Steg 3. Skydda identiteter
Använd följande avsnitt för att skydda organisationen från kompromettering av autentiseringsuppgifter, som vanligtvis är det första steget i en större utpressningstrojanattack.
Öka inloggningssäkerheten
Använd lösenordslös autentisering för användarkonton i Microsoft Entra-ID.
Använd följande metodtips för användarkonton som fortfarande använder lösenordsautentisering under övergången till lösenordsfri autentisering:
- Blockera kända svaga och anpassade lösenord med Microsoft Entra lösenordsskydd.
- Utöka blockeringen av kända svaga och anpassade lösenord till din lokal Active Directory Domain Services (AD DS) med Microsoft Entra lösenordsskydd.
- Tillåt användarna att ändra sina egna lösenord med lösenordsåterställning via självbetjäning (SSPR).
Därefter implementerar du Vanliga principer för identitets- och enhetsåtkomst. De här principerna ger högre säkerhet för åtkomst till Microsoft 365 molntjänster.
Vid användarinloggningar omfattar dessa principer:
- Kräver multifaktorautentisering (MFA) för prioriterade konton (omedelbart) och så småningom alla användarkonton.
- Krav på användning av MFA för inloggningar med hög risk.
- Krav på ändring av lösenord för högriskanvändare med inloggningar med hög risk.
Förhindra privilegieeskalering
Använd de här metodtipsen:
- Implementera principen om lägsta behörighet och använd lösenordsskydd enligt beskrivningen i Öka inloggningssäkerheten för de användarkonton som fortfarande använder lösenord för sina inloggningar.
- Undvik att använda domänomfattande tjänstkonton på administratörsnivå.
- Begränsa lokala administratörsrättigheter för att begränsa installationen av trojanska fjärråtkomstprogram (Remote Access Trojans, RATs) och andra oönskade program.
- Använd Microsoft Entra villkorlig åtkomst för att uttryckligen verifiera användarnas och arbetsstationernas förtroende innan du ger åtkomst till administrativa portaler. Se det här exemplet för Azure Portal.
- Aktivera lösenordshantering för lokal administratör.
- Avgör var konton med privilegierad åtkomst loggar in och exponerar autentiseringsuppgifter. Konton med privilegierad åtkomst bör inte finnas på arbetsstationer.
- Inaktivera den lokala lagringen av lösenord och autentiseringsuppgifter.
Påverkan på användare och ändringshantering
Du måste göra användarna i organisationen medvetna om följande:
- De nya kraven för starkare lösenord.
- Ändringar i inloggningsprocesserna, till exempel kraven på användning av MFA och registrering med MFA sekundär autentiseringsmetod.
- Användningen av lösenordsunderhåll med SSPR. Exempelvis inga fler samtal till supporten för återställning av lösenord.
- Uppmaningen att kräva MFA eller lösenordsändring för inloggningar som betraktas som riskfyllda.
Konfigurationsresultat
Här är skyddet mot utpressningstrojaner för din klientorganisation för steg 1–3.
Nästa steg
Fortsätt med steg 4 för att skydda enheter (slutpunkter) i Microsoft 365-klientorganisationen.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för