Fem steg för att skydda identitetsinfrastrukturen

Om du läser det här dokumentet är du medveten om vikten av säkerhet. Du har förmodligen redan ansvaret för att skydda din organisation. Om du behöver övertyga andra om vikten av säkerhet kan du skicka dem för att läsa den senaste Microsoft Säkerhetsinsikter rapporten.

Det här dokumentet hjälper dig att få en säkrare position med hjälp av funktionerna i Azure Active Directory med hjälp av en checklista i fem steg för att avokulera din organisation mot cyberattacker.

Den här checklistan hjälper dig att snabbt distribuera viktiga rekommenderade åtgärder för att skydda din organisation direkt genom att förklara hur du:

• Förbättra dina autentiseringsuppgifter.
• Minska attackytan.
• Automatisera hotsvar.
• Använda molnintelligens.
• Aktivera självbetjäning för slutanvändare.

Se till att du håller reda på vilka funktioner och steg som slutförs när du läser den här checklistan.

Rekommendationerna i det här dokumentet är anpassade till Identitetssäkerhetspoäng , en automatiserad utvärdering av din Azure AD-klientorganisations identitetssäkerhetskonfiguration. Organisationer kan använda sidan Identitetssäkerhetspoäng i Azure AD-portalen för att hitta luckor i den aktuella säkerhetskonfigurationen för att säkerställa att de följer microsofts aktuella säkerhetsmetoder. Om du implementerar varje rekommendation på sidan Säkerhetspoäng ökar poängen och du kan följa förloppet, samt jämföra implementeringen med andra liknande organisationer eller din bransch.

Innan du börjar: Skydda privilegierade konton med MFA

Innan du börjar den här checklistan ska du se till att du inte komprometteras när du läser den här checklistan. Du måste först skydda dina privilegierade konton.

Angripare som får kontroll över privilegierade konton kan göra enorma skador, så det är viktigt att skydda dessa konton först. Aktivera och kräva Azure AD Multi-Factor Authentication (MFA) för alla administratörer i din organisation som använder Standardinställningar för Azure AD-säkerhet eller villkorsstyrd åtkomst. Om du inte har implementerat MFA gör du det nu! Så viktigt är det.

Är allt klart? Vi börjar med checklistan.

Steg 1 – Förbättra dina autentiseringsuppgifter

De flesta företagssäkerhetsöverträdelser har sitt ursprung i ett konto som har komprometterats med en handfull metoder, till exempel lösenordsattacker, intrångsreplay eller nätfiske. Läs mer om dessa attacker i den här videon (45 min):

Kontrollera att din organisation använder stark autentisering

Med tanke på hur ofta lösenord gissas, blir stulna eller stulna med skadlig kod eller återanvänds, är det viktigt att återställa lösenordet med någon form av starka autentiseringsuppgifter – läs mer om Azure AD Multi-Factor Authentication.

Om du enkelt vill aktivera den grundläggande nivån av identitetssäkerhetkan du använda enklicksinställningen med Azure AD Security Defaults . Standardinställningarna för säkerhet tillämpar Azure AD MFA för alla användare i en klientorganisation och blockerar inloggningar från äldre protokoll i hela klientorganisationen.

Börja förbjuda ofta angripna lösenord och inaktivera traditionella komplexitets- och förfalloregler.

Många organisationer använder den traditionella komplexiteten (som kräver specialtecken, siffror, versaler och gemener) och regler för lösenordsförfallotid. Microsofts forskning har visat att dessa principer gör att användare väljer lösenord som är lättare att gissa.

Azure AD:s funktion för dynamiskt förbjudna lösenord använder det aktuella angriparebeteendet för att hindra användare från att ange lösenord som är enkla att gissa. Den här funktionen är alltid på när användare skapas i molnet, men är nu även tillgänglig för hybridorganisationer när de distribuerar Azure AD-lösenordsskydd för Windows Server Active Directory. Azure AD-lösenordsskydd blockerar användare från att välja dessa vanliga lösenord och kan utökas för att blockera lösenord som innehåller anpassade nyckelord som du anger. Du kan till exempel förhindra att användarna väljer lösenord som innehåller företagets produktnamn eller ett lokalt sportteam.

Microsoft rekommenderar att du använder följande moderna lösenordsprincip baserat på NIST-vägledning:

1. Kräv lösenord har minst 8 tecken. Längre är inte nödvändigtvis bättre eftersom de gör att användarna väljer förutsägbara lösenord, sparar lösenord i filer eller skriver ned dem.
2. Inaktivera förfalloregler, vilket gör att användarna enkelt kan gissa lösenord, till exempel Spring2019!
3. Inaktivera krav på teckensammansättning och förhindra användare från att välja ofta angripna lösenord, eftersom de gör att användarna väljer förutsägbara teckenersättningar i lösenord.

Du kan använda PowerShell för att förhindra att lösenord upphör att gälla för användare om du skapar identiteter i Azure AD direkt. Hybridorganisationer bör implementera dessa principer med hjälp av domän grupprincipinställningar eller Windows PowerShell.

Skydda mot läckta autentiseringsuppgifter och lägg till motståndskraft mot avbrott

Om din organisation använder en hybrididentitetslösning med direktautentisering eller federation bör du aktivera hash-synkronisering av lösenord av följande två skäl:

• Rapporten Användare med läckta autentiseringsuppgifter i Azure AD-hanteringen varnar dig om par med användarnamn och lösenord, som har gjorts exponerade på den "mörka webben". En fantastisk mängd lösenord läcks via nätfiske, skadlig kod och återanvändning av lösenord på webbplatser från tredje part som senare har överträdts. Microsoft hittar många av dessa läckta autentiseringsuppgifter och berättar i den här rapporten om de matchar autentiseringsuppgifterna i din organisation – men bara om du aktiverar synkronisering av lösenordshashar eller har endast molnbaserade identiteter!
• I händelse av ett lokalt avbrott (till exempel i en utpressningstrojanattack) kan du växla över till att använda molnautentisering med hjälp av synkronisering av lösenordshashar. Med den här metoden för säkerhetskopieringsautentisering kan du fortsätta att komma åt appar som konfigurerats för autentisering med Azure Active Directory, inklusive Microsoft 365. I det här fallet behöver IT-personalen inte använda personliga e-postkonton för att dela data förrän det lokala avbrottet har lösts.

Läs mer om hur synkronisering av lösenordshashar fungerar.

Implementera AD FS smart utlåsning från extranät

Organisationer, som konfigurerar program för att autentisera direkt till Azure AD, drar nytta av Smart utelåsning i Azure AD. Om du använder AD FS i Windows Server 2012R2 implementerar du AD FS extranätslåsningsskydd. Om du använder AD FS på Windows Server 2016 implementerar du smart utelåsning för extranät. AD FS Smart Extranet-utelåsning skyddar mot brute force-attacker, som riktar sig mot AD FS samtidigt som användarna hindras från att låsas ute i Active Directory.

Dra nytta av ett säkert och enklare sätt att använda autentiseringsuppgifter

Med Windows Hellokan du ersätta lösenord med stark tvåfaktorautentisering på datorer och mobila enheter. Den här autentiseringen består av en ny typ av användarautentiseringsuppgifter som är säkert knuten till en enhet och använder en biometrik eller PIN-kod.

Steg 2 – Minska attackytan

På grund av den genomgående risken för att lösenord komprometterar är det mycket viktigt att minimera angreppsytan i din organisation. Om du eliminerar användningen av äldre, mindre säkra protokoll, begränsar åtkomstens startpunkter och använder mer betydande kontroll över administrativ åtkomst till resurser kan du minska attackytan.

Blockera äldre autentisering

Appar som använder sina egna äldre metoder för att autentisera med Azure AD och komma åt företagsdata utgör en annan risk för organisationer. Exempel på appar som använder äldre autentisering är POP3-, IMAP4- eller SMTP-klienter. Äldre autentiseringsappar autentiseras för användarens räkning och hindrar Azure AD från att göra avancerade säkerhetsutvärderingar. Alternativet, modern autentisering, minskar säkerhetsrisken eftersom det stöder multifaktorautentisering och villkorsstyrd åtkomst. Vi rekommenderar följande tre åtgärder:

1. Blockera äldre autentisering om du använder AD FS.
2. Konfigurera SharePoint Online och Exchange Online för att använda modern autentisering.
3. Om du har Azure AD Premium använder du principer för villkorsstyrd åtkomst för att blockera äldre autentisering,annars använder du Standardinställningar för Azure AD-säkerhet.

Blockera ogiltiga startpunkter för autentisering

Med hjälp av anta intrångsmentalitet bör du minska effekten av komprometterade användarautentiseringsuppgifter när de inträffar. För varje app i din miljö bör du överväga giltiga användningsfall: vilka grupper, vilka nätverk, vilka enheter och andra element som är auktoriserade – och sedan blockera resten. Med villkorsstyrd åtkomst i Azure ADkan du styra hur behöriga användare får åtkomst till sina appar och resurser baserat på specifika villkor som du definierar.

Begränsa åtgärder för användarmedgivande

Det är viktigt att förstå de olika medgivandeupplevelserna för Azure AD-program, typerna av behörigheter och medgivande ochderas konsekvenser för din organisations säkerhetsstatus. Som standard kan alla användare i Azure AD bevilja program som utnyttjar Microsoft Identity-plattformen för att få åtkomst till organisationens data. Även om användarna kan ge sitt medgivande på egen hand kan de enkelt hämta användbara program som integreras med Microsoft 365, Azure och andra tjänster, men det kan utgöra en risk om de inte används och övervakas noggrant.

Microsoft rekommenderar att du begränsar användarens medgivande för att minska din yta och minska den här risken. Du kan också använda principer för appmedgivande (förhandsversion) för att begränsa slutanvändarens medgivande till endast verifierade utgivare och endast för behörigheter som du väljer. Om slutanvändares medgivande är begränsat kommer tidigare medgivande att respekteras, men alla framtida medgivandeåtgärder måste utföras av en administratör. I begränsade fall kan användare begära administratörsmedgivande via ett integrerat arbetsflöde för begäran om administratörsmedgivande eller via dina egna supportprocesser. Innan du begränsar slutanvändares medgivande bör du använda våra rekommendationer för att planera den här ändringen i din organisation. För program som du vill ge alla användare åtkomst till kan du bevilja medgivande åt alla användare,så att användare som ännu inte har gett sitt medgivande individuellt kan komma åt appen. Om du inte vill att dessa program ska vara tillgängliga för alla användare i alla scenarier kan du använda programtilldelning och villkorsstyrd åtkomst för att begränsa användaråtkomsten till specifika appar.

Se till att användarna kan begära administratörsgodkännande för nya program för att minska friktionen för användare, minimera supportvolymen och förhindra att användare registrerar sig för program med autentiseringsuppgifter som inte är Azure AD. När du har reglerat dina medgivandeåtgärder bör administratörer regelbundet granska appen och samtyckta behörigheter.

Implementera Azure AD Privileged Identity Management

En annan effekt av "förutsätt intrång" är behovet av att minimera sannolikheten för att ett komprometterat konto kan fungera med en privilegierad roll.

Azure AD Privileged Identity Management (PIM) hjälper dig att minimera kontoprivilegier genom att hjälpa dig att:

• Identifiera och hantera användare som har tilldelats administrativa roller.
• Förstå oanvända eller överdrivna privilegiumroller som du bör ta bort.
• Upprätta regler för att se till att privilegierade roller skyddas av multifaktorautentisering.
• Upprätta regler för att se till att privilegierade roller endast beviljas tillräckligt länge för att utföra den privilegierade uppgiften.

Aktivera Azure AD PIM, visa sedan de användare som har tilldelats administrativa roller och ta bort onödiga konton i dessa roller. För återstående privilegierade användare flyttar du dem från permanenta till berättigade. Slutligen upprättar du lämpliga principer för att se till att de kan göra det på ett säkert sätt med nödvändig ändringskontroll när de behöver få åtkomst till dessa privilegierade roller.

Som en del av distributionen av ditt privilegierade konto följer du bästa praxis för att skapa minst två nödkonton för att se till att du fortfarande har åtkomst till Azure AD om du låser ute dig själv.

Steg 3 – Automatisera svar på hot

Azure Active Directory har många funktioner som automatiskt fångar upp attacker för att ta bort svarstiden mellan identifiering och svar. Du kan minska kostnaderna och riskerna när du minskar den tid som brottskriminerna använder för att bädda in sig i din miljö. Här är de konkreta steg du kan vidta.

Implementera säkerhetsprincipen för användarrisker med hjälp av Azure AD Identity Protection

Användarrisken anger sannolikheten för att en användares identitet har komprometterats och beräknas baserat på de riskidentifieringar som är associerade med en användares identitet. En princip för användarrisk är en princip för villkorsstyrd åtkomst som utvärderar risknivån till en specifik användare eller grupp. Baserat på låg, medelhög, hög risknivå kan en princip konfigureras för att blockera åtkomst eller kräva en säker lösenordsändring med hjälp av multifaktorautentisering. Microsofts rekommendation är att kräva en säker lösenordsändring för användare med hög risk.

Implementera en princip för inloggningsrisk med Azure AD Identity Protection

Inloggningsrisken är sannolikheten att någon annan än kontoägaren försöker logga in med identiteten. En inloggningsriskprincip är en princip för villkorsstyrd åtkomst som utvärderar risknivån till en specifik användare eller grupp. Baserat på risknivån (hög/medel/låg) kan en princip konfigureras för att blockera åtkomst eller tvinga multifaktorautentisering. Kontrollera att du tvingar multifaktorautentisering på inloggningar med medelhög eller högre risk.

Steg 4 – Använda molnintelligens

Granskning och loggning av säkerhetsrelaterade händelser och relaterade aviseringar är viktiga komponenter i en effektiv skyddsstrategi. Säkerhetsloggar och -rapporter ger dig ett elektroniskt register över misstänkta aktiviteter och hjälper dig att identifiera mönster som kan tyda på försök till eller lyckad extern intrång i nätverket samt interna attacker. Du kan använda granskning för att övervaka användaraktivitet, dokumentera regelefterlevnad, göra kriminalteknisk analys med mera. Aviseringar ger meddelanden om säkerhetshändelser.

Övervaka Azure AD

Microsoft Azure tjänster och funktioner ger dig konfigurerbara alternativ för säkerhetsgranskning och loggning som hjälper dig att identifiera brister i dina säkerhetsprinciper och mekanismer och åtgärda dessa luckor för att förhindra överträdelser. Du kan använda Azure-loggning och -granskning och använda granskningsaktivitetsrapporter i Azure Active Directory portalen.

Övervaka Azure AD Connect Health i hybridmiljöer

Övervakning AD FS med Azure AD Connect Health ger dig bättre inblick i potentiella problem och synligheten för attacker i din AD FS infrastruktur. Azure AD Connect Health levererar aviseringar med information, lösningssteg och länkar till relaterad dokumentation. användningsanalys för flera mått som rör autentiseringstrafik; prestandaövervakning och -rapporter.

Övervaka Azure AD Identity Protection händelser

Azure AD Identity Protection är ett verktyg för meddelanden, övervakning och rapportering som du kan använda för att identifiera potentiella säkerhetsrisker som påverkar organisationens identiteter. Den identifierar riskidentifiering, till exempel läckta autentiseringsuppgifter, omöjlig resa och inloggningar från infekterade enheter, anonyma IP-adresser, IP-adresser som är associerade med den misstänkta aktiviteten och okända platser. Aktivera aviseringsaviseringar för att ta emot e-post till användare i riskzonen och/eller en veckovis sammanfattad e-post.

Azure AD Identity Protection innehåller två viktiga rapporter som du bör övervaka dagligen:

1. Rapporter om riskfyllda inloggningar visar de användarindata som du bör undersöka. Den legitima ägaren kanske inte har utfört inloggningen.
2. Rapporter om riskfyllda användare visar användarkonton som kan ha komprometterats, till exempel läckta autentiseringsuppgifter som har identifierats eller användaren som har loggat in från olika platser, vilket orsakar en omöjlig resehändelse.

Granska appar och samtyckta behörigheter

Användare kan luras att navigera till en komprometterad webbplats eller appar som får åtkomst till deras profilinformation och användardata, till exempel deras e-post. En illvillig aktör kan använda de behörigheter som den fått för att kryptera sitt postlådeinnehåll och begära en utpressningstrojan för att återfå dina postlådedata. Administratörer bör granska de behörigheter som ges av användare eller inaktivera möjligheten för användare att ge sitt medgivande som standard.

Förutom att granska de behörigheter som ges av användare kan du hitta riskfyllda eller oönskade OAuth-program i premiummiljöer.

Steg 5 – Aktivera självbetjäning för slutanvändare

Så mycket som möjligt vill du balansera säkerhet med produktivitet. Samtidigt som du närmar dig din resa med tankesättet att du ställer in en grund för säkerhet på lång sikt kan du ta bort friktionen från din organisation genom att ge användarna stöd samtidigt som du är försiktig.

Implementera lösenordsåterställning via självbetjäning

Azure AD:s lösenordsåterställning via självbetjäning (SSPR) är ett enkelt sätt för IT-administratörer att tillåta användare att återställa eller låsa upp sina lösenord eller konton utan hjälp från supportavdelningen eller administratören. Systemet innehåller detaljerad rapportering som spårar när användare har återställt sina lösenord, tillsammans med meddelanden som varnar dig om missbruk.

Implementera självbetjäningsgrupp och programåtkomst

Med Azure AD kan icke-administratörer hantera åtkomst till resurser med hjälp av säkerhetsgrupper, Microsoft 365, programroller och åtkomstpaketkataloger. Med grupphantering med självbetjäning kan gruppägare hantera sina egna grupper utan att behöva tilldelas en administrativ roll. Användare kan också skapa och hantera Microsoft 365 utan att behöva administratörer för att hantera sina begäranden, och oanvända grupper upphör att gälla automatiskt. Azure AD-berättigandehantering möjliggör ytterligare delegering och synlighet, med omfattande arbetsflöden för åtkomstbegäran och automatisk förfallotid. Du kan delegera möjligheten att konfigurera egna åtkomstpaket för grupper, Team, program och SharePoint Online-webbplatser som de äger, med anpassade principer för vem som behöver godkänna åtkomst, inklusive konfiguration av medarbetares chefer och affärspartnersponsorer som godkännare.

Implementera Azure AD-åtkomstgranskningar

Med Azure AD-åtkomstgranskningarkan du hantera åtkomstpaket- och gruppmedlemskap, åtkomst till företagsprogram och privilegierade rolltilldelningar för att säkerställa att du upprätthåller en säkerhetsstandard. Regelbunden tillsyn av användarna själva, resursägare och andra granskare ser till att användarna inte behåller sin åtkomst under längre tidsperioder när de inte längre behöver den.

Sammanfattning

Det finns många aspekter av en säker identitetsinfrastruktur, men den här checklistan i fem steg hjälper dig att snabbt uppnå en säkrare och säker identitetsinfrastruktur:

• Förbättra dina autentiseringsuppgifter.
• Minska attackytan.
• Automatisera hotsvar.
• Använda molnintelligens.
• Aktivera mer förutsägbar och fullständig slutanvändarsäkerhet med självhjälp.

Vi uppskattar hur allvarligt du tar Identity Security och hoppas att det här dokumentet är en användbar översikt över en säkrare position för din organisation.

Nästa steg

Om du behöver hjälp med att planera och distribuera rekommendationerna kan du få hjälp i distributionsplanerna för Azure AD-projekt.

Om du är säker på att alla dessa steg är klara använder du Microsofts Identitetssäkerhetspoäng,som håller dig uppdaterad med de senaste metodtipsen och säkerhetshoten.