Administration

Administration är att övervaka, underhålla och hantera IT-system (Information Technology) för att uppfylla de servicenivåer som verksamheten kräver. Administration innebär några av de största säkerhetsriskerna eftersom dessa uppgifter kräver privilegierad åtkomst till en mycket omfattande uppsättning av dessa system och program. Attackerare vet att om de får åtkomst till ett konto med administrativ behörighet kan de få åtkomst till de flesta eller alla data som de vill ha som mål, vilket gör säkerheten för administration till ett av de mest kritiska säkerhetsområdena.

Som exempel gör Microsoft betydande investeringar i skydd och utbildning av administratörer för våra molnsystem och IT-system:

Microsofts rekommenderade kärnstrategi för administrativ behörighet är att använda tillgängliga kontroller för att minska risken

Minska exponering av risker (omfattning och tid) – Principen om minsta behörighet är bäst uppnådd med moderna kontroller som ger behörighet på begäran. Det här hjälper till att begränsa risken genom att begränsa exponering av administrativ behörighet genom att:

• Omfattning – JEA (Just Enough Access) ger endast de behörigheter som krävs för den administrativa åtgärd som krävs (och att ha direkt och omedelbart behörighet till många eller alla system samtidigt, vilket nästan aldrig krävs).

• Tid – JIT-metoder (Just in Time) förutsatt att de behöriga som behövs behövs.

• Minimera de återstående riskerna – Använd en kombination av förebyggande och förebyggande kontroller och kontroller för att minska riskerna, till exempel att isolera administratörskonton från de vanligaste riskerna med nätfiske och allmänt webbsurfande, förenkla och optimera arbetsflödet, öka garantier för autentiseringsbeslut och att identifiera misstag från normalt normalt beteende som kan blockeras eller undersökas.

Microsoft har fångat och dokumenterat metodtips för att skydda administrativa konton och publicerade prioriterade översikter för att skydda privilegierad åtkomst som kan användas som referenser för att prioritera minskningar för konton med privilegierad åtkomst.

• Översikt över att skydda behörig åtkomst (SPA) för administratörer för lokal Active Directory

• Anvisningar för att skydda Azure Active Directory

Minimera antalet viktiga påverkansadministratörer

Bevilja så få konton som finns till behörigheter som kan ha en viktig inverkan på företaget

Varje administratörskonto representerar potentiell attackyta som en attackerare kan ha som mål, så att minimera antalet konton med den behörigheten som hjälper till att begränsa den totala organisationens risk. Vi har fått lära oss att medlemskap i dessa behöriga grupper växer naturligt med tiden när personer byter roller om medlemskapet inte aktivt begränsas och hanteras.

Vi rekommenderar en metod som minskar risken för den här attackytan samtidigt som affärskontinuion säkerställs om något skulle hända med en administratör:

• Tilldela minst två konton till den behöriga gruppen för företag-kontinuitet

• När två eller fler konton är obligatoriska kan du ange justering för varje medlem inklusive de ursprungliga två

• Regelbundet granska & medlemskapets justering för varje gruppmedlem

Hanterade konton för administratörer

Se till att alla viktiga påverkansadministratörer i hanteras av företagskatalogen för att följa organisationens policy.

Konsumentkonton som @Hotmail.com, @live.com och @outlook.com ger inte tillräcklig säkerhetssynlighet och kontroll för att säkerställa att organisationens principer och eventuella krav följs. Eftersom Azure-distributioner ofta börjar små och informellt innan de växer till klientorganisationer som hanteras av företag förblir vissa konsumentkonton administrativa konton långt efteråt, till exempel som ursprungliga Azure-projektledare, vilket skapar blinda platser och potentiella risker.

Separata konton för administratörer

Se till att alla viktiga påverkansadministratörer har ett separat konto för administrativa uppgifter (jämfört med det konto de använder för e-post, surfning och andra produktivitetsuppgifter).

Nätfiske- och webbläsarattacker är de vanligaste attackvektorerna för att kapa konton, bland annat administrativa konton.

Skapa ett separat administratörskonto för alla användare som har en roll som kräver kritisk behörighet. För dessa administrativa konton blockerar du produktivitetsverktyg som e-Office 365 (ta bort licens). Blockera i möjliga fall godtycklig webbsurfning (med proxy- och/eller programkontroller) samtidigt som du tillåter undantag för att bläddra till Azure-portalen och andra webbplatser som krävs för administrativa uppgifter.

Ingen stående åtkomst/Bara i tidsbehörigheter

Undvik permanent "stående" åtkomst för viktiga konton

Permanent behörighet ökar företagsrisken genom att öka tiden en attackerare kan använda kontot för att göra skada. Tillfälliga behörigheter tvingar attacker som riktar sig till ett konto att antingen fungera under den begränsade tiden som administratören redan använder kontot eller för att initiera behörighets ökning (vilket ökar deras risk för att identifieras och tas bort från miljön).

Bevilja behörigheter som krävs endast om en av följande metoder krävs:

• Bara i tid – Aktivera Azure AD Privileged Identity Management (PIM) eller en lösning från tredje part så att det krävs att du följer ett arbetsflöde för godkännande för att erhålla behörigheter för viktiga effektkonton

• Rasterglas – För sällan använda konton följer du en process för nödåtkomst för att få åtkomst till kontona. Detta rekommenderas för behörigheter som har lite behov av vanlig användning, t.ex. medlemmar i globala administratörskonton.

Konton för nödsamtal eller Break Glass

Se till att du har en mekanism för att få administrativ åtkomst i händelse av en nödsituation

Även om det är ovanligt kan extrema omständigheter uppstå när alla normala administrativa åtkomstmedel inte är tillgängliga.

Vi rekommenderar att du följer instruktionerna i Hantera administrativa konton för nödsamtal i Azure AD och säkerställa att säkerhetsåtgärder övervakar dessa konton noggrant.

Säkerhet för administratörsarbets arbetsstation

Se till att administratörer använder en arbetsstation med förhöjda säkerhetsskydd och övervakning

Attackvektorer som använder surfning och e-post som nätfiske är billiga och vanliga. Att isolera viktiga påverkansadministratörer utifrån dessa risker kommer att avsevärt minska risken för större incidenter där ett av dessa konton komprometteras och används för att skada verksamheten eller verksamheten.

Välj nivå för säkerhet för administratörsarbetsytan baserat på tillgängliga alternativ på https://aka.ms/securedworkstation

• Hög säkerhetsnivå på produktivitetsenheten (förbättrad säkerhetsarbetsdator eller specialiserade arbetsstation)
  Du kan starta den här säkerhetsresa för kritiska påverkansadministratörer genom att ge dem en högre säkerhetsarbetsdator som fortfarande tillåter allmänna bläddrings- och produktivitetsuppgifter. Med hjälp av det här som ett interimsteg underlättar du övergången till helt isolerade arbetsstationer för både de kritiska påverkansadministratörerna och IT-personalen som har stöd för dessa användare och deras arbetsstationer.

• Arbetsstation med behörighet (särskild arbetsstation eller skyddad arbetsstation)
  De här konfigurationerna är den perfekta säkerhetstillståndet för viktiga påverkansadministratörer eftersom de kraftigt begränsar åtkomsten till nätfiske, webbläsare och programangreppsvektorer. Dessa arbetsstationer tillåter inte allmän surfning på internet, tillåter bara webbläsaråtkomst till Azure Portal och andra administrativa webbplatser.

Kritiska påverkan på administrationssamband – konto/arbetsstation

Välj noggrant de lokala säkerhetsberoendena för konton för kritisk inverkan och deras arbetsstationer

Om du vill begränsa risken för en större incident lokalt som spiller för att bli en större kompromettering av molntillgångar måste du eliminera eller minimera risken för kontroll som lokala resurser har för viktiga påverkanskonton i molnet. Som exempel kan attackerare som äventyrar den lokala Active Directory komma åt och äventyra molnbaserade tillgångar som förlitar sig på dessa konton, till exempel resurser i Azure, Amazon Web Services (AWS), ServiceNow och så vidare. Attacker kan också använda arbetsstationer som är medlemmar i de lokala domänerna för att få åtkomst till konton och tjänster som hanteras från dem.

Välj nivå för avgränsning från lokala kontrollmedel, så kallade säkerhetsberoenden för viktiga påverkanskonton

• Användarkonton – välj var du vill lagra viktiga effektkonton

  • Ursprungliga Azure AD-konton –*Skapa interna Azure AD-konton som inte synkroniseras med lokal Active Directory

  • Synkronisera från lokalt Active Directory (rekommenderas inte se Synkronisera inte lokala administratörskonton till molnidentitetsproviders )-Utnyttja befintliga konton som finns i den lokala Active Directory.

• Arbetsstationer – Välj hur du vill hantera och skydda arbetsstationer som används av kritiska administratörskonton:

  • Inbyggd & molnhanteringssäkerhet (rekommenderas) – Anslut arbetsstationer till Azure AD & Hantera/korrigera dem med Intune eller andra molntjänster. Skydda och övervaka med Windows Microsoft Defender ATP eller en annan molntjänst som inte hanteras av lokala konton.

  • Hantera med befintliga system – Anslut till en befintlig & AD-domän med befintlig hantering/säkerhet.

Detta är relaterat till vägledningen för Synkronisera inte lokala administratörskonton med molnidentitetsleverantörer till vägledning för molnidentitetsproviders i administrationsavsnittet som minimerar risken för inversen av pivotering från molntillgångar till lokala tillgångar

Lösenordslös eller multifaktorautentisering för administratörer

Kräv att alla viktiga användare använder lösenordslös autentisering eller multifaktorautentisering (MFA).

Attackmetoder har utvecklats så att lösenorden inte kan skyddas tillförlitligt i ett konto. Det här är väldokumenterat i en Microsoft Ignite-session.

Administratörskonton och alla kritiska konton bör använda någon av följande autentiseringsmetoder. Dessa funktioner listas i inställningsordningen efter högsta kostnad/svårigheter att attacka (starkast/önskade alternativ) till lägsta kostnad/svårt att attack:

• Lösenordslös (till exempel Windows Hello)
  https://aka.ms/HelloForBusiness

• Lösenordslös (Authenticator app)
  https://docs.microsoft.com/azure/active-directory/authentication/howto-authentication-phone-sign-in

• Multifaktorautentisering
  https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-userstates

Observera att SMS-sms-baserad MFA har blivit mycket billiga för attacker att kringgå, så vi rekommenderar att du inte förlita dig på den. Det här alternativet är fortfarande starkare än bara lösenord, men det här alternativet är mycket större än andra MFA-alternativ

Tillämpa villkorsstyrd åtkomst för administratörer – Noll förtroende

Autentisering för alla administratörer och andra viktiga påverkanskonton bör omfatta mått och tillämpning av nyckelsäkerhetsattribut för att stödja en strategi utan förtroende.

Attacker som komprometterande Azure Admin-konton kan orsaka betydande skada. Villkorsstyrd åtkomst kan minska den risken avsevärt genom att tillämpa säkerhetshantering innan åtkomst till Azure-hantering tillåts.

Konfigurera princip för villkorsstyrd åtkomst för Azure-hantering som uppfyller organisationens riskbehov.

• Kräv multifaktorautentisering och/eller anslutning från angiven arbetsnätverk

• Kräv enhetsintegritet med Microsoft Defender ATP (Strong Assurance)

Undvik detaljerade och anpassade behörigheter

Undvik behörigheter som specifikt refererar till enskilda resurser eller användare

Specifika behörigheter skapar en obevakad komplexitet och förvirring eftersom de inte medför syftet med nya liknande resurser. Detta ackumuleras sedan i en komplex äldre konfiguration som är svår att underhålla eller ändra utan att "bryta något" – vilket påverkar både säkerhet och lösning flexibelt negativt.

I stället för att tilldela specifika resursspecifika behörigheter kan du använda antingen

• Hanteringsgrupper för företagsomfattande behörigheter

• Resursgrupper för behörigheter i prenumerationer

I stället för att bevilja behörigheter till specifika användare kan du tilldela åtkomst till grupper i Azure AD. Om det inte finns en lämplig grupp kan du samarbeta med identitetsgruppen och skapa en. På så sätt kan du lägga till och ta bort gruppmedlemmar externt i Azure och säkerställa att behörigheterna är aktuella, samtidigt som du kan använda gruppen för andra ändamål, till exempel distributionslistor.

Använda inbyggda roller

Använd inbyggda roller för att tilldela behörigheter om det är möjligt.

Anpassning leder till komplexitet som ökar förvirringen och gör automatiseringen mer komplex, svår och spännande. Dessa faktorer påverkar säkerheten negativt

Vi rekommenderar att du utvärderar de inbyggda rollerna som utformats för att täcka de flesta vanliga scenarier. Anpassade roller är en kraftfull och ibland användbar funktion, men de bör vara reserverade för fall där inbyggda roller inte fungerar.

Upprätta livscykelhantering för viktiga effektkonton

Se till att du har en process för att inaktivera eller ta bort administrativa konton när administratörspersonal lämnar organisationen (eller lämnar administrativa befattningar)

Mer information finns i Regelbundet granska kritisk åtkomst.

Attack simulering för konton för kritisk inverkan

Regelbundet simulera attacker mot administrativa användare med aktuella attacktekniker för att utbilda och ge dem möjlighet.

Personer är en viktig del av ditt försvar, särskilt din personal med åtkomst till viktiga konton. Se till att dessa användare (och helst alla användare) har de kunskaper och kunskaper som krävs för att undvika och motarbeta attacker kommer att minska din totala organisationsrisk.

Du kan använda Office 365 simuleringsfunktioner för attack eller val valfri mängd erbjudanden från tredje part.

Nästa steg

Mer information om säkerhet från Microsoft finns i Microsofts säkerhetsdokumentation.