Plano de modernização rápida de segurança

Este RAMP (plano modernização rápida) ajudará você a adotar rapidamente a estratégia de acesso privilegiado recomendada pela Microsoft.

Este roteiro se baseia nos controles técnicos estabelecidos nas diretrizes de implantação de acesso privilegiado. Conclua essas etapas e depois use as etapas neste RAMP para configurar os controles da organização.

Observação

Muitas dessas etapas terão um greenfield/brownfield dinâmico, pois as organizações geralmente apresentam riscos de segurança na maneira como já foram implantadas ou como configuraram as contas. Esse roteiro prioriza a interrupção do acúmulo de novos riscos de segurança e posteriormente limpa os itens restantes que já foram acumulados.

Durante o andamento do roteiro, você pode utilizar o Microsoft Secure Score para acompanhar e comparar muitos itens no percurso com outros usuários em organizações semelhantes ao longo do tempo. Saiba mais sobre o Microsoft Secure Score no artigo Visão geral do Secure Score.

Cada item nesse RAMP é estruturado como uma iniciativa que será rastreada e gerenciada usando um formato baseado na metodologia de OKR (objetivos e principais resultados). Cada item inclui o que (objetivo), por que, quem, como e como medir (principais resultados). Alguns itens exigem alterações nos processos e em conhecimento/habilidades das pessoas, enquanto outros são alterações de tecnologia mais simples. Muitas dessas iniciativas incluirão pessoas que não são membros do Departamento de TI tradicional, as quais devem ser incluídas na tomada de decisão e na implementação dessas alterações para garantir que sejam integradas com êxito à organização.

É crítico trabalhar em conjunto como organização, criar parcerias e instruir as pessoas que tradicionalmente não fazem parte desse processo. É crítico criar e manter a adesão em toda a organização, pois sem essa adesão, muitos projetos falharão.

Separar e gerenciar as contas com privilégios

Contas de acesso de emergência

• O que: verificar se você não foi bloqueado acidentalmente na organização do Microsoft Entra em uma situação de emergência.
• Por que: contas de acesso de emergência raramente são usadas e são altamente prejudiciais à organização, se comprometidas, mas sua disponibilidade para a organização também é extremamente importante para os poucos cenários em que são necessárias. Verifique se você tem um plano de continuidade do acesso que comporte eventos esperados e inesperados.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
• Como: siga as diretrizes em Gerenciar contas de acesso de emergência no Microsoft Entra ID.
• Medir principais resultados:
  • O processo de acesso de emergência estabelecido foi criado com base nas diretrizes da Microsoft que atendem às necessidades da organização
  • O acesso de emergência mantido foi examinado e testado nos últimos 90 dias

Habilitar o Microsoft Entra Privileged Identity Management

• O que: usar o Microsoft Entra Privileged Identity Management (PIM) no ambiente de produção do Microsoft Entra para descobrir e proteger as contas com privilégios
• Por que: o Privileged Identity Management fornece ativação de função baseada em tempo e aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou que foram indevidamente utilizadas.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
• Como: implantar e configurar o Microsoft Entra Privileged Identity Management usando as diretrizes no artigo Implantar o Microsoft Entra Privileged Identity Management (PIM).
• Medir principais resultados: 100% das funções de acesso privilegiado aplicáveis estão usando o Microsoft Entra PIM

Identificar e categorizar contas privilegiadas (ID do Microsoft Entra)

• O que: identificar todas as funções e grupos com alto impacto nos negócios que exigirão um nível de segurança privilegiado (imediatamente ou ao longo do tempo). Esses administradores exigirão contas separadas em uma etapa posterior: Administração de acesso privilegiado.

• Por que: essa etapa é necessária para identificar e minimizar o número de pessoas que exigem contas separadas e proteção de acesso privilegiado

• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade

• Como: depois de ativar o Microsoft Entra Privileged Identity Management, exiba os usuários que estão nas seguintes funções do Microsoft Entra, no mínimo, com base nas políticas de risco de suas organizações:

  • Administrador global
  • Administrador de funções com privilégios
  • Administrador do Exchange
  • Administrador do SharePoint

  Para obter uma lista completa das funções de administrador, confira Permissões da função de administrador no Microsoft Entra ID.

  Remova todas as contas que não são mais necessárias nessas funções. Em seguida, categorize as contas restantes atribuídas às funções administrativas:

  • Atribuídas a usuários administrativos, mas também usadas para fins de produtividade não administrativa, como leitura e resposta de email.
  • Atribuídas a usuários administrativos e usadas apenas para fins administrativos
  • Compartilhada por vários usuários
  • Para cenários de acesso de emergência em situação crítica
  • Para scripts automatizados
  • Para usuários externos

Se você não tiver o Microsoft Entra Privileged Identity Management em sua organização, poderá usar a API do PowerShell. Além disso, comece com a função de administrador global porque um administrador global tem as mesmas permissões em todos os serviços de nuvem que sua organização assinou. Essas permissões são concedidas independentemente de onde foram atribuídas: no Centro de Administração do Microsoft 365, no portal do Azure ou pelo módulo do Azure AD para Microsoft PowerShell.

• Medir principais resultados: a revisão e a identificação das funções de acesso privilegiado foram concluídas nos últimos 90 dias

Contas separadas (contas do AD local)

• O que: proteger as contas administrativas locais, se ainda não tiver feito isso. Este estágio inclui:

  • Criar contas de administrador separadas para usuários que precisam realizar tarefas administrativas locais
  • Implantar estações de trabalho com acesso privilegiado para administradores do Active Directory
  • Criar senhas de administrador local exclusivas para estações de trabalho e servidores

• Por que: proteção das contas usadas para tarefas administrativas. As contas de administrador devem ter o email desabilitado e contas Microsoft pessoais não devem ser permitidas.

• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade

• Como: todas as pessoas com autorização para ter privilégios administrativos devem ter contas separadas para funções administrativas diferentes das contas de usuário. Não compartilhe essas contas entre os usuários.

  • Contas de usuário padrão privilégios de usuário padrão concedidos para tarefas de usuário padrão, como email, navegação na Web e uso de aplicativos de linha de negócios. Essas contas não recebem privilégios administrativos.
  • Contas administrativas: contas separadas, criadas para funcionários que recebem os privilégios administrativos apropriados.

• Medir principais resultados: 100% dos usuários com privilégios locais têm contas dedicadas separadas

Microsoft Defender para Identidade

• O que: o Microsoft Defender para Identidade combina sinais locais com insights de nuvem para monitorar, proteger e investigar eventos em um formato simplificado, permitindo que as equipes de segurança detectem ataques avançados contra a infraestrutura de identidade com a capacidade de:

  • Monitorar usuários, comportamento de entidade e atividades com a análise baseada em aprendizado
  • Proteger as identidades do usuário e as credenciais armazenadas no Active Directory
  • Identificar e investigar atividades de usuário suspeitas e ataques avançados em toda a cadeia do ataque cibernético
  • Fornecer informações claras sobre incidentes em uma linha do tempo simples para triagem rápida

• Por que: os invasores modernos podem permanecer não detectados por longos períodos. Muitas ameaças são difíceis de encontrar sem uma imagem coesa de todo o ambiente de identidade.

• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade

• Como: implantar e habilitar o Microsoft Defender para Identidade e examinar os alertas em aberto.

• Medir principais resultados: todos os alertas em aberto são examinados e mitigados pelas equipes adequadas.

Melhorar a experiência de gerenciamento de credenciais

Implementar e documentar a redefinição de senha self-service e o registro de informações de segurança combinadas

• O que: habilitar e configurar a SSPR (redefinição de senha self-service) na organização e habilitar a experiência de registro de informações de segurança combinadas.
• Por que: os usuários podem redefinir suas próprias senhas após terem se registrado. A experiência de registro de informações de segurança combinadas proporciona uma melhor experiência de usuário, permitindo o registro da autenticação multifator do Microsoft Entra e a redefinição de senha self-service. Quando usadas em conjunto, essas ferramentas contribuem para reduzir os custos de assistência técnica e aumentar o número de usuários satisfeitos.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
    • Operações de TI Central Os processos de assistência técnica foram atualizados e a equipe recebeu o respectivo treinamento
• Como: para habilitar e implantar a SSPR, confira o artigo Planejar uma implantação de redefinição de senha self-service do Microsoft Entra.
• Medir principais resultados: a redefinição de senha self-service está totalmente configurada e disponível para a organização

Proteger contas de administrador - habilitar e exigir MFA/sem senha para usuários com privilégios do Microsoft Entra ID

• O que: exigir que todas as contas com privilégios no Microsoft Entra ID usem uma autenticação multifator forte

• Por que: para proteger o acesso a dados e serviços no Microsoft 365.

• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
    • Operações de TI Central Os processos de assistência técnica foram atualizados e a equipe recebeu o respectivo treinamento
    • Operações de TI Central Os processos de proprietário de serviço foram atualizados e a equipe recebeu o respectivo treinamento

• Como: ativar a MFA (autenticação multifator) do Microsoft Entra e registrar todas as outras contas de administrador não federadas de usuário único com privilégios elevados. Exigir autenticação multifator na entrada para todos os usuários individuais atribuídos permanentemente a uma ou mais das funções de administrador do Microsoft Entra, como:

  • Administrador global
  • Administrador de Função com Privilégios
  • Administrador do Exchange
  • Administrador do SharePoint

  Exigir que os administradores usem métodos de entrada sem senha, como chaves de segurança FIDO2 ou Windows Hello para Empresas, em conjunto com senhas exclusivas, longas e complexas. Aplicar essa alteração com um documento de política organizacional.

Seguir as diretrizes nos artigos Planejar uma implantação de autenticação multifator do Microsoft Entra e Planejar uma implantação de autenticação sem senha no Microsoft Entra ID.

• Medir principais resultados: 100% dos usuários com privilégios estão usando a autenticação sem senha ou uma forma de autenticação multifator forte para todos os logons. Confira Contas de acesso privilegiado para obter a descrição da autenticação multifator

Bloquear protocolos de autenticação herdados para contas de usuário com privilégios

• O que: bloquear o uso do protocolo de autenticação herdado para contas de usuário com privilégios.

• Por que: as organizações devem bloquear esses protocolos de autenticação herdados, pois a autenticação multifator não pode ser aplicada a eles. Deixar protocolos de autenticação herdados habilitados pode criar um ponto de entrada para invasores. Alguns aplicativos herdados podem depender desses protocolos e as organizações têm a opção de criar exceções específicas para determinadas contas. Essas exceções devem ser acompanhadas e controles de monitoramento adicionais devem ser implementados.

• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Política e padrões: estabelecer requisitos claros
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central Operações de TI Central para implementar a política
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade

• Como: para bloquear protocolos de autenticação herdados na organização, siga as diretrizes no artigo Instruções: bloquear autenticação herdada no Microsoft Entra ID com acesso condicional.

• Medir principais resultados:

  • Protocolos herdados bloqueados: todos os protocolos herdados são bloqueados para todos os usuários, com apenas exceções autorizadas
  • As exceções são examinadas a cada 90 dias e expiram permanentemente em um ano. Os proprietários do aplicativo devem corrigir todas as exceções em um ano após a primeira aprovação da exceção

Processo de consentimento de aplicativos

• O que: desabilitar o consentimento do usuário final para aplicativos do Microsoft Entra.

Observação

Essa alteração exigirá a centralização do processo de tomada de decisões com as equipes de administração de identidade e segurança da organização.

• Por que: os usuários podem criar riscos organizacionais inadvertidamente, dando consentimento para um aplicativo que pode acessar dados organizacionais de forma mal-intencionada.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
    • Operações de TI Central Os processos de assistência técnica foram atualizados e a equipe recebeu o respectivo treinamento
    • Operações de TI Central Os processos de proprietário de serviço foram atualizados e a equipe recebeu o respectivo treinamento
• Como: estabelecer um processo de consentimento centralizado para manter a visibilidade centralizada e o controle dos aplicativos que têm acesso aos dados, seguindo as diretrizes no artigo Gerenciamento de consentimento para aplicativos e avaliação das solicitações de consentimento.
• Medir principais resultados: os usuários finais não podem consentir o acesso ao aplicativo do Microsoft Entra

Limpar os riscos de conta e de entrada

• O que: habilitar o Microsoft Entra ID Protection e limpar os riscos encontrados.
• Por que: o comportamento do usuário suspeito e da entrada pode ser uma fonte de ataques contra a organização.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
    • Operações de TI Central Os processos de assistência técnica foram atualizados para as chamadas de suporte relacionadas e a equipe recebeu o respectivo treinamento
• Como: criar um processo que monitora e gerencia o risco de usuário e de entrada. Decida se você vai automatizar a correção usando a autenticação multifator do Microsoft Entra e a SSPR ou bloquear e exigir a intervenção do administrador. Siga as diretrizes no artigo Instruções: configurar e habilitar políticas de risco.
• Medir principais resultados: a organização não tem riscos de usuário e de entrada não resolvidos.

Observação

Políticas de Acesso Condicional são necessárias para bloquear o acúmulo de novos riscos de entrada. Confira a seção de Acesso condicional da Implantação de Acesso Privilegiado

Implantação inicial das estações de trabalho de administração

• O que: contas com privilégios, como Administradores Globais, têm estações de trabalho dedicadas para realizar as tarefas administrativas.
• Por que: os dispositivos em que as tarefas de administração privilegiadas são concluídas são um alvo de invasores. A proteção da conta e desses ativos é crítica para reduzir a área da superfície de ataque. Essa separação limita a exposição a ataques comuns direcionados a tarefas relacionadas à produtividade, como email e navegação na Web.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
    • Operações de TI Central Os processos de assistência técnica foram atualizados e a equipe recebeu o respectivo treinamento
    • Operações de TI Central Os processos de proprietário de serviço foram atualizados e a equipe recebeu o respectivo treinamento
• Como: a implantação inicial deve ser para o nível Empresarial, conforme descrito no artigo Implantação de acesso privilegiado
• Medir os principais resultados: cada conta com privilégios tem uma estação de trabalho dedicada para realizar as tarefas confidenciais.

Observação

Essa etapa estabelece rapidamente uma linha de base de segurança e deve ser aumentada em níveis especializados e privilegiados assim que possível.

Próximas etapas

• Visão geral da proteção de acesso privilegiado
• Estratégia do acesso privilegiado
• Medição do sucesso
• Níveis de segurança
• Contas do acesso privilegiado
• Intermediários
• Interfaces
• Dispositivos do acesso privilegiado
• Modelo de acesso corporativo