Behörighet: Konton

  • Artikel
  • 4 minuter för att läsa

Kontosäkerhet är en viktig del av att skydda privilegierad åtkomst. Säkerhet från slut till slut Utan förtroende för sessioner kräver starkt att det konto som används i sessionen faktiskt är under kontroll av den mänskliga ägaren och inte en attackerare som utger sig för att vara dem.

Starkt kontosäkerhet börjar med säker etablering och fullständig livscykelhantering genom till avetablering, och varje session måste upprätta starka garantier för att kontot för närvarande inte är komprometterat baserat på alla tillgängliga data, inklusive historikmönster, tillgängliga hotinformation och användning under den aktuella sessionen.

Kontosäkerhet

Den här vägledningen definierar tre säkerhetsnivåer för kontosäkerhet som du kan använda för tillgångar med olika känslighetsnivåer:

Skydda konton från slut till slut

Dessa nivåer etablerar tydliga och implementerabara säkerhetsprofiler som är lämpliga för varje känslighetsnivå som du kan tilldela roller och snabbt skala ut. Alla dessa kontosäkerhetsnivåer har utformats för att upprätthålla eller förbättra produktiviteten för personer genom att begränsa eller eliminera avbrott i användar- och administratörsarbetsflöden.

Planering av kontosäkerhet

I den här vägledningen beskrivs de tekniska kontroller som krävs för att uppfylla varje nivå. Implementeringsvägledning finns i översikten över privilegierad åtkomst.

Kontosäkerhetskontroller

För att du ska kunna uppnå säkerheten för gränssnitten krävs en kombination av tekniska kontroller som både skyddar kontona och ger signaler som ska användas vid ett beslut om nollförtroende (se Skydda gränssnitt som referens för principkonfiguration).

De kontroller som används i de här profilerna omfattar:

  • Multifaktorautentisering – som ger flera olika beviskällor som (utformade för att vara så enkla som möjligt för användare, men svårt för att en adversary ska efterlikna).
  • Kontorisk - Övervakning av hot och avvikelser – använda UEBA och hotinformation för att identifiera riskfyllda scenarier
  • Anpassad övervakning – För mer känsliga konton kan du uttryckligen definiera tillåtna/godkända beteenden/mönster för tidig identifiering av avvikande aktivitet. Den här kontrollen är inte lämplig för företagskonton eftersom de här kontona behöver flexibilitet för sina roller.

Kombinationen av kontroller gör det också möjligt att förbättra både säkerhet och användbarhet – till exempel att en användare som håller sig inom sitt vanliga mönster (använder samma enhet på samma plats dag efter dag) inte behöver uppmanas att ange externa MFA varje gång de autentiserar.

Jämföra varje kontonivå och kostnadsförmån

Företagssäkerhetskonton

Säkerhetskontrollerna för företagskonton är utformade för att skapa en säker baslinje för alla användare och ger en säker grund för särskild och privilegierad säkerhet:

  • Framtvinga stark multifaktorautentisering (MFA) – Kontrollera att användaren är autentiserad med stark MFA som tillhandahålls av ett identitetssystem som hanteras av företaget (i diagrammet nedan). Mer information om multifaktorautentisering finns i Metod metod 6 för Azure-säkerhet.

    Obs!

    Även om din organisation kan välja att använda en befintlig formulär av MFA under en övergångsperiod undviker attacker i allt högre grad de befintliga MFA-skydden, så alla nya investeringar i MFA bör vara på de starkaste formerna.

  • Tillämpa konto-/sessionsrisk – kontrollera att kontot inte kan autentiseras såvida det inte är på en låg (eller medium?) risknivå. Mer information om säkerhet för villkorsstyrda företagskonto finns i Säkerhetsnivåer för gränssnitt.

  • Övervaka och svara på aviseringar – Säkerhetsåtgärder bör integrera säkerhetsvarningar för konton och få tillräcklig utbildning om hur dessa protokoll och system fungerar för att säkerställa att de snabbt kan förstå vad en avisering innebär och reagera därefter.

Följande diagram innehåller en jämförelse med olika former av MFA och lösenordslös autentisering. Varje alternativ i den bästa rutan betraktas som både hög säkerhet och hög användbarhet. Alla har olika maskinvarukrav så du kanske vill kombinera och matcha dem som gäller för olika roller eller personer. Alla Microsoft-lösningar utan lösenord identifieras av Villkorsstyrd åtkomst som multifaktorautentisering eftersom det krävs att du kombinerar något du har med antingen biometrisker, något du känner till eller både och.

Jämförelse av autentiseringsmetoder: bra, bättre och bästa

Obs!

Mer information om varför SMS och annan telefonbaserad autentisering är begränsad finns i blogginlägget Det är dags att lägga på Telefon transport för autentisering.

Specialiserade konton

Specialiserade konton är en högre skyddsnivå som passar känsliga användare. På grund av deras större affärsinslag kräver specialiserade konton ytterligare övervakning och prioritering under säkerhetsvarningar, incidentundersökningar och hotsäkerhet.

Specialiserade säkerhetsresurser bygger på den starka företagssäkerhetsrisken genom att identifiera de känsligaste kontona och säkerställa att aviseringar och svarsprocesser prioriteras:

  1. Identifiera känsliga konton – se specialiserade riktlinjer på säkerhetsnivå för att identifiera dessa konton.
  2. Tagga specialiserade konton – kontrollera att varje känsligt konto är taggat
    1. Konfigurera Microsoft Sentinel Watchlists för att identifiera dessa känsliga konton
    2. Konfigurera prioritetskontoskydd i Microsoft Defender för Office 365 specialiserade och behöriga konton som prioritetskonton –
  3. Processer för uppdatering av säkerhetsåtgärder – för att säkerställa att dessa aviseringar får högsta prioritet
  4. Konfigurera styrning – uppdatera eller skapa en styrningsprocess för att säkerställa att
    1. Alla nya roller som utvärderas för specialiserade eller behöriga klassificeringar när de skapas eller ändras
    2. Alla nya konton taggas när de skapas
    3. Kontinuerliga eller periodiska kontroller för att säkerställa att roller och konton inte missas av vanliga styrningsprocesser.

Privilegierade konton

Privilegierade konton har den högsta skyddsnivån eftersom de utgör en betydande eller material möjlig påverkan på organisationens åtgärder om de har komprometterats.

Behöriga konton omfattar alltid IT-administratörer med åtkomst till de flesta eller alla företagssystem, inklusive de flesta eller alla affärskritiska system. Andra konton med hög inverkan på företaget kan också behöva den här skyddsnivån. Mer information om vilka roller och konton som ska skyddas på vilken nivå finns i artikeln Privilegierad säkerhet.

Utöver särskild säkerhet ökar kontosäkerhet med privilegierad tillgång till båda:

  • Skydd – lägg till kontroller för att begränsa användningen av dessa konton till angivna enheter, arbetsstationer och datorer.
  • Svar – övervaka dessa konton noggrant för avvikande aktivitet och undersöker och åtgärdar snabbt risken.

Konfigurera kontosäkerhet med privilegierad åtkomst

Följ instruktionerna i den snabba säkerhetsanpassningsplanen för att både öka säkerheten för dina behöriga konton och minska kostnaderna för att hantera.

Nästa steg