Параметры безопасности по умолчанию в Azure AD

Корпорация Майкрософт делает параметры безопасности по умолчанию доступными для всех, так как управление безопасностью может быть сложной задачей. В современной среде распространены атаки, связанные с удостоверениями, такие как распыление паролей, воспроизведение и фишинг. Более 99,9% этих атак, связанных с удостоверениями, можно остановить с помощью многофакторной проверки подлинности (MFA) и блокировки устаревших протоколов проверки подлинности. Цель состоит в том, чтобы гарантировать наличие по меньшей мере базового уровня безопасности у всех организаций без дополнительной платы.

Параметры безопасности по умолчанию помогают защитить организацию от таких атак, связанных с удостоверениями, с помощью предварительно настроенных параметров:

Для кого они предназначены?

  • Для организаций, которые хотят повысить уровень безопасности, но не знают, с чего начать.
  • Для организаций, которые используют бесплатную лицензию Azure Active Directory.

Кто должен использовать условный доступ?

  • Если в вашей организации используются политики условного доступа, возможно, параметры безопасности по умолчанию вам не подходят.
  • Если у вашей организации есть лицензии Azure Active Directory Premium, возможно, параметры безопасности по умолчанию вам не подходят.
  • Если у вашей организации сложные требования к безопасности, следует рассмотреть Условный доступ.

Включение параметров безопасности по умолчанию

Если ваш клиент создан 22 октября 2019 г. или позднее, возможно, параметры безопасности по умолчанию уже включены. В целях защиты всех наших пользователей параметры безопасности по умолчанию развертываются для всех новых клиентов при создании.

Чтобы включить параметры безопасности по умолчанию в каталоге, выполните следующие действия.

  1. Войдите на портал Azure с учетными данными глобального администратора, администратора безопасности или администратора условного доступа.
  2. Перейдите в раздел Azure Active Directory>Свойства.
  3. Выберите Управление параметрами безопасности по умолчанию.
  4. Задайте для параметра Включить параметры безопасности по умолчанию значение Да.
  5. Щелкните Сохранить.

Screenshot of the Azure portal with the toggle to enable security defaults

Принудительные политики безопасности

Требование регистрации всех пользователей для прохождения многофакторной проверки подлинности Azure AD

Все пользователи в клиенте должны зарегистрироваться для использования многофакторной проверки подлинности (MFA) в форме Azure MFA. У пользователей есть 14 дней для регистрации в Azure MFA в приложении Microsoft Authenticator. Через 14 дней пользователь не сможет войти в систему до прохождения регистрации. 14-дневный период начинается с первого успешного интерактивного входа после включения параметров безопасности по умолчанию.

Требование выполнения администраторами многофакторной проверки подлинности

Администраторы имеют больше прав доступа к вашей среде. Из-за возможностей этих высоко привилегированных учетных записей при работе с ними следует соблюдать осторожность. Наиболее распространенный способ повышения защиты привилегированных учетных записей — использовать более строгую форму проверки учетной записи при входе в систему. В Azure Active Directory для более строгой проверки учетной записи можно включить обязательную многофакторную проверку подлинности.

Совет

Мы рекомендуем использовать отдельные учетные записи для администрирования и стандартных рабочих задачи, чтобы значительно сократить число запросов прохождения проверки MFA для администраторов.

После регистрации в Azure AD MFA администраторы Azure AD со следующими ролями должны будут проходить дополнительную проверку подлинности при каждом входе:

  • Глобальный администратор.
  • администратор приложений;
  • администратор проверки подлинности.
  • Администратор выставления счетов
  • Администратор облачных приложений
  • Администратор условного доступа
  • администратор Exchange;
  • администратор службы технической поддержки;
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • администратор безопасности;
  • администратор SharePoint;
  • Администратор пользователей

Требование выполнения пользователями многофакторной проверки подлинности в случае необходимости

Мы часто считаем, что дополнительные уровни проверки подлинности требуются только для учетных записей администратора. Администраторы имеют широкие возможности доступа к конфиденциальным сведениям и могут вносить изменения в параметры, относящиеся к подписке. Но злоумышленники часто выбирают конечных пользователей своими жертвами.

Получив доступ, злоумышленники могут запросить доступ к закрытой информации для владельца исходной учетной записи. Они могут даже загрузить весь каталог, чтобы выполнить фишинговую атаку по всей организации.

Один из распространенных способов улучшения защиты для всех пользователей — требовать более надежную проверку учетной записи, например Azure MFA. Когда пользователи зарегистрируются в Azure MFA, они получат запрос на дополнительную проверку подлинности при необходимости. Azure AD решает, когда пользователю будет предложено использовать многофакторную проверку подлинности в зависимости от таких факторов, как расположение, устройство, роль и задача. Эта функция защищает все приложения, зарегистрированные в Azure AD, включая приложения SaaS.

Блокировка устаревших протоколов проверки подлинности

Чтобы предоставить пользователям удобный доступ к облачным приложениям, Azure AD поддерживает широкий набор протоколов проверки подлинности, часть из которых уже устарела. Устаревшие методы проверки подлинности включают следующие запросы:

  • Запросы от клиентов, которые не используют современную проверку подлинности (например, клиент Office 2010).
  • Запросы от любых клиентов, использующих более старые почтовые протоколы, такие как IMAP, SMTP или POP3.

Сегодня большинство попыток входа в систему поступает от устаревших методов проверки подлинности. Устаревшая проверка подлинности не поддерживает Azure MFA. Даже если в каталоге включена политика Azure MFA, злоумышленник может пройти проверку подлинности с помощью старого протокола и обойти защиту.

После включения параметров безопасности по умолчанию в клиенте все запросы проверки подлинности, созданные с помощью старого протокола, будут заблокированы. Параметры безопасности по умолчанию блокируют базовую проверку подлинности Exchange Active Sync.

Предупреждение

Перед включением параметров безопасности по умолчанию убедитесь, что администраторы не используют старые протоколы проверки подлинности. Дополнительные сведения см. в разделе Как отказаться от устаревшей проверки подлинности.

Защита привилегированных действий, таких как доступ к порталу Azure

Организации используют различные службы Azure, управляемые через API Azure Resource Manager, в том числе следующие.

  • Портал Azure
  • Azure PowerShell
  • Azure CLI

Использование Azure Resource Manager для управления службами — это действие с высоким уровнем привилегий. Azure Resource Manager может изменять конфигурации на уровне клиента, такие как параметры службы и выставление счетов по подписке. Однофакторная проверка подлинности уязвима к нескольким видам атак, таким как фишинг и подбор.

Важно проверить подлинность пользователей, которые хотят получить доступ к Azure Resource Manager и обновить конфигурацию. Прежде чем разрешить доступ, проводится обязательная дополнительная проверка подлинности.

После включения параметров безопасности по умолчанию в арендаторе любой пользователь, пытающийся получить доступ к следующим службам, должен будет пройти многофакторную проверку подлинности:

  • Портал Azure
  • Azure PowerShell
  • Azure CLI

Эта политика применяется ко всем пользователям, обращающимся к службам Azure Resource Manager, будь то администратор или простой пользователь.

Примечание

В клиентах Exchange Online до версии 2017 современная проверка подлинности по умолчанию отключена. Чтобы избежать цикла входа во время проверки подлинности в этих клиентах, необходимо включить современную проверку подлинности.

Примечание

Учетная запись синхронизации Azure AD Connect исключается из параметров безопасности по умолчанию и не требует регистрации или прохождения многофакторной проверки подлинности. Организациям не следует использовать эту учетную запись в других целях.

Рекомендации по развертыванию

Методы проверки подлинности

Параметры безопасности по умолчанию позволяют регистрировать и использовать MFA Azure AD, используя только приложение Microsoft Authenticator с уведомлениями. Условный доступ позволяет использовать любой метод проверки подлинности, выбранный администратором.

Метод Параметры безопасности по умолчанию Условный доступ
Уведомление в мобильном приложении X X
Код проверки из мобильного приложения или токен оборудования X** X
SMS на телефон X
Звонок на телефон X
Пароли приложений X***
  • ** Пользователи могут использовать коды проверки из приложения Microsoft Authenticator, но регистрироваться можно только с уведомлениями.
  • *** Пароли приложений доступны только для MFA пользователей с устаревшими сценариями проверки подлинности, только если они включены администраторами.

Предупреждение

Не отключайте методы для организации, если используются параметры безопасности по умолчанию. Отключение методов может привести к блокировке вашего клиента. Оставьте все методы, доступные для пользователей, включенными на портале параметров службы MFA.

Учетные записи администратора резервного копирования

Каждая организация должна иметь по меньшей мере две настроенные учетные записи администратора резервного копирования. Мы называем их учетными записями для аварийного доступа.

Эти учетные записи предназначены для сценарием, когда обычные учетные записи администратора использовать невозможно. Например, пользователь, которому недавно предоставили права глобального административного доступа, покинул организацию. Azure AD предотвращает удаление последней учетной записи глобального администратора, но не мешает удалению или отключению локальной учетной записи. В этих случаях сбой может привести к тому, что организация не сможет восстановить учетную запись.

Учетные записи для аварийного доступа:

  • получают права глобального администратора в Azure AD;
  • не используются в повседневной работе;
  • защищены длинным сложным паролем.

Учетные данные для этих учетных записей аварийного доступа должны храниться в безопасном месте вне сети, например в огнестойком сейфе. Доступ к этим учетным данным должны иметь только полномочные пользователи.

Чтобы создать учетную запись для аварийного доступа, сделайте следующее:

  1. Войдите на портал Azure в качестве существующего глобального администратора.
  2. Перейдите в раздел Azure Active Directory>Пользователи.
  3. Выберите Новый пользователь.
  4. Щелкните Create user (Создать пользователя).
  5. Присвойте учетной записи Имя пользователя.
  6. Присвойте учетной записи Имя.
  7. Создайте для учетной записи длинный и сложный пароль.
  8. В разделе Роли назначьте роль Глобальный администратор.
  9. В разделе Место использованиявыберите нужное расположение.
  10. Нажмите кнопку создания.

Вы можете отключить срок действия пароля для этих учетных записей с помощью Azure AD PowerShell.

Более подробные сведения об учетных записях для аварийного доступа см. в разделе Управление учетными записями для аварийного доступа в Azure AD.

Отключенное состояние MFA

Если ваша организация ранее использовала MFA Azure AD для отдельных пользователей, не беспокойтесь, если не увидите пользователей с состоянием Включено или Применено на странице состояния Azure MFA. Отключено — это нормальное состояние для пользователей, которые используют параметры безопасности по умолчанию или условный доступ на основе MFA Azure AD.

Условный доступ

Условный доступ можно использовать для настройки политик, похожих на параметры безопасности по умолчанию, но с большей степенью детализации, включая исключения пользователей, которые недоступны в параметрах безопасности по умолчанию. Если в настоящее время в своей среде вы используете условный доступ, параметры безопасности по умолчанию не будут доступны.

Warning message that you can have security defaults or Conditional Access not both

Если вы хотите включить условный доступ для настройки набора политик, которые являются хорошей отправной точкой для защиты удостоверений:

Отключение параметров безопасности по умолчанию

Организации, которые решили реализовать политики условного доступа, заменяющие параметры безопасности по умолчанию, должны отключить параметры безопасности по умолчанию.

Warning message disable security defaults to enable Conditional Access

Чтобы отключить параметры безопасности по умолчанию в каталоге, выполните следующие действия.

  1. Войдите на портал Azure с учетными данными глобального администратора, администратора безопасности или администратора условного доступа.
  2. Перейдите в раздел Azure Active Directory>Свойства.
  3. Выберите Управление параметрами безопасности по умолчанию.
  4. Задайте для параметра Включить параметры безопасности по умолчанию значение Нет.
  5. Щелкните Сохранить.

Дальнейшие действия