Yönetim hesabı güvenliği

Yönetim, iş için gereken hizmet düzeylerini karşılamak için bilgi teknolojisi (BT) sistemlerini izleme, sürdürme ve çalıştırma yöntemidir. Bu görevlerin gerçekleştirilmesi, bu sistemlerin ve uygulamaların çok fazla geniş bir kümesine ayrıcalıklı erişim gerektirdiğinden, yönetim en yüksek etki alanı güvenlik risklerini tanıtır. Saldırganlar, yönetici ayrıcalıklarına sahip bir hesaba erişim elde etmeye, hedeflenecek verilerin çoğunu veya tümünü, en kritik güvenlik alanlarından birinin yönetimini sağlamak için onlara erişim kazandıklarını bilir.

Örnek olarak, Microsoft bulut sistemlerimiz ve BT sistemlerimizle ilgili yöneticiler ve eğitimlerden önemli yatırımları yapar:

Microsoft 'un yönetim ayrıcalıkları için önerilen temel strateji, riski azaltmak için kullanılabilir denetimleri kullanmaktır

Risk pozlamasını azaltma (kapsam ve saat): En az ayrıcalık ilkesi, isteğe bağlı ayrıcalıklar sağlayan modern denetimlerle gerçekleştirilir. Bu, yönetim ayrıcalıklarını pozlamayı kısıtlayarak riski sınırlamak için yardımcı olur:

• Kapsam:yalnızcayeterli erişim (Jea) , gereken yönetim işlemi için yalnızca gerekli ayrıcalıkları sağlar (ve tek seferde birçok sisteme veya tüm sistemlere doğrudan ve anında ayrıcalık sahibi olma, neredeyse hiçbir zaman gerekli).

• Zaman:tam zamanında (JIT) yaklaşımlar gerekli ayrıcalıklı olarak sağlanırlar.

• Kalan riskleri azaltır: En yaygın riskler kimlik avından ve genel Web 'den yönetici hesaplarını yalıtma, iş akışını basitleştirecek ve iyileştirerek, kimlik doğrulama kararlarını arttırmadan ve Engellenen veya araştırılan normal taban çizgisi davranışından anormallikleri belirleme gibi riskleri azaltmak için önleyici ve Detektif denetimlerin birleşimini kullanın.

Microsoft, ayrıcalıklı erişimi korumak için yönetim hesaplarını ve yayınlanmış öncelikli yol haritalarını korumaya yönelik en iyi uygulamaları yakalamış ve belgelenmiş olan hesapların azaltıcı etkenleri önceliklendirme için başvuru olarak kullanılabilecek.

• Şirket içi Active Directory yöneticileri için ayrıcalıklı erişim (SPA) yol haritasını güvenli hale getirme

• Azure Active Directory yöneticilerinin güvenliğini sağlamaya yönelik kılavuz

Kritik etki Yöneticisi sayısını en aza indirin

Kritik bir iş etkisi olan ayrıcalıkların en az sayıda hesaba izin verin

Her yönetici hesabı, bir saldırganın hedeflayabileceği olası saldırı yüzeyini temsil eder. bu nedenle, bu ayrıcalığa sahip hesapların sayısını en aza indirmek, genel kuruluş riskini sınırlamaya yardımcı olur. Deneyim, üyelik etkin bir şekilde sınırlı ve yönetilmiyorsa insanlar rolü değiştirdikçe, bu ayrıcalıklı grupların üyeliklerinin zaman içinde doğal olarak büyüdüğü bir deneyimdedir.

Bu saldırı yüzeyini azaltan bir yaklaşım önerirken, bir yöneticinin bir sorun oluşması durumunda iş sürekliliği sağlamaya devam ediyoruz:

• İş sürekliliği için ayrıcalıklı gruba en az iki hesap atayın

• İki veya daha fazla hesap gerektiğinde, özgün iki dahil olmak üzere her üye için gerekçe sağlayın

• &Her grup üyesi için üyelik gerekçe 'nı düzenli olarak gözden geçirin

Yöneticiler için yönetilen hesaplar

Kuruluş ilkesi zorlamayı izlemek için tüm kritik etki yöneticilerinin Kurumsal dizin tarafından yönetildiğinden emin olun.

@Hotmail. com, @live. com, @outlook. com gibi Microsoft hesapları gibi tüketici hesapları, kuruluşun ilkelerinin ve düzenleme gereksinimlerinin izlendiğinden emin olmak için yeterli güvenlik görünürlüğü ve denetimi sunmaz. Azure dağıtımları genellikle kurumsal olarak yönetilen kiracılar halinde büyümeden önce küçük ve resmi bir şekilde başladığından, bazı tüketici hesapları daha sonra yönetim hesapları olarak daha sonra, özgün Azure proje yöneticileri, görünmeyen noktalar ve olası riskler gibi kalır.

Yöneticiler için ayrı hesaplar

Tüm kritik etki yöneticilerinin yönetim görevleri için ayrı bir hesaba sahip olduğundan emin olun (e-posta, Web 'e göz atma ve diğer üretkenlik görevleri için kullandıkları hesap).

Kimlik avı ve Web tarayıcısı saldırıları, yönetim hesapları dahil olmak üzere hesapların güvenliğini sağlamak için en yaygın saldırı vektörlerinin temsil eder.

Kritik ayrıcalıklar gerektiren bir rolüne sahip tüm kullanıcılar için ayrı bir yönetim hesabı oluşturun. bu yönetim hesapları için Office 365 e-posta (lisansı kaldır) gibi üretkenlik araçlarını engelleyin. Mümkünse, yönetim görevleri için gereken Azure portal ve diğer sitelere göz atmak için özel durumlara izin verirken rastgele Web 'e gözatmayı engelleyin (proxy ve/veya uygulama denetimleriyle birlikte).

Hiç erişim yok/tam zamanında zaman ayrıcalıkları

Kritik etki hesapları için kalıcı "duran" erişimi sağlamaktan kaçının

Kalıcı ayrıcalıklar, bir saldırganın bir hesabı hasar yapması için kullanabileceği süreyi artırarak iş riskini artırır. Geçici ayrıcalıklar, bir hesabı hedef olarak yöneticinin hesabı zaten kullandığı sınırlı zamanlarda çalışmayı veya ayrıcalık yükseltme işlemini başlatmasını (ortamdan algılanmaları ve kaldırılma olasılığını artırır) sağlar.

Yalnızca aşağıdaki yöntemlerden birini kullanarak gerekli ayrıcalıkları verin:

• Tam zamanında: kritik etki hesapları için ayrıcalıkların elde edileceği bir onay iş akışının ardından Azure AD Privileged Identity Management (pım) veya üçüncü taraf çözümünü etkinleştirin

• Cam kes: Nadiren kullanılan hesaplar için, hesaplara erişim kazanmak üzere bir acil durum erişim sürecini izleyin. Bu, genel yönetici hesaplarının üyeleri gibi olağan çalışma kullanımı için çok az ihtiyacı olan ayrıcalıklar için tercih edilir.

Acil erişim veya ' kesme camı ' hesapları

Acil durum durumunda yönetim erişimi almak için bir mekanizmaya sahip olduğunuzdan emin olun

Nadir olarak, bazı durumlarda yönetim erişiminin tüm normal olduğu durumlar ortaya çıkar.

Azure AD 'de acil durum erişimi yönetim hesaplarını yönetme yönergelerindeki yönergeleri takip etmenizi ve güvenlik işlemlerinin bu hesapları dikkatle izlemesini sağlamaktır.

Yönetici iş istasyonu güvenliği

Kritik etki yöneticilerinin yükseltilmiş güvenlik koruması ve izleme özellikli bir iş istasyonu kullandığından emin olun

Kimlik avı gibi göz atma ve e-posta kullanan saldırı vektörleri, Geap ve yaygındır. Kritik etki yöneticilerini bu risklerden yalıtmak önemli bir olay riskini önemli ölçüde düşürür ve bu hesaplardan birinin tehlikeye girdiği ve işletmenize veya işinize zarar vermek için kullanıldığı önemli bir olaydır.

Yönetim iş istasyonu güvenlik düzeyini şurada bulunan seçeneklere göre seçin: https://aka.ms/securedworkstation

• Yüksek oranda güvenli üretkenlik cihazı (Gelişmiş güvenlik Iş Istasyonu veya özel Iş Istasyonu)
  Bu güvenlik yolculuğunu, genel göz atma ve üretkenlik görevlerine hala izin veren daha yüksek bir güvenlik iş istasyonu sunarak kritik etki yöneticileri için başlatabilirsiniz. Bunu bir geçici adım olarak kullanmak, hem kritik etki yöneticileri hem de bu kullanıcıları ve iş istasyonlarını destekleyen BT personeli için tamamen yalıtılmış iş istasyonlarına geçiş kolaylığı sağlar.

• Ayrıcalıklı erişim Iş Istasyonu (özel Iş Istasyonu veya güvenli Iş Istasyonu)
  Bu yapılandırma, kimlik avına, tarayıcıya ve üretkenlik uygulama saldırıları vektörlerine erişimi çok fazla kısıtlayarak kritik etki yöneticileri için ideal güvenlik durumunu temsil eder. Bu iş istasyonları, genel İnternet 'e gözatmaya izin vermez, yalnızca Azure portal ve diğer yönetim sitelerine erişim izni verir.

Kritik etki Yöneticisi bağımlılıkları – hesap/Iş Istasyonu

Kritik etki hesapları ve iş istasyonları için şirket içi güvenlik bağımlılıklarını dikkatle seçin

Bulut varlıklarından önemli bir uzlaşma olması için büyük bir olaydan oluşan şirket içi bir karşı üzerinden yapılan bir riski içermesi için, şirket içi kaynaklarda bulunan denetim, buluttaki kritik etki hesaplarına sahip olan denetim araçlarını ortadan kaldırmanız veya en aza indirmenize gerekir. Örnek olarak, şirket içi Active Directory tehlikeye alan saldırganlar Azure, Amazon Web Services (AWS), ServiceNow vb. gibi hesaplara bağlı bulut tabanlı varlıklara erişebilir ve bunları tehlikeye atabilir. Saldırganlar, şirket içi etki alanlarına katılmış iş istasyonlarını, bunlardan yönetilen hesap ve hizmetlere erişim kazanmak için de kullanabilir.

Şirket içi yalıtım düzeyini, kritik etki hesapları için güvenlik bağımlılıkları olarak da bilinen denetim aracılığıyla seçin

• Kullanıcı hesapları: Kritik etki hesaplarının nerede barındırılacağını seçin

  • Yerel Azure AD hesapları-* şirket içi Active Directory ile eşitlenmemiş yerel Azure AD hesapları oluşturma

  • Şirket Içi Active Directory eşitlemesi

  • Şirket içi Active Directory 'de barındırılan mevcut hesapları kullanın.

• Iş istasyonları: Kritik yönetici hesapları tarafından kullanılan iş istasyonlarını nasıl yöneteceğini ve güvenli hale getirmek istediğinizi seçin:

  • Yerel bulut yönetimi ve güvenliği (önerilir): Azure AD iş istasyonlarını & Intune veya diğer bulut hizmetleriyle birleştirin/yama yapın. uç nokta veya şirket içi tabanlı hesaplarda yönetilmeyen başka bir bulut hizmeti Windows Microsoft Defender ile koruyun ve izleyin.

  • Mevcut sistemlerle yönetme: var olan AD etki alanını birleştirin ve var olan yönetimi/güvenliği kullanın.

Yöneticiler için passwordless veya çok faktörlü kimlik doğrulaması

Tüm kritik etki yöneticilerinin parolasız kimlik doğrulama veya çok faktörlü kimlik doğrulaması (MFA) kullanmasını gerektir.

Saldırı yöntemleri, parolaların yalnızca bir hesabı güvenilir bir şekilde koruyamadığı noktaya sahiptir. Bu, Microsoft Ignite oturumunda da belgelenmiştir.

Yönetim hesapları ve tüm kritik hesaplar aşağıdaki kimlik doğrulama yöntemlerinden birini kullanmalıdır. Bu yetenekler en yüksek maliyet/zorlukla (en güçlü/tercih edilen seçenekler) en düşük maliyet/güç saldırılarına karşı tercih sırasına göre listelenmiştir:

• Passwordless (Windows Hello gibi)

• passwordless (Authenticator uygulaması)

• Çok faktörlü kimlik doğrulaması

SMS metin Iletisi tabanlı MFA 'nın saldırganların atlaması çok pahalı hale geldiğini, bu nedenle buna bağlı kalmaktan kaçınılmasını öneririz. Bu seçenek yalnızca parolalardan daha güçlüdür, ancak diğer MFA seçeneklerinden çok daha zayıf

Yöneticiler için koşullu erişimi zorlama-sıfır güven

Tüm Yöneticiler ve diğer kritik etki hesapları için kimlik doğrulaması, sıfır güven stratejisini desteklemek için anahtar güvenlik özniteliklerinin ölçümünü ve uygulanmasını içermelidir.

Azure yönetici hesaplarıyla ödün verebilecek saldırganlar önemli ölçüde soruna neden olabilir. Koşullu erişim, Azure yönetimine erişim izni vermeden önce güvenlik durumu zorlayarak bu riski önemli ölçüde azaltabilir.

Kuruluşunuzun risk uygulama ve işletimsel ihtiyaçlarını karşılayan Azure yönetimi Için koşullu erişim ilkesini yapılandırın.

• Belirlenen iş ağından çok faktörlü kimlik doğrulaması ve/veya bağlantı gerektir

• Uç nokta Için Microsoft Defender Ile cihaz bütünlüğü iste (güçlü güvence)

Parçalı ve özel izinlerden kaçının

Özel olarak tek tek kaynaklara veya kullanıcılara başvuran izinlerden kaçının

Belirli izinler, yeni benzer kaynaklara yönelik amaç taşımayan gereksiz karmaşıklık ve karışıklık oluşturur. Bu daha sonra, "bir şey bozmadan" bir veya daha fazla güvenlik ve çözüm çevikliğini olumsuz şekilde etkileyen karmaşık bir eski yapılandırmaya toplanır.

Belirli kaynağa özgü izinleri atamak yerine, şunlardan birini kullanın

• Kurumsal çapta izinler için Yönetim Grupları

• Abonelikler içindeki izinler için kaynak grupları

Belirli kullanıcılara izin vermek yerine, Azure AD 'de gruplara erişim atayın. Uygun bir grup yoksa, kimlik ekibine bir tane oluşturmak için çalışın. Bu, grup üyelerini Azure 'a dışarıdan eklemenize ve kaldırmanıza olanak tanır ve izinlerin güncel olduğundan, ayrıca grubun posta listeleri gibi diğer amaçlar için kullanılmasına izin vermiş olursunuz.

Yerleşik roller kullanın

Mümkün olduğunda izin atamak için yerleşik roller kullanın.

Özelleştirme karışıklıkları artıran karmaşıklığa yol açar ve Otomasyonu daha karmaşık, zorlu ve kırılacak hale getirir. Bu faktörler olumsuz etkiler güvenlik

Çoğu normal senaryoyu kapsayacak şekilde tasarlanan yerleşik rolleri değerlendirmenizi öneririz. Özel roller güçlü ve bazen yararlı bir yetenektir, ancak yerleşik roller çalışmazsa bu durumlar için ayrılmaları gerekir.

Kritik etki hesapları için yaşam döngüsü yönetimi oluşturma

Yönetici personeli kuruluştan ayrıldığınızda (veya yönetim konumları bıraktığınızda) yönetim hesaplarını devre dışı bırakma veya silme sürecinizin olduğundan emin olun

Daha fazla ayrıntı için bkz. kritik erişimi düzenli olarak gözden geçirme .

Kritik etki hesapları için saldırı simülasyonu

Mevcut saldırı teknikleriyle yönetici kullanıcılara karşı saldırıları düzenli olarak taklit ederek bunları eğitmenize ve güçlendirin.

İnsanlar, savunmanızı, özellikle de kritik etki hesaplarına erişimi olan personelinizin önemli bir parçasıdır. Bu kullanıcıların (ve ideal olarak tüm kullanıcıların), kaçınmaya yönelik bilgilere ve becerisine sahip olmasını sağlamak, genel kurumsal riskinizi azaltır.

Office 365 saldırı benzetimi özelliklerini veya bazı üçüncü taraf tekliflerini kullanabilirsiniz.