五個保護身分識別基礎結構的步驟

  • 發行項

如果您正在閱讀這份檔,您就會知道安全性的意義。 您可能已經承擔保護組織的責任。 如果您需要說服其他人安全性的重要性,請傳送他們閱讀最新的 Microsoft 數位防禦報告

本文件將協助您使用 Microsoft Entra ID 的功能取得更安全的狀態,方法是使用五個步驟的檢查清單來改善貴組織的防範網路攻擊。

此檢查清單將協助您快速部署重要的建議動作,藉由說明如何:

  • 強化您的認證
  • 縮小受攻擊面區域
  • 自動化威脅回應
  • 利用雲端智慧
  • 啟用使用者自助

注意

本檔中的許多建議僅適用於設定為使用 Microsoft Entra ID 做為其識別提供者的應用程式。 設定單一登錄的應用程式可確保認證原則、威脅偵測、稽核、記錄和其他功能新增至這些應用程式的優點。 Microsoft Entra Application Management 是所有這些建議的基礎。

本檔中的建議與身分識別安全分數一致,這是 Microsoft Entra 租使用者身分識別安全性設定的自動化評定。 組織可以使用 Microsoft Entra 系統管理中心的 [身分識別安全分數] 頁面,找出其目前安全性設定中的差距,以確保他們遵循目前的 Microsoft 安全性最佳做法。 在 [安全分數] 頁面中實作每個建議會增加分數,並可讓您追蹤進度,以及協助您比較實作與其他類似規模的組織。

Azure portal window showing Identity Secure Score and some recommendations.

注意

此處建議的部分功能可供所有客戶使用,有些則需要 Microsoft Entra ID P1 或 P2 訂用帳戶。 如需詳細資訊,請參閱 Microsoft Entra 定價Microsoft Entra 部署檢查清單

開始之前:使用 MFA 保護特殊許可權帳戶

開始此檢查清單之前,請確定閱讀此檢查清單時不會遭到入侵。 在 Microsoft Entra 中,我們每天觀察到 5000 萬個密碼攻擊,但只有 20% 的使用者和 30% 的全域系統管理員使用強身份驗證,例如多重要素驗證 (MFA)。 這些統計數據是根據截至 2021 年 8 月的數據。 在 Microsoft Entra 識別符中,具有特殊許可權角色的使用者,例如系統管理員,是用來建置和管理其餘環境的信任根目錄。 實作下列做法,以將入侵的影響降到最低。

控制特殊許可權帳戶的攻擊者可能會造成巨大的損害,因此在繼續之前保護這些帳戶非常重要。 使用 Microsoft Entra Security Defaults條件式存取,為組織中的所有系統管理員啟用並要求 Microsoft Entra 多重要素驗證 (MFA)。 這很關鍵。

全部設定? 讓我們開始檢查清單。

步驟 1:強化您的認證

雖然其他類型的攻擊正在出現,包括同意網路釣魚和非人身份的攻擊,但以密碼為基礎的使用者身分識別攻擊仍然是最普遍的身分識別入侵媒介。 攻擊者建立完善的魚叉式網路釣魚和密碼噴洒活動,會繼續成功打擊尚未實作多重要素驗證 (MFA) 或其他保護的組織,以抵禦這種常見策略。

身為組織,您必須確定身分識別在任何地方都經過驗證並受到 MFA 保護。 2020年, FBI IC3報告 將網路釣魚確定為受害者投訴的最高犯罪類型。 與上一年相比,報告數量翻了一番。 網路釣魚對企業和個人都構成重大威脅,而且去年許多最具破壞性的攻擊都使用了認證網路釣魚。 Microsoft Entra 多重要素驗證 (MFA) 可協助保護數據和應用程式的存取,使用第二種形式的驗證來提供另一層安全性。 組織可以使用條件式存取啟用多重要素驗證,讓解決方案符合其特定需求。 請查看此部署指南,瞭解如何 規劃、實作及推出 Microsoft Entra 多重要素驗證

確定您的組織使用強式驗證

若要輕鬆啟用基本層級的身分識別安全性,您可以使用具有 Microsoft Entra 安全性預設值的單鍵啟用。 安全性預設值會針對租使用者中的所有用戶強制執行 Microsoft Entra 多重要素驗證,並封鎖來自整個舊版通訊協定的登入。

如果您的組織具有 Microsoft Entra ID P1 或 P2 授權,您也可以使用 條件式存取深入解析和報告活頁簿 來協助您探索設定和涵蓋範圍中的差距。 從這些建議中,您可以使用新的條件式存取範本體驗建立原則,輕鬆地縮小此差距。 條件式存取範本 的設計目的是提供簡單的方法來部署符合 Microsoft 建議 最佳做法的新原則,讓您輕鬆地部署通用原則來保護身分識別和裝置。

開始禁止經常受到攻擊的密碼,並關閉傳統複雜性和到期規則。

許多組織都使用傳統複雜性和密碼到期規則。 Microsoft 的研究 顯示,NIST 指導方針 指出,這些原則會讓用戶選擇更容易猜測的密碼。 建議您使用 Microsoft Entra 密碼保護 動態禁用密碼功能,使用目前的攻擊者行為來防止使用者設定容易猜到的密碼。 當使用者在雲端中建立時,這項功能一律為開啟,但現在也可在混合 式組織部署適用於 Windows Server Active Directory 的 Microsoft Entra 密碼保護時使用。 此外,建議您移除到期原則。 密碼變更沒有內含的好處,因為網路罪犯在入侵認證時幾乎一律會使用認證。 請參閱下列文章,以 設定貴組織的密碼到期原則。

防止認證外洩,並新增抵禦中斷的復原能力

在 Microsoft Entra ID 中啟用內部部署目錄物件的雲端驗證最簡單的建議方法是啟用密碼哈希同步處理 (PHS)。 如果您的組織使用混合式身分識別解決方案搭配傳遞驗證或同盟,則您應該基於下列兩個原因啟用密碼哈希同步處理:

  • Microsoft Entra ID 中認證外洩的使用者會警告已公開的使用者名稱和密碼組。 在後來遭到入侵的第三方網站上,網路釣魚、惡意代碼和密碼重複使用會洩露令人難以置信的密碼數量。 Microsoft 會尋找其中許多外洩的認證,並在此報告中告訴您,這些認證是否符合您組織中的認證,但前提是您啟用 密碼哈希同步 或具有僅限雲端的身分識別。
  • 如果內部部署中斷發生,例如勒索軟體攻擊,您可以使用 密碼哈希同步來切換至使用雲端驗證。此備份驗證方法可讓您繼續存取以 Microsoft Entra ID 進行驗證所設定的應用程式,包括 Microsoft 365。 在此情況下,IT 人員不需要訴諸影子 IT 或個人電子郵件帳戶來共享數據,直到內部部署中斷解決為止。

密碼永遠不會以純文本儲存,或以 Microsoft Entra 識別碼中的可逆演算法加密。 如需密碼哈希同步處理實際程式的詳細資訊,請參閱 密碼哈希同步處理運作方式的詳細描述。

實作AD FS外部網路智能鎖定

智慧鎖定會協助鎖定嘗試猜測使用者密碼或使用暴力方法登入的不良執行者。 此外,智慧鎖定也會辨識來自有效使用者的登入,並將其視為不同於攻擊者和其他不明來源所進行的登入。 攻擊者會遭到鎖定,但您的使用者仍可繼續存取其帳戶並保有生產力。 組織,其會將應用程式設定為直接向 Microsoft Entra 標識碼進行驗證,受益於 Microsoft Entra 智慧鎖定。 使用AD FS 2016和AD FS 2019的同盟部署可以使用AD FS外部網路鎖定和外部網路智慧鎖定來啟用類似的優點

步驟 2:減少受攻擊面區域

鑒於密碼入侵的普遍性,將組織中的受攻擊面降至最低非常重要。 停用使用較舊、較不安全的通訊協定、限制存取進入點、移至雲端驗證,以及對資源的系統管理存取權行使更重要的控制,並採用 零信任 安全性原則。

使用雲端驗證

認證是主要攻擊媒介。 此部落格中的做法可藉由使用雲端驗證、部署 MFA 和使用無密碼驗證方法來減少受攻擊面。 您可以部署無密碼的方法,例如 Windows Hello 企業版,電話 使用 Microsoft Authenticator 應用程式或 FIDO 登入。

封鎖舊式驗證

使用自己的舊版方法來向 Microsoft Entra 識別符進行驗證並存取公司數據的應用程式,對組織造成另一個風險。 使用舊版驗證的應用程式範例包括 POP3、IMAP4 或 SMTP 用戶端。 舊版驗證應用程式代表用戶進行驗證,並防止 Microsoft Entra ID 執行進階安全性評估。 替代的新式驗證會降低您的安全性風險,因為它支援多重要素驗證和條件式存取。

我們建議執行下列動作:

  1. 使用 Microsoft Entra 登入記錄和 Log Analytics 活頁簿探索組織中的舊版驗證。
  2. 設定 SharePoint Online 和 Exchange Online 以使用新式驗證。
  3. 如果您有 Microsoft Entra ID P1 或 P2 授權,請使用條件式存取原則來封鎖舊版驗證。 針對 Microsoft Entra ID 免費層,請使用 Microsoft Entra Security Defaults。
  4. 如果您使用 AD FS,請封鎖舊版驗證。
  5. 使用 Exchange Server 2019 封鎖舊版驗證。
  6. 停用 Exchange Online 中的舊版驗證。

如需詳細資訊,請參閱封鎖 Microsoft Entra ID 中的舊版驗證通訊協定一文

封鎖無效的驗證進入點

使用明確驗證原則,您應該在使用者認證發生時降低遭入侵使用者認證的影響。 針對您環境中的每個應用程式,請考慮有效的使用案例:哪些群組、哪些網路、哪些裝置和其他元素獲得授權,然後封鎖其餘專案。 透過 Microsoft Entra 條件式存取,您可以根據您定義的特定條件,控制授權使用者存取其應用程式和資源的方式。

如需如何使用雲端應用程式和使用者動作的條件式存取的詳細資訊,請參閱 條件式存取雲端應用程式、動作和驗證內容

檢閱和管理系統管理員角色

另一個 零信任 支柱是,必須將遭入侵帳戶可能以特殊許可權角色運作的可能性降到最低。 您可以將最低許可權指派給身分識別,即可完成此控件。 如果您不熟悉 Microsoft Entra 角色,本文將協助您瞭解 Microsoft Entra 角色。

Microsoft Entra ID 中的特殊許可權角色應該是僅限雲端帳戶,以便將它們與任何內部部署環境隔離,且不會使用內部部署密碼保存庫來儲存認證。

實作許可權存取管理

Privileged Identity Management (PIM) 提供以時間為基礎的和以核准為基礎的角色啟用,以降低重要資源過度、不必要或誤用訪問許可權的風險。 這些資源包括 Microsoft Entra ID、Azure 與其他 Microsoft Online Services (例如 Microsoft 365 或 Microsoft Intune) 中的資源。

Microsoft Entra Privileged Identity Management (PIM) 可協助您將帳戶許可權降至最低,方法是協助您:

  • 識別及管理指派給系統管理角色的使用者。
  • 瞭解您應該移除的未使用或過度許可權角色。
  • 建立規則,以確保特殊許可權角色受到多重要素驗證的保護。
  • 建立規則,以確保特殊許可權角色只獲得足夠長的時間才能完成特殊許可權工作。

啟用 Microsoft Entra PIM,然後檢視獲指派系統管理角色的使用者,並移除這些角色中不必要的帳戶。 對於剩餘的特殊許可權使用者,請從永久使用者移至合格使用者。 最後,建立適當的原則,以確保當他們需要取得這些特殊許可權角色的存取權時,可以使用必要的變更控制安全地執行此動作。

Microsoft Entra 內建和自定義角色的運作概念類似於 Azure 資源的角色型訪問控制系統中的角色(Azure 角色)。 這兩個角色型訪問控制系統之間的差異如下:

  • Microsoft Entra 角色會使用 Microsoft Graph API 控制對 Microsoft Entra 資源的存取,例如使用者、群組和應用程式
  • Azure 角色會使用 Azure 資源管理來控制對 Azure 資源的存取,例如虛擬機或記憶體

這兩個系統都包含同樣使用的角色定義和角色指派。 不過,Microsoft Entra 角色許可權不能用於 Azure 自定義角色,反之亦然。 在部署特殊許可權帳戶程序的過程中,請遵循最佳做法來建立至少兩個緊急帳戶,以確保如果您鎖定自己,您仍然可以存取 Microsoft Entra ID。

如需詳細資訊,請參閱規劃 Privileged Identity Management 部署和保護特殊許可權存取一文

請務必瞭解各種 Microsoft Entra 應用程式同意體驗、許可權類型和同意類型,以及其對組織安全性狀態的影響。 雖然允許使用者自行同意,可讓用戶輕鬆取得與 Microsoft 365、Azure 和其他服務整合的實用應用程式,但如果未謹慎使用和監視,它可能會代表風險。

Microsoft 建議限制使用者同意,只允許來自已驗證發行者的應用程式的使用者同意,以及只針對您選取的許可權。 如果限制終端使用者同意,先前的同意授與仍會接受,但所有未來的同意作業都必須由系統管理員執行。 針對受限制的情況,用戶可透過整合式系統管理員同意要求工作流程,或透過您自己的支援程式來要求系統管理員同意。 在限制使用者同意之前,請使用我們的建議在您的組織中規劃這項變更。 針對您想要允許所有使用者存取的應用程式,請考慮代表所有使用者授與同意,確定尚未個別同意的使用者將能夠存取應用程式。 如果您不希望所有案例中的所有使用者都能使用這些應用程式,請使用應用程式指派和條件式存取來限制使用者對特定應用程式的存取。

請確定使用者可以要求新應用程式的系統管理員核准,以減少使用者摩擦、最小化支援量,以及防止使用者使用非 Microsoft Entra 認證註冊應用程式。 一旦您規範同意作業,系統管理員應該定期稽核應用程式和同意許可權。

如需詳細資訊,請參閱 Microsoft Entra 同意架構一文

步驟 3:自動化威脅回應

Microsoft Entra ID 有許多功能可自動攔截攻擊,以移除偵測和回應之間的延遲。 當您減少犯罪分子用來將自己內嵌到您的環境的時間時,您可以降低成本和風險。 以下是您可以採取的具體步驟。

如需詳細資訊,請參閱如何:設定和啟用風險原則一文

實作登入風險原則

登入風險表示特定的驗證要求未獲身分識別擁有者授權的可能性。 您可以藉由將登入風險條件新增至條件式存取原則,以實作登入風險型原則,以評估特定使用者或群組的風險層級。 根據風險層級(高/中/低),原則可設定為封鎖存取或強制多重要素驗證。 建議您在中型或更高風險的登入上強制執行多重要素驗證。

Conditional Access policy requiring MFA for medium and high risk sign-ins.

實作用戶風險安全策略

用戶風險表示使用者身分識別遭到入侵的可能性,並根據與使用者身分識別相關聯的用戶風險偵測來計算。 您可以藉由將用戶風險條件新增至條件式存取原則,以將風險層級評估為特定使用者,以實作用戶風險型原則。 根據低、中、高風險層級,原則可以設定為封鎖存取,或使用多重要素驗證要求安全密碼變更。 Microsoft 的建議是要求對高風險的用戶進行安全密碼變更。

Conditional Access policy requiring password change for high risk users.

包含在用戶風險偵測中,是檢查用戶的認證是否符合網路犯罪分子洩露的認證。 若要以最佳方式運作,請務必使用 Microsoft Entra 連線 Sync 實作密碼哈希同步處理。

整合 Microsoft Defender 全面偵測回應 與 Microsoft Entra ID Protection

若要讓 Identity Protection 能夠執行最佳的風險偵測,它必須盡可能取得盡可能多的訊號。 因此,請務必整合完整的 Microsoft Defender 全面偵測回應 服務套件:

  • 適用於端點的 Microsoft Defender
  • 適用於 Office 365 的 Microsoft Defender
  • 適用於身分識別的 Microsoft Defender
  • Microsoft Defender for Cloud Apps

在下列短片中,深入瞭解 Microsoft 威脅防護和整合不同網域的重要性。

設定監視和警示

監視和稽核記錄對於偵測可疑行為很重要。 Azure 入口網站 有數種方式可將 Microsoft Entra 記錄與其他工具整合,例如 Microsoft Sentinel、Azure 監視器和其他 SIEM 工具。 如需詳細資訊,請參閱 Microsoft Entra 安全性作業指南

步驟 4:利用雲端智慧

安全性相關事件和相關警示的稽核和記錄是有效率保護策略的基本元件。 安全性記錄和報告提供可疑活動的電子記錄,並協助您偵測可能表示網路嘗試或成功外部滲透的模式,以及內部攻擊。 您可以使用稽核來監視用戶活動、記錄法規合規性、進行鑑識分析等等。 警示會提供安全性事件的通知。 藉由匯出至 Azure 監視器或 SIEM 工具,確定您有登入記錄和 Microsoft Entra ID 稽核記錄的記錄保留原則。

監視 Microsoft Entra ID

Microsoft Azure 服務和功能提供您可設定的安全性稽核和記錄選項,協助您識別安全策略和機制中的差距,並解決這些缺口,以協助防止缺口。 您可以使用 Azure 記錄和稽核,並在 Microsoft Entra 系統管理中心使用稽核活動報告。 如需監視用戶帳戶、特殊許可權帳戶、應用程式和裝置的詳細資訊,請參閱 Microsoft Entra Security Operations 指南

在混合式環境中監視 Microsoft Entra 連線 Health

使用 Microsoft Entra 連線 Health 監視 AD FS 可讓您更深入地瞭解 AD FS 基礎結構上的潛在問題和攻擊可見度。 您現在可以檢視 ADFS登入 ,為您的監視提供更深入的深度。 Microsoft Entra 連線 Health 會提供警示,其中包含相關文件的詳細數據、解決步驟和連結、與驗證流量相關的數個計量的使用分析、效能監視和報告。 針對ADFS使用Risky IP WorkBook,可協助識別環境的規範,並在發生變更時發出警示。 所有混合式基礎結構都應該監視為第0層資產。 如需這些資產的詳細監視指引,請參閱 基礎結構的安全性作業指南。

監視 Microsoft Entra ID Protection 事件

Microsoft Entra ID Protection 提供兩個重要的報告,您應該每天監視:

  1. 具風險的登入報告會顯示您應該調查的使用者登入活動,合法擁有者可能尚未執行登入。
  2. 有風險的使用者報告會顯示可能已遭入侵的用戶帳戶,例如偵測到的外洩認證,或從不同位置登入的使用者造成不可能的旅行事件。

Overview charts of activity in Identity Protection in the Azure portal.

稽核應用程式和同意的許可權

使用者可以被誘騙流覽至遭入侵的網站或應用程式,以存取其配置檔資訊和用戶數據,例如其電子郵件。 惡意執行者可以使用其收到的同意許可權來加密其信箱內容,並要求贖金以重新取得您的信箱數據。 管理員 istrators 應該檢閱和稽核使用者提供的許可權。 除了稽核使用者提供的許可權之外,您還可以 在進階環境中找出有風險或不必要的 OAuth 應用程式

步驟 5:啟用使用者自助

您想要盡可能平衡安全性與生產力。 以您為安全性設定基礎的心態來接近您的旅程,您可以藉由賦予用戶權力,同時保持警惕並降低作業額外負荷,來消除組織的摩擦。

實作自助式密碼重設

Microsoft Entra ID 的 自助式密碼重設 (SSPR) 提供簡單的方法,可讓 IT 系統管理員在沒有技術服務人員或系統管理員介入的情況下重設或解除鎖定其密碼或帳戶。 系統包含詳細的報告,可追蹤使用者何時重設其密碼,以及警示您濫用或濫用的通知。

實作自助式群組和應用程式存取

Microsoft Entra ID 可讓非系統管理員使用安全組、Microsoft 365 群組、應用程式角色和存取套件目錄來管理資源的存取權。 自助群組管理 可讓群組擁有者管理自己的群組,而不需要指派系統管理角色。 使用者也可以建立和管理 Microsoft 365 群組,而不需要依賴系統管理員來處理其要求,且未使用的群組會自動過期。 Microsoft Entra 權利管理 可進一步啟用委派和可見度,並提供完整的存取要求工作流程和自動到期。 您可以委派給非系統管理員,讓他們能夠為他們擁有的群組、Teams、應用程式和 SharePoint Online 網站設定自己的存取套件,以及需要核准存取權的人員自定義原則,包括將員工的經理和商務夥伴贊助者設定為核准者。

實作 Microsoft Entra 存取權檢閱

透過 Microsoft Entra 存取權檢閱,您可以管理存取套件和群組成員資格、企業應用程式的存取權,以及特殊許可權角色指派,以確保您維持安全性標準。 使用者本身、資源擁有者和其他檢閱者定期監督,可確保使用者不再需要時,不會保留長時間的存取權。

實作自動使用者布建

布建和取消布建是確保跨多個系統之數位身分識別一致性的程式。 這些程式通常會套用為身分識別生命週期管理一部分。

布建是根據特定條件在目標系統中建立身分識別的程式。 取消布建是在不再符合條件時,從目標系統移除身分識別的程式。 同步處理是讓布建物件保持最新狀態的程式,讓來源對象和目標對象類似。

Microsoft Entra ID 目前提供三個自動化布建區域。 畫面如下:

在這裡深入了解:什麼是使用 Microsoft Entra ID 進行布建?

摘要

安全身分識別基礎結構有許多層面,但此五個步驟的檢查清單可協助您快速完成更安全且安全的身分識別基礎結構:

  • 強化您的認證
  • 縮小受攻擊面區域
  • 自動化威脅回應
  • 利用雲端智慧
  • 啟用使用者自助

我們非常感謝您對於安全性的重視程度,並希望這份檔是一份實用的藍圖,可為您的組織提供更安全的態勢。

下一步

如果您需要規劃及部署建議的協助,請參閱 Microsoft Entra ID 專案部署計劃 以取得協助。

如果您確信所有這些步驟都已完成,請使用 Microsoft 的 身分識別安全分數,讓您隨時掌握 最新的最佳做法 和安全性威脅。