Säkerhetsnivåer för behörighetsbehörighet

Det här dokumentet beskriver säkerhetsnivåerna i en behörighetsstrategi. En översikt över hur man använder den här strategi finns i RaMP (Rapid Modernization Plan). Implementeringsvägledning finns i Distribution av privilegierad åtkomst

Dessa nivåer är främst utformade för att ge enkel och enkel teknisk vägledning så att organisationer snabbt kan distribuera dessa viktiga skydd. Med strategi för behörighetsåtkomst kan man känna igen att organisationer har unika behov, men också att anpassade lösningar skapar komplexitet som leder till högre kostnader och lägre säkerhet över tid. För att balansera detta behov tillhandahåller strategi en fast vägledning för varje nivå och flexibilitet genom att tillåta organisationer att välja när varje roll krävs för att uppfylla kraven på den nivån.

Att göra saker enkla hjälper människor att förstå det och minskar risken att de kommer att förväxlas och göra misstag. Även om den underliggande tekniken nästan alltid är komplex är det viktigt att hålla det enkelt i stället för att skapa anpassade lösningar som är svåra att stödja. Mer information finns i artikeln Principer för säkerhetsdesign.

Genom att utforma lösningar som är fokuserade på administratörernas och slutanvändarna behov blir det enkelt för dem. Utformning av lösningar som är enkla för säkerhet och IT-personal för att skapa, utvärdera och underhålla (med automatisering om möjligt) leder till mindre säkerhetsfel och mer tillförlitliga säkerhetsgranskningar.

Den rekommenderade säkerhetsstrategin för privilegierad åtkomst implementerar ett enkelt system med tre nivåer, som spänner över områden som är utformade för att vara enkla att distribuera för: konton, enheter, resurser och gränssnitt.

Varje efterföljande nivå driver upp attackerskostnader, med ytterligare nivå av Defender för molninvestering. Nivåerna är utformade för att de "rara platserna" ska vara de som får flest returer (ökning av attackerskostnader) för varje säkerhetsinvestering de gör.

Varje roll i din miljö bör mappas till en av dessa nivåer (och eventuellt ökas med tiden som en del av en plan för säkerhetsförbättringar). Varje profil är tydligt definierad som en teknisk konfiguration och automatiserad där det är möjligt för att underlätta distribution och snabba på säkerhetsskyddet. Implementeringsinformation finns i artikeln Översikt över privilegierad åtkomst.

De säkerhetsnivåer som används genom den här strategi är:

• Företagssäkerhet är lämpligt för alla företagsanvändare och produktivitetsscenarier. När det gäller den snabba moderniseringsplanen utgör företag också startpunkten för specialiserad och privilegierad åtkomst när de gradvis bygger på säkerhetskontroller inom företagssäkerhet.

  Obs!

  Det finns säkerhetskonfigurationer, men rekommenderas inte av Microsoft för företag i dag eftersom det finns tillgängliga kunskaper och resurser. Mer information om vilka attacker som kan köpa från varandra på mörka marknader och genomsnittliga priser finns i videon Top 10 Best Practices for Azure Security

• Specialsäkerhet ger utökade säkerhetskontroller för roller med ökade affärseffekter (om de komprometteras av en attackerare eller illvillig insider).

  Organisationen bör ha dokumenterade villkor för specialiserade och behöriga konton (potentiella affärseffekter är till exempel över 1M USD) och sedan identifiera alla roller och konton som uppfyller villkoren. (används genom hela den här strategi, bland annat för specialiserade konton)

  Specialiserade roller omfattar vanligtvis:

  • Utvecklare av verksamhetskritiska system.
  • Känsliga affärsroller som användare av SWIFT-terminaler, forskare som har tillgång till känsliga data, personal med tillgång till ekonomisk rapportering innan de släpps, löneadministratörer, godkännare för känsliga affärsprocesser och andra viktiga roller.
  • Chefer och personliga assistenter/administrativa assistenter som regelbundet hanterar känslig information.
  • Konton på sociala medier som kan skada företagets rykte.
  • Känsliga IT-administratörer med betydande behörigheter och påverkan, men som inte är i hela företaget. Den här gruppen innehåller vanligtvis administratörer för hög effekt bland arbetsbelastningarna. (Till exempel företagsresursplaneringsadministratörer, bankadministratörer, support /teknisk support osv.)

  Specialiserade kontosäkerheter fungerar också som ett mellansteg för privilegierad säkerhet, som bygger vidare på dessa kontroller. Mer information om rekommenderad förloppsordning finns i översikt över privilegierad åtkomst.

• Privilegierad säkerhet är den högsta säkerhetsnivå som utformats för roller som enkelt kan orsaka stora incidenter och potentiella materialskador för organisationen i händerna på en attackerare eller illvillig insider. Den här nivån omfattar vanligtvis tekniska roller med administratörsbehörighet på de flesta eller alla företagssystem (och inkluderar ibland några affärskritiska roller)

  Privilegierade konton fokuserar först på säkerhet, där produktivitet definieras som möjligheten att enkelt och säkert utföra känsliga jobbuppgifter på ett säkert sätt. De här rollerna kan inte utföra både känsliga uppgifter och allmänna produktivitetsuppgifter (surfa på webben, installera och använda appar) med samma konto eller samma enhet/arbetsstation. De kommer att ha mycket begränsade konton och arbetsstationer med ökad övervakning av deras åtgärder för avvikande aktivitet som kan representera attackersaktivitet.

  Säkerhetsroller med behörighet är vanligtvis:

  • Globala Azure AD-administratörer och relaterade roller
  • Andra identitetshanteringsroller med administrativa rättigheter till företagskatalog, identitetssynkroniseringssystem, federationslösning, virtuell katalog, hanteringssystem för privilegierad identitet/åtkomst eller liknande.
  • Roller med medlemskap i de här lokala Active Directory-grupperna
    • Företagsadministratörer
    • Domänadministratörer
    • Schemaadministratör
    • BUILTIN\Administrators
    • Kontooperatorer
    • Operatorer för säkerhetskopiering
    • Skrivaroperatorer
    • Serveroperatorer
    • Domänkontrollanter
    • Skrivskyddade domänkontrollanter
    • Ägare av grupprincipskapare
    • Kryptografiska operatorer
    • Distribuerade COM-användare
    • Känsliga lokala Exchange (inklusive Exchange Windows och betrodda Exchange)
    • Andra delegerade grupper – Anpassade grupper som kan skapas av din organisation för att hantera katalogåtgärder.
    • Alla lokala administratörer för underliggande operativsystem eller molntjänstklientorganisation som fungerar som värd för funktionerna ovan, inklusive
      • Medlemmar i lokal administratörsgrupp
      • Personal som känner till roten eller det inbyggda administratörslösenordet
      • Administratörer för alla hanterings- eller säkerhetsverktyg med agenter som är installerade på dessa system

Nästa steg

• Översikt av skydd av privilegierad åtkomst
• Behörighetsstrategi
• Mäta framgången
• Konton med behörighet
• Enerledd
• Gränssnitt
• Enheter med privilegierad åtkomst
• Företagsåtkomstmodell