Что такое параметры безопасности по умолчанию?What are security defaults?

Управление безопасностью может быть затруднено благодаря распространенным атакам, связанным с удостоверениями, таким как распыление паролей, воспроизведение и фишинг, становятся все более популярными.Managing security can be difficult with common identity-related attacks like password spray, replay, and phishing becoming more and more popular. Параметры безопасности по умолчанию помогают защитить организацию от этих атак с помощью предварительно настроенных параметров:Security defaults make it easier to help protect your organization from these attacks with preconfigured security settings:

  • Требовать регистрацию всех пользователей для многофакторной идентификации Azure AD.Requiring all users to register for Azure AD Multi-Factor Authentication.
  • требовать от администраторов выполнения многофакторной проверки подлинности;Requiring administrators to perform multi-factor authentication.
  • блокировать устаревшие протоколы проверки подлинности;Blocking legacy authentication protocols.
  • требовать от пользователей выполнять многофакторную проверку подлинности при необходимости;Requiring users to perform multi-factor authentication when necessary.
  • защищать привилегированные действия, такие как доступ на портал Azure.Protecting privileged activities like access to the Azure portal.

Снимок экрана: портал Azure с переключателем для включения параметров безопасности по умолчанию

Дополнительные сведения о том, почему предоставляются параметры безопасности по умолчанию, можно найти в записи блога Алекса Вайнерта (Alex Weinert) Знакомство с параметрами безопасности по умолчанию.More details on why security defaults are being made available can be found in Alex Weinert's blog post, Introducing security defaults.

ДоступностьAvailability

Майкрософт предоставляет параметры безопасности по умолчанию для всех.Microsoft is making security defaults available to everyone. Цель состоит в том, чтобы гарантировать наличие бесплатного базового уровня безопасности у всех организаций.The goal is to ensure that all organizations have a basic level of security enabled at no extra cost. Включить параметры безопасности по умолчанию можно на портале Azure.You turn on security defaults in the Azure portal. Если ваш клиент создан после 22 октября 2019 г., возможно, параметры безопасности по умолчанию уже включены.If your tenant was created on or after October 22, 2019, it is possible security defaults are already enabled in your tenant. В целях защиты всех наших пользователей параметры безопасности по умолчанию развертываются для всех новых клиентов.In an effort to protect all of our users, security defaults is being rolled out to all new tenants created.

Для кого они предназначены?Who's it for?

  • Если ваша организация хочет повысить уровень безопасности, но вы не знаете, с чего начать, вам помогут параметры безопасности по умолчанию.If you are an organization that wants to increase your security posture but you don't know how or where to start, security defaults are for you.
  • Если ваша организация использует бесплатную лицензию Azure Active Directory, вам помогут параметры безопасности по умолчанию.If you are an organization utilizing the free tier of Azure Active Directory licensing, security defaults are for you.

Кто должен использовать условный доступ?Who should use Conditional Access?

  • Если в вашей организации используются политики условного доступа для объединения сигналов, принятия решений и применения политик, возможно, параметры безопасности по умолчанию вам не подходят.If you are an organization currently using Conditional Access policies to bring signals together, to make decisions, and enforce organizational policies, security defaults are probably not right for you.
  • Если у вашей организации есть лицензии Azure Active Directory Premium, возможно, параметры безопасности по умолчанию вам не подходят.If you are an organization with Azure Active Directory Premium licenses, security defaults are probably not right for you.
  • Если у вашей организации сложные требования к безопасности, следует рассмотреть условный доступ.If your organization has complex security requirements you should consider Conditional Access.

Примененные политикиPolicies enforced

Единая регистрация для многофакторной проверки подлинностиUnified Multi-Factor Authentication registration

Все пользователи в клиенте должны зарегистрироваться для использования многофакторной идентификации (MFA) в форме многофакторной идентификации Azure AD.All users in your tenant must register for multi-factor authentication (MFA) in the form of the Azure AD Multi-Factor Authentication. У пользователей есть 14 дней для регистрации для многофакторной идентификации Azure AD с помощью Microsoft Authenticator приложения.Users have 14 days to register for Azure AD Multi-Factor Authentication by using the Microsoft Authenticator app. Через 14 дней пользователь не сможет войти в систему до прохождения регистрации.After the 14 days have passed, the user won't be able to sign in until registration is completed. 14-дневный период начинается с первого успешного интерактивного входа после включения параметров безопасности по умолчанию.A user's 14-day period begins after their first successful interactive sign-in after enabling security defaults.

Защита администраторовProtecting administrators

Пользователи с привилегированным доступом имеют больше прав в вашей среде.Users with privileged access have increased access to your environment. Из-за возможностей этих учетных записей при работе с ними следует соблюдать осторожность.Due to the power these accounts have, you should treat them with special care. Наиболее распространенный способ повышения защиты привилегированных учетных записей — использовать более строгую форму проверки учетной записи при входе в систему.One common method to improve the protection of privileged accounts is to require a stronger form of account verification for sign-in. В Azure Active Directory для более строгой проверки учетной записи можно включить обязательную многофакторную проверку подлинности.In Azure AD, you can get a stronger account verification by requiring multi-factor authentication.

После регистрации с помощью многофакторной проверки подлинности Azure AD для выполнения дополнительной проверки подлинности при каждом входе потребуется следующее девять ролей администратора Azure AD:After registration with Azure AD Multi-Factor Authentication is finished, the following nine Azure AD administrator roles will be required to perform additional authentication every time they sign in:

  • Глобальный администратор.Global administrator
  • администратор SharePoint;SharePoint administrator
  • администратор Exchange;Exchange administrator
  • Администратор условного доступаConditional Access administrator
  • администратор безопасности;Security administrator
  • администратор службы технической поддержки;Helpdesk administrator
  • Администратор выставления счетовBilling administrator
  • Администратор пользователейUser administrator
  • администратор проверки подлинности.Authentication administrator

Защита всех пользователейProtecting all users

Мы часто считаем, что дополнительные уровни проверки подлинности требуются только для учетных записей администратора.We tend to think that administrator accounts are the only accounts that need extra layers of authentication. Администраторы имеют широкие возможности доступа к конфиденциальным сведениям и могут вносить изменения в параметры, относящиеся к подписке.Administrators have broad access to sensitive information and can make changes to subscription-wide settings. Но злоумышленники часто выбирают конечных пользователей своими жертвами.But attackers frequently target end users.

Получив доступ, злоумышленники могут запросить доступ к закрытой информации от имени владельца исходной учетной записи.After these attackers gain access, they can request access to privileged information on behalf of the original account holder. Они могут даже скачать весь каталог, чтобы выполнить фишинговую атаку по всей организации.They can even download the entire directory to perform a phishing attack on your whole organization.

Один из распространенных способов улучшения защиты для всех пользователей — требовать более надежную проверку учетной записи, например Azure MFA.One common method to improve protection for all users is to require a stronger form of account verification, such as Multi-Factor Authentication, for everyone. Когда пользователи зарегистрируются в Azure MFA, они будут получать запрос на дополнительную проверку подлинности при необходимости.After users complete Multi-Factor Authentication registration, they'll be prompted for additional authentication whenever necessary. Эта функция защищает все приложения, зарегистрированные в Azure AD, включая приложения SaaS.This functionality protects all applications registered with Azure AD including SaaS applications.

Блокировка устаревших методов проверки подлинностиBlocking legacy authentication

Чтобы предоставить пользователям удобный доступ к облачным приложениям, Azure AD поддерживает широкий набор протоколов проверки подлинности, часть из которых уже устарела.To give your users easy access to your cloud apps, Azure AD supports a variety of authentication protocols, including legacy authentication. Устаревшие методы проверки подлинности включают следующие запросы:Legacy authentication is a term that refers to an authentication request made by:

  • Запросы от клиентов, которые не используют современную проверку подлинности (например, клиент Office 2010).Clients that don't use modern authentication (for example, an Office 2010 client).
  • Запросы от любых клиентов, использующих более старые почтовые протоколы, такие как IMAP, SMTP или POP3.Any client that uses older mail protocols such as IMAP, SMTP, or POP3.

Сегодня большинство попыток входа в систему поступает от устаревших методов проверки подлинности.Today, the majority of compromising sign-in attempts come from legacy authentication. Устаревшая проверка подлинности не поддерживает Azure MFA.Legacy authentication does not support Multi-Factor Authentication. Даже если в каталоге включена политика Azure MFA, злоумышленник может пройти проверку подлинности с помощью старого протокола и обойти защиту.Even if you have a Multi-Factor Authentication policy enabled on your directory, an attacker can authenticate by using an older protocol and bypass Multi-Factor Authentication.

После включения параметров безопасности по умолчанию в клиенте все запросы проверки подлинности, созданные с помощью старого протокола, будут заблокированы.After security defaults are enabled in your tenant, all authentication requests made by an older protocol will be blocked. Параметры безопасности по умолчанию блокируют базовую проверку подлинности Exchange Active Sync.Security defaults blocks Exchange Active Sync basic authentication.

Предупреждение

Перед включением параметров безопасности по умолчанию убедитесь, что администраторы не используют старые протоколы проверки подлинности.Before you enable security defaults, make sure your administrators aren't using older authentication protocols. Дополнительные сведения см. в разделе Как отказаться от устаревшей проверки подлинности.For more information, see How to move away from legacy authentication.

Защита привилегированных действийProtecting privileged actions

Организации используют различные службы Azure, управляемые через API Azure Resource Manager, в том числе:Organizations use a variety of Azure services managed through the Azure Resource Manager API, including:

  • Портал AzureAzure portal
  • Azure PowerShellAzure PowerShell
  • Azure CLIAzure CLI

Использование Azure Resource Manager для управления службами — это действие с высоким уровнем привилегий.Using Azure Resource Manager to manage your services is a highly privileged action. Azure Resource Manager может изменять конфигурации на уровне клиента, такие как параметры службы и выставление счетов по подписке.Azure Resource Manager can alter tenant-wide configurations, such as service settings and subscription billing. Однофакторная проверка подлинности уязвима к нескольким видам атак, таких как фишинг и подбор.Single-factor authentication is vulnerable to a variety of attacks like phishing and password spray.

Важно проверить подлинность пользователей, которые хотят получить доступ к Azure Resource Manager и обновить конфигурацию.It's important to verify the identity of users who want to access Azure Resource Manager and update configurations. Прежде чем разрешить доступ, проводится обязательная дополнительная проверка подлинности.You verify their identity by requiring additional authentication before you allow access.

После включения параметров безопасности по умолчанию в клиенте любой пользователь, пытающийся получить доступ к порталу Azure, Azure PowerShell или Azure CLI, должен будет пройти дополнительную проверку подлинности.After you enable security defaults in your tenant, any user who's accessing the Azure portal, Azure PowerShell, or the Azure CLI will need to complete additional authentication. Эта политика применяется ко всем пользователям, обращающимся к Azure Resource Manager, будь то администратор или простой пользователь.This policy applies to all users who are accessing Azure Resource Manager, whether they're an administrator or a user.

Примечание

В клиентах Exchange Online до версии 2017 современная проверка подлинности по умолчанию отключена.Pre-2017 Exchange Online tenants have modern authentication disabled by default. Чтобы избежать цикла входа во время проверки подлинности в этих клиентах, необходимо включить современную проверку подлинности.In order to avoid the possibility of a login loop while authenticating through these tenants, you must enable modern authentication.

Примечание

Учетная запись синхронизации Azure AD Connect исключается из параметров безопасности по умолчанию и не требует регистрации или прохождения многофакторной проверки подлинности.The Azure AD Connect synchronization account is excluded from security defaults and will not be prompted to register for or perform multi-factor authentication. Организациям не следует использовать эту учетную запись в других целях.Organizations should not be using this account for other purposes.

Рекомендации по развертываниюDeployment considerations

Следующие дополнительные рекомендации относятся к развертыванию параметров безопасности по умолчанию.The following additional considerations are related to deployment of security defaults.

Методы проверки подлинностиAuthentication methods

Эти бесплатные параметры безопасности по умолчанию позволяют регистрировать и использовать многофакторную идентификацию Azure AD , используя только Microsoft Authenticatorное приложение с использованием уведомлений.These free security defaults allow registration and use of Azure AD Multi-Factor Authentication using only the Microsoft Authenticator app using notifications. Условный доступ позволяет использовать любой метод проверки подлинности, выбранный администратором.Conditional Access allows the use of any authentication method the administrator chooses to enable.

МетодMethod Параметры безопасности по умолчаниюSecurity defaults Условный доступConditional Access
Уведомление в мобильном приложенииNotification through mobile app XX XX
Код проверки из мобильного приложения или токен оборудованияVerification code from mobile app or hardware token X**X** XX
SMS на телефонText message to phone XX
Звонок на телефонCall to phone XX
Пароли приложенийApp passwords X * * X**
  • _ * Пользователи могут использовать коды проверки из Microsoft Authenticator приложения, но регистрировать их можно только с помощью параметра уведомления._* Users may use verification codes from the Microsoft Authenticator app but can only register using the notification option.
  • * * _ Пароли приложений доступны только в многопользовательский MFA с устаревшими сценариями проверки подлинности, только если они включены администраторами.**_ App passwords are only available in per-user MFA with legacy authentication scenarios only if enabled by administrators.

Отключенное состояние MFADisabled MFA status

Если ваша организация является предыдущим пользователем многофакторной идентификации Azure AD на основе пользователей, не следует получать оповещения, чтобы не видеть пользователей в _ включенном* или принудительном состоянии при просмотре страницы состояния многофакторной проверки подлинности.If your organization is a previous user of per-user based Azure AD Multi-Factor Authentication, do not be alarmed to not see users in an _ Enabled* or Enforced status if you look at the Multi-Factor Auth status page. Disabled — это подходящее состояние для пользователей, которые используют параметры безопасности по умолчанию или условный доступ на основе службы многофакторной идентификации Azure AD.Disabled is the appropriate status for users who are using security defaults or Conditional Access based Azure AD Multi-Factor Authentication.

Условный доступConditional Access

Условный доступ можно использовать для настройки политик, похожих на параметры безопасности по умолчанию, но с большей степенью детализации, включая исключения пользователей, которые недоступны в параметрах безопасности по умолчанию.You can use Conditional Access to configure policies similar to security defaults, but with more granularity including user exclusions, which are not available in security defaults. Если вы используете условный доступ и в вашей среде включены политики условного доступа, параметры безопасности по умолчанию не будут доступны.If you're using Conditional Access and have Conditional Access policies enabled in your environment, security defaults won't be available to you. Если у вас есть лицензия, которая предоставляет условный доступ, но в вашей среде не включены политики условного доступа, вы можете использовать параметры безопасности по умолчанию, пока не будут включены политики условного доступа.If you have a license that provides Conditional Access but don't have any Conditional Access policies enabled in your environment, you are welcome to use security defaults until you enable Conditional Access policies. Дополнительные сведения о лицензировании Azure AD можно найти на странице цен на Azure AD.More information about Azure AD licensing can be found on the Azure AD pricing page.

Предупреждающее сообщение о том, что можно настроить только параметры безопасности по умолчанию или условный доступ, но не одновременно

Ниже приведены пошаговые инструкции по использованию условного доступа для настройки политик, эквивалентных политикам в параметрах безопасности по умолчанию:Here are step-by-step guides on how you can use Conditional Access to configure equivalent policies to those policies enabled by security defaults:

Включение параметров безопасности по умолчаниюEnabling security defaults

Чтобы включить параметры безопасности по умолчанию в каталоге, выполните следующие действия.To enable security defaults in your directory:

  1. Войдите на  портал Azure  в качестве администратора безопасности, администратора условного доступа или глобального администратора.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. Перейдите в раздел  Azure Active Directory > Свойства.Browse to Azure Active Directory > Properties.
  3. Выберите Управление параметрами безопасности по умолчанию.Select Manage security defaults.
  4. Задайте для параметра Включить параметры безопасности по умолчанию значение Да.Set the Enable security defaults toggle to Yes.
  5. Щелкните Сохранить.Select Save.

Отключение параметров безопасности по умолчаниюDisabling security defaults

Организации, которые решили реализовать политики условного доступа, заменяющие параметры безопасности по умолчанию, должны отключить параметры безопасности по умолчанию.Organizations that choose to implement Conditional Access policies that replace security defaults must disable security defaults.

Предупреждающее сообщение об отключении параметров безопасности по умолчанию для включения условного доступа

Чтобы отключить параметры безопасности по умолчанию в каталоге, выполните следующие действия.To disable security defaults in your directory:

  1. Войдите на  портал Azure  в качестве администратора безопасности, администратора условного доступа или глобального администратора.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. Перейдите в раздел  Azure Active Directory > Свойства.Browse to Azure Active Directory > Properties.
  3. Выберите Управление параметрами безопасности по умолчанию.Select Manage security defaults.
  4. Задайте для параметра Включить параметры безопасности по умолчанию значение Нет.Set the Enable security defaults toggle to No.
  5. Щелкните Сохранить.Select Save.

Дальнейшие действияNext steps

Распространенные политики условного доступаCommon Conditional Access policies