Incumprimentos de segurança em Azure AD

  • Artigo
  • 9 minutos para ler

A Microsoft está a disponibilizar falhas de segurança a todos, porque gerir a segurança pode ser difícil. Ataques relacionados com identidade como spray de palavra-passe, repetição e phishing são comuns no ambiente de hoje. Mais de 99,9% destes ataques relacionados com a identidade são interrompidos através da utilização de autenticação multi-fatores (MFA) e pelo bloqueio da autenticação do legado. O objetivo é garantir que todas as organizações tenham pelo menos um nível básico de segurança, sem custos adicionais.

Os incumprimentos de segurança facilitam a proteção da sua organização contra estes ataques relacionados com identidade com definições de segurança pré-configuradas:

Quem é para quê?

  • Organizações que querem aumentar a sua postura de segurança, mas não sabem como ou por onde começar.
  • Organizações que usam o nível livre de licenças de Azure Ative Directory.

Quem deve utilizar o Acesso Condicional?

  • Se é uma organização que utiliza atualmente as políticas de Acesso Condicional, os padrão de segurança provavelmente não são adequados para si.
  • Se é uma organização com licenças Azure Ative Directory Premium, os incumprimentos de segurança provavelmente não são adequados para si.
  • Se a sua organização tem requisitos de segurança complexos, deve considerar o Acesso Condicional.

Permitir incumprimentos de segurança

Se o seu inquilino foi criado em ou depois de 22 de outubro de 2019, os incumprimentos de segurança podem ser ativados no seu inquilino. Para proteger todos os nossos utilizadores, os incumprimentos de segurança estão a ser lançados a todos os novos inquilinos na criação.

Para ativar as falhas de segurança no seu diretório:

  1. Inscreva-se no portal do Azure como administrador de segurança, administrador de acesso condicional ou administrador global.
  2. Navegue por Azure Ative Directory>Properties.
  3. Selecione Gerir as falhas de segurança.
  4. Desafine o alternância de segurança ativa para Sim.
  5. Selecione Guardar.

Screenshot of the Azure portal with the toggle to enable security defaults

Políticas de segurança aplicadas

Exigir que todos os utilizadores se registem para Azure AD autenticação multi-factor

Todos os utilizadores do seu inquilino devem inscrever-se para autenticação multi-factor (MFA) sob a forma da Azure AD Autenticação Multi-Factor. Os utilizadores têm 14 dias para se inscreverem para Azure AD Autenticação Multi-Factor utilizando a aplicação Microsoft Authenticator. Após os 14 dias que passaram, o utilizador não pode fazer o c.iná-lo até que o registo esteja concluído. O período de 14 dias de um utilizador começa após o seu primeiro início de sposição interativo bem-sucedido após permitir incumprimentos de segurança.

Exigir que os administradores façam a autenticação de vários fatores

Os administradores aumentaram o acesso ao seu ambiente. Devido ao poder que estas contas altamente privilegiadas têm, deve tratá-las com especial cuidado. Um método comum para melhorar a proteção das contas privilegiadas consiste em exigir uma verificação mais forte da conta para a inscrição. Em Azure AD, você pode obter uma verificação de conta mais forte, exigindo a autenticação de vários fatores.

Dica

Recomendamos ter contas separadas para tarefas de administração e produtividade padrão para reduzir significativamente o número de vezes que os seus administradores são solicitados para MFA.

Após o registo com Azure AD Autenticação Multi-Factor está concluída, as seguintes funções de administrador Azure AD serão necessárias para fazer autenticação extra sempre que assinarem:

  • Administrador global
  • Administrador de aplicação
  • Administrador de autenticação
  • Administrador de faturação
  • Administrador de aplicação em nuvem
  • Administrador de acesso condicional
  • Administrador do Exchange
  • Administrador da Helpdesk
  • Administrador de palavras-passe
  • Administrador de autenticação privilegiada
  • Administrador de segurança
  • Administrador do SharePoint
  • Administrador de utilizadores

Exigir que os utilizadores façam a autenticação de vários fatores quando necessário

Tendemos a pensar que as contas do administrador são as únicas contas que precisam de camadas extras de autenticação. Os administradores têm um amplo acesso a informações sensíveis e podem fazer alterações nas definições de subscrição. Mas os atacantes frequentemente visam os utilizadores finais.

Após estes agressores terem acesso, podem solicitar acesso a informações privilegiadas para o titular da conta original. Podem até descarregar todo o diretório para fazer um ataque de phishing a toda a sua organização.

Um método comum para melhorar a proteção para todos os utilizadores é exigir uma forma mais forte de verificação de conta, como a Autenticação Multi-Factor, para todos. Depois de os utilizadores completarem o registo de autenticação multi-factor, serão solicitados para outra autenticação sempre que necessário. Azure AD decide quando um utilizador será solicitado para a Autenticação Multi-Factor, com base em fatores como localização, dispositivo, função e tarefa. Esta funcionalidade protege todas as aplicações registadas com Azure AD incluindo aplicações SaaS.

Bloquear protocolos de autenticação de legados

Para dar aos seus utilizadores um fácil acesso às suas aplicações na nuvem, Azure AD suporta vários protocolos de autenticação, incluindo a autenticação antiga. Autenticação de legado é um termo que se refere a um pedido de autenticação feito por:

  • Clientes que não utilizam a autenticação moderna (por exemplo, um Office cliente de 2010).
  • Qualquer cliente que utilize protocolos de correio antigos como IMAP, SMTP ou POP3.

Hoje, a maioria das tentativas de inscrição comprometedoras vêm da autenticação do legado. A autenticação do legado não suporta a autenticação multi-factor. Mesmo que tenha uma política de autenticação multi-factor ativada no seu diretório, um intruso pode autenticar utilizando um protocolo mais antigo e contornar a Autenticação Multi-Factor.

Após o incumprimento de segurança ser ativado no seu inquilino, todos os pedidos de autenticação feitos por um protocolo mais antigo serão bloqueados. As falhas de segurança bloqueiam Exchange autenticação básica ative Sync.

Aviso

Antes de ativar os incumprimentos de segurança, certifique-se de que os seus administradores não estão a utilizar protocolos de autenticação mais antigos. Para mais informações, consulte Como afastar-se da autenticação do legado.

Proteja atividades privilegiadas como o acesso ao portal do Azure

As organizações utilizam vários serviços Azure geridos através da API Azure Resource Manager, incluindo:

  • Portal do Azure
  • Azure PowerShell
  • CLI do Azure

Usar o Azure Resource Manager para gerir os seus serviços é uma ação altamente privilegiada. A azure Resource Manager pode alterar configurações em todo o inquilino, tais como configurações de serviço e faturação de subscrição. A autenticação de um único fator é vulnerável a vários ataques como phishing e spray de senha.

É importante verificar a identidade dos utilizadores que pretendem aceder a configurações de Resource Manager e atualizações do Azure. Verifique a sua identidade exigindo mais autenticação antes de permitir o acesso.

Depois de ativar os incumprimentos de segurança no seu inquilino, qualquer utilizador que aceda aos seguintes serviços deve completar a autenticação de vários fatores:

  • Portal do Azure
  • Azure PowerShell
  • CLI do Azure

Esta política aplica-se a todos os utilizadores que acedam aos serviços Resource Manager Azure, sejam eles administradores ou utilizadores.

Nota

Antes de 2017 Exchange Online inquilinos têm a autenticação moderna desativada por padrão. Para evitar a possibilidade de um ciclo de login durante a autenticação através destes inquilinos, deve permitir a autenticação moderna.

Nota

A conta de sincronização Azure AD Ligação está excluída de incumprimentos de segurança e não será solicitada a registar-se ou realizar a autenticação de vários fatores. As organizações não devem utilizar esta conta para outros fins.

Considerações sobre implementação

Métodos de autenticação

Os utilizadores por defeitos de segurança são obrigados a registar-se e a utilizar Azure AD Autenticação Multi-Factor utilizando a aplicação Microsoft Authenticator utilizando notificações. Os utilizadores podem utilizar códigos de verificação a partir da aplicação Microsoft Authenticator, mas só podem registar-se através da opção de notificação.

A partir de julho de 2022, qualquer pessoa com a função de administrador global que lhes for atribuída será obrigada a registar um método baseado em telefone, como chamada ou texto como método de backup.

Aviso

Não desative os métodos para a sua organização se estiver a utilizar falhas de segurança. Métodos incapacitantes podem levar a trancar-se fora do seu inquilino. Deixe todos os métodos disponíveis para os utilizadores ativados no portal de definições de serviço MFA.

Contas de administrador de Backup

Todas as organizações devem ter pelo menos duas contas de administrador de reserva configuradas. Chamamos estas contas de acesso de emergência.

Estas contas podem ser utilizadas em cenários em que as suas contas normais de administrador não podem ser utilizadas. Por exemplo: A pessoa com o mais recente acesso a administrador global deixou a organização. Azure AD impede que a última conta de administrador global seja eliminada, mas não impede que a conta seja eliminada ou desativada no local. Qualquer uma das situações pode tornar a organização incapaz de recuperar a conta.

As contas de acesso de emergência são:

  • Direitos de administrador global atribuídos em Azure AD.
  • Não são usados diariamente.
  • Estão protegidos com uma senha complexa e longa.

As credenciais para estas contas de acesso de emergência devem ser armazenadas offline num local seguro, como um cofre à prova de fogo. Apenas os indivíduos autorizados devem ter acesso a estas credenciais.

Para criar uma conta de acesso de emergência:

  1. Inscreva-se no portal do Azure como administrador global existente.
  2. Navegue por Azure Ative Directory>Users.
  3. Selecione Novo utilizador.
  4. Selecione Criar utilizador.
  5. Dê à conta um nome de utilizador.
  6. Dê um nome à conta.
  7. Crie uma senha longa e complexa para a conta.
  8. Em Funções, atribua o papel de Administrador Global .
  9. No local de utilização, selecione a localização apropriada.
  10. Selecione Criar.

Pode optar por desativar a expiração da palavra-passe para estas contas utilizando Azure AD PowerShell.

Para obter informações mais detalhadas sobre contas de acesso de emergência, consulte o artigo Gerir as contas de acesso de emergência em Azure AD.

Estatuto de MFA desativado

Se a sua organização for um utilizador anterior de Azure AD autenticação multi-factor baseada em utilizadores, não fique alarmado por não ver os utilizadores num estado ativado ou forçado se olhar para a página de estado multi-factor Auth. Desativado é o estado adequado para os utilizadores que estão a utilizar falhas de segurança ou acesso condicional com base Azure AD autenticação multi-factor.

Acesso Condicional

Pode utilizar o Acesso Condicional a políticas de configuração semelhantes a falhas de segurança, mas com mais granularidade, incluindo a seleção de outros métodos de autenticação e a capacidade de excluir os utilizadores, que não estão disponíveis por defeitos de segurança. Se estiver a utilizar o Acesso Condicional no seu ambiente hoje, os padrão de segurança não estarão disponíveis para si.

Warning message that you can have security defaults or Conditional Access not both

Se quiser ativar o Acesso Condicional à configuração de um conjunto de políticas, que constituem um bom ponto de partida para proteger as suas identidades:

Desativar incumprimentos de segurança

As organizações que optem por implementar políticas de Acesso Condicional que substituam os padrãos de segurança devem desativar os incumprimentos de segurança.

Warning message disable security defaults to enable Conditional Access

Para desativar as falhas de segurança no seu diretório:

  1. Inscreva-se no portal do Azure como administrador de segurança, administrador de acesso condicional ou administrador global.
  2. Navegue por Azure Ative Directory>Properties.
  3. Selecione Gerir as falhas de segurança.
  4. Desafine o alternância de segurança ativar para .
  5. Selecione Guardar.

Passos seguintes