Azure AD'de karma ve bulut dağıtımları için ayrıcalıklı erişim güvenliğini sağlama

İş varlıklarının güvenliği, IT sistemlerinizi yöneten ayrıcalıklı hesapların bütünlüğüne bağlıdır. Siber saldırganlar, hassas verilere erişim elde etmek için yönetici hesaplarını ve diğer ayrıcalıklı erişimi hedeflemek için kimlik bilgisi hırsızlığı saldırılarını kullanır.

Bulut hizmetleri için önleme ve yanıt, bulut hizmeti sağlayıcısının ve müşterinin ortak sorumluluklarıdır. Uç noktalara ve buluta yönelik en son tehditler hakkında daha fazla bilgi için bkz. Microsoft Güvenlik Zekası raporu. Bu makale, mevcut planlarınız ile burada açıklanan kılavuz arasındaki boşlukları kapatmaya yönelik bir yol haritası geliştirmenize yardımcı olabilir.

Not

Microsoft en yüksek güven, saydamlık, standart uyumluluğu ve mevzuat uyumluluğu düzeylerine bağlıdır. Microsoft küresel olay yanıtı ekibinin bulut hizmetleri üzerindeki saldırıların etkilerini nasıl hafifleteceği ve Microsoft Güven Merkezi'nde Microsoft iş ürünlerinde ve bulut hizmetlerinde güvenliğin nasıl yerleşik olduğu hakkında daha fazla bilgi edinin - Microsoft Güven Merkezi 'nde Güvenlik ve Microsoft uyumluluk hedefleri - Uyumluluk.

Geleneksel olarak kuruluş güvenliği, güvenlik çevresi olarak bir ağın giriş ve çıkış noktalarına odaklandı. Ancak, İnternet'ten SaaS uygulamaları ve kişisel cihazlar bu yaklaşımı daha az etkili hale geldi. Azure AD'de ağ güvenliği çevresini, denetimdeki ayrıcalıklı yönetim rollerine atanan kullanıcılarla, kuruluş kimlik katmanında kimlik doğrulamasıyla değiştiririz. Ortam şirket içi, bulut veya karma erişime sahip olsun erişimleri korunmalıdır.

Ayrıcalıklı erişimin güvenliğini sağlamak için aşağıdakiler için değişiklikler gerekir:

  • Süreçler, yönetim uygulamaları ve bilgi yönetimi
  • Konak savunması, hesap korumaları ve kimlik yönetimi gibi teknik bileşenler

Ayrıcalıklı erişiminizin güvenliğini, önem önem Microsoft hizmetleri yönetilen ve rapor Microsoft hizmetleri şekilde güvenli hale edin. Şirket içi yönetici hesaplarınız varsa, Ayrıcalıklı Erişimin Güvenliğini Sağlama konusunda Active Directory'de şirket içi ve karma ayrıcalıklı erişim kılavuzuna bakın.

Not

Bu makaledeki kılavuz, birincil olarak Azure Active Directory P2'ye dahil olan Azure AD Premium P1 ifade eder. Azure AD Premium P2 EMS E5 paketine ve Microsoft 365 E5 dahil edilir. Bu kılavuz, kurumda kullanıcılarınız için Azure AD Premium P2 lisans satın alınmış olduğunu varsayıyor. Bu lisanslara sahip değilsanız, bazı kılavuzlar kuruluş için geçerli olabilir. Ayrıca, bu makale boyunca Genel Yönetici terimi "şirket yöneticisi" veya "kiracı yöneticisi" ile aynı anlama gelir.

Yol haritası geliştirme

Microsoft, siber saldırganlara karşı ayrıcalıklı erişimin güvenliğini sağlamak için bir yol haritası geliştirmenizi ve izlemenizi öneriyor. Yol haritanızı, mevcut özelliklerinize ve belirli gereksinimlerinize uyum sağlayacak şekilde istediğiniz zaman ayarlayabilirsiniz. Yol haritasının her aşaması, hasımların şirket içi, bulut ve hibrit varlıklarınız için ayrıcalıklı erişime saldırma maliyetini ve zorluğu yükseltmelidir. Microsoft aşağıdaki dört yol haritası aşamasını önermektedir. Önce en etkili ve en hızlı uygulamaları zamanla. Bu makale, Microsoft'un siber saldırı olayı ve yanıt uygulamasıyla ilgili deneyimlerini temel alan kılavuzunuz olabilir. Bu yol haritasının zaman çizelgeleri yaklaşıkdır.

Stages of the roadmap with time lines

  • 1. Aşama (24-48 saat): Hemen öneririz kritik öğeler

  • 2. Aşama (2-4 hafta): En sık kullanılan saldırı tekniklerini hafifletin

  • 3. aşama (1-3 ay): Görünürlük oluşturma ve yönetici etkinliği üzerinde tam denetim oluşturma

  • 4. aşama (altı ay ve sonraki): Güvenlik platformunu daha da sağlamlaştıracak savunmalar yapmaya devam et

Bu yol haritası çerçevesi, önceden dağıtmış olduğunuz Microsoft teknolojilerinin kullanımını en üst düzeye çıkarmak için tasarlanmıştır. Önceden dağıtmış veya dağıtmayı göz önünde bulundurarak diğer satıcılardan herhangi bir güvenlik aracına atamayı göz önünde bulundurabilirsiniz.

1. Aşama: Şu anda yapmak istediğiniz kritik öğeler

Stage 1 Critical items to do first

Yol haritasının 1. aşaması, hızlı ve uygulanması kolay kritik görevlere odaklanıyor. Temel düzeyde güvenli ayrıcalıklı erişim sağlamak için bu birkaç şeyi ilk 24-48 saat içinde hemen yapmanizi öneririz. Güvenli Ayrıcalıklı Erişim yol haritasının bu aşaması aşağıdaki eylemleri içerir:

Genel hazırlık

Azure AD Privileged Identity Management

Azure AD üretim ortamınıza Azure AD Privileged Identity Management (PIM) kullanmaya başlamanızı öneririz. PIM kullanmaya başladıktan sonra ayrıcalıklı erişim rolü değişiklikleri için bildirim e-posta iletileri alırsınız. Bildirimler, yüksek ayrıcalıklı rollere ek kullanıcılar ekleniyor olduğunda erken uyarı sağlar.

Azure AD Privileged Identity Management, Azure AD Premium P2 VEYA EMS E5'e dahildir. Şirket içinde ve buluttaki uygulamalara ve kaynaklara erişimi korumanıza yardımcı olmak için, Enterprise Mobility + Security 90 günlük deneme sürümüne kaydolabilirsiniz. Azure AD Privileged Identity Management, Azure AD Kimlik Koruması, denetim ve uyarıları kullanarak güvenlik etkinliğini izleyebilir ve izleyebilir.

Azure AD'ye başladıktan sonra Privileged Identity Management:

  1. Azure AD üretim Azure portal Genel Yöneticisi olan bir hesapla oturum açın.

  2. Privileged Identity Management kullanmak istediğiniz Azure AD kuruluşunu seçmek için, Privileged Identity Management üst köşesindeki kullanıcı Azure portal.

  3. Uygulama Azure portal Tüm hizmetler'i seçin ve Azure AD listesini filtrePrivileged Identity Management.

  4. Tüm Privileged Identity Management listesinden panoyu açın ve panonıza sabitleyin.

Kurumda PIM'i ilk kez kullanan kişinin Güvenlik Yöneticisi ve Ayrıcalıklı Rol Yöneticisirollerine atandığından emin olun. Kullanıcıların Azure AD dizin rolü atamalarını yalnızca Ayrıcalıklı Rol Yöneticileri yönetebilir. PIM güvenlik sihirbazı, ilk bulma ve atama deneyimi boyunca size yol gösterir. Şu anda başka bir değişiklik yapmadan sihirbazdan çıkabilirsiniz.

Yüksek ayrıcalıklı rollerdeki hesapları tanımlama ve kategorilere ayırma

Azure AD Privileged Identity Management başladıktan sonra, aşağıdaki Azure AD rollerinde olan kullanıcıları görüntüebilirsiniz:

  • Genel Yönetici
  • Ayrıcalıklı Rol Yöneticisi
  • Exchange Yöneticisi
  • SharePoint Yöneticisi

Azure AD api'niz Privileged Identity Management PowerShell API'sini kullanabilirsiniz. Genel Yönetici rolüyle çalışmaya başlamanın nedeni, genel yöneticinin, kuruluşun abone olduğu tüm bulut hizmetlerde aynı izinlere sahip olmasıdır. Bu izinler atandığı yer fark etmez: Microsoft 365 yönetim merkezi, Azure portal veya Microsoft PowerShell için Azure AD modülü tarafından.

Bu rollerde artık gerekli olan hesapları kaldırın. Ardından, yönetici rollerine atanmış kalan hesapları kategorilere ayırabilirsiniz:

  • Yönetici kullanıcılara atanmıştır, ancak yönetimsel olmayan amaçlarla da kullanılır (örneğin, kişisel e-posta)
  • Yönetici kullanıcılara atanmıştır ve yalnızca yönetim amaçlarıyla kullanılır
  • Birden çok kullanıcı arasında paylaşılan
  • Acil durum erişim senaryoları için
  • Otomatik betikler için
  • Dış kullanıcılar için

En az iki acil durum erişim hesabı tanımlama

Bir kullanıcının yanlışlıkla rolünün dışında kilitlenmesi mümkündür. Örneğin, bir federasyon şirket içi kimlik sağlayıcısı kullanılamıyorsa, kullanıcılar oturum açma veya mevcut yönetici hesabını etkinleştirmez. İki veya daha fazla acil durum erişim hesabını depolayarak yanlışlıkla erişim eksikliğine hazır olun.

Acil durum erişim hesapları, Bir Azure AD kuruluşunda ayrıcalıklı erişimi kısıtlamaya yardımcı olur. Bu hesaplar yüksek ayrıcalıklıdır ve belirli kişilere atanmaz. Acil durum erişim hesapları, normal yönetim hesaplarının kullanılamayacakları "acil durum" senaryolarında acil durumla sınırlıdır. Acil durum hesabının kullanımını yalnızca gerekli olduğu süreye kadar kontrol edin ve azaltabilirsiniz.

Atanan veya Genel Yönetici rolü için uygun olan hesapları değerlendirin. *.onmicrosoft.com etki alanını kullanan yalnızca bulut hesabı görmüyorsanız (acil durum erişimi için) bunları oluşturun. Daha fazla bilgi için bkz. Azure AD'de acil durum erişimi yönetim hesaplarını yönetme.

Çok faktörlü kimlik doğrulamasını açma ve diğer tüm yüksek ayrıcalıklı tek kullanıcılı federasyon olmayan yönetici hesaplarını kaydetme

Bir veya daha fazla Azure AD yönetici rolüne kalıcı olarak atanmış tüm bireysel kullanıcılar için oturum açmada Azure AD Multi-Factor Authentication (MFA) gerektir: Genel Yönetici, Ayrıcalıklı Rol Yöneticisi, Exchange Yöneticisi ve SharePoint Yöneticisi. Yönetici hesaplarınız için Multi-Factor Authentication'ın (MFA) etkinleştirip tüm bu kullanıcıların 'a kayıtlı olduğundan emin olmak için kılavuzu kullanın. Daha fazla bilgi, Veri ve hizmetlere erişimi koruma kılavuzunun 2. ve 3. adımlarında Microsoft 365.

2. Aşama: Sık kullanılan saldırıları azaltmak

Stage 2 Mitigate frequently used attacks

Yol haritasının 2. aşaması, kimlik bilgisi hırsızlığı ve kötüye kullanım için en sık kullanılan saldırı tekniklerini azaltmaya odaklanır ve yaklaşık 2-4 hafta içinde uygulanabiliyor. Güvenli Ayrıcalıklı Erişim yol haritasının bu aşaması aşağıdaki eylemleri içerir.

Genel hazırlık

Hizmetlerin, sahiplerin ve yöneticilerin envanterini yürütme

"Kendi cihazınızı getirin" ve ev ilkelerinden çalışma ve kablosuz bağlantının büyümesi artışı, ağınıza bağlananları izlemek için kritik öneme sahiptir. Güvenlik denetimi, ağ üzerinde, kuruluş tarafından desteklen ve yüksek riski temsil eden cihazları, uygulamaları ve programları ortaya koyabilirsiniz. Daha fazla bilgi için bkz. Azure güvenlik yönetimi ve izlemeye genel bakış. Envanter işleminize aşağıdaki görevlerin hepsini dahil etmek.

  • Yönetim rollerine ve yönetecekleri hizmetlere sahip kullanıcıları belirleme.

  • Azure AD PIM'i kullanarak, hangi kullanıcıların Azure AD'ye yönetici erişimi olduğunu öğrenin.

  • Azure AD'de tanımlanan rollerin Microsoft 365, kuruluşta kullanıcılara atayabilirsiniz bir dizi yönetici rolüyle birlikte gelir. Her yönetici rolü, ortak iş işlevleriyle eşler ve kuruluşta çalışan kullanıcılara belirli görevleri gerçekleştirmek için izinler Microsoft 365 yönetim merkezi. Azure AD Microsoft 365 yönetim merkezi yönetil kullanmayan roller dahil olmak üzere, Microsoft 365 hangi kullanıcıların erişim iznine sahip olduğunu bulmak için Microsoft 365'i kullanın. Daha fazla bilgi için bkz. Microsoft 365 için güvenlik uygulamaları hakkında Office 365.

  • Azure, Intune veya Dynamics 365 gibi, kuruluşta güvenilen hizmetlerde envanteri yapma.

  • Yönetim amacıyla kullanılan hesaplarınızı emin olun:

    • Çalışan e-posta adreslerinin eklenmiş olduğu adresler
    • Azure AD Multi-Factor Authentication'a kayıtlı veya şirket içi MFA kullanıyorsanız
  • Kullanıcılardan yönetim erişimi için işletme gerekçelerini isteme.

  • Buna ihtiyacı olan kişiler ve hizmetler için yönetici erişimini kaldırın.

Yönetim rollerinde iş veya okul hesaplarına geçiş yapmak için gereken Microsoft hesaplarını belirleme

İlk Genel Yöneticileriniz Azure AD kullanmaya Microsoft hesabı mevcut yönetici kimlik bilgilerini yeniden kullanıyorsa, Microsoft hesaplarını tek tek bulut tabanlı veya eşitlenmiş hesaplarla değiştirin.

Genel Yönetici hesapları için ayrı kullanıcı hesaplarının ve posta iletmenin sağ olduğundan emin olun

Kişisel e-posta hesapları, siber saldırganlar tarafından düzenli olarak kimlik avı olarak kullanılır. Bu risk, kişisel e-posta adreslerini Genel Yönetici hesapları için kabul edilemez hale getirebilirsiniz. İnternet risklerini yönetim ayrıcalıklarından ayırmaya yardımcı olmak için, yönetim ayrıcalıklarına sahip her kullanıcı için ayrılmış hesaplar oluşturun.

  • Kullanıcıların Genel Yönetici görevlerini gerçekleştirmek için ayrı hesaplar oluşturduktan emin olun.
  • Genel Yöneticilerinizin yanlışlıkla e-postaları açmaylarından veya yönetici hesaplarıyla program çalıştırmalarından emin olun.
  • Bu hesapların e-postalarının çalışan bir posta kutusuna iletildiklerinden emin olun.
  • Genel Yönetici (ve diğer ayrıcalıklı gruplar) hesapları, yalnızca buluta bağlı olmayan ve diğer şirket içi Active Directory.

Yönetici hesaplarının parolalarının yakın zamanda değiştirildiklarından emin olun

Tüm kullanıcıların yönetim hesaplarında oturum açın ve parolalarını son 90 günde en az bir kez değiştirmiş olun. Ayrıca, paylaşılan hesapların parolalarının yakın zamanda değiştiğini doğrulayın.

Parola karması eşitlemeyi açma

Azure AD Bağlan, kullanıcı parolasının karması ile şirket içi Active Directory tabanlı bir Azure AD kuruluşuna eşitler. Parola karması eşitlemesini bir yedekleme olarak, federasyon ile (Active Directory Federasyon Hizmetleri (AD FS)) AD FS. Bu yedekleme, sunucularınızı veya şirket içi Active Directory geçici AD FS için yararlı olabilir.

Parola karması eşitleme, kullanıcıların bir hizmette oturum açmalarını ve bu örnekte oturum açmalarını sağlayan parola şirket içi Active Directory sağlar. Parola karması eşitleme, Kimlik Koruması'nın parola karmalarını güvenliği ihlal edilmiş olduğu bilinen parolalarla karşılaştırarak güvenliği tehlikeye atılmış kimlik bilgilerini algılamasını sağlar. Daha fazla bilgi için bkz. Azure AD ile parola karması eşitlemesi Bağlan.

Ayrıcalıklı rollerdeki ve açık kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme

Azure AD, tüm kullanıcılarınız için çok faktörlü kimlik doğrulaması (MFA) gerektirmenizi önerer. Hesaplarının tehlikeye atılmış olması (örneğin, finans sorumluları) üzerinde önemli bir etkisi olacak kullanıcıları göz önünde bulundurabilirsiniz. MFA, güvenliği tehlikeye atılmış bir parola nedeniyle saldırı riskini azaltır.

Şu aç:

İş için Windows Hello kullanıyorsanız MFA gereksinimi, oturum açma deneyimi Windows Hello karşı olabilir. Daha fazla bilgi için bkz. Windows Hello.

Kimlik Korumasını Yapılandırma

Azure AD Kimlik Koruması, kuruluş kimliklerinizi etkileyen olası güvenlik açıklarını algılayan algoritma tabanlı bir izleme ve raporlama aracıdır. Algılanan şüpheli etkinliklere otomatik yanıtlar yapılandırarak bunları çözmek için uygun eylemi gerçekleştirin. Daha fazla bilgi için bkz. Azure Active Directory Kimlik Koruması.

Microsoft 365 Güvenlik Puanınızı alın (Microsoft 365)

Güvenli Puan, kullanmakta olduğunuz hizmetlerde Microsoft 365 ve etkinliklerinize bakarak Bunları Microsoft tarafından kurulmuş bir temelle karşılar. Güvenlik uygulamalarıyla ne kadar uyumlu olduğunu temel alan bir puan elde edin. Bir abonelikte veya abonelikte yönetici Microsoft 365 İş Standart Enterprise herkes üzerinden Güvenli Puan'a https://security.microsoft.com/securescore erişebilirsiniz.

Güvenlik Microsoft 365 uyumluluk rehberini gözden geçirme (Microsoft 365)

Güvenlik ve uyumluluk planında, bir müşterinin Office 365 ve diğer EMS özelliklerini etkinleştirmesi Office 365 yaklaşımı özetler. Ardından, Microsoft 365'de veri ve hizmetlere erişimi koruma adımlarının 3-6 adımlarını ve Microsoft 365.

Etkinlik Microsoft 365'ı yapılandırma (Microsoft 365 kullanıyorsanız)

Bir yönetici hesabına sahip olan ancak Microsoft 365 portallarda oturum açmaları gerekmaylarından erişim iznine sahip Microsoft 365 çalışanlarını belirlemek için Microsoft 365 kullanan kullanıcılar için kuruluşu izleme. Daha fazla bilgi için bkz. Microsoft 365 yönetim merkezi.

Olay/acil durum yanıt planı sahiplerini kurma

Başarılı bir olay yanıtı özelliğinin kurulması için önemli planlama ve kaynaklar gerekir. Siber saldırıları sürekli olarak izlemeli ve olay işlemeye yönelik öncelikleri belirlemelisiniz. İlişki oluşturmak, diğer iç gruplarla ve plan sahipleriyle iletişim kurmak için olay verilerini toplayın, analiz edip rapor girin. Daha fazla bilgi için bkz. Microsoft Güvenlik Yanıt Merkezi.

Henüz yapılmamışsa, şirket içi ayrıcalıklı yönetim hesaplarının güvenliğini sağlama

Bu Azure Active Directory güvenlik şirket içi Active Directory eşitlenmişse, Güvenlik Ayrıcalıklı Erişim Yol Haritası:Bu aşama şunları içerir:

  • Şirket içi yönetim görevlerini gerçekleştirmesi gereken kullanıcılar için ayrı yönetici hesapları oluşturma
  • Active Directory yöneticileri için Ayrıcalıklı Erişim İş İstasyonları dağıtma
  • İş istasyonları ve sunucular için benzersiz yerel yönetici parolaları oluşturma

Azure'a erişimi yöneten kuruluşlar için ek adımlar

Abonelik envanterini tamamlama

Üretim uygulamalarını Enterprise abonelikleri tanımlamak Azure portal portalını ve Azure portal portalını kullanın.

Yönetici rollerinden Microsoft hesaplarını kaldırma

Xbox, Live ve Outlook gibi diğer programlardan microsoft hesapları, kuruluş abonelikleri için yönetici hesabı olarak kullanılmaması gerekir. Tüm Microsoft hesaplarından yönetici durumunu kaldırın ve yerine Azure AD (örneğin, chris@contoso.com ) iş veya okul hesaplarını kullanın. Yönetici amacıyla, diğer hizmetlerde değil, Azure AD'de kimliği doğrulanmış hesaplara bağımlıdır.

Azure etkinliğini izleme

Azure Etkinlik Günlüğü, Azure'da abonelik düzeyindeki olayların geçmişini sağlar. Bu, hangi kaynakları oluşturan, güncelleştirilen ve silinenler ve bu olayların ne zaman meydana geldiği hakkında bilgi sağlar. Daha fazla bilgi için bkz. Azure aboneliğinizin önemli eylemleriyle ilgili bildirimleri denetleme ve alma.

Azure AD aracılığıyla diğer bulut uygulamalarına erişimi yöneten kuruluşlar için ek adımlar

Koşullu Erişim ilkelerini yapılandırma

Şirket içi ve bulutta barındırılan uygulamalar için Koşullu Erişim ilkeleri hazırlayın. Çalışma alanına katılmış kullanıcılarınız varsa, şirket içi Koşullu Erişim'i cihaz kaydını kullanarak ayarlama Azure Active Directory bilgi alın.

3. Aşama: Yönetici etkinliğinin kontrolünü alma

Stage 3: take control of administrator activity

3. aşama, 2. aşamadaki risk azaltmalarını ve yaklaşık 1-3 ay içinde uygulanmasını sağlar. Güvenli Ayrıcalıklı Erişim yol haritasının bu aşaması aşağıdaki bileşenleri içerir.

Genel hazırlık

Yönetici rollerinde kullanıcıların erişim gözden geçirmesini tamamlama

Daha fazla şirket kullanıcısı bulut hizmetleri aracılığıyla ayrıcalıklı erişim elde ediyor ve bu da yönetilemeyen erişime yol açıyor. Kullanıcılar bugün Azure abonelik yöneticileri Microsoft 365 Genel Yönetici olabilir veya VM'lere ya da SaaS uygulamaları aracılığıyla yönetici erişimine sahip olabilir.

Tüm çalışanların sıradan iş işlemlerini ayrıcalıksız kullanıcılar olarak işlemesi ve ardından yalnızca gerektiğinde yönetici hakları verilmesi gerekir. Yönetici ayrıcalıklarını etkinleştirmeye uygun kullanıcıları belirlemek ve onaylamak için erişim incelemelerini tamamlayın.

Şunları yapmanızı öneririz:

  1. Hangi kullanıcıların Azure AD yöneticisi olduğunu belirleme, isteğe bağlı, tam zamanında yönetici erişimini etkinleştirme ve rol tabanlı güvenlik denetimleri.
  2. Yönetici ayrıcalıklı erişimi için net bir gerekçesi olan kullanıcıları farklı bir role dönüştür (uygun rol yoksa, bunları kaldırın).

Tüm kullanıcılar için daha güçlü kimlik doğrulamasının devamını alma

Yüksek oranda açık kullanıcılara Azure AD MFA veya Azure AD kimlik doğrulaması gibi modern ve güçlü kimlik Windows Hello. Yüksek oranda açık kullanıcılara örnek olarak şunlar dahildir:

  • C-suite yöneticileri
  • Üst düzey yöneticiler
  • Kritik ÖNEME SAHIP IT ve güvenlik personeli

Azure AD için yönetim için ayrılmış iş istasyonları kullanma

Saldırganlar, verilerin bütünlüğünü ve gerçekliğini kesintiye uğramaları için ayrıcalıklı hesapları hedefleyebilir. Genellikle, yönetici bir kimlik bilgisi girerek program mantığını veya gözeops 'u değiştiren kötü amaçlı kod kullanırlar. Ayrıcalıklı Erişim İş İstasyonları (PAW), hassas görevler için İnternet saldırıları ve tehdit vektörlerinden korunan ayrılmış bir işletim sistemi sağlar. Bu hassas görevler ve hesapların günlük kullanım iş istasyonları ve cihazlarından ayrılması, ' den güçlü koruma sağlar:

  • Sızdırma saldırıları
  • Uygulama ve işletim sistemi güvenlik açıkları
  • Kimliğe bürünme saldırıları
  • Tuş vuruşu günlüğü, karma değer geçişi ve bilet geçişi gibi kimlik bilgileri hırsızlığı saldırıları

Ayrıcalıklı erişim iş istasyonlarını dağıtarak, yöneticilerin kimlik bilgilerini sağlamlaştırılmış bir masaüstü ortamında girmelerine yönelik riski azaltabilirsiniz. Daha fazla bilgi için bkz. ayrıcalıklı erişim Iş istasyonları.

Olayları işlemeye yönelik ulusal standartlar ve teknoloji önerilerini gözden geçirin

Ulusal Standartlar ve Teknoloji Enstitüsü (NıST), özellikle olayla ilgili verileri analiz etmek ve her olaya uygun yanıtı belirlemek için olay işleme için yönergeler sağlar. Daha fazla bilgi için bkz. (NIST) bilgisayar güvenliği olay Işleme Kılavuzu (SP 800-61, düzeltme 2).

ek yönetim rollerine jıt için Privileged Identity Management (pım) uygulayın

Azure Active Directory için Azure AD Privileged Identity Management özelliğini kullanın. Ayrıcalıklı rollerin zaman sınırlı etkinleştirilmesi şunları sağlar:

  • Belirli bir görevi yapmak için yönetici ayrıcalıklarını etkinleştirin

  • Etkinleştirme işlemi sırasında MFA 'yı zorlama

  • Yöneticilere bant dışı değişiklikler hakkında bilgi vermek için uyarıları kullanma

  • Kullanıcıların, önceden yapılandırılmış bir süre için ayrıcalıklı erişimini tutmasını sağlama

  • Güvenlik yöneticilerinin şunları yapmasına izin ver:

    • Tüm ayrıcalıklı kimlikleri bul
    • Denetim raporlarını görüntüleme
    • Yönetici ayrıcalıklarını etkinleştirmeye uygun olan her kullanıcıyı tanımlamak için erişim İncelemeleri oluşturun

zaten Azure AD Privileged Identity Management kullanıyorsanız zamana göre öncelik için zaman çerçevesini gerektiği gibi ayarlayın (örneğin, bakım pencereleri).

Parola tabanlı oturum açma protokollerinin (Exchange Online kullanılıyorsa) görünürlüğünü belirleme

Kimlik bilgileri tehlikeye atılırsa, kuruluşa çok zararlı olabilecek tüm olası kullanıcıları tanımlamanızı öneririz. Bu kullanıcılar için, Kullanıcı adı ve parola kullanarak e-postalarına oturum açmasını sağlamak üzere güçlü kimlik doğrulama gereksinimleri yerleştirin ve Azure AD koşullu erişim 'i kullanın. koşullu erişimi kullanarak eski kimlik doğrulamasınıengelleyebilir ve Exchange çevrimiçi olarak temel kimlik doğrulamasını engelleyebilirsiniz .

Microsoft 365 rolleri için bir rol gözden geçirme değerlendirmesi tamamlamayı doldurun (Microsoft 365 kullanılıyorsa)

Tüm Yöneticiler kullanıcılarının doğru rollerde olup olmadığını değerlendirin (bu değerlendirmeye göre Sil ve yeniden ata).

Microsoft 365 ' de kullanılan güvenlik olay yönetimi yaklaşımını gözden geçirin ve kendi kuruluşunuzla karşılaştırın

Bu raporu, Microsoft 365 'de güvenlik olay yönetimi'nden indirebilirsiniz.

Şirket içi ayrıcalıklı yönetim hesaplarını güvenli hale getirmeye devam edin

Azure Active Directory şirket içi Active Directory bağlıysa, güvenlik ayrıcalıklı erişim yol haritası: aşama 2 ' deki yönergeleri izleyin. Bu aşamada şunları yapabilirsiniz:

  • Tüm Yöneticiler için ayrıcalıklı erişim Iş Istasyonları dağıtma
  • MFA gerektirme
  • Etki alanı denetleyicisi bakımı için yalnızca yeterli yönetici kullanın, etki alanlarının saldırı yüzeyini kısın
  • Saldırı algılama için Gelişmiş tehdit değerlendirmesi dağıtma

Azure 'a erişimi yöneten kuruluşlar için ek adımlar

Tümleşik izleme oluşturma

Bulut Için Microsoft Defender:

  • Azure abonelikleriniz genelinde tümleşik güvenlik izleme ve ilke yönetimi sağlar
  • Aksi takdirde açıklanabilecek tehditleri algılamaya yardımcı olur
  • Geniş kapsamlı güvenlik çözümleri dizisiyle birlikte çalışarak

Barındırılan sanal makineler içindeki ayrıcalıklı hesaplarınızın envanterini çıkarın

Genellikle kullanıcılara tüm Azure abonelikleriniz veya kaynaklarınız için kısıtlanmamış izinler vermeniz gerekmez. Yalnızca kendi işlerini yapması gereken kullanıcılarınızın erişimini sağlamak için Azure AD yönetici rolleri ' ni kullanın. tek bir yöneticinin bir abonelikteki yalnızca vm 'leri yönetmesine izin vermek için Azure AD yönetici rollerini kullanabilirsiniz, başka bir deyişle, aynı abonelik içinde SQL veritabanlarını yönetebilir. Daha fazla bilgi için bkz. Azure rol tabanlı erişim denetimi nedir?.

Azure AD yönetici rolleri için PıM uygulama

Azure kaynaklarına erişimi yönetmek, denetlemek ve izlemek için Azure AD yönetici rolleriyle ayrıcalıklı kimlik yönetimi kullanın. , Ayrıcalıkların etkilenme süresini azaltarak ve görünürlüğünüzü raporlar ve uyarılar aracılığıyla kullanım için artırarak PıM 'nin kullanılması. Daha fazla bilgi için bkz. Azure AD Privileged Identity Management nedir?.

İlgili Azure günlüklerini SıEM sistemlerinize göndermek için Azure günlük tümleştirmelerini kullanın

Azure günlük tümleştirmesi, Azure kaynaklarınızdan ham günlükleri kuruluşunuzun mevcut güvenlik bilgileri ve olay yönetimi (SıEM) sistemleriyle tümleştirmenize olanak sağlar. azure günlük tümleştirmesi , Windows Olay Görüntüleyicisi günlüklerinden ve Azure kaynaklarından Windows olaylarını toplar:

  • Azure etkinlik günlükleri
  • Bulut uyarıları için Microsoft Defender
  • Azure kaynak günlükleri

Azure AD aracılığıyla diğer bulut uygulamalarına erişimi yöneten kuruluşlar için ek adımlar

Bağlı uygulamalar için Kullanıcı sağlamayı uygulama

Azure AD, Dropbox, Salesforce ve servicenow gibi bulut uygulamalarında kullanıcı kimliklerinin oluşturulmasını ve bakımının otomatik hale getirmenize olanak tanır. Daha fazla bilgi için bkz. Azure AD Ile SaaS uygulamalarına Kullanıcı sağlamayı ve sağlamayı kaldırmayı otomatikleştirme.

Tümleştirme bilgi koruması

Bulut uygulamaları için Microsoft Defender, Azure Information Protection sınıflandırma etiketlerine göre dosyaları araştırmanıza ve ilkeler ayarlamanıza olanak tanıyarak, bulut verilerinizin daha fazla görünürlüğünü ve denetimini etkinleştirir. Bulutta dosyaları tarayın ve sınıflandırın ve Azure Information Protection etiketlerini uygulayın. Daha fazla bilgi için bkz. Azure Information Protection tümleştirme.

Koşullu erişimi yapılandırma

SaaS uygulamaları ve Azure AD bağlı uygulamaları için bir grup, konum ve uygulama duyarlılığı temelinde koşullu erişimi yapılandırın.

Bağlı bulut uygulamalarındaki etkinlikleri izleme

Kullanıcı erişiminin bağlı uygulamalarda da korunduğundan emin olmak için, bulut uygulamaları Için Microsoft Defender 'ı kullanmanızı öneririz. Bu özellik, bulut uygulamalarına kurumsal erişimin güvenliğini sağlar ve yönetici hesaplarınızın güvenliğini sağlar ve şunları yapabilirsiniz:

  • Görünürlük ve denetimi bulut uygulamalarına genişletme
  • Erişim, etkinlikler ve veri paylaşımı için ilkeler oluşturma
  • Riskli etkinlikleri, olağan dışı davranışları ve tehditleri otomatik olarak belirleyin
  • Veri sızıntısını önleme
  • Risk ve otomatik tehdit önleme ve ilke zorlamayı en aza indirme

cloud apps sıem aracısı için defender, Microsoft 365 uyarıları ve etkinliklerini merkezi olarak izlemeyi etkinleştirmek üzere sıem sunucunuz ile bulut uygulamaları için defender 'ı tümleştirir. Sunucunuzda çalışır ve bulut uygulamaları için Defender 'dan uyarı ve etkinlik çeker ve bunları SıEM sunucusuna akışlar. Daha fazla bilgi için bkz. SIEM tümleştirmesi.

4. Aşama: savunma oluşturmaya devam edin

Stage 4: adopt an active security posture

Yol haritasının 4. aşaması altı ayda ve daha fazla uygulanmalıdır. Günümüzde bilinen saldırılara karşı ayrıcalıklı erişim korumalarınızı güçlendirin. Yarın güvenlik tehditleri için, maliyetleri yükseltmek ve ortamınızı hedefleyen duyuru başarı oranını azaltmak için güvenliği devam eden bir işlem olarak görüntülemeniz önerilir.

Ayrıcalıklı erişimin güvenliğini sağlamak, iş varlıklarınız için güvenlik hakkı sağlamak açısından önemlidir. Bununla birlikte, sürekli güvenlik kesintileri sağlayan bir bütün güvenlik programının parçası olmalıdır. Bu program şöyle bir öğe içermelidir:

  • İlke
  • Operations
  • Bilgi güvenliği
  • Sunucular
  • Uygulamalar
  • Bilgisayarlar
  • Cihazlar
  • Bulut dokusu

Ayrıcalıklı erişim hesaplarını yönetirken aşağıdaki yöntemleri öneririz:

  • Yöneticilerin, gündelik işleri ayrıcalıksız kullanıcılar olarak yaptığını doğrulayın
  • Yalnızca gerektiğinde ayrıcalıklı erişim verin ve daha sonra kaldırın (tam zamanında)
  • Ayrıcalıklı hesaplarla ilişkili denetim etkinlik günlüklerini sakla

Tüm güvenlik yol haritası oluşturma hakkında daha fazla bilgi için bkz. Microsoft Cloud It Architecture kaynakları. yol haritalarınızın herhangi bir bölümünü uygulamanıza yardımcı olmak üzere Microsoft hizmetleri ile birlikte çalışmak için Microsoft temsilcinize başvurun veya bkz. kuruluşunuzu korumak için derleme açısından kritik siber savunmaları.

Güvenli ayrıcalıklı erişim yol haritası 'nın bu son devam eden aşaması aşağıdaki bileşenleri içerir.

Genel hazırlık

Azure AD 'de yönetici rollerini gözden geçirme

Mevcut yerleşik Azure AD Yönetici rollerinin hala güncel olup olmadığını ve kullanıcıların yalnızca ihtiyaç duydukları rollerde bulunduğundan emin olun. Azure AD ile farklı işlevlere hizmeti sağlamak için ayrı yöneticiler atayabilirsiniz. Daha fazla bilgi için bkz. Azure AD yerleşik rolleri.

Azure AD 'ye katılmış cihazların yönetimine sahip kullanıcıları gözden geçirme

daha fazla bilgi için bkz. karma Azure Active Directory katılmış cihazları yapılandırma.

yerleşik Microsoft 365 yönetici rollerinin üyelerini gözden geçirme

Microsoft 365 kullanmıyorsanız bu adımı atlayın. ‎

Olay yanıtı planını doğrula

Planınızı geliştirmek için, Microsoft planınızın beklendiği gibi çalıştığını düzenli olarak doğrulamanızı önerir:

  • Eksik olanları görmek için mevcut yol eşlemenizi inceleyin
  • Postmordıtem analizine bağlı olarak, var olan veya yeni uygulamaları tanımla ' yı gözden geçirin
  • Güncelleştirilmiş olay yanıt planınız ve uygulamalarınızı kuruluşunuzun tamamında dağıttığınızdan emin olun

Azure 'a erişimi yöneten kuruluşlar için ek adımlar

Bir Azure aboneliğinin sahipliğini başka bir hesaba aktarmanızgerekip gerekmediğini belirleme. ‎

"Cam kesmesi": acil durum

Accounts for emergency break glass access

  1. Olay hakkında bilgi ile anahtar yöneticilerine ve güvenlik ofislere bildirim gönderin.

  2. Saldırı PlayBook 'unu gözden geçirin.

  3. Azure AD 'de oturum açmak için "cam" hesabı Kullanıcı adı ve parola birleşimine erişin.

  4. Azure destek isteği açarakMicrosoft 'tan yardım alın.

  5. Azure AD oturum açma raporlarınabakın. Oluşan bir olay ve rapora dahil edildiğinde bir süre olabilir.

  6. Karma ortamlarda, şirket içi altyapınız federe ve AD FS sunucunuz kullanılabilir değilse, geçici olarak, Federasyon kimlik doğrulamasından parola karma eşitlemesini kullanacak şekilde geçiş yapabilirsiniz. Bu anahtar, AD FS sunucusu kullanılabilir hale gelene kadar etki alanı federasyonunu yönetilen kimlik doğrulamasına geri döndürür.

  7. Ayrıcalıklı hesaplar için e-postayı izleyin.

  8. Olası bir ve yasal araştırma için ilgili günlüklerin yedeklerini kaydettiğinizden emin olun.

Microsoft Office 365 güvenlik olaylarını nasıl işleyeceğinden ilgili daha fazla bilgi için, bkz. Microsoft Office 365 güvenlik olay yönetimi.

SSS: ayrıcalıklı erişimi güvenli hale getirme yanıtları

S: Henüz bir güvenli erişim bileşeni uygulamadım, ne yapmam gerekiyor?

Cevap: En az iki adet kesme camı hesabı tanımlayın, ayrıcalıklı yönetici hesaplarınıza MFA atayın ve küresel yönetici hesaplarından Kullanıcı hesaplarını ayırın.

S: Bir ihlal sonrasında ilk olarak ilgilenilmesi gereken en önemli sorun nedir?

Cevap: Yüksek düzeyde kullanıma sunulan bireyler için en güçlü kimlik doğrulaması gerektirdiğinizden emin olun.

S: Ayrıcalıklı yöneticilerimiz devre dışı bırakılmışsa ne olur?

Cevap: Her zaman güncel tutulan bir genel yönetici hesabı oluşturun.

S: Yalnızca bir genel yönetici ayrıldıysa ve bunlara ulaşılamadığından ne olur?

Cevap: Acil erişim sağlamak için, kesme camı hesaplarından birini kullanın.

S: Kuruluşumdaki yöneticileri nasıl koruyabilirim?

Cevap: Yöneticilerin her zaman gündelik işletmelerini standart "ayrıcalıksız" kullanıcılar olarak yapması gerekir.

S: Azure AD 'de yönetici hesapları oluşturmak için en iyi uygulamalar nelerdir?

Cevap: Belirli yönetici görevleri için ayrıcalıklı erişim ayırın.

S: Kalıcı yönetici erişimini azaltmak için hangi araçlar var?

cevap: Privileged Identity Management (pım) ve Azure AD yönetici rolleri.

S: Yönetici hesaplarını Azure AD 'ye eşitlemeye ilişkin Microsoft konumu nedir?

Cevap: Katman 0 Yönetici hesapları yalnızca şirket içi AD hesapları için kullanılır. Bu tür hesaplar genellikle buluttaki Azure AD ile eşitlenmez. Katman 0 Yönetici hesapları, şirket içi Active Directory ormanı, etki alanları, etki alanı denetleyicileri ve varlıkların doğrudan veya dolaylı yönetim denetimine sahip hesapları, grupları ve diğer varlıkları içerir.

S: Yöneticilerin portalda rastgele yönetici erişimi atamasını nasıl sağlıyoruz?

Cevap: Tüm kullanıcılar ve yöneticiler için ayrıcalıklı olmayan hesaplar kullanın. Hangi sayıda yönetici hesabının ayrıcalıklı olacağını öğrenmek için kuruluşun bir parmak izini geliştirerek başlayın. Ve yeni oluşturulan yönetici kullanıcıları için izleyin.

Sonraki adımlar

Diğer Microsoft Çevrimiçi Hizmetleri

  • Microsoft Intune güvenliği – ıntune, buluttan mobil cihaz yönetimi, mobil uygulama yönetimi ve bilgisayar yönetimi özellikleri sağlar.

  • Microsoft dynamics 365 güvenliği – Dynamics 365, müşteri ilişkileri YÖNETIMI (CRM) ve kurumsal kaynak planlama (ERP) yeteneklerini birleştiren Microsoft bulut tabanlı çözümüdür.