Skydda Microsoft 365 mot lokala attacker

Många kunder ansluter sina privata företagsnätverk till Microsoft 365 för att gynna sina användare, enheter och program. Dessa privata nätverk kan dock komprometteras på många väldokumenterade sätt. Eftersom Microsoft 365 fungerar som ett slags nervsystem för många organisationer är det viktigt att skydda det mot komprometterad lokal infrastruktur.

Den här artikeln visar hur du konfigurerar dina system för att skydda din Microsoft 365 molnmiljö från lokala kompromisser. Vi fokuserar främst på:

  • konfigurationsinställningar för Azure Active Directory (Azure AD).
  • Hur Azure AD-klienter kan anslutas på ett säkert sätt till lokala system.
  • Kompromisserna som krävs för att driva dina system på ett sätt som skyddar dina molnsystem mot lokala kompromisser.

Vi rekommenderar starkt att du implementerar den här vägledningen för att skydda din Microsoft 365 molnmiljö.

Anteckning

Den här artikeln publicerades ursprungligen som ett blogginlägg. Den har flyttats till sin nuvarande plats för livslängd och underhåll.

Om du vill skapa en offlineversion av den här artikeln använder du webbläsarens print-to-PDF-funktioner. Kom tillbaka hit ofta för uppdateringar.

Primära hotvektorer från komprometterade lokala miljöer

Din Microsoft 365 molnmiljö drar nytta av en omfattande infrastruktur för övervakning och säkerhet. Med maskininlärning och mänsklig intelligens ser Microsoft 365 ut över hela världen. Det kan snabbt identifiera attacker och göra att du kan konfigurera om nästan i realtid.

I hybriddistributioner som ansluter lokal infrastruktur till Microsoft 365 delegerar många organisationer förtroende till lokala komponenter för kritiska beslut om autentisering och hantering av katalogobjekttillstånd. Om den lokala miljön är komprometterad blir dessa förtroenderelationer tyvärr en angripares möjligheter att kompromettera din Microsoft 365 miljö.

De två primära hotvektorerna är federationsförtroenderelationer och kontosynkronisering. Båda vektorerna kan ge en angripare administrativ åtkomst till ditt moln.

  • Federerade förtroenderelationer, till exempel SAML-autentisering, används för att autentisera för att Microsoft 365 via din lokala identitetsinfrastruktur. Om ett SAML-tokensigneringscertifikat komprometteras tillåter federationen alla som har certifikatet att personifiera alla användare i molnet. Vi rekommenderar att du inaktiverar federationsförtroenderelationer för autentisering för att Microsoft 365 när det är möjligt.

  • Kontosynkronisering kan användas för att ändra privilegierade användare (inklusive deras autentiseringsuppgifter) eller grupper som har administratörsbehörighet i Microsoft 365. Vi rekommenderar att du ser till att synkroniserade objekt inte har några privilegier utöver en användare i Microsoft 365, antingen direkt eller via inkludering i betrodda roller eller grupper. Kontrollera att dessa objekt inte har någon direkt eller kapslad tilldelning i betrodda molnroller eller grupper.

Skydda Microsoft 365 från lokala kompromisser

För att åtgärda hotvektorerna som beskrevs tidigare rekommenderar vi att du följer principerna som illustreras i följande diagram:

Reference architecture for protecting Microsoft 365.

  1. Isolera dina Microsoft 365 administratörskonton fullständigt. De bör vara:

    • Hanterad i Azure AD.

    • Autentiserad med multifaktorautentisering.

    • Skyddas av villkorsstyrd åtkomst i Azure AD.

    • Används endast med hjälp av Azure-hanterade arbetsstationer.

    Dessa administratörskonton är konton med begränsad användning. Inga lokala konton ska ha administratörsbehörighet i Microsoft 365.

    Mer information finns i översikten över Microsoft 365 administratörsroller. Se även Roller för Microsoft 365 i Azure AD.

  2. Hantera enheter från Microsoft 365. Använd Azure AD Join och molnbaserad hantering av mobila enheter (MDM) för att eliminera beroenden i din lokala infrastruktur för enhetshantering. Dessa beroenden kan äventyra enhets- och säkerhetskontroller.

  3. Se till att inget lokalt konto har utökade privilegier för att Microsoft 365. Vissa konton har åtkomst till lokala program som kräver NTLM-, LDAP- eller Kerberos-autentisering. Dessa konton måste finnas i organisationens lokala identitetsinfrastruktur. Se till att dessa konton, inklusive tjänstkonton, inte ingår i privilegierade molnroller eller grupper. Se också till att ändringar av dessa konton inte kan påverka integriteten i din molnmiljö. Privilegierad lokal programvara får inte påverka Microsoft 365 privilegierade konton eller roller.

  4. Använd Azure AD-molnautentisering för att eliminera beroenden för dina lokala autentiseringsuppgifter. Använd alltid stark autentisering, till exempel Windows Hello, FIDO, Microsoft Authenticator eller Azure AD multifaktorautentisering.

Specifika säkerhetsrekommendationer

Följande avsnitt innehåller specifik vägledning om hur du implementerar principerna som beskrevs tidigare.

Isolera privilegierade identiteter

I Azure AD är användare som har privilegierade roller, till exempel administratörer, roten till förtroende för att skapa och hantera resten av miljön. Implementera följande metoder för att minimera effekterna av en kompromiss.

Mer information finns i Skydda privilegierad åtkomst. Se även Metoder för säker åtkomst för administratörer i Azure AD.

Använda molnautentisering

Autentiseringsuppgifter är en primär attackvektor. Implementera följande metoder för att göra autentiseringsuppgifterna säkrare:

Begränsningar och kompromisser

  • Lösenordshantering för hybridkonton kräver hybridkomponenter som lösenordsskyddsagenter och tillbakaskrivningsagenter för lösenord. Om din lokala infrastruktur komprometteras kan angripare styra de datorer där dessa agenter finns. Den här säkerhetsrisken äventyrar inte molninfrastrukturen. Men dina molnkonton skyddar inte dessa komponenter från lokala kompromisser.

  • Lokala konton som synkroniserats från Active Directory markeras som aldrig upphör att gälla i Azure AD. Den här inställningen minimeras vanligtvis av lokal Active Directory lösenordsinställningar. Men om din lokala instans av Active Directory komprometteras och synkroniseringen är inaktiverad måste du ange alternativet EnforceCloudPasswordPolicyForPasswordSyncedUsers för att tvinga fram lösenordsändringar.

Etablera användaråtkomst från molnet

Etablering syftar på skapandet av användarkonton och grupper i program eller identitetsprovidrar.

Diagram of provisioning architecture.

Vi rekommenderar följande etableringsmetoder:

  • Etablering från HR-molnappar till Azure AD: Den här etableringen gör att en lokal kompromiss kan isoleras, utan att störa din joiner-mover-leaver-cykel från dina HR-molnappar till Azure AD.

  • Molnprogram: Om möjligt distribuerar du Azure AD-appetablering i stället för lokala etableringslösningar. Den här metoden skyddar vissa av dina SaaS-appar (software-as-a-service) från att påverkas av skadliga hackerprofiler i lokala intrång.

  • Externa identiteter: Använd Azure AD B2B-samarbete Den här metoden minskar beroendet av lokala konton för externt samarbete med partner, kunder och leverantörer. Utvärdera noggrant all direkt federation med andra identitetsprovidrar. Vi rekommenderar att du begränsar B2B-gästkonton på följande sätt:

    • Begränsa gäståtkomsten till webbgrupper och andra egenskaper i katalogen. Använd inställningarna för externt samarbete för att begränsa gästernas möjlighet att läsa grupper som de inte är medlemmar i.

      • Blockera åtkomst till Azure Portal. Du kan göra sällsynta nödvändiga undantag. Skapa en princip för villkorsstyrd åtkomst som omfattar alla gäster och externa användare. Implementera sedan en princip för att blockera åtkomst.
  • Frånkopplade skogar: Använd Azure AD-molnetablering. Med den här metoden kan du ansluta till frånkopplade skogar, vilket eliminerar behovet av att upprätta anslutningar eller förtroenden mellan skogar, vilket kan bredda effekten av ett lokalt intrång.

Begränsningar och kompromisser

När det används för att etablera hybridkonton förlitar sig Azure-AD-from-cloud-HR-systemet på lokal synkronisering för att slutföra dataflödet från Active Directory till Azure AD. Om synkroniseringen avbryts blir nya poster för anställda inte tillgängliga i Azure AD.

Använda molngrupper för samarbete och åtkomst

Med molngrupper kan du frikoppla ditt samarbete och din åtkomst från din lokala infrastruktur.

  • Samarbete: Använd Microsoft 365-grupper och Microsoft Teams för modernt samarbete. Inaktivera lokala distributionslistor och uppgradera distributionslistor för att Microsoft 365-grupper i Outlook.

  • Åtkomst: Använd Azure AD-säkerhetsgrupper eller Microsoft 365-grupper för att auktorisera åtkomst till program i Azure AD.

  • Office 365 licensiering: Använd gruppbaserad licensiering för att etablera för att Office 365 med hjälp av grupper som endast är molnbaserade. Den här metoden frikopplar kontrollen över gruppmedlemskap från den lokala infrastrukturen.

Ägare av grupper som används för åtkomst bör betraktas som privilegierade identiteter för att undvika medlemskapsövertagande i en lokal kompromiss. Ett övertagande skulle omfatta direkt manipulering av gruppmedlemskap lokalt eller manipulering av lokala attribut som kan påverka dynamiskt gruppmedlemskap i Microsoft 365.

Hantera enheter från molnet

Använd Azure AD-funktioner för att hantera enheter på ett säkert sätt.

Arbetsbelastningar, program och resurser

  • Lokala system för enkel inloggning (SSO)

    Inaktuella lokala infrastrukturer för federations- och webbåtkomsthantering. Konfigurera program att använda Azure AD.

  • SaaS- och verksamhetsspecifika program (LOB) som stöder moderna autentiseringsprotokoll

    Använd Azure AD för enkel inloggning. Ju fler appar du konfigurerar för att använda Azure AD för autentisering, desto mindre risk i en lokal kompromettering.

  • Äldre program

    • Du kan aktivera autentisering, auktorisering och fjärråtkomst till äldre program som inte stöder modern autentisering. Använd Azure AD Programproxy. Du kan också aktivera dem via en lösning för nätverks- eller programleveranskontrollant med hjälp av säkra hybridåtkomstpartnerintegreringar.

    • Välj en VPN-leverantör som stöder modern autentisering. Integrera autentiseringen med Azure AD. I en lokal kompromiss kan du använda Azure AD för att inaktivera eller blockera åtkomst genom att inaktivera VPN.

  • Program- och arbetsbelastningsservrar

    • Program eller resurser som krävs av servrar kan migreras till Azure Infrastruktur som en tjänst (IaaS). Använd Azure AD Domain Services (Azure AD DS) för att frikoppla förtroende och beroende på lokala instanser av Active Directory. För att uppnå den här avkopplingen kontrollerar du att virtuella nätverk som används för Azure AD DS inte har någon anslutning till företagsnätverk.

    • Följ anvisningarna för nivåindelning av autentiseringsuppgifter. Programservrar betraktas vanligtvis som tillgångar på nivå 1.

Principer för villkorlig åtkomst

Använd villkorsstyrd åtkomst i Azure AD för att tolka signaler och använda dem för att fatta autentiseringsbeslut. Mer information finns i distributionsplanen för villkorsstyrd åtkomst.

Monitor

När du har konfigurerat din miljö för att skydda din Microsoft 365 från en lokal kompromettering kan du proaktivt övervaka miljön.

Scenarier att övervaka

Övervaka följande viktiga scenarier, förutom scenarier som är specifika för din organisation. Du bör till exempel proaktivt övervaka åtkomsten till dina affärskritiska program och resurser.

  • Misstänkt aktivitet

    Övervaka alla Azure AD-riskhändelser för misstänkt aktivitet. Azure AD Identity Protection är inbyggt integrerat med Microsoft Defender för molnet.

    Definiera nätverkets namngivna platser för att undvika brusidentifieringar på platsbaserade signaler.

  • UEBA-aviseringar (User and Entity Behavioral Analytics)

    Använd UEBA för att få insikter om avvikelseidentifiering.

  • Aktivitet för konton för nödåtkomst

    Övervaka all åtkomst som använder konton för nödåtkomst. Skapa aviseringar för undersökningar. Den här övervakningen måste innehålla:

    • Inloggningar.

    • Hantering av autentiseringsuppgifter.

    • Eventuella uppdateringar av gruppmedlemskap.

    • Programtilldelningar.

  • Privilegierad rollaktivitet

    Konfigurera och granska säkerhetsaviseringar som genereras av Azure AD Privileged Identity Management (PIM). Övervaka direkt tilldelning av privilegierade roller utanför PIM genom att generera aviseringar när en användare tilldelas direkt.

  • Konfigurationer för hela Azure AD-klientorganisationen

    Alla ändringar av klientomfattande konfigurationer bör generera aviseringar i systemet. Dessa ändringar omfattar men är inte begränsade till:

    • Anpassade domäner har uppdaterats.

    • Azure AD B2B ändras till allowlists och blocklists.

    • Azure AD B2B ändras till tillåtna identitetsprovidrar (SAML-identitetsprovidrar via direkt federation eller sociala inloggningar).

    • Principändringar för villkorsstyrd åtkomst eller risk.

  • Objekt för program och tjänstens huvudnamn

    • Nya program eller tjänstens huvudnamn som kan kräva principer för villkorsstyrd åtkomst.

    • Autentiseringsuppgifter har lagts till i tjänstens huvudnamn.

    • Programmedgivandeaktivitet.

  • Anpassade roller

    • Uppdateringar av anpassade rolldefinitioner.

    • Nyligen skapade anpassade roller.

Logghantering

Definiera en strategi för logglagring och kvarhållning, design och implementering för att underlätta en konsekvent verktygsuppsättning. Du kan till exempel överväga säkerhetsinformations- och händelsehanteringssystem (SIEM) som Microsoft Sentinel, vanliga frågor och spelböcker för undersökning och kriminalteknik.

  • Azure AD-loggar: Mata in genererade loggar och signaler genom att konsekvent följa metodtipsen för inställningar som diagnostik, loggkvarhållning och SIEM-inmatning.

    Loggstrategin måste innehålla följande Azure AD-loggar:

  • Säkerhetsloggar för operativsystemets hybridinfrastruktur: Alla os-loggar för hybrididentitetsinfrastruktur bör arkiveras och övervakas noggrant som ett nivå 0-system på grund av konsekvenserna för ytan. Inkludera följande element:

    • Azure AD Anslut. Azure AD Anslut Health måste distribueras för att övervaka identitetssynkronisering.

    • Programproxy agenter

    • Agenter för tillbakaskrivning av lösenord

    • Gateway-datorer för lösenordsskydd

    • Nätverksprincipservrar (NPS) som har RADIUS-tillägget för Azure AD-multifaktorautentisering

Nästa steg