Acesso privilegiado: Contas

A segurança da conta é um componente crítico para proteger o acesso privilegiado. A segurança Zero Trust de ponta a ponta para sessões requer o forte estabelecimento de que a conta que está sendo usada na sessão está realmente sob o controle do proprietário humano e não de um invasor se passando por eles.

A segurança forte da conta começa com o provisionamento seguro e o gerenciamento do ciclo de vida completo até o desprovisionamento, e cada sessão deve estabelecer fortes garantias de que a conta não está comprometida no momento com base em todos os dados disponíveis, incluindo padrões históricos de comportamento, inteligência de ameaças disponível e uso na sessão atual.

Segurança da conta

Este guia define três níveis de segurança para a segurança da conta que você pode usar para ativos com diferentes níveis de sensibilidade:

Esses níveis estabelecem perfis de segurança claros e implementáveis, apropriados para cada nível de sensibilidade ao qual você pode atribuir funções e expandir rapidamente. Todos esses níveis de segurança de conta são projetados para manter ou melhorar a produtividade das pessoas, limitando ou eliminando a interrupção dos fluxos de trabalho de usuários e administradores.

Planejando a segurança da conta

Estas orientações descrevem os controlos técnicos necessários para cumprir cada nível. As orientações para a implementação constam do roteiro de acesso privilegiado.

Controlos de segurança da conta

Alcançar a segurança para as interfaces requer uma combinação de controles técnicos que protejam as contas e forneçam sinais a serem usados em uma decisão de política de Zero Trust (consulte Protegendo interfaces para referência de configuração de política).

Os controles usados nesses perfis incluem:

• Autenticação multifator - fornecendo diversas fontes de prova de que o (projetado para ser o mais fácil possível para os usuários, mas difícil para um adversário imitar).
• Risco de conta - Monitoramento de ameaças e anomalias - usando UEBA e inteligência de ameaças para identificar cenários de risco
• Monitoramento personalizado - Para contas mais confidenciais, a definição explícita de comportamentos/padrões permitidos/aceitos permite a deteção precoce de atividades anômalas. Esse controle não é adequado para contas de uso geral na empresa, pois essas contas precisam de flexibilidade para suas funções.

A combinação de controles também permite que você melhore a segurança e a usabilidade - por exemplo, um usuário que permanece dentro de seu padrão normal (usando o mesmo dispositivo no mesmo local dia após dia) não precisa ser solicitado para fora do MFA toda vez que se autenticar.

Contas de segurança empresariais

Os controles de segurança para contas corporativas são projetados para criar uma linha de base segura para todos os usuários e fornecer uma base segura para segurança especializada e privilegiada:

• Impor autenticação multifator forte (MFA) - Certifique-se de que o usuário seja autenticado com MFA forte fornecida por um sistema de identidade gerenciado pela empresa (detalhado no diagrama abaixo). Para obter mais informações sobre a autenticação multifator, consulte Prática recomendada de segurança do Azure 6.

  Nota

  Embora sua organização possa optar por usar uma forma mais fraca de MFA existente durante um período de transição, os invasores estão cada vez mais fugindo das proteções de MFA mais fracas, portanto, todo o novo investimento em MFA deve ser nas formas mais fortes.

• Impor risco de conta/sessão - certifique-se de que a conta não é capaz de autenticar, a menos que esteja em um nível de risco baixo (ou médio?). Consulte Níveis de segurança da interface para obter detalhes sobre a segurança condicional da conta corporativa.

• Monitorar e responder a alertas - As operações de segurança devem integrar alertas de segurança de conta e obter treinamento suficiente sobre como esses protocolos e sistemas funcionam para garantir que eles sejam capazes de compreender rapidamente o que um alerta significa e reagir de acordo.

  • Ativar a Proteção de ID do Microsoft Entra
  • Investigue o risco Microsoft Entra ID Protection
  • Resolução de problemas/Investigação de falhas de início de sessão de acesso condicional

O diagrama a seguir fornece uma comparação com diferentes formas de MFA e autenticação sem senha. Cada opção na melhor caixa é considerada de alta segurança e alta usabilidade. Cada um tem requisitos de hardware diferentes, então você pode querer misturar e combinar quais se aplicam a diferentes funções ou indivíduos. Todas as soluções sem senha da Microsoft são reconhecidas pelo Acesso Condicional como autenticação multifator, pois exigem a combinação de algo que você tem com biometria, algo que você sabe ou ambos.

Nota

Para obter mais informações sobre por que o SMS e outras autenticações baseadas em telefone são limitados, consulte a postagem do blog It's Time to Hang Up on Phone Transports for Authentication.

Contas especializadas

Contas especializadas são um nível de proteção mais alto adequado para usuários sensíveis. Devido ao seu maior impacto nos negócios, as contas especializadas garantem monitoramento e priorização adicionais durante alertas de segurança, investigações de incidentes e caça a ameaças.

A segurança especializada baseia-se no forte MFA em segurança empresarial, identificando as contas mais confidenciais e garantindo que alertas e processos de resposta sejam priorizados:

1. Identificar contas confidenciais - Consulte as orientações especializadas de nível de segurança para identificar essas contas.
2. Marcar contas especializadas - Certifique-se de que cada conta confidencial esteja marcada
   1. Configure as Listas de Observação do Microsoft Sentinel para identificar essas contas confidenciais
   2. Configurar a proteção de conta prioritária no Microsoft Defender para Office 365 e designar contas especializadas e privilegiadas como contas prioritárias -
3. Atualizar os processos de Operações de Segurança - para garantir que esses alertas recebam a máxima prioridade
4. Configurar governança - Atualizar ou criar processo de governança para garantir que
   1. Todas as novas funções a serem avaliadas para classificações especializadas ou privilegiadas à medida que são criadas ou alteradas
   2. Todas as novas contas são marcadas à medida que são criadas
   3. Verificações contínuas ou periódicas fora da banda para garantir que as funções e contas não sejam perdidas pelos processos normais de governança.

Contas privilegiadas

As contas privilegiadas têm o mais alto nível de proteção porque representam um impacto potencial significativo ou material nas operações da organização se comprometidas.

As contas privilegiadas sempre incluem administradores de TI com acesso à maioria ou a todos os sistemas corporativos, incluindo a maioria ou todos os sistemas críticos para os negócios. Outras contas com alto impacto nos negócios também podem justificar esse nível adicional de proteção. Para obter mais informações sobre quais funções e contas devem ser protegidas em que nível, consulte o artigo Segurança privilegiada.

Além da segurança especializada, a segurança privilegiada da conta aumenta ambos:

• Prevenção - adicione controles para restringir o uso dessas contas aos dispositivos, estações de trabalho e intermediários designados.
• Resposta - monitorize de perto estas contas quanto a atividade anómala e investigue e corrija rapidamente o risco.

Configurando a segurança de conta privilegiada

Siga as orientações do plano de modernização rápida de segurança para aumentar a segurança de suas contas privilegiadas e diminuir seu custo de gerenciamento.

Próximos passos

• Visão geral da proteção do acesso privilegiado
• Estratégia de acesso privilegiado
• Medir o sucesso
• Níveis de segurança
• Intermediários
• Interfaces
• Dispositivos de acesso privilegiado
• Modelo de acesso empresarial