Säkerhet för administrativa konton

Administration är praxis för övervakning, underhåll och drift av IT-system (Information Technology) för att uppfylla de servicenivåer som verksamheten kräver. Administration medför några av de största säkerhetsriskerna eftersom dessa uppgifter kräver privilegierad åtkomst till en mycket bred uppsättning av dessa system och program. Angripare vet att åtkomst till ett konto med administratörsbehörighet kan ge dem åtkomst till de flesta eller alla data som de skulle ha som mål, vilket gör säkerheten för administration till ett av de viktigaste säkerhetsområdena.

Microsoft gör till exempel betydande investeringar i skydd och utbildning av administratörer för våra molnsystem och IT-system:

Microsofts rekommenderade centrala strategi för administrativa privilegier är att använda de tillgängliga kontrollerna för att minska risken

Minska riskexponeringen (omfattning och tid): Principen om minsta behörighet uppnås bäst med moderna kontroller som ger privilegier på begäran. På så sätt kan du begränsa risken genom att begränsa exponeringen av administrativa privilegier genom att:

• Omfång:JEA (Just enough Access) ger endast de behörigheter som krävs för den administrativa åtgärd som krävs (jämfört med att ha direkt och omedelbar behörighet till många eller alla system i taget, vilket nästan aldrig krävs).

• Tid:JIT-metoder (Just-in-time) tillhandahöll de privilegier som krävs när de behövs.

• Minimera de återstående riskerna: Använd en kombination av förebyggande och detektivkontroller för att minska riskerna, till exempel att isolera administratörskonton från de vanligaste riskerna med nätfiske och allmän webbsurfning, förenkla och optimera arbetsflödet, öka försäkran om autentiseringsbeslut och identifiera avvikelser från normalt baslinjebeteende som kan blockeras eller undersökas.

Microsoft har tagit fram och dokumenterat metodtips för att skydda administrativa konton och publicerat prioriterade översikter för att skydda privilegierad åtkomst som kan användas som referenser för att prioritera åtgärder för konton med privilegierad åtkomst.

• Översikt över skydd av privilegierad åtkomst (SPA) för administratörer av lokal Active Directory

• Vägledning för att skydda administratörer av Azure Active Directory

Minimera antalet administratörer med kritisk påverkan

Bevilja det minsta antalet konton behörigheter som kan ha en kritisk inverkan på verksamheten

Varje administratörskonto representerar en potentiell attackyta som en angripare kan rikta in sig på, så att minimera antalet konton med den behörigheten hjälper till att begränsa den övergripande organisationens risk. Erfarenhet har lärt oss att medlemskap i dessa privilegierade grupper växer naturligt med tiden när personer byter roller om medlemskapet inte aktivt begränsas och hanteras.

Vi rekommenderar en metod som minskar risken för angrepp och samtidigt säkerställer affärskontinuation om något händer för en administratör:

• Tilldela minst två konton till den privilegierade gruppen för affärskontinuhet

• När två eller flera konton krävs anger du en motivering för varje medlem, inklusive de ursprungliga två

• Granska regelbundet & medlemskapsberättigandet för varje gruppmedlem

Hanterade konton för administratörer

Se till att alla administratörer med kritisk påverkan hanteras av företagskatalogen för att följa organisationens principtvingande.

Konsumentkonton som Microsoft-konton som @Hotmail.com, @live.com, @outlook.com, erbjuder inte tillräcklig säkerhetssynlighet och kontroll för att säkerställa att organisationens principer och eventuella regelkrav följs. Eftersom Azure-distributioner ofta börjar i liten och informellt innan de växer till företags hanterade klientorganisationer finns vissa konsumentkonton kvar som administrativa konton långt efteråt, till exempel ursprungliga Azure-projektansvariga, som skapar blinda prickar och potentiella risker.

Separata konton för administratörer

Se till att alla administratörer med kritisk påverkan har ett separat konto för administrativa uppgifter (jämfört med det konto som de använder för e-post, webbsurfning och andra produktivitetsuppgifter).

Nätfiske- och webbläsarattacker är de vanligaste attackvektorerna för att kompromettera konton, inklusive administrativa konton.

Skapa ett separat administrativt konto för alla användare som har en roll som kräver kritiska privilegier. För dessa administrativa konton blockerar du produktivitetsverktyg som e-Office 365 (ta bort licens). Blockera om möjligt godtycklig webbsurfning (med proxy- och/eller programkontroller) samtidigt som du tillåter undantag för att bläddra till Azure Portal och andra webbplatser som krävs för administrativa uppgifter.

Ingen stående åtkomst/just-in-time-behörighet

Undvik att ge permanent "stående" åtkomst för konton med kritisk påverkan

Permanenta privilegier ökar affärsrisken genom att öka den tid en angripare kan använda kontot för att skada. Tillfälliga privilegier tvingar angripare som riktar in sig på ett konto att antingen arbeta inom den begränsade tid som administratören redan använder kontot eller initiera behörighetsökning (vilket ökar deras chans att identifieras och tas bort från miljön).

Bevilja endast behörigheter som krävs med någon av följande metoder:

• Precis i tid: Aktivera Azure AD Privileged Identity Management (PIM) eller en lösning från tredje part som kräver att du följer ett godkännandearbetsflöde för att få behörighet för konton med kritisk påverkan

• Brytglas: För konton som sällan används följer du en process för åtkomst vid akutfall för att få åtkomst till kontona. Detta rekommenderas för privilegier som inte har något behov av regelbunden användning, till exempel medlemmar i globala administratörskonton.

Konton för åtkomst vid akutfall eller "Break Glass"

Se till att du har en mekanism för att få administrativ åtkomst i händelse av ett nödfall

Även om det är ovanligt uppstår ibland extrema omständigheter där alla normala metoder för administrativ åtkomst inte är tillgängliga.

Vi rekommenderar att du följer anvisningarna i Hantera administrativa konton för åtkomst vid akutfall i Azure AD och se till att säkerhetsåtgärder övervakar dessa konton noggrant.

Säkerhet för administratörsarbetsstationen

Se till att administratörer med kritisk påverkan använder en arbetsstation med förhöjda säkerhetsskydd och övervakning

Attackvektorer som använder surfning och e-post som nätfiske är billiga och vanliga. Om administratörer isoleras från dessa risker minskar risken för en större incident där något av dessa konton komprometteras och används för att avsevärt skada din verksamhet eller verksamhet.

Välj säkerhetsnivå för administratörsarbetsstationen baserat på de alternativ som är tillgängliga på https://aka.ms/securedworkstation

• Högsäkerhetsenhet för produktivitet (förbättrad säkerhetsarbetsstationen eller specialiserad arbetsstation)
  Du kan starta den här säkerhetsresan för administratörer med kritisk påverkan genom att ge dem en arbetsstation med högre säkerhet som fortfarande tillåter allmänna surf- och produktivitetsuppgifter. Genom att använda det här som ett mellanliggande steg kan du underlätta övergången till helt isolerade arbetsstationer för både administratörer med kritisk påverkan och IT-personal som stöder dessa användare och deras arbetsstationer.

• Arbetsstation med privilegierad åtkomst (specialiserad arbetsstation eller skyddad arbetsstation)
  De här konfigurationerna representerar det perfekta säkerhetstillståndet för kritiska konsekvenser administratörer eftersom de kraftigt begränsar åtkomsten till nätfiske, webbläsare och programangreppsvektorer för produktivitet. Dessa arbetsstationer tillåter inte allmän internetsurfning, tillåter endast webbläsaråtkomst till Azure Portal och andra administrativa webbplatser.

Administratörsberoenden med kritisk påverkan – konto/arbetsstation

Välj noggrant de lokala säkerhetsberoendena för konton med kritisk påverkan och deras arbetsstationer

För att begränsa risken från en större incident som spills lokalt för att bli en stor kompromettering av molntillgångar måste du eliminera eller minimera de kontrollmedel som lokala resurser har för att kritiskt påverka konton i molnet. Till exempel kan angripare som komprometterar lokal Active Directory komma åt och kompromettera molnbaserade tillgångar som förlitar sig på sådana konton som resurser i Azure, Amazon Web Services (AWS), ServiceNow och så vidare. Angripare kan också använda arbetsstationer som är ansluten till de lokala domänerna för att få åtkomst till konton och tjänster som hanteras från dem.

Välj isoleringsnivå från lokala kontrollmedel, även kallat säkerhetsberoenden för konton med kritisk påverkan

• Användarkonton: Välj var du vill lagra konton med kritisk påverkan

  • Interna Azure AD-konton –*Skapa interna Azure AD-konton som inte är synkroniserade med lokal Active Directory

  • Synkronisera från lokal Active Directory

  • Använd befintliga konton som finns i den lokala Active Directory.

• Arbetsstationer: Välj hur du ska hantera och skydda de arbetsstationer som används av kritiska administratörskonton:

  • Intern molnhantering och säkerhet (rekommenderas): Anslut arbetsstationer till Azure AD & Hantera/korrigera dem med Intune eller andra molntjänster. Skydda och övervaka med Windows Microsoft Defender för slutpunkt eller en annan molntjänst som inte hanteras av lokala konton.

  • Hantera med befintliga system: Anslut till en befintlig AD-domän och använd befintlig hantering/säkerhet.

Lösenordsfri eller multifaktorautentisering för administratörer

Kräv att alla administratörer av kritisk påverkan använder lösenordsfri autentisering eller multifaktorautentisering (MFA).

Attackmetoder har utvecklats till den punkt där enbart lösenord inte kan skydda ett konto på ett tillförlitligt sätt. Detta är väldokumenterat i en Microsoft Ignite-session.

Administrativa konton och alla kritiska konton bör använda någon av följande autentiseringsmetoder. Dessa funktioner visas i prioritetsordning efter högsta kostnad/svårighetsgrad att angripa (starkaste/föredragna alternativ) till lägsta kostnad/svårt att angripa:

• Lösenordslös (till exempel Windows Hello)

• Lösenordslös (Authenticator app)

• Multifaktorautentisering

Observera att SMS-baserad MFA har blivit mycket kostnadseffektivt för angripare att kringgå, så vi rekommenderar att du undviker att förlita dig på det. Det här alternativet är fortfarande starkare än enbart lösenord, men är mycket svagare än andra MFA-alternativ

Framtvinga villkorlig åtkomst för administratörer – Noll förtroende

Autentisering för alla administratörer och andra konton med kritisk påverkan bör inkludera mätning och framtvingande av viktiga säkerhetsattribut för att stödja en Noll förtroende strategi.

Angripare som kompromissar med Azure-administratörskonton kan orsaka betydande skada. Villkorlig åtkomst kan avsevärt minska risken genom att framtvinga säkerhetshygien innan åtkomst till Azure-hantering tillåts.

Konfigurera en princip för villkorlig åtkomst för Azure-hantering som uppfyller organisationens riskluster och driftsbehov.

• Kräv multifaktorautentisering och/eller anslutning från anvisat arbetsnätverk

• Kräv enhetsintegritet med Microsoft Defender för slutpunkt (Strong Assurance)

Undvik detaljerade och anpassade behörigheter

Undvik behörigheter som specifikt refererar till enskilda resurser eller användare

Specifika behörigheter skapar komplexitet och förvirring som inte behövs eftersom de inte har för avsikt att skapa nya liknande resurser. Detta ackumuleras sedan i en komplex äldre konfiguration som är svår att underhålla eller ändra utan att "bryta något" – vilket påverkar både säkerhet och lösningsflexialitet negativt.

I stället för att tilldela specifika resursspecifika behörigheter använder du antingen

• Hanteringsgrupper för behörigheter för hela företaget

• Resursgrupper för behörigheter i prenumerationer

I stället för att bevilja behörigheter till specifika användare tilldelar du åtkomst till grupper i Azure AD. Om det inte finns någon lämplig grupp kan du arbeta med identitetsteamet för att skapa en. På så sätt kan du lägga till och ta bort gruppmedlemmar externt i Azure och se till att behörigheterna är aktuella, samtidigt som gruppen kan användas för andra syften, till exempel distributionslistor.

Använda inbyggda roller

Använd inbyggda roller för att tilldela behörigheter där det är möjligt.

Anpassning leder till komplexitet som ökar förvirringen och gör automatiseringen mer komplex, utmanande och sårbar. Dessa faktorer påverkar säkerheten negativt

Vi rekommenderar att du utvärderar de inbyggda rollerna som utformats för att täcka de flesta vanliga scenarier. Anpassade roller är en kraftfull och ibland användbar funktion, men de bör reserveras för fall när inbyggda roller inte fungerar.

Upprätta livscykelhantering för konton med kritisk påverkan

Se till att du har en process för att inaktivera eller ta bort administrativa konton när administratörspersonal lämnar organisationen (eller lämnar administrativa positioner)

Mer information finns i Granska kritisk åtkomst regelbundet.

Attacksimulering för konton med kritisk påverkan

Simulera regelbundet attacker mot administrativa användare med aktuella angreppstekniker för att utbilda och ge dem möjligheter.

Personer är en viktig del av ditt försvar, särskilt din personal med åtkomst till konton med kritisk påverkan. Att se till att dessa användare (och helst alla användare) har de kunskaper och färdigheter som krävs för att undvika och stå emot attacker minskar den övergripande organisationens risk.

Du kan använda Office 365 funktioner för attacksimulering eller val annat antal erbjudanden från tredje part.