Ayrıcalıklı erişim: Hesaplar

  • Makale
  • Okumak için 4 dakika

Hesap güvenliği, ayrıcalıklı erişimin güvenliğini sağlamanın kritik bir bileşenidir. Oturumlarda Sıfır Güveni Sıfırdan Sona Kadar güvenliği için, oturumda kullanılan hesabın aslında bir saldırgan gibi kimliğine bürünen bir kullanıcı değil, gerçek insan sahibinin denetiminde olması gerekir.

Güçlü hesap güvenliği, yeniden sağlama yoluyla güvenli sağlama ve tam yaşam döngüsü yönetimiyle başlar ve her oturumun geçmiş davranış düzenleri, kullanılabilir tehdit zekası ve geçerli oturumda kullanım dahil olmak üzere mevcut tüm verilere dayalı olarak hesabın şu anda güvenliğinin ihlal edilmiş olmadığını güvence altına alamaları gerekir.

Hesap güvenliği

Bu kılavuz, farklı duyarlılık düzeylerine sahip varlıklar için kullanabileceğiniz hesap güvenliği için üç güvenlik düzeyi tanımlar:

Hesapları sona kadar koruma

Bu düzeyler, roller ataydığınız ve hızlı şekilde ölçeklendiril bütün olarak ölçeklendiriliş her duyarlılık düzeyine uygun açık ve uygulanabilir güvenlik profilleri sağlar. Bu hesap güvenlik düzeylerinin hepsi, kullanıcı ve yönetici iş akışlarının kesintisini sınırleyerek veya ortadan kaldırarak kişilerin üretkenliğini korumak veya geliştirmek için tasarlanmıştır.

Hesap güvenliğini planlama

Bu kılavuzda, her düzeyi karşılamanız için gereken teknik denetimler özetlemektedir. Uygulama kılavuzu, ayrıca erişim yol haritasında yer aldı.

Hesap güvenlik denetimleri

Arabirimlerin güvenliği sağlanıyorsa, hem hesapları koruyan hem de Sıfır Güven ilke kararına kullanılacak sinyaller sağlayan teknik denetimlerin bir bileşimi gerekir (ilke yapılandırma başvurusu için bkz. Arabirimlerin güvenliğini sağlama).

Bu profillerde kullanılan denetimler şunlardır:

  • Çok faktörlü kimlik doğrulaması- çeşitli kanıt kaynakları sağlar (kullanıcılar için mümkün olduğunca kolay ama karşıt bir taklit etmek için zor olacak şekilde tasarlanmıştır).
  • Hesap riski - Tehdit ve Anormal İzleme - riskli senaryoları belirlemek için UEBA ve Tehdit zekası kullanma
  • Özel izleme - Daha hassas hesaplar için izin verilen/kabul edilen davranışların/desenlerin açıkça tanımlanması, anormal etkinliklerin erken algılanmasına olanak verir. Bu denetim, kurumsal hesaplar için genel amaçlı hesaplar için uygun değildir, çünkü bu hesapların rolleri için esneklik gerekir.

Denetimlerin birleşimi, hem güvenliği hem de kullanılabilirliği geliştirmenizi sağlar. Örneğin normal düzeni içinde kalarak (aynı cihazı gün sonra aynı cihazı kullanarak) her kimlik doğrulamasında dış MFA'dan istenebilir.

Her hesap katman ve maliyet avantajını karşılaştırma

Enterprise hesaplarınız

Kurumsal hesapların güvenlik denetimleri, tüm kullanıcılar için güvenli bir taban çizgisi oluşturmak ve özel ve ayrıcalıklı güvenlik için güvenli bir temel sağlamak üzere tasarlanmıştır:

  • Güçlü çok faktörlü kimlik doğrulamasını (MFA) zorunlu– Kurumsal yönetilen bir kimlik sistemi tarafından sağlanan güçlü MFA ile kullanıcının kimliğinin doğrulanmış olduğundan emin olun (aşağıdaki diyagramda ayrıntılı olarak açıklanmıştır). Çok faktörlü kimlik doğrulaması hakkında daha fazla bilgi için bkz. Azure güvenlik için en iyi yöntem 6.

    Not

    Organizasyonunız geçiş döneminde kötü MFA'nın mevcut en zayıf biçimlerinden birini kullanmayı seçebilir ama saldırganlar giderek zayıf MFA korumalarını kullanımdan atlar, dolayısıyla MFA'ya yapılan tüm yeni yatırımlar en güçlü biçimlerde olur.

  • Hesap/oturum riskini zorunlu– Düşük (veya orta ölçekli) olmadıkça hesabın kimliğini doğrulayamay olduğundan emin olun risk düzeyine göredir. Koşullu kurumsal hesap güvenliğiyle ilgili ayrıntılar için bkz. Arabirim Güvenlik Düzeyleri.

  • Uyarıları izleme ve yanıtlama - Güvenlik işlemleri hesap güvenliği uyarılarını tümleştir olmalı ve bu protokollerin ve sistemlerin bir uyarının ne anlama geldiğini hızlı bir şekilde anlayan ve buna uygun olarak ifade etmek için nasıl yeterli eğitime sahip olduklarını sağlayacaktır.

Aşağıdaki diyagram, farklı MFA ve parolasız kimlik doğrulama biçimlerinin karşılaştırmasını sağlar. En iyi kutuyla birlikte gelen her seçenek hem yüksek güvenlik hem de yüksek kullanılabilirlik olarak kabul edilir. Her biri farklı donanım gereksinimlerine sahiptir, bu nedenle hangilerinin farklı rollere veya kişilere uygulanıp hangilerinin geçerli olduğunu karma yapmak ve eşleşmek istiyor olabilirsiniz. Tüm Microsoft parolasız çözümleri Koşullu Erişim tarafından çok faktörlü kimlik doğrulaması olarak tanınır, çünkü sahip olduklarınız biyometrik bir şeye, bildiğiniz bir şeye veya her iki yöntemine de ihtiyaç vardır.

Kimlik doğrulama yöntemlerinin iyi, daha iyi ve en iyi karşılaştırması

Not

SMS ve diğer telefon tabanlı kimlik doğrulamanın neden sınırlı olduğu hakkında daha fazla bilgi için, Kimlik Doğrulaması için Aktarımlarda Telefon Zamanı blog gönderisi'ne bakın.

Özel hesaplar

Özel hesaplar, hassas kullanıcılar için daha yüksek bir koruma düzeyine uygundur. İş üzerindeki etkisi daha yüksek olduğundan, özel hesaplar güvenlik uyarıları, olay soruşturmaları ve tehdit avı sırasında ek izleme ve öncelik belirleme garantisini sağlar.

En hassas hesapları tanımarak ve uyarılarla yanıt işlemlerinin önceliklerini belirleyerek, kurumsal güvenlik konusunda güçlü MFA'nın özel güvenlik derlemeleri:

  1. Hassas Hesapları Tanımlama - Bu hesapları tanımlamak için özel güvenlik düzeyi kılavuzuna bakın.
  2. Etiket Özel Hesapları - Her hassas hesabın etiketlenmiş olduğundan emin olun
    1. Bu hassas hesapları tanımlamak için Microsoft Sentinel Watchlists'i yapılandırma
    2. Microsoft Defender'da Öncelik Hesap Koruması'Office 365, özel ve ayrıcalıklı hesapları öncelik hesapları olarak atama -
  3. Güncelleştirme Güvenlik İşlemleri işlemleri - Bu uyarıların en yüksek önceliğe sahip olmasını sağlamak için
  4. Yönetim'i ayarlama - Bu güvenliği sağlamak için yönetim sürecini güncelleştirin veya oluşturun
    1. Oluşturulan veya değiştirilen özel ya da ayrıcalıklı sınıflandırmalar için değerlendirilecek tüm yeni roller
    2. Tüm yeni hesaplar oluşturulduklarından etiketlenir
    3. Rollerin ve hesapların normal yönetim süreçleri tarafından kaçırılamaması için sürekli veya düzenli aralıklarla şerit denetimleri.

Ayrıcalıklı hesaplar

Ayrıcalıklı hesaplar en yüksek koruma düzeyine sahiptir, çünkü güvenliği ihlal edildiyse kuruluşun işlemleri üzerinde önemli veya malzeme olası etkisini temsil ediyordur.

Ayrıcalıklı hesaplar her zaman, çoğu ya da tüm iş kritik sistemleri de dahil olmak üzere çoğu veya tüm kurumsal sistemlere erişimi olan IT Yöneticilerini içerir. İşletmenin büyük bir etkisi olan diğer hesaplar da bu ek koruma düzeyini garanti ediyor olabilir. Hangi roller ve hesapların hangi düzeyde korunması gerektiği hakkında daha fazla bilgi için Ayrıcalıklı Güvenlik makalesine bakın.

Özel güvenlik yanı sıra, ayrıcalıklı hesap güvenliği de artar:

  • Engelleme - Bu hesapların kullanımını belirlenen cihazlar, iş istasyonları ve aracılarla kısıtlamak için denetimler ekleyin.
  • Yanıt - Bu hesapları anormal etkinlikler için çok yakından izleyin ve riski hemen araştırın ve düzeltmek için.

Ayrıcalıklı hesap güvenliğini yapılandırma

Hem ayrıcalıklı hesaplarınızı güvenliğini artırmak hem de yönetmek için maliyetinizi azaltmak için Güvenlik hızlı modernleştirme planında yer alan yönergeleri izleyin.

Sonraki adımlar