Administration

Administration är praxis att övervaka, underhålla och driva IT-system (IT) för att uppfylla de servicenivåer som verksamheten kräver. Administration introducerar några av de största säkerhetsriskerna eftersom det krävs privilegierad åtkomst till en mycket bred uppsättning av dessa system och program för att utföra dessa uppgifter. Angripare vet att om de får åtkomst till ett konto med administratörsbehörighet kan de få åtkomst till de flesta eller alla data de skulle rikta in sig på, vilket gör administrationssäkerheten till ett av de mest kritiska säkerhetsområdena.

Microsoft gör till exempel betydande investeringar i skydd och utbildning av administratörer för våra molnsystem och IT-system:

A screenshot of a cell phone Description automatically generated

Microsofts rekommenderade huvudstrategi för administrativa behörigheter är att använda de tillgängliga kontrollerna för att minska risken

Minska riskexponering (omfattning och tid) – Principen om minst behörighet uppnås bäst med moderna kontroller som ger behörigheter på begäran. Det här hjälper till att begränsa risken genom att begränsa exponeringen av administrativa behörigheter genom att:

  • OmfattningBara tillräckligt med åtkomst (JEA) ger endast de behörigheter som krävs för den administrativa åtgärd som krävs (jämfört med direkt och omedelbar behörighet till många eller alla system samtidigt, vilket nästan aldrig krävs).

  • TidJIT-metoder (Just in Time) gav de privilegier som krävs när de behövs.

  • Minimera de återstående riskerna – Använd en kombination av förebyggande kontroller och detektivkontroller för att minska riskerna, till exempel isolera administratörskonton från de vanligaste riskerna med nätfiske och allmän surfning, förenkla och optimera arbetsflödet, öka försäkran om autentiseringsbeslut och identifiera avvikelser från normalt baslinjebeteende som kan blockeras eller undersökas.

Microsoft har tagit fram och dokumenterat metodtips för att skydda administrativa konton och publicerade prioriterade översikter för att skydda privilegierad åtkomst som kan användas som referenser för att prioritera åtgärder för konton med privilegierad åtkomst.

Minimera antalet administratörer med kritisk påverkan

Bevilja minst antal konton till privilegier som kan ha en kritisk inverkan på verksamheten

Varje administratörskonto representerar en potentiell attackyta som en angripare kan rikta in sig på, så att minimera antalet konton med det privilegiet hjälper till att begränsa den totala organisationsrisken. Erfarenheten har lärt oss att medlemskap i dessa privilegierade grupper växer naturligt med tiden när personer byter roller om medlemskapet inte aktivt begränsas och hanteras.

Vi rekommenderar en metod som minskar den här risken för attackytor samtidigt som affärskontinuitet säkerställs om något skulle hända en administratör:

  • Tilldela minst två konton till den privilegierade gruppen för affärskontinuitet

  • När två eller flera konton krävs anger du motivering för varje medlem, inklusive de två ursprungliga

  • Granska regelbundet justering av medlemskap & för varje gruppmedlem

Hanterade konton för administratörer

Se till att alla administratörer med kritisk påverkan hanteras av företagskatalogen för att följa efterlevnaden av organisationens princip.

Konsumentkonton som Microsoft-konton som @Hotmail.com, @live.com, @outlook.com ger inte tillräcklig säkerhetssynlighet och kontroll för att säkerställa att organisationens policyer och eventuella regelkrav följs. Eftersom Azure-distributioner ofta börjar små och informellt innan de växer till företagshanterade klientorganisationer förblir vissa konsumentkonton administrativa konton långt därefter, till exempel ursprungliga Azure-projektledare, som skapar blinda platser och potentiella risker.

Separata konton för administratörer

Kontrollera att alla administratörer som har stor påverkan har ett separat konto för administrativa uppgifter (jämfört med det konto de använder för e-post, surfning och andra produktivitetsuppgifter).

Nätfiske- och webbläsarattacker är de vanligaste attackvektorerna för att kompromettera konton, inklusive administrativa konton.

Skapa ett separat administratörskonto för alla användare som har en roll som kräver viktiga behörigheter. För dessa administrativa konton blockerar du produktivitetsverktyg som Office 365 e-post (ta bort licens). Blockera om möjligt godtycklig surfning (med proxy- och/eller programkontroller) samtidigt som du tillåter undantag för surfning till Azure Portal och andra webbplatser som krävs för administrativa uppgifter.

Ingen stående åtkomst / Bara i tidsprivilegier

Undvik att ge permanent "stående" åtkomst för konton med kritisk påverkan

Permanenta privilegier ökar affärsrisken genom att öka tiden som en angripare kan använda kontot för att skada. Tillfälliga behörigheter tvingar angripare som riktar sig till ett konto att antingen arbeta inom de begränsade tider som administratören redan använder kontot eller att initiera rättighetsökning (vilket ökar risken för att identifieras och tas bort från miljön).

Bevilja behörigheter som endast krävs med någon av följande metoder:

  • Precis i tid - Aktivera Azure AD Privileged Identity Management (PIM) eller en lösning från tredje part för att kräva att du följer ett arbetsflöde för godkännande för att få behörigheter för konton med kritisk påverkan

  • Glasbrott – För konton som sällan används följer du en process för nödåtkomst för att få åtkomst till kontona. Det här är att föredra för behörigheter som inte har så stor behov av regelbunden driftsanvändning som medlemmar i globala administratörskonton.

Nödåtkomst eller "Break Glass"-konton

Se till att du har en mekanism för att få administrativ åtkomst i händelse av en nödsituation

Även om det är ovanligt uppstår ibland extrema omständigheter där alla normala medel för administrativ åtkomst inte är tillgängliga.

Vi rekommenderar att du följer anvisningarna i Hantera administrativa konton för nödåtkomst i Azure AD och se till att säkerhetsåtgärder övervakar dessa konton noggrant.

Säkerhet för administratörsarbetsstation

Se till att administratörer använder en arbetsstation med förhöjda säkerhetsskydd och övervakning

Attackvektorer som använder surfning och e-post som nätfiske är billiga och vanliga. Om administratörer isoleras från dessa risker minskar risken för en större incident där ett av dessa konton komprometteras och används för att väsentligt skada ditt företag eller uppdrag.

Välj säkerhetsnivå för administratörsarbetsstationen baserat på de alternativ som finns på https://aka.ms/securedworkstation

  • Högsäkerhetsproduktivitetsenhet (utökad säkerhetsarbetsstation eller specialiserad arbetsstation)
    Du kan starta den här säkerhetsresan för administratörer med kritisk påverkan genom att ge dem en högre säkerhetsarbetsstation som fortfarande tillåter allmänna surf- och produktivitetsuppgifter. Genom att använda detta som ett interimistiskt steg underlättar övergången till helt isolerade arbetsstationer för både administratörer med kritisk påverkan och IT-personal som stöder dessa användare och deras arbetsstationer.

  • Privileged Access Workstation (Specialized Workstation eller Secured Workstation)
    Dessa konfigurationer utgör det perfekta säkerhetstillståndet för administratörer med kritisk påverkan eftersom de kraftigt begränsar åtkomsten till nätfiske, webbläsare och attackvektorer i produktivitetsprogram. De här arbetsstationerna tillåter inte allmän surfning, utan tillåter bara webbläsaråtkomst till Azure Portal och andra administrativa webbplatser.

Administratörsberoenden med stor påverkan – konto/arbetsstation

Välj noga de lokala säkerhetsberoendena för konton med kritisk påverkan och deras arbetsstationer

Om du vill begränsa risken från en större incident lokalt spiller över för att bli en stor kompromiss med molntillgångar, måste du eliminera eller minimera de kontrollmedel som lokala resurser har för att kritiskt påverka konton i molnet. Som ett exempel kan angripare som komprometterar den lokala Active Directory komma åt och äventyra molnbaserade tillgångar som är beroende av dessa konton som resurser i Azure, Amazon Web Services (AWS), ServiceNow och så vidare. Angripare kan också använda arbetsstationer som är anslutna till de lokala domänerna för att få åtkomst till konton och tjänster som hanteras av dem.

Välj isoleringsnivå från lokala kontrollmedel som även kallas säkerhetsberoenden för konton med kritisk påverkan

  • Användarkonton – Välj var konton med kritisk påverkan ska lagras

    • Inbyggda Azure AD-konton -*Skapa inbyggda Azure AD-konton som inte synkroniseras med den lokala active directory-katalogen

    • Synkronisera från lokal Active Directory (rekommenderas inte se Inga lokala administratörskonton i molnidentitetsproviders – Utnyttja befintliga konton som finns i den lokala active directory-katalogen.

  • Arbetsstationer – Välj hur du vill hantera och skydda de arbetsstationer som används av kritiska administratörskonton:

    • Intern molnhanteringssäkerhet & (rekommenderas) – Anslut arbetsstationer till Azure AD & Hantera/korrigera dem med Intune eller andra molntjänster. Skydda och övervaka med Windows Microsoft Defender ATP eller en annan molntjänst som inte hanteras av lokala konton.

    • Hantera med befintliga system – Anslut till befintlig AD-domän & utnyttjar befintlig hantering/säkerhet.

Detta är relaterat till vägledningen Inga lokala administratörskonton i molnidentitetsproviders till vägledning för molnidentitetsproviders i administrationsavsnittet som minimerar den omvända risken för pivotering från molntillgångar till lokala tillgångar

Lösenordsfri eller multifaktorautentisering för administratörer

Kräv att alla administratörer med kritisk påverkan använder lösenordsfri autentisering eller multifaktorautentisering (MFA).

Attackmetoder har utvecklats så att enbart lösenord inte kan skydda ett konto på ett tillförlitligt sätt. Detta är väl dokumenterat i en Microsoft Ignite-session.

Administrativa konton och alla viktiga konton bör använda någon av följande metoder för autentisering. De här funktionerna anges i prioritetsordning efter högsta kostnad/svårighet att attackera (starkaste/föredragna alternativ) till lägsta kostnad/svår attack:

  • Lösenordsfri (till exempel Windows Hello)
    https://aka.ms/HelloForBusiness

  • Lösenordsfri (Authenticator-app)
    </azure/active-directory/authentication/howto-authentication-phone-sign-in>

  • Multifaktorautentisering
    </azure/active-directory/authentication/howto-mfa-userstates>

Observera att SMS SMS-baserade MFA har blivit mycket billigt för angripare att kringgå, så vi rekommenderar att du undviker att förlita dig på det. Det här alternativet är fortfarande starkare än enbart lösenord, men är mycket svagare än andra MFA-alternativ

Framtvinga villkorsstyrd åtkomst för administratörer – Nolltillit

Autentisering för alla administratörer och andra konton med kritisk påverkan bör omfatta mätning och tillämpning av viktiga säkerhetsattribut för att stödja en Nolltillit strategi.

Angripare som komprometterar Azure Admin-konton kan orsaka betydande skada. Villkorsstyrd åtkomst kan avsevärt minska den risken genom att upprätthålla säkerhetshygienen innan du tillåter åtkomst till Azure-hantering.

Konfigurera principen för villkorsstyrd åtkomst för Azure-hantering som uppfyller organisationens behov av riskaptit och drift.

  • Kräv multifaktorautentisering och/eller anslutning från angivet arbetsnätverk

  • Kräv enhetsintegritet med Microsoft Defender ATP (Strong Assurance)

Undvik detaljerade och anpassade behörigheter

Undvik behörigheter som specifikt refererar till enskilda resurser eller användare

Specifika behörigheter skapar onödig komplexitet och förvirring eftersom de inte har avsikten att nya liknande resurser. Detta ackumuleras sedan i en komplex äldre konfiguration som är svår att underhålla eller ändra utan rädsla för att "bryta något" – vilket negativt påverkar både säkerhet och lösnings agility.

I stället för att tilldela specifika resursspecifika behörigheter kan du använda antingen

  • Hanteringsgrupper för företagsomfattande behörigheter

  • Resursgrupper för behörigheter inom prenumerationer

I stället för att bevilja behörigheter till specifika användare kan du tilldela åtkomst till grupper i Azure AD. Om det inte finns någon lämplig grupp kan du arbeta med identitetsteamet för att skapa en. På så sätt kan du lägga till och ta bort gruppmedlemmar externt i Azure och se till att behörigheterna är aktuella, samtidigt som du tillåter att gruppen används för andra ändamål, till exempel distributionslistor.

Använda inbyggda roller

Använd inbyggda roller för att tilldela behörigheter där det är möjligt.

Anpassning leder till komplexitet som ökar förvirringen och gör automatiseringen mer komplex, utmanande och bräcklig. Alla dessa faktorer påverkar säkerheten negativt

Vi rekommenderar att du utvärderar de inbyggda rollerna som utformats för att täcka de flesta vanliga scenarier. Anpassade roller är en kraftfull och ibland användbar funktion, men de bör vara reserverade för fall när inbyggda roller inte fungerar.

Upprätta livscykelhantering för konton med kritisk påverkan

Se till att du har en process för att inaktivera eller ta bort administrativa konton när administratörspersonal lämnar organisationen (eller lämnar administrativa positioner)

Mer information finns i Hantera åtkomst för användare och gästanvändare med åtkomstgranskningar .

Attacksimulering för konton med kritisk påverkan

Simulera regelbundet attacker mot administrativa användare med aktuella attacktekniker för att utbilda och ge dem möjlighet.

Personer är en viktig del av ditt försvar, särskilt din personal med tillgång till konton med kritisk påverkan. Att se till att dessa användare (och helst alla användare) har kunskaper och färdigheter för att undvika och motstå attacker kommer att minska din totala organisationsrisk.

Du kan använda Office 365 attacksimuleringsfunktioner eller valfritt antal erbjudanden från tredje part.

Nästa steg

Ytterligare säkerhetsvägledning från Microsoft finns i Microsofts säkerhetsdokumentation.