jest obecnie zagrożone na podstawie wszystkich dostępnych danych, takich jak wzorce zachowań historycznych, dostępna analiza zagrożeń i użycie w bieżącej sesji.Strong account security starts with secure provisioning and full lifecycle management through to deprovisioning, and each session must establish strong assurances that the account isn't currently compromised based on all available data including historical behavior patterns, available threat intelligence, and usage in the current session.

Zabezpieczenia kontaAccount security

Te wskazówki określają trzy poziomy zabezpieczeń dla zabezpieczeń kont, których można używać w przypadku zasobów z różnymi poziomami czułości:This guidance defines three security levels for account security that you can use for assets with different sensitivity levels:

Kompleksowa ochrona kont

Te poziomy określają jasno i implementujące profile zabezpieczeń odpowiednie dla każdego poziomu czułości, który umożliwia szybkie Przypisywanie ról do i skalowanie w poziomie.These levels establish clear and implementable security profiles appropriate for each sensitivity level that you can assign roles to and scale out rapidly. Wszystkie te poziomy zabezpieczeń zostały zaprojektowane w celu utrzymania lub poprawy produktywności dla osób przez ograniczenie lub wyeliminowanie przerwy dla przepływów pracy użytkowników i administratorów.All of these account security levels are designed to maintain or improve productivity for people by limiting or eliminating interruption to user and admin workflows.

Planowanie zabezpieczeń kontaPlanning account security

Wskazówki te przedstawiają techniczne kontrole wymagane do spełnienia poszczególnych poziomów.This guidance outlines the technical controls required to meet each level. Wskazówki dotyczące implementacji są dostępne w planie uprzywilejowanego dostępu.Implementation guidance is in the privileged access roadmap.

Kontrolki zabezpieczeń kontaAccount security controls

Osiągnięcie bezpieczeństwa interfejsów wymaga kombinacji kontroli technicznej, które chronią konta i zapewniają sygnały, które mają być używane w ramach decyzji o zerowej zasadzie zaufania (zobacz Zabezpieczanie interfejsów dla odwołania do konfiguracji zasad).Achieving security for the interfaces requires a combination of technical controls that both protect the accounts and provide signals to be used in a Zero Trust policy decision (see Securing Interfaces for policy configuration reference).

Kontrolki używane w tych profilach obejmują:The controls used in these profiles include:

  • Uwierzytelnianie wieloskładnikowe — zapewnianie różnorodnych źródeł dowodu, które mogą być łatwe dla użytkowników, ale trudne do naśladowania przez atakującej.Multi-factor authentication - providing diverse sources of proof that the (designed to be as easy as possible for users, but difficult for an adversary to mimic).
  • Ryzyko związane z ryzykiem i monitorowanie anomalii — korzystanie z usługi UEBA i analizy zagrożeń w celu identyfikowania ryzykownych scenariuszyAccount risk - Threat and Anomaly Monitoring - using UEBA and Threat intelligence to identify risky scenarios
  • Niestandardowe monitorowanie — w przypadku bardziej poufnych kont jawne Definiowanie dozwolonych/zaakceptowanych zachowań/wzorców umożliwia wczesne wykrywanie nietypowej aktywności.Custom monitoring - For more sensitive accounts, explicitly defining allowed/accepted behaviors/patterns allows early detection of anomalous activity. Ta kontrolka nie jest odpowiednia dla kont ogólnego przeznaczenia w przedsiębiorstwie, ponieważ te konta potrzebują elastyczności dla ich ról.This control is not suitable for general purpose accounts in enterprise as these accounts need flexibility for their roles.

Kombinacja formantów umożliwia również zwiększenie bezpieczeństwa i użyteczności — na przykład użytkownik, który pozostaje w normalnym wzorcu (przy użyciu tego samego urządzenia w tym samym dniu, w którym znajduje się ten sam dzień), nie musi być monitowany o włączenie uwierzytelniania wieloskładnikowego za każdym razem, gdy uwierzytelnia się.The combination of controls also enables you to improve both security and usability - for example a user who stays within their normal pattern (using the same device in same location day after day) does not need to be prompted for outside MFA every time they authenticate.

Porównywanie każdej warstwy kont i korzyści z kosztów

Konta zabezpieczeń przedsiębiorstwaEnterprise security accounts

Formanty zabezpieczeń dla kont przedsiębiorstwa są przeznaczone do tworzenia bezpiecznego planu bazowego dla wszystkich użytkowników i zapewnienia bezpiecznej podstawy dla zabezpieczeń wyspecjalizowanych i uprzywilejowanych:The security controls for enterprise accounts are designed to create a secure baseline for all users and provide a secure foundation for specialized and privileged security:

  • Wymuś silne uwierzytelnianie wieloskładnikowe (MFA) — Upewnij się, że użytkownik jest uwierzytelniany przy użyciu silnej usługi MFA dostarczonej przez system tożsamości zarządzany przez firmę (szczegółowy na poniższym diagramie).Enforce strong multi-factor authentication (MFA) - Ensure that the user is authenticated with strong MFA provided by an enterprise-managed identity system (detailed in the diagram below). Aby uzyskać więcej informacji na temat uwierzytelniania wieloskładnikowego, zobacz temat Azure Security Best Practice 6.For more information about multi-factor authentication, see Azure security best practice 6.

    Uwaga

    Organizacja może zdecydować się na korzystanie z istniejącej słabszej formy usługi MFA w okresie przejściowym, dlatego osoby atakujące coraz częściej nie przechodzą na słabsze zabezpieczenia usługi MFA, więc wszystkie nowe inwestycje w usługę MFA powinny być zgodne z najsilniejszymi formularzami.While your organization may choose to use an existing weaker form of MFA during a transition period, attackers are increasingly evading the weaker MFA protections, so all new investment into MFA should be on the strongest forms.

  • Wymuś ryzyko związane z kontem/sesją — upewnij się, że konto nie może być uwierzytelniane, chyba że jest to na niskim poziomie ryzyka (lub średnim?).Enforce account/session risk - ensure that the account is not able to authenticate unless it is at a low (or medium?) risk level. Aby uzyskać szczegółowe informacje na temat warunkowego zabezpieczenia konta przedsiębiorstwa, zobacz poziomy zabezpieczeń interfejsu.See Interface Security Levels for details on conditional enterprise account security.

  • Monitorowanie alertów i reagowanie na nie — operacje zabezpieczeń powinny zintegrować alerty zabezpieczeń kont i uzyskać wystarczające szkolenia dotyczące tego, jak te protokoły i systemy zapewniają, że mogą szybko comprehend, co oznacza alert i odpowiednio reagować.Monitor and respond to alerts - Security operations should integrate account security alerts and get sufficient training on how these protocols and systems work to ensure they are able to rapidly comprehend what an alert means and react accordingly.

Na poniższym diagramie przedstawiono porównanie różnych form uwierzytelniania MFA i bezhaseł.The following diagram provides a comparison to different forms of MFA and passwordless authentication. Każda opcja w najlepszym polu jest uznawana za wysoki poziom bezpieczeństwa i wysoką użyteczność.Each option in the best box is considered both high security and high usability. Każdy z nich ma inne wymagania sprzętowe, dlatego warto mieszać i dopasowywać te, które są stosowane do różnych ról lub poszczególnych użytkowników.Each has different hardware requirements so you may want to mix and match which ones apply to different roles or individuals. Wszystkie rozwiązania bez hasła firmy Microsoft są rozpoznawane przez dostęp warunkowy jako usługa uwierzytelniania wieloskładnikowego, ponieważ wymagają połączenia dowolnego elementu z biometrią, czegoś znanego lub obu.All Microsoft passwordless solutions are recognized by Conditional Access as multi-factor authentication because they require combining something you have with either biometrics, something you know, or both.

Porównanie metod uwierzytelniania dobry, lepszy, najlepszy

Uwaga

Aby uzyskać więcej informacji na temat tego, dlaczego program SMS i inne uwierzytelnianie na telefonie są ograniczone, zapoznaj się z wpisem w blogu czas, aby rozłączyć się na transporty telefoniczne na potrzeby uwierzytelniania.For more information on why SMS and other phone based authentication is limited, see the blog post It's Time to Hang Up on Phone Transports for Authentication.

Wyspecjalizowane kontaSpecialized accounts

Wyspecjalizowane konta to wyższy poziom ochrony odpowiedni dla użytkowników poufnych.Specialized accounts are a higher protection level suitable for sensitive users. Ze względu na ich wyższy wpływ na wyspecjalizowane konta gwarantują dodatkowe monitorowanie i określanie priorytetów podczas alertów zabezpieczeń, badanie zdarzeń i łowiectwo zagrożeń.Because of their higher business impact, specialized accounts warrant additional monitoring and prioritization during security alerts, incident investigations, and threat hunting.

Wyspecjalizowane zabezpieczenia są oparte na silnej MFA w zabezpieczeniach korporacyjnych przez zidentyfikowanie najbardziej poufnych kont i zapewnienie priorytetów dla alertów i procesów odpowiedzi:Specialized security builds on the strong MFA in enterprise security by identifying the most sensitive accounts and ensuring alerts and response processes are prioritized:

  1. Identyfikowanie poufnych kont — Zobacz specjalistyczne wskazówki dotyczące poziomu zabezpieczeń dotyczące identyfikowania tych kont.Identify Sensitive Accounts - See specialized security level guidance for identifying these accounts.
  2. Oznacz specjalne konta — upewnij się, że każde konto poufne jest oznakowaneTag Specialized Accounts - Ensure each sensitive account is tagged
    1. Skonfiguruj usługę Azure Watchlists , aby zidentyfikować te poufne kontaConfigure Azure Sentinel Watchlists to identify these sensitive accounts
    2. Konfigurowanie ochrony konta priorytetowego w usłudze Microsoft Defender dla pakietu Office 365 i wyznaczanie wyspecjalizowanych i uprzywilejowanych kont jako priorytetów kont —Configure Priority Account Protection in Microsoft Defender for Office 365 and designate specialized and privileged accounts as priority accounts -
  3. Aktualizowanie procesów operacji zabezpieczeń — aby upewnić się, że te alerty mają najwyższy priorytetUpdate Security Operations processes - to ensure these alerts are given the highest priority
  4. Skonfiguruj proces ładu-Update lub CREATE ładu, aby upewnić się, żeSet up Governance - Update or create governance process to ensure that
    1. Wszystkie nowe role są oceniane pod kątem klasyfikacji wyspecjalizowanych lub uprzywilejowanych w miarę ich tworzenia lub zmianyAll new roles to are evaluated for specialized or privileged classifications as they are created or changed
    2. Wszystkie nowe konta są otagowane w miarę ich tworzeniaAll new accounts are tagged as they are created
    3. Ciągła lub okresowa kontrola poza pasmem, aby zapewnić, że role i konta nie zostały pominięte przez normalne procesy ładu.Continuous or periodic out of band checks to ensure that roles and accounts didn't get missed by normal governance processes.

Konta uprzywilejowanePrivileged accounts

Konta uprzywilejowane mają najwyższy poziom ochrony, ponieważ stanowią znaczący lub istotny potencjalny wpływ na operacje organizacji, jeśli zostanie naruszony.Privileged accounts have the highest level of protection because they represent a significant or material potential impact on the organization's operations if compromised.

Konta uprzywilejowane zawsze obejmują administratorów IT mających dostęp do większości lub wszystkich systemów przedsiębiorstwa, w tym większości lub wszystkich systemów krytycznych dla działalności firmy.Privileged accounts always include IT Admins with access to most or all enterprise systems, including most or all business critical systems. Inne konta o dużym znaczeniu biznesowym mogą również zapewnić ten dodatkowy poziom ochrony.Other accounts with a high business impact may also warrant this additional level of protection. Aby uzyskać więcej informacji o tym, które role i konta powinny być chronione na tym poziomie, zobacz artykuł uprzywilejowane zabezpieczenia.For more information about which roles and accounts should be protected at what level, see the article Privileged Security.

Oprócz wyspecjalizowanych zabezpieczeń konta uprzywilejowane zabezpieczeń zwiększają zarówno:In addition to specialized security , privileged account security increases both:

  • Zapobieganie — Dodawanie kontrolek w celu ograniczenia użycia tych kont do określonych urządzeń, stacji roboczych i pośredników.Prevention - add controls to restrict the usage of these accounts to the designated devices, workstations, and intermediaries.
  • Odpowiedź — ściśle Monitoruj te konta pod kątem nietypowej aktywności oraz szybko Badaj i Koryguj ryzyko.Response - closely monitor these accounts for anomalous activity and rapidly investigate and remediate the risk.

Konfigurowanie zabezpieczeń uprzywilejowanego kontaConfiguring privileged account security

Postępuj zgodnie ze wskazówkami w planie szybkiego modernizacji zabezpieczeń , aby zwiększyć bezpieczeństwo kont uprzywilejowanych i obniżyć koszty zarządzania.Follow the guidance in the Security rapid modernization plan to both increase the security of your privileged accounts and decrease your cost to manage.

Następne krokiNext steps