Yönetim

Yönetim, işletmenin gerektirdiği hizmet düzeylerini karşılamak için Bilgi Teknolojisi (IT) sistemlerini izleme, koruma ve çalıştırma uygulamasıdır. Yönetim, en yüksek etkiyi olan güvenlik risklerinin bazılarına giriş sağlar, çünkü bu görevleri gerçekleştirmek için bu sistem ve uygulamalarda çok geniş bir kümeye ayrıcalıklı erişim gerekir. Saldırganlar, yönetici ayrıcalıklarına sahip bir hesaba erişim elde etmek için hedefleyecekleri verilerin çoğuna veya tamamlarına erişim elde olduklarını biliyor ve yönetimin güvenliğini en kritik güvenlik alanlarından biri yapıyor.

Örneğin, Microsoft bulut sistemlerimiz ve IT sistemlerimiz için yöneticilerin korunması ve eğitimi için önemli yatırımlar yapar:

Microsoft'un yönetim ayrıcalıkları için önerilen temel strateji, riski azaltmak için kullanılabilir denetimleri kullanmaktır

Risk maruz kalma süresini (kapsam ve süre) azaltma – En az ayrıcalık ilkesi, isteğe bağlı ayrıcalıklar sağlayan modern denetimlerle gerçektir. Bu yardım, yönetim ayrıcalıklarına maruz kalmak için şunları sınırlaarak riski sınırlamaya yardımcı olur:

• Kapsam – Yalnızca Yeterli Erişim (JEA) yalnızca gereken yönetim işlemi için gereken ayrıcalıkları sağlar (buna karşılık, neredeyse hiç gerek kalmadan birçok sistem için veya tüm sistemlerde doğrudan ve acil ayrıcalıklar sağlar).

• Zaman – Tam Zamanında (JIT) yaklaşımlar gerektiğinde gerekli ayrıcalıkları sağlar.

• Kalan riskleri azaltma – Yönetici hesaplarını kimlik avından ve genel web'de gezinmeden uzak tutarken, iş akışlarını basitleştirip iyileştirmeye, kimlik doğrulama kararlarının güvencesini artırmaya ve engellenebilir ya da incelenebilir normal temel davranışından daha iyi hale getirme gibi riskleri azaltmak için önlem ve açık denetimlerinden bir birleşimi kullanın.

Microsoft, yönetim hesaplarını korumak için en iyi uygulamaları yakaladığını ve belgelemektedir. Ayrıca erişime sahip olan hesaplarda risk azaltmaları önceliklendirmek için başvuru olarak kullanılmaktadır.

• Şirket içi Active Directory yöneticileri için Privileged Access (SPA) yol haritasının güvenliğini sağlama

• Etki alanı yöneticilerinin güvenliğini sağlama Azure Active Directory

Yöneticilerin üzerindeki kritik etkiyi en aza indirme

İşletmeyi kritik bir etki etkileyebilir ayrıcalıklara en az sayıda hesabı verir

Her yönetici hesabı, bir saldırganın hedefleyebiliyor olduğu olası saldırı yüzeyini temsil eder, bu nedenle bu ayrıcalıkla hesap sayısını en aza indirmek, genel kurumsal riski sınırlamaya yardımcı olur. Deneyim, kişilerin üyelikleri etkin bir şekilde sınırlı ve yönetilmiyorsa, kişilerin rolleri değiştikçe bu ayrıcalıklı grupların üyeliğinin zaman içinde doğal bir şekilde art artmaktadır.

Bir yöneticinin başına bir şey olması durumunda iş sürekliliğini sağlarken bu saldırı alanı riskini azaltan bir yaklaşım öneririz:

• İş sürekliliği için ayrıcalıklı gruba en az iki hesap atama

• İki veya daha fazla hesap gerektiğinde, her üye için özgün ikisi dahil olmak üzere gerekçe sağlar

• Her grup üyesi için & üyelik gerekçelerini düzenli aralıklarla gözden geçirme

Yöneticiler için yönetilen hesaplar

Kuruluş ilkesi zorlamasını takip etmek için, yöneticiler üzerindeki tüm kritik etkinin kurumsal dizin tarafından yönetil olduğundan emin olun.

@Hotmail.com, @live.com, @outlook.com gibi Microsoft hesapları gibi tüketici hesapları, kuruluşun ilkelerini ve yasal düzenleme gereksinimlerini takip etmek için yeterli güvenlik görünürlüğü ve denetim sunmz. Azure dağıtımları kuruluş tarafından yönetilen kiracılara dönüşmeden önce çoğunlukla küçük ve gayriresmî olarak başlatılacağı için, bazı tüketici hesapları bundan sonra örneğin özgün Azure proje yöneticileri, görme engelli noktalar ve olası riskler oluşturma gibi uzun süre yönetim hesapları olarak kalır.

Yöneticiler için ayrı hesaplar

Yöneticilerin, yönetim görevleri (e-posta, web'e gözatma ve diğer üretkenlik görevleri için kullanmakta olduğu hesap yerine) ayrı bir hesaba sahip olmasını tüm kritik öneme sahip olduğundan emin olun.

Kimlik avı ve web tarayıcısı saldırıları, yönetim hesapları dahil olmak üzere hesapları tehlikeye atılacak en yaygın saldırı vektörlerini temsil ediyor.

Kritik ayrıcalıklar gerektiren bir role sahip tüm kullanıcılar için ayrı bir yönetim hesabı oluşturun. Bu yönetim hesapları için, e-posta gönderme (lisansı Office 365) gibi üretkenlik araçlarını engelin. Mümkünse, rastgele web'e gözatmanızı engelin (proxy ve/veya uygulama denetimleriyle), Azure portalına ve yönetim görevleri için gereken diğer sitelere göz atma özel durumlarına izin verme.

Ayakta erişim yok / Yalnızca Zaman ayrıcalıklarıyla

Hesapları kritik öneme sahip hesaplar için kalıcı "ayakta" erişim sağlamaktan kaçının

Kalıcı ayrıcalıklar, bir saldırganin hesabı kullanarak zarar verdiği süreyi artırarak iş riskini artıracaktır. Geçici ayrıcalıklar, bir hesabı hedef alan saldırganları, yöneticinin hesabı zaten kullanıyor olduğu sınırlı süre içinde veya ayrıcalık yükseltmesi başlatmak için zorlar (bu da, algılanma ve ortamdan kaldırılması ihtimalini artırır).

Yalnızca şu yöntemlerden birini kullanarak gerekli ayrıcalıklar ver:

• Tam Zamanında - Kritik etki Privileged Identity Management ayrıcalıklarını almak için onay iş akışını takip etmek için Azure AD Privileged Identity Management'yi (PIM) veya üçüncü taraf bir çözümü etkinleştirme

• Kesme cam – Nadiren kullanılan hesaplar için, hesaplara erişim kazanmak için bir acil durum erişim işlemi izleyin. Bu tercih, genel yönetici hesaplarının üyeleri gibi normal işlem kullanımları çok az olan ayrıcalıklar için tercih edilir.

Acil durum erişimi veya 'Break Glass' hesapları

Acil bir durumda yönetim erişimi elde etmek için bir mekanizmaya sahip olmak

Nadir de olsa, bazen aşırı koşullar yönetim erişiminin normal tüm açıkları kullanılamasa da ortaya çıkar.

Azure AD'de acil durum erişimi yönetim hesaplarını yönetme ve güvenlik işlemlerinin bu hesapları dikkatle izlemesi konusunda verilen yönergeleri izlemenizi öneririz.

Yönetici iş istasyonu güvenliği

Yöneticilerin yükseltilmiş güvenlik korumaları ve izleme ile iş istasyonu kullanmalarının kritik etkiyi sağlar

Kimlik avı gibi tarama ve e-posta kullanan saldırı vektörleri ucuzdur ve yaygındır. Yöneticilerin bu risklerden etkilenmesi, bu hesaplardan birinin tehlikeye atılmış olduğu ve işletmenize veya görevinize ciddi zararlar verdiği için önemli bir olay riskini önemli ölçüde azaltır.

Şu ağdan edinebilecek seçeneklere bağlı olarak yönetici iş istasyonu güvenliğinin düzeyini seçin: https://aka.ms/securedworkstation

• Yüksek Güvenlikli Üretkenlik Cihazı (Gelişmiş Güvenlik İş Istasyonu veya Özel İş Istasyonu)
  Yöneticilere genel göz atma ve üretkenlik görevlerine izin veren daha yüksek bir güvenlik iş istasyonu sağlayarak, bu güvenlik yolculuğuna başlayabilirsiniz. Bunu geçici bir adım olarak kullanmak hem kritik etki alanı yöneticileri hem de bu kullanıcıları ve onların iş istasyonlarını destekleyen IT personeli için tamamen yalıtılmış iş istasyonlarına geçişi kolaylaştırmanıza yardımcı olur.

• Ayrıcalıklı Erişim İş Istasyonu (Özel İş Istasyonu veya Güvenlikli İş Istasyonu)
  Kimlik avı, tarayıcı ve üretkenlik uygulaması saldırı vektörlerine erişimi büyük ölçüde kısıtlayalı bu yapılandırmalar yöneticileri kritik öneme sahip bir güvenlik durumu temsil eder. Bu iş istasyonları genel İnternet'e gözatma izni vermez, yalnızca Azure portalına ve diğer yönetim sitelerine tarayıcı erişimine izin eder.

Yönetici bağımlılıklarını kritik olarak etkileyen – Hesap/İş Istasyonu

Kritik etki hesapları ve iş istasyonları için şirket içi güvenlik bağımlılıklarını dikkatle seçin

Bulut varlıklarının büyük bir tehlikeye atılarak şirket içi büyük bir olayın riskini almak için, şirket içi kaynakların hesapları bulutta kritik olarak etkilemesi için gereken denetim kaynaklarını ortadan kaldırmanız veya en aza indirmesi gerekir. Örnek olarak, şirket içi Active Directory'yi tehlikeye atan saldırganlar, Azure, Amazon Web Services (AWS), ServiceNow gibi kaynaklar gibi bu hesapları temel alan bulut tabanlı varlıklara erişimlerini tehlikeye atarak bu hesaplara güvenlerini tehlikeye atabilirsiniz. Ayrıca saldırganlar bu şirket içi etki alanlarına katılmış iş istasyonlarını kullanarak, onlar tarafından yönetilen hesaplara ve hizmetlere erişim elde eder.

Kritik etki hesapları için güvenlik bağımlılıkları olarak da bilinen şirket içi denetim yollarından yalıtım düzeyini seçme

• Kullanıcı Hesapları – Kritik etki hesaplarının barındır yer olduğunu seçme

  • Yerel Azure AD Hesapları -*Şirket içi Active Directory ile eşitlen zamanlanmaz olan Yerel Azure AD Hesapları Oluştur

  • Şirket İçi Active Directory'den eşitleme (Önerilmez bkz. Şirket içi yönetici hesaplarını bulut kimlik sağlayıcılarıyla eşitleme )- Şirket içi Active Directory'debarındırılan mevcut hesaplardan faydalanın.

• İş istasyonları – Kritik yönetici hesapları tarafından kullanılan iş istasyonularını nasıl yönetecek ve güvenlik altına a yöneteceksiniz:

  • Yerel Bulut Yönetimi Güvenliği (Önerilen) - İş istasyonlarını Azure AD'ye katılın Intune veya diğer bulut hizmetleriyle iş istasyonu && yönetme/düzeltme eki uygulama. Microsoft Defender ATP Windows şirket içi hesaplar tarafından yönetil yönetilen başka bir bulut hizmeti ile Koruma ve İzleme.

  • Varolan Sistemlerle Yönet - Mevcut AD etki alanını & birleştirme, mevcut yönetim/güvenliklerden faydalanın.

Bu durum, şirket içi yönetici hesaplarını bulut kimlik sağlayıcılarıyla bulut kimlik sağlayıcılarıyla eşitleme konusunda yer alan ve bulut varlıklarından şirket içi varlıklara özetlenme riskini azaltan yönetim bölümündeki bulut kimlik sağlayıcıları kılavuzuyla ilgilidir.

Parolasız Veya yöneticiler için çok faktörlü kimlik doğrulaması

Yöneticilerin parolasız kimlik doğrulamasını veya çok faktörlü kimlik doğrulamasını (MFA) kullanmaları, yöneticilerin üzerindeki tüm kritik etkiyi gerektirir.

Saldırı yöntemleri, tek başına parolaların bir hesabı güvenilir bir şekilde koruyamama noktasına dönüşerek yerini aldı. Bu, Microsoft Ignite Oturumunda iyi belgelenmiştir.

Yönetim hesapları ve tüm kritik hesaplar aşağıdaki kimlik doğrulama yöntemlerinden birini kullan açıklamalı. Bu özellikler, en yüksek maliyete/saldırı güçluğuna (en güçlü/tercih edilen seçenekler) düşük maliyete/saldırı güçlerine göre tercih sırasına göre listelenir:

• Parolasız (örneğin, Windows Hello)
  https://aka.ms/HelloForBusiness

• Parolasız (Authenticator Uygulaması)
  https://docs.microsoft.com/azure/active-directory/authentication/howto-authentication-phone-sign-in

• Multifactor Authentication
  https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-userstates

MFA tabanlı SMS Mesajı, saldırganların atlamaları için çok ucuz olduğunu unutmayın, bu yüzden ona güvenmekten kaçınmanızı öneririz. Bu seçenek tek başına parolalardan daha güçlü ancak diğer MFA seçeneklerinden çok daha zayıftır

Yöneticiler için koşullu erişimi zorunlu – Sıfır Güven

Tüm yöneticiler ve diğer kritik etki hesapları için kimlik doğrulaması, Sıfır Güven stratejisini desteklemek için temel güvenlik özniteliklerinin ölçü ve zorlamasını içermeli.

Azure Yönetici hesaplarından ödün veren saldırganlar önemli ölçüde zarar verebilir. Koşullu Erişim, Azure yönetimine erişime izin vermeden önce güvenliklerini zorlayarak bu riski önemli ölçüde azaltır.

Azure yönetimi için, kuruluş risklere ve faaliyet ihtiyaçlarına uygun koşullu Erişim ilkesi yapılandırabilirsiniz.

• Çok Faktörlü Kimlik Doğrulaması ve/veya belirlenen iş ağına bağlantı gerektirme

• Microsoft Defender ATP ile Cihaz bütünlüğünü gerektirme (Güçlü Güvence)

Ayrıntılı izinlerden ve özel izinlerden kaçının

Tek tek kaynaklara veya kullanıcılara özel olarak başvurulan izinlerden kaçının

Belirli izinler, yeni benzer kaynaklara yönelik bir hedef taşımazken, gereksiz karmaşıklık ve karışıklığa neden olur. Bu da "bir şeyi kesme" endişesi olmadan bakımlarını veya değişmelerini zorlaştırarak hem güvenlik hem de çözüm çevikliklerini olumsuz etkileyen karmaşık bir eski yapılandırmayı kullanır.

Kaynağa özgü izinler atamak yerine

• Kuruluş genelinde izinler için Yönetim Grupları

• Abonelikler içindeki izinler için kaynak grupları

Belirli kullanıcılara izin vermek yerine, Azure AD'deki gruplara erişim attayın. Uygun bir grup yoksa, kimlik ekibiyle birlikte çalışarak bir grup oluşturun. Bu sayede Azure'a dışında grup üyeleri ekleyebilir ve kaldırabilir ve izinlerin geçerli olduğundan emin olurken, grubun posta listeleri gibi diğer amaçlar için de kullanılmalarına izin ve verir.

Yerleşik rolleri kullanma

Mümkün olan her yerde izinleri atamak için yerleşik roller kullanın.

Özelleştirme karışıklığı artırır ve otomasyonu daha karmaşık, zor ve zor hale getirir. Bu etmenlerin hepsi güvenliği olumsuz etkiler

Normal senaryoların çoğunu kapsayacak şekilde tasarlanmış yerleşik rolleri değerlendirmenizi öneririz. Özel roller güçlü ve bazen de kullanışlı bir özelliktir, ancak yerleşik roller işe yaramay olduğunda durumlar için özel olarak rezerve edilmiş olması gerekir.

Kritik etki hesapları için yaşam döngüsü yönetimi kurma

Yönetici personeli kuruluşa geldiğinde (veya yönetim konumundan ayrılarak) yönetim hesaplarını devre dışı bırakma veya silme süreciniz olduğundan emin olun

Daha fazla bilgi için bkz. Kritik erişimi düzenli aralıklarla gözden geçirme.

Kritik etki hesapları için saldırı benzetimi

Mevcut saldırı teknikleri ile bunları eğitmek ve güçlendirmek için, yönetimli kullanıcılara karşı saldırıları düzenli aralıklarla benzetin.

İnsanlar, özellikle de kritik etki hesaplarına erişimi olan personeliniz, savunmanın önemli bir parçası. Bu kullanıcıların (ve ideal olarak tüm kullanıcıların) saldırılardan kaçınmak için gerekli bilgi ve becerilere sahip olmasını sağlamak, genel kurumsal risklerinizi azaltır.

Saldırı Benzetimi Office 365 veya herhangi bir sayıda üçüncü taraf teklifi kullanabilirsiniz.

Sonraki adımlar

Microsoft'tan ek güvenlik kılavuzu için Microsoft güvenlik belgelerine bakın.