Níveis de segurança de acesso privilegiado

Este documento descreve os níveis de segurança de uma estratégia de acesso privilegiado. Para ver um roteiro sobre como adotar essa estratégia, consulte o plano de modernização rápida (RaMP). Para obter as diretrizes de implementação, confira implantação de acesso privilegiado

Esses níveis são desenvolvidos principalmente para fornecer diretrizes técnicas simples e diretas para que as organizações possam implantar rapidamente essas proteções extremamente importantes. A estratégia de acesso privilegiado reconhece que as organizações têm necessidades exclusivas, mas também que soluções personalizadas geram complexidade que resulta em maiores custos e menor segurança com o passar do tempo. Para equilibrar essa necessidade, a estratégia propõe diretrizes prescritivas para cada nível e flexibilidade, permitindo assim que as organizações escolham quando cada função será necessária para atender aos requisitos desse nível.

Simplificar as coisas ajuda as pessoas a compreender tudo e reduz o risco de que elas fiquem confusas e cometam erros. Embora a tecnologia subjacente seja quase sempre complexa, é essencial manter as coisas simples em vez de criar soluções personalizadas que sejam difíceis de oferecer suporte. Para obter mais informações, consulte os Princípios do design de segurança.

Desenvolver soluções que se concentram nas necessidades dos administradores e dos usuários finais manterá isso simples para eles. Desenvolver soluções que sejam simples para os responsáveis pela segurança e equipes de TI criar, avaliar e manter (com automação sempre que possível) resulta em menos erros de segurança e garantias de segurança mais confiáveis.

A estratégia de segurança de acesso privilegiado recomendada implementa um sistema simples de três níveis de garantias, abrangendo todas as áreas, desenvolvidas para serem fáceis de implantar em: contas, dispositivos, intermediários e interfaces.

Cada nível sucessivo impulsiona os custos do invasor, com nível adicional de investimento no Defender para Nuvem. Os níveis são projetados para visar os "pontos de equilíbrio" ideais, em que os defensores obtêm o máximo de retorno (aumento do custo do invasor) para cada investimento de segurança que fizerem.

Cada função em seu ambiente deve ser mapeada para um desses níveis (e, opcionalmente, aumentada ao longo do tempo como parte de um plano de melhoria da segurança). Cada perfil é claramente definido como uma configuração técnica e automatizada onde é possível facilitar a implantação e acelerar as proteções de segurança. Para saber mais detalhes da implementação, consulte o artigo Roteiro de acesso privilegiado.

Níveis de segurança

Os níveis de segurança usados em toda essa estratégia são:

Empresa

• Segurança corporativa: é adequada para todos os usuários corporativos e cenários de produtividade. Na progressão do plano de modernização rápida, a empresa também serve como ponto de partida para acesso especializado e privilegiado à medida que ela aprimora progressivamente os controles de segurança na segurança corporativa.

  Observação

  Existem configurações de segurança mais fracas, mas não são recomendadas pela Microsoft para organizações corporativas hoje por conta das habilidades e recursos que os invasores dispõem. Para obter informações sobre o que os invasores podem comprar uns dos outros nos mercados negros e os preços médios, consulte as 10 melhores práticas para a segurança do Azure

Especializada

• Segurança especializada: fornece maior controle de segurança para funções com um impacto elevado nos negócios (se comprometida por um invasor ou detentor de informações privilegiadas mal-intencionado).

  Sua organização deverá ter critérios documentados para contas especializadas e privilegiadas (por exemplo, o potencial impacto nos negócios é superior a US $1 milhão) para então identificar todas as funções e contas que atendem aos critérios. (usada em toda essa estratégia, incluindo nas contas especializadas)

  As funções especializadas normalmente incluem:

  • Desenvolvedores de sistemas comercialmente críticos.
  • Funções de negócios confidenciais, como usuários de terminais SWIFT, pesquisadores com acesso a dados confidenciais, pessoal com acesso a relatórios financeiros antes da liberação pública, administradores de folha de pagamento, aprovadores de processos comerciais confidenciais e outras funções de alto impacto.
  • Executivos e assistentes pessoais/auxiliares administrativos que lidam regularmente com informações confidenciais.
  • Contas de mídia social de alto impacto que poderiam prejudicar a reputação da empresa.
  • Administradores de TI confidenciais com privilégios e impacto significativos, mas não são de toda a empresa. Esse grupo normalmente inclui administradores de cargas de trabalho de alto impacto individuais. (por exemplo, administradores de ERP, administradores bancários, funções de suporte técnico/atendimento etc.)

  A segurança de conta especializada também serve como uma etapa provisória para a segurança privilegiada, que mais baseia-se nesses controles. Consulte o roteiro de acesso privilegiado para obter detalhes sobre a ordem de progressão recomendada.

Com privilégios

• Segurança privilegiada: é o nível mais alto de segurança desenvolvido para funções que poderiam causar facilmente um grande incidente e potenciais danos materiais para a organização nas mãos de um invasor ou detentor de informações privilegiadas mal-intencionado. Esse nível normalmente inclui funções técnicas com permissões administrativas na maioria ou em todos os sistemas corporativos (incluindo às vezes uma seleção de algumas funções comercialmente críticas)

  Contas privilegiadas concentram-se primeiro na segurança, com a produtividade definida como a capacidade de executar tarefas de trabalho confidenciais de maneira fácil e segura. Essas funções não terão a capacidade de realizar tarefas de trabalho confidenciais e de produtividade geral (navegar na Web, instalar e usar qualquer aplicativo) usando a mesma conta ou o mesmo dispositivo/estação de trabalho. Elas terão contas e estações de trabalho altamente restritas com maior monitoramento de suas ações para atividades anormais que poderiam representar uma atividade de invasor.

  As funções de segurança de acesso privilegiado normalmente incluem:

  • Administradores globais do Microsoft Entra e funções relacionadas
  • Outras funções de gerenciamento de identidades com direitos administrativos para um diretório corporativo, sistemas de sincronização de identidades, solução de federação, diretório virtual, sistema de gerenciamento de identidade/acesso privilegiado ou semelhantes.
  • Funções com associação nesses grupos locais do Active Directory
    • Admins corporativos
    • Administradores do domínio
    • Administradores de Esquema
    • BUILTIN\Administradores
    • Opers. de contas
    • Operadores de cópia
    • Operadores de Impressão
    • Operadores de Servidores
    • Controladores de Domínio
    • Controladores de Domínio somente leitura
    • Proprietários criadores de política de grupo
    • Operadores criptográficos
    • Usuários COM Distribuídos
    • Grupos confidenciais locais do Exchange (incluindo Permissões do Windows do Exchange e do Exchange Trusted Subsystem)
    • Outros grupos delegados: grupos personalizados que podem ser criados por sua organização para gerenciar operações de diretório.
    • Qualquer administrador local para um sistema operacional subjacente ou locatário de serviço de nuvem que esteja hospedando os recursos acima, incluindo
      • Membros do grupo de administradores do local
      • Funcionários que conhecem a senha raiz ou interna do administrador
      • Administradores de qualquer ferramenta de gerenciamento ou segurança com agentes instalados nesses sistemas

Próximas etapas

• Visão geral da proteção de acesso privilegiado
• Estratégia do acesso privilegiado
• Medição do sucesso
• Contas do acesso privilegiado
• Intermediários
• Interfaces
• Dispositivos do acesso privilegiado
• Modelo de acesso corporativo