Быстрый модернизации план безопасностиSecurity rapid modernization plan

Этот быстрый план модернизации (ПАНДУС) поможет быстро внедрить рекомендуемую стратегию привилегированного доступакорпорации Майкрософт.This rapid modernization plan (RAMP) will help you quickly adopt Microsoft's recommended privileged access strategy.

Эта схема основана на технических элементах управления, установленных в руководстве по развертыванию привилегированного доступа .This roadmap builds on the technical controls established in the privileged access deployment guidance. Выполните эти действия, а затем выполните действия, описанные в этой статье, чтобы настроить элементы управления для вашей организации.Complete those steps and then use the steps in this RAMP to configure the controls for your organization.

Сводка по ПАНДУСу привилегированного доступа

Примечание

Многие из этих шагов будут иметь зеленый или серия статей Brownfield динамический, так как организации часто сталкиваются с угрозами безопасности, так как они уже развернуты или настроены учетные записи.Many of these steps will have a green/brownfield dynamic as organizations often have security risks in the way they are already deployed or configured accounts. Этот план сначала задает приоритетную остановку накопления новых угроз безопасности, а затем удаляет оставшиеся элементы, которые уже были собраны.This roadmap prioritizes stopping the accumulation of new security risks first, and then later cleans up the remaining items that have already accumulated.

По мере продвижения по плану вы можете использовать Microsoft Secure Score для отслеживания и сравнения многих товаров в пути с другими пользователями в аналогичных организациях с течением времени.As you progress through the roadmap, you can utilize Microsoft Secure Score to track and compare many items in the journey with others in similar organizations over time. См. Дополнительные сведения об оценке безопасности Майкрософт в статье Обзор безопасности.Learn more about Microsoft Secure Score in the article Secure score overview.

Каждый элемент в этой ШКАЛе структурирован как инициатива, которая будет относиться и управляться с использованием формата, который строится на основе методологии целей и ключевых результатов (ОКР).Each item in this RAMP is structured as an initiative that will be tracked and managed using a format that builds on the objectives and key results (OKR) methodology. Каждый элемент включает то, что (цель), зачем, кто, как и как измерять (ключевые результаты).Each item includes what (objective), why, who, how, and how to measure (key results). Некоторым элементам требуются изменения в процессах и кновелджеах людей, а другие — более простые изменения в технологиях.Some items require changes to processes and people's knoweldge/skills, while others are simpler technology changes. Многие из этих инициатив будут включать членов за пределами традиционного ИТ-отдела, который следует включить в принятие решений и реализацию этих изменений, чтобы обеспечить их успешную интеграцию в Организации.Many of these initiatives will include members outside of the traditional IT Department that should be included in the decision making and implementation of these changes to ensure they are successfully integrated in your organization.

Очень важно совместно работать в качестве организации, создавать партнерские отношения и обучать людей, которые обычно не были частью этого процесса.It is critical to work together as an organization, create partnerships, and educate people who traditionally were not part of this process. Очень важно создавать и обслуживать покупки в Организации, не выполняя при этом много проектов.It is critical to create and maintain buy-in across the organization, without it many projects fail.

Отделение привилегированных учетных записей и управление имиSeparate and manage privileged accounts

Учетные записи для аварийного доступаEmergency access accounts

  • Что? убедитесь, что ваша организация Azure Active Directory (Azure AD) не была случайно заблокирована в экстренной ситуации.What: Ensure that you are not accidentally locked out of your Azure Active Directory (Azure AD) organization in an emergency situation.
  • Почему: учетные записи аварийного доступа редко используются и сильно опасны для Организации, если они скомпрометированы, но их доступность в организации также критически важна для некоторых сценариев, когда они требуются.Why: Emergency access accounts rarely used and highly damaging to the organization if compromised, but their availability to the organization is also critically important for the few scenarios when they are required. Убедитесь, что у вас есть план непрерывности доступа, который поддерживает как ожидаемые, так и непредвиденные события.Ensure you have a plan for continuity of access that accommodates both expected and unexpected events.
  • Кто: Эта инициатива обычно относится к управлению удостоверениями и ключами и/или архитектуре безопасности.Who: This initiative is typically led by Identity and Key Management and/or Security Architecture.
  • Инструкции. Следуйте указаниям в статье Управление учетными записями аварийного доступа в Azure AD.How: Follow the guidance in Manage emergency access accounts in Azure AD.
  • Результаты ключей мер:Measure key results:
    • Установлено Процесс аварийного доступа разработан на основе руководств корпорации Майкрософт, отвечающих потребностям Организации.Established Emergency access process has been designed based on Microsoft guidance that meets organizational needs
    • Поддерживается Аварийный доступ был проверен и протестирован за последние 90 днейMaintained Emergency access has been reviewed and tested within the past 90 days

Включение Azure AD Privileged Identity ManagementEnable Azure AD Privileged Identity Management

Выявление и классификация привилегированных учетных записей (Azure AD)Identify and categorize privileged accounts (Azure AD)

  • Что? выявление всех ролей и групп с высоким влиянием на бизнес, требующих привилегированного уровня безопасности (сразу или с течением времени).What: Identify all roles and groups with high business impact that will require privileged security level (immediately or over time). Дополнительные специализированные роли будут идентифицированы на последующих этапах.Additional specialized roles will be identified in later stages.

  • Почему: этот шаг необходим для обнаружения и сворачивания количества людей, которым требуются отдельные учетные записи и защита привилегированного доступа.Why: This step is required to identify and minimize the number of people that require separate accounts and privileged access protection

  • Кто: Эта инициатива обычно относится к управлению удостоверениями и ключами и/или архитектуре безопасности.Who: This initiative is typically led by Identity and Key Management and/or Security Architecture.

  • Как после включения Azure AD privileged Identity Management просмотрите пользователей, которые находятся в следующих ролях Azure AD:How: After turning on Azure AD Privileged Identity Management, view the users who are in the following Azure AD roles:

    • Глобальный администраторGlobal administrator
    • Администратор привилегированных ролейPrivileged role administrator
    • администратор Exchange;Exchange administrator
    • администратор SharePoint;SharePoint administrator

    Полный список ролей администратора см. в разделе разрешения роли администратора в Azure Active Directory.For a complete list of administrator roles, see Administrator role permissions in Azure Active Directory.

    Удалите все учетные записи, которые больше не нужны в этих ролях.Remove any accounts that are no longer needed in those roles. Затем классифицируйте оставшиеся учетные записи, назначенные ролям администраторов:Then, categorize the remaining accounts that are assigned to admin roles:

    • Назначено пользователям с правами администратора, но также используется для повышения производительности без администрирования, например для чтения и реагирования на сообщения электронной почты.Assigned to administrative users, but also used for non-administrative productivity purposes, like reading and responding to email.
    • назначается пользователями с правами администратора и используется только для административных целей;Assigned to administrative users and used for administrative purposes only
    • совместно используется несколькими пользователями;Shared across multiple users
    • для сценариев аварийного доступа;For break-glass emergency access scenarios
    • для автоматических скриптов;For automated scripts
    • для внешних пользователей.For external users

Если в вашей организации нет Azure AD Privileged Identity Management, можно использовать API PowerShell.If you don't have Azure AD Privileged Identity Management in your organization, you can use the PowerShell API. Кроме того, начните с роли глобального администратора, так как глобальный администратор имеет те же разрешения во всех облачных службах, на которые подписана ваша организация.Also start with the Global Administrator role, because a Global Administrator has the same permissions across all cloud services for which your organization has subscribed. Эти разрешения предоставляются независимо от того, где они были назначены: в Центре администрирования Microsoft 365, на портале Azure или в модуле Azure AD для Microsoft PowerShell.These permissions are granted no matter where they were assigned: in the Microsoft 365 admin center, the Azure portal, or by the Azure AD module for Microsoft PowerShell.

  • Результаты ключей мер: Проверка и идентификация ролей привилегированного доступа выполнена за последние 90 днейMeasure key results: Review and Identification of privileged access roles has been completed within the past 90 days

Отдельные учетные записи (локальные учетные записи AD)Separate accounts (On-premises AD accounts)

  • Что: Защита локальных привилегированных административных учетных записей, если они еще не выполнены.What: Secure on-premises privileged administrative accounts, if not already done. Этот этап включает в себя следующее:This stage includes:

    • Создание отдельных учетных записей администраторов для пользователей, которым необходимо выполнять локальные задачи администрированияCreating separate admin accounts for users who need to conduct on-premises administrative tasks
    • Развертывание рабочих станций с привилегированным доступом для администраторов Active DirectoryDeploying Privileged Access Workstations for Active Directory administrators
    • Создание уникальных паролей локальных администраторов для рабочих станций и серверовCreating unique local admin passwords for workstations and servers
  • Почему: усиление защиты учетных записей, используемых для административных задач.Why: Hardening the accounts used for administrative tasks. В учетных записях администратора должна быть отключена почта, а личные учетные записи Майкрософт использовать нельзя.The administrator accounts should have mail disabled and no personal Microsoft accounts should be allowed.

  • Кто: Эта инициатива обычно относится к управлению удостоверениями и ключами и/или архитектуре безопасности.Who: This initiative is typically led by Identity and Key Management and/or Security Architecture.

  • Как: все сотрудники, которым разрешено обладать правами администратора, должны иметь отдельные учетные записи для административных функций, которые отличаются от учетных записей пользователей.How: All personnel that are authorized to possess administrative privileges must have separate accounts for administrative functions that are distinct from user accounts. Не предоставляйте общий доступ к этим учетным записям пользователей.Do not share these accounts between users.

    • Учетные записи обычных пользователей предусматривают привилегии обычного пользователя для соответствующих задач, таких как обмен сообщениями электронной почты, просмотр веб-страниц и использование бизнес-приложений.Standard user accounts - Granted standard user privileges for standard user tasks, such as email, web browsing, and using line-of-business applications. Эти учетные записи не имеют прав администратора.These accounts are not granted administrative privileges.
    • Учетные записи администраторов — отдельные учетные записи, созданные для специалистов, которым назначены соответствующие права.Administrative accounts - Separate accounts created for personnel who are assigned the appropriate administrative privileges.
  • Результаты ключей мер: 100% локальных привилегированных пользователей имеют отдельные выделенные учетные записиMeasure key results: 100% of on-premises privileged users have separate dedicated accounts

Microsoft Defender для удостоверенийMicrosoft Defender for Identity

  • Что? защитник Майкрософт для идентификации объединяет локальные сигналы с облачной аналитикой для мониторинга, защиты и исследования событий в упрощенном формате, позволяя группам безопасности обнаруживать дополнительные атаки в инфраструктуре идентификации с возможностью:What: Microsoft Defender for Identity combines on-premises signals with cloud insights to monitor, protect, and investigate events in a simplified format enabling your security teams to detect advanced attacks against your identity infrastructure with the ability to:

    • отслеживать пользователей, поведение сущностей и действия с помощью аналитики на основе обучения;Monitor users, entity behavior, and activities with learning-based analytics
    • защищать удостоверения и учетные данные пользователей, хранящиеся в Active Directory;Protect user identities and credentials stored in Active Directory
    • выявлять и изучать подозрительные действия пользователей и современные атаки на основе модели цепочки атаки;Identify and investigate suspicious user activities and advanced attacks throughout the kill chain
    • получать сведения об инцидентах в четко установленные сроки для быстрого рассмотрения.Provide clear incident information on a simple timeline for fast triage
  • Почему: современные злоумышленники могут оставаться незамеченными в течение длительного периода времени.Why: Modern attackers may stay undetected for long periods of time. Многие угрозы трудно найти без согласованной картины всей среды удостоверений.Many threats are hard to find without a cohesive picture of your entire identity environment.

  • Кто: Эта инициатива обычно относится к управлению удостоверениями и ключами и/или архитектуре безопасности.Who: This initiative is typically led by Identity and Key Management and/or Security Architecture.

  • Как развертывать и включать защитник Майкрософт для идентификации и просматривать все открытые оповещения.How: Deploy and enable Microsoft Defender for Identity and review any open alerts.

  • Результаты ключей мер: все открытые оповещения проверены и устранены соответствующими командами.Measure key results: All open alerts reviewed and mitigated by the appropriate teams.

Улучшение интерфейса управления учетными даннымиImprove credential management experience

Реализация и документирование самостоятельного сброса пароля и общей регистрации сведений о безопасностиImplement and document self-service password reset and combined security information registration

  • Что? включение и настройка самостоятельного сброса пароля (SSPR) в вашей организации и включение общего процесса регистрации сведений о безопасности.What: Enable and configure self-service password reset (SSPR) in your organization and enable the combined security information registration experience.
  • Почему: пользователи могут сбрасывать свои пароли после их регистрации.Why: Users are able to reset their own passwords once they have registered. Объединенная процедура регистрации сведений о безопасности обеспечивает лучшее взаимодействие с пользователем, позволяя зарегистрировать многофакторную идентификацию Azure AD и самостоятельный сброс пароля.The combined security information registration experience provides a better user experience allowing registration for Azure AD Multi-Factor Authentication and self-service password reset. Эти средства при совместном использовании способствуют снижению затрат на техническую поддержку и более удовлетворенных пользователей.These tools when used together contribute to lower helpdesk costs and more satisfied users.
  • Кто: Эта инициатива обычно относится к управлению удостоверениями и ключами и/или архитектуре безопасности.Who: This initiative is typically led by Identity and Key Management and/or Security Architecture.
  • Инструкции по включению и развертыванию SSPR см. в статье план Azure Active Directory самостоятельного сброса пароля.How: To enable and deploy SSPR, see the article Plan an Azure Active Directory self-service password reset deployment.
  • Основные результаты измерения: самостоятельный сброс пароля полностью настроен и доступен для Организации.Measure key results: Self-service password reset is fully configured and available to the organization

Защита учетных записей администраторов. Включение и использование MFA/Password без пароля для привилегированных пользователей Azure ADProtect admin accounts - Enable and require MFA / Passwordless for Azure AD privileged users

  • Что: требовать, чтобы все привилегированные учетные записи в Azure AD использовали надежную многофакторную проверку подлинностиWhat: Require all privileged accounts in Azure AD to use strong multi-factor authentication

  • Зачем: защищать доступ к данным и службам в Microsoft 365.Why: To protect access to data and services in Microsoft 365.

  • Кто: Эта инициатива обычно относится к управлению удостоверениями и ключами и/или архитектуре безопасности.Who: This initiative is typically led by Identity and Key Management and/or Security Architecture.

  • Как включить многофакторную идентификацию Azure AD (MFA) и зарегистрировать все другие нефедеративные учетные записи администратора с высоким уровнем прав.How: Turn on Azure AD Multi-Factor Authentication (MFA) and register all other highly privileged single-user non-federated admin accounts. Требовать многофакторную проверку подлинности при входе для всех отдельных пользователей, которые постоянно назначены одной или нескольким ролям администратора Azure AD, таким как:Require multi-factor authentication at sign-in for all individual users who are permanently assigned to one or more of the Azure AD admin roles like:

    • Глобальный администраторGlobal administrator
    • Администратор привилегированных ролейPrivileged Role administrator
    • администратор Exchange;Exchange administrator
    • администратор SharePoint;SharePoint administrator

    Требовать от администраторов использования методов входа без пароля, таких как ключи безопасности FIDO2 или Windows Hello для бизнеса, в сочетании с уникальными и длинными сложными паролями.Require administrators to use passwordless sign-in methods such as FIDO2 security keys or Windows Hello for Business in conjunction with unique, long, complex passwords. Принудительно применить это изменение к документу политики Организации.Enforce this change with an organizational policy document.

Следуйте инструкциям, приведенным в следующих статьях, Спланируйте развертывание службы многофакторной идентификации Azure AD и Спланируйте развертывание проверки подлинности с незащищенным паролем в Azure Active Directory.Follow the guidance in the following articles, Plan an Azure AD Multi-Factor Authentication deployment and Plan a passwordless authentication deployment in Azure Active Directory.

  • Основные результаты измерения: 100% привилегированных пользователей используют проверку подлинности с паролем или строгую форму многофакторной проверки подлинности для всех входов.Measure key results: 100% of privileged users are using passwordless authentication or a strong form of multi-factor authentication for all logons. Описание многофакторной проверки подлинности см. в разделе учетные записи привилегированного доступа .See Privileged Access Accounts for description of multi-factor authentication

Блокировать устаревшие протоколы проверки подлинности для привилегированных учетных записей пользователейBlock legacy authentication protocols for privileged user accounts

  • Что? блокировать использование устаревшего протокола проверки подлинности для привилегированных учетных записей пользователей.What: Block legacy authentication protocol use for privileged user accounts.

  • Почему: Организации должны блокировать эти устаревшие протоколы проверки подлинности, так как для них не может применяться многофакторная идентификация.Why: Organizations should block these legacy authentication protocols because multi-factor authentication cannot be enforced against them. Включение устаревших протоколов проверки подлинности может создать точку входа для злоумышленников.Leaving legacy authentication protocols enabled can create an entry point for attackers. Некоторые устаревшие приложения могут использовать эти протоколы, а Организации — возможность создавать определенные исключения для определенных учетных записей.Some legacy applications may rely on these protocols and organizations have the option to create specific exceptions for certain accounts. Эти исключения следует отслеживать и реализовывать дополнительные элементы мониторинга.These exceptions should be tracked and additional monitoring controls implemented.

  • Кто: Эта инициатива обычно относится к управлению удостоверениями и ключами и/или архитектуре безопасности.Who: This initiative is typically led by Identity and Key Management and/or Security Architecture.

  • Как блокировать устаревшие протоколы проверки подлинности в Организации. Следуйте указаниям в статье как заблокировать устаревшую проверку подлинности в Azure AD с помощью условного доступа.How: To block legacy authentication protocols in your organization, follow the guidance in the article How to: Block legacy authentication to Azure AD with Conditional Access.

  • Результаты ключей мер:Measure key results:

    • Устаревшие протоколы заблокированы: Все устаревшие протоколы блокируются для всех пользователей, за исключением разрешенных исключенийLegacy protocols blocked: All legacy protocols are blocked for all users, with only authorized exceptions
    • Исключения проверяются каждые 90 дней и истекает навсегда в течение одного года.Exceptions are reviewed every 90 days and expire permanently within one year. Владельцы приложений должны исправить все исключения в течение одного года с первого утверждения исключенияApplication owners must fix all exceptions within one year of first exception approval
  • Что? отключение согласия конечного пользователя для приложений Azure AD.What: Disable end-user consent to Azure AD applications.

Примечание

Это изменение потребует централизации процесса принятия решений с группами безопасности и управления удостоверениями вашей организации.This change will require centralizing the decision-making process with your organization's security and identity administration teams.

Очистка учетной записи и рисков при входеClean up account and sign-in risks

  • Что? включение Защита идентификации Azure AD и очистку всех обнаруженных рисков.What: Enable Azure AD Identity Protection and cleanup any risks that it finds.
  • Почему: рискованное поведение пользователя и входа может быть источником атак для вашей организации.Why: Risky user and sign-in behavior can be a source of attacks against your organization.
  • Кто: Эта инициатива обычно относится к управлению удостоверениями и ключами и/или архитектуре безопасности.Who: This initiative is typically led by Identity and Key Management and/or Security Architecture.
  • Создание процесса, который отслеживает и управляет риском для пользователей и при входе.How: Create a process that monitors and manages user and sign-in risk. Решите, будет ли автоматизировать исправление, используя многофакторную идентификацию Azure AD и SSPR, или заблокировать и потребовать вмешательства администратора. Следуйте указаниям в статье как настроить и включить политики риска.Decide if you will automate remediation, using Azure AD Multi-Factor Authentication and SSPR, or block and require administrator intervention.Follow the guidance in the article How To: Configure and enable risk policies.
  • Результаты ключей мер. Организация имеет нулевые неупорядоченные риски пользователя и входа.Measure key results: The organization has zero unaddressed user and sign-in risks.

Примечание

Политики условного доступа необходимы для блокирования начисления новых рисков при входе.Conditional Access policies are required to block accrual of new sign-in risks. См. раздел условный доступ в разделе развертывание с привилегированным доступом .See the Conditional access section of Privileged Access Deployment

Начальное развертывание рабочих станций администратораAdmin workstations initial deployment

  • Что: привилегированные учетные записи, такие как глобальные администраторы, имеют выделенные рабочие станции для выполнения административных задач из.What: Privileged accounts such as Global Administrators have dedicated workstations to perform administrative tasks from.
  • Почему: устройства, на которых выполняются привилегированные задачи администрирования, являются целью злоумышленников.Why: Devices where privileged administration tasks are completed are a target of attackers. Защита не только учетной записи, но эти активы являются критически важными при уменьшении контактной зоны для атак.Securing not only the account but these assets are critical in reducing your attack surface area. Это разделение ограничивает возможности распространенных атак, направленных на задачи, связанные с производительностью, такие как электронная почта и просмотр веб-страниц.This separation limits their exposure to common attacks directed at productivity-related tasks like email and web browsing.
  • Кто: Эта инициатива обычно относится к управлению удостоверениями и ключами и/или архитектуре безопасности.Who: This initiative is typically led by Identity and Key Management and/or Security Architecture.
  • Как это должно быть первоначальное развертывание на уровне предприятия, как описано в статье развертывание привилегированного доступа .How: Initial deployment should be to the Enterprise level as described in the article Privileged Access Deployment
  • Основные результаты измерения. Каждая привилегированная учетная запись имеет выделенную рабочую станцию для выполнения конфиденциальных задач от.Measure key results: Every privileged account has a dedicated workstation to perform sensitive tasks from.

Примечание

Этот шаг быстро устанавливает базовый уровень безопасности и должен быть увеличен до уровня "специализированные" и "привилегированные" как можно скорее.This step rapidly establishes a security baseline and must be increased to specialized and privileged levels as soon as possible.

Дальнейшие действияNext steps