Привилегированный доступ: учетные записиPrivileged access: Accounts

Безопасность учетной записи является важнейшим компонентом защиты привилегированного доступа.Account security is a critical component of securing privileged access. Сквозная защита от ненадежного доверия для сеансов требует строгой проверки того, что учетная запись, используемая в сеансе, фактически находится под контролем владельца человека, а не с ее олицетворением.End to end Zero Trust security for sessions requires strongly establishing that the account being used in the session is actually under the control of the human owner and not an attacker impersonating them.

Надежная защита учетных записей начинается с безопасной подготовки и полного управления жизненным циклом с помощью для отмены подготовки, и каждый сеанс должен устанавливать строгие гарантии того, что учетная запись не скомпрометирована в настоящий момент на основе всех доступных данных, включая закономерности с предысторией, доступную аналитику угроз и использование в текущем сеансе.Strong account security starts with secure provisioning and full lifecycle management through to deprovisioning, and each session must establish strong assurances that the account isn't currently compromised based on all available data including historical behavior patterns, available threat intelligence, and usage in the current session.

Безопасность учетной записиAccount security

В этом руководстве определены три уровня безопасности для безопасности учетной записи, которые можно использовать для ресурсов с различными уровнями конфиденциальности:This guidance defines three security levels for account security that you can use for assets with different sensitivity levels:

Защита учетных записей от конца к концу

Эти уровни устанавливают четкие и реализующие профили безопасности, соответствующие каждому уровню чувствительности, который позволяет быстро назначать роли и масштабировать их.These levels establish clear and implementable security profiles appropriate for each sensitivity level that you can assign roles to and scale out rapidly. Все эти уровни безопасности учетной записи предназначены для поддержки или повышения производительности людей за счет ограничения или устранения прерываний для рабочих процессов пользователей и администраторов.All of these account security levels are designed to maintain or improve productivity for people by limiting or eliminating interruption to user and admin workflows.

Планирование безопасности учетной записиPlanning account security

В этом руководстве описаны технические элементы управления, необходимые для удовлетворения каждого уровня.This guidance outlines the technical controls required to meet each level. Руководство по реализации находится в стратегии привилегированного доступа.Implementation guidance is in the privileged access roadmap.

Управление безопасностью учетной записиAccount security controls

Для обеспечения безопасности интерфейсов требуется сочетание технических элементов управления, которые защищают учетные записи и предоставляют сигналы для использования в политике нулевого доверия (см. раздел Защита интерфейсов для настройки политики).Achieving security for the interfaces requires a combination of technical controls that both protect the accounts and provide signals to be used in a Zero Trust policy decision (see Securing Interfaces for policy configuration reference).

К элементам управления, используемым в этих профилях, относятся:The controls used in these profiles include:

  • Многофакторная проверка подлинности — предоставление разнообразных источников цветопробы, которые (призваны быть максимально простыми для пользователей, но сложны для имитации).Multi-factor authentication - providing diverse sources of proof that the (designed to be as easy as possible for users, but difficult for an adversary to mimic).
  • Риск учетной записи — мониторинг угроз и аномалий — использование УЕБА и аналитики угроз для обнаружения рискованных сценариевAccount risk - Threat and Anomaly Monitoring - using UEBA and Threat intelligence to identify risky scenarios
  • Настраиваемый мониторинг. для более конфиденциальных учетных записей явное определение разрешенных и принятых поведений и шаблонов позволяет раннего обнаружения аномальных действий.Custom monitoring - For more sensitive accounts, explicitly defining allowed/accepted behaviors/patterns allows early detection of anomalous activity. Этот элемент управления не подходит для учетных записей общего назначения в Организации, так как эти учетные записи нуждаются в гибкости для своих ролей.This control is not suitable for general purpose accounts in enterprise as these accounts need flexibility for their roles.

Сочетание элементов управления также позволяет улучшить безопасность и удобство использования. Например, пользователь, который остается в нормальном шаблоне (с использованием того же устройства в том же расположении, что и день), не должен получать запрос на выход за пределы MFA каждый раз при проверке подлинности.The combination of controls also enables you to improve both security and usability - for example a user who stays within their normal pattern (using the same device in same location day after day) does not need to be prompted for outside MFA every time they authenticate.

Сравнение каждого уровня учетной записи и преимущества затрат

Учетные записи безопасности предприятияEnterprise security accounts

Средства управления безопасностью для корпоративных учетных записей предназначены для создания безопасного базового плана для всех пользователей и обеспечения безопасности для специализированной и привилегированной безопасности.The security controls for enterprise accounts are designed to create a secure baseline for all users and provide a secure foundation for specialized and privileged security:

  • Применение надежной многофакторной проверки подлинности (MFA). Убедитесь, что пользователь прошел проверку подлинности с помощью надежного MFA, предоставляемого системой идентификации, управляемой предприятием (подробно см. на схеме ниже).Enforce strong multi-factor authentication (MFA) - Ensure that the user is authenticated with strong MFA provided by an enterprise-managed identity system (detailed in the diagram below). Дополнительные сведения о многофакторной идентификации см. в статье рекомендации по обеспечению безопасности в Azure 6.For more information about multi-factor authentication, see Azure security best practice 6.

    Примечание

    В то время как ваша организация может использовать существующую более слабую форму MFA в течение периода перехода, злоумышленники все чаще обходят более слабую защиту MFA, поэтому все новые инвестиции в MFA должны быть в самых надежных формах.While your organization may choose to use an existing weaker form of MFA during a transition period, attackers are increasingly evading the weaker MFA protections, so all new investment into MFA should be on the strongest forms.

  • Включить риск для учетной записи или сеанса. Убедитесь, что учетная запись не может пройти проверку подлинности, если она не имеет низкий уровень риска (или средний?).Enforce account/session risk - ensure that the account is not able to authenticate unless it is at a low (or medium?) risk level. Дополнительные сведения об условной безопасности учетной записи предприятия см. в разделе уровни безопасности интерфейса.See Interface Security Levels for details on conditional enterprise account security.

  • Мониторинг и реагирование на предупреждения. операции безопасности должны интегрировать оповещения безопасности учетной записи и получить достаточно обучения по принципам работы этих протоколов и систем, чтобы гарантировать, что они смогут быстро понимать, что означает оповещение и реагировать соответствующим образом.Monitor and respond to alerts - Security operations should integrate account security alerts and get sufficient training on how these protocols and systems work to ensure they are able to rapidly comprehend what an alert means and react accordingly.

На следующей схеме представлено сравнение с различными формами MFA и проверкой подлинности с паролем.The following diagram provides a comparison to different forms of MFA and passwordless authentication. Каждый вариант в наилучшем поле считается высоконадежным и высоким.Each option in the best box is considered both high security and high usability. Каждый из них имеет различные требования к оборудованию, поэтому вам может потребоваться сочетать и сопоставлять, какие из них применяются к разным ролям или отдельным лицам.Each has different hardware requirements so you may want to mix and match which ones apply to different roles or individuals. Все решения Майкрософт без пароля распознаются условным доступом в качестве многофакторной проверки подлинности, так как они нуждаются в сочетании с любыми биометрией, другими известными или обоими.All Microsoft passwordless solutions are recognized by Conditional Access as multi-factor authentication because they require combining something you have with either biometrics, something you know, or both.

Сравнение методов проверки подлинности хорошо, лучше, лучше

Примечание

Дополнительные сведения о том, почему SMS и другая проверка подлинности на основе телефона ограничены, см. в записи блога о том, как зависнуть в процессе передачи данных по телефону для проверки подлинности.For more information on why SMS and other phone based authentication is limited, see the blog post It's Time to Hang Up on Phone Transports for Authentication.

Специализированные учетные записиSpecialized accounts

Специализированные учетные записи — это более высокий уровень защиты, подходящий для конфиденциальных пользователей.Specialized accounts are a higher protection level suitable for sensitive users. Благодаря повышенному влиянию на бизнес, специализированные учетные записи гарантируют дополнительный мониторинг и приоритизацию при оповещениях системы безопасности, расследовании инцидентов и поиске угроз.Because of their higher business impact, specialized accounts warrant additional monitoring and prioritization during security alerts, incident investigations, and threat hunting.

Специализированные системы безопасности, основанные на надежном MFA в корпоративной безопасности, определяют наиболее важные учетные записи и гарантируют приоритетные процессы предупреждений и ответов:Specialized security builds on the strong MFA in enterprise security by identifying the most sensitive accounts and ensuring alerts and response processes are prioritized:

  1. Идентификация конфиденциальных учетных записей. Дополнительные сведения об определении этих учетных записей см.Identify Sensitive Accounts - See specialized security level guidance for identifying these accounts.
  2. Теги специализированные учетные записи. Убедитесь, что каждая конфиденциальная учетная запись помечена какTag Specialized Accounts - Ensure each sensitive account is tagged
    1. Настройка Azure Sentinel ватчлистс для обнаружения этих конфиденциальных учетных записейConfigure Azure Sentinel Watchlists to identify these sensitive accounts
    2. Настройка защиты учетных записей в защитнике Майкрософт для Office 365 и назначение специализированных и привилегированных учетных записей в качестве приоритетных учетных записей.Configure Priority Account Protection in Microsoft Defender for Office 365 and designate specialized and privileged accounts as priority accounts -
  3. Обновление процессов безопасности — чтобы гарантировать, что предупреждения получают наивысший приоритетUpdate Security Operations processes - to ensure these alerts are given the highest priority
  4. Настройте управление — обновление или создание процесса управления, чтобы убедиться, чтоSet up Governance - Update or create governance process to ensure that
    1. Все новые роли оцениваются для специализированных или привилегированных классификаций по мере их создания или изменения.All new roles to are evaluated for specialized or privileged classifications as they are created or changed
    2. Все новые учетные записи помечаются как созданные.All new accounts are tagged as they are created
    3. Непрерывные или периодические проверки, чтобы гарантировать, что роли и учетные записи не получится обычными процессами управления.Continuous or periodic out of band checks to ensure that roles and accounts didn't get missed by normal governance processes.

Привилегированные учетные записиPrivileged accounts

Привилегированные учетные записи имеют наивысший уровень защиты, так как они представляют значительный или материальный эффект от операций Организации в случае компрометации.Privileged accounts have the highest level of protection because they represent a significant or material potential impact on the organization's operations if compromised.

Привилегированные учетные записи всегда включают ИТ-администраторов с доступом к большинству или всем корпоративным системам, включая большинство или все критически важные системы.Privileged accounts always include IT Admins with access to most or all enterprise systems, including most or all business critical systems. Другие учетные записи с высоким влиянием на бизнес также могут гарантировать этот дополнительный уровень защиты.Other accounts with a high business impact may also warrant this additional level of protection. Дополнительные сведения о том, какие роли и учетные записи следует защищать на каком уровне, см. в статье привилегированная безопасность.For more information about which roles and accounts should be protected at what level, see the article Privileged Security.

Помимо специализированной безопасности, безопасность привилегированных учетных записей повышается:In addition to specialized security , privileged account security increases both:

  • Защита. Добавьте элементы управления, чтобы ограничить использование этих учетных записей назначенными устройствами, рабочими станциями и посредниками.Prevention - add controls to restrict the usage of these accounts to the designated devices, workstations, and intermediaries.
  • Ответ. внимательно отслеживайте эти учетные записи для аномальных действий и быстро изучайте и устраняйте риски.Response - closely monitor these accounts for anomalous activity and rapidly investigate and remediate the risk.

Настройка безопасности привилегированных учетных записейConfiguring privileged account security

Следуйте указаниям в плане Security Rapid модернизации , чтобы повысить уровень безопасности привилегированных учетных записей и снизить затраты на управление.Follow the guidance in the Security rapid modernization plan to both increase the security of your privileged accounts and decrease your cost to manage.

Следующие шагиNext steps