Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'amministrazione è la pratica di monitoraggio, gestione e gestione dei sistemi IT (Information Technology) per soddisfare i livelli di servizio richiesti dall'azienda. L'amministrazione introduce alcuni dei rischi di sicurezza con maggiore impatto perché l'esecuzione di queste attività richiede l'accesso con privilegi a un ampio set di questi sistemi e applicazioni. Gli utenti malintenzionati sanno che ottenere l'accesso a un account con privilegi amministrativi possono ottenere l'accesso alla maggior parte o a tutti i dati di destinazione, rendendo la sicurezza dell'amministrazione una delle aree di sicurezza più critiche.
Ad esempio, Microsoft investe in modo significativo nella protezione e nella formazione degli amministratori per i sistemi cloud e i sistemi IT:
La strategia di base consigliata da Microsoft per i privilegi amministrativi consiste nell'usare i controlli disponibili per ridurre i rischi
Ridurre l'esposizione ai rischi (ambito e tempo) – Il principio dei privilegi minimi è meglio ottenuto con i controlli moderni che forniscono privilegi su richiesta. Ciò consente di limitare il rischio limitando l'esposizione dei privilegi amministrativi in base a:
Ambito : JEA (Just Enough Access) fornisce solo i privilegi necessari per l'operazione amministrativa richiesta (rispetto alla presenza di privilegi diretti e immediati per molti o tutti i sistemi alla volta, che non sono quasi mai necessari).
Tempo : gli approcci JIT (Just-In Time) forniscono i privilegi necessari in base alle esigenze.
Attenuare i rischi rimanenti : usare una combinazione di controlli preventivi e detective per ridurre i rischi, ad esempio isolare gli account amministratore dai rischi più comuni, il phishing e l'esplorazione Web generale, semplificare e ottimizzare il flusso di lavoro, aumentare la garanzia delle decisioni di autenticazione e identificare le anomalie dal comportamento normale della baseline che possono essere bloccate o analizzate.
Microsoft ha acquisito e documentato le procedure consigliate per proteggere gli account amministrativi e le roadmap pubblicate in ordine di priorità per la protezione dell'accesso con privilegi che possono essere usate come riferimenti per la definizione delle priorità delle mitigazioni per gli account con accesso con privilegi.
Ridurre al minimo il numero di amministratori con impatto critico
Concedere il minor numero di account ai privilegi che possono avere un impatto aziendale critico
Ogni account amministratore rappresenta una potenziale superficie di attacco che un utente malintenzionato può colpire, riducendo al minimo il numero di account con tale privilegio consente di limitare il rischio complessivo dell'organizzazione. L'esperienza ci ha insegnato che l'appartenenza a questi gruppi con privilegi cresce naturalmente nel corso del tempo man mano che le persone cambiano ruoli se l'appartenenza non è attivamente limitata e gestita.
È consigliabile adottare un approccio che riduce il rischio di attacco, garantendo al tempo stesso la continuità aziendale nel caso in cui si verifichi un evento a un amministratore:
Assegnare almeno due account al gruppo con privilegi per la continuità aziendale
Quando sono necessari due o più account, fornire una giustificazione per ogni membro, inclusi i due originali
Esaminare regolarmente l'appartenenza e la giustificazione per ogni membro del gruppo
Account gestiti per amministratori
Assicurarsi che tutti gli amministratori che hanno un impatto critico siano gestiti dalla directory aziendale per seguire l'applicazione delle politiche dell'organizzazione.
Gli account consumer, ad esempio gli account Microsoft come @Hotmail.com, @live.com, @outlook.com, non offrono visibilità e controllo sufficienti per garantire che vengano seguiti i criteri dell'organizzazione e gli eventuali requisiti normativi. Poiché le distribuzioni di Azure spesso iniziano di piccole dimensioni e in modo informale prima di entrare in tenant gestiti dall'azienda, alcuni account consumer continuano a essere utilizzati come account amministrativi, ad esempio i project manager originari di Azure, creando punti ciechi e potenziali rischi.
Separare gli account per gli amministratori
Assicurarsi che tutti gli amministratori con impatto critico abbiano un account separato per le attività amministrative (rispetto all'account usato per la posta elettronica, l'esplorazione Web e altre attività di produttività).
Gli attacchi di phishing e Web browser rappresentano i vettori di attacco più comuni per compromettere gli account, inclusi gli account amministrativi.
Creare un account amministrativo separato per tutti gli utenti che dispongono di un ruolo che richiede privilegi critici. Per questi account amministrativi, bloccare gli strumenti di produttività come la posta elettronica di Office 365 (rimuovere la licenza). Se possibile, bloccare la navigazione web arbitraria (con controlli proxy e/o applicazioni) consentendo eccezioni per la navigazione al portale di Azure e ad altri siti necessari per le attività amministrative.
Nessun accesso permanente/privilegi Just-in-Time
Evitare di fornire l'accesso "permanente" per qualsiasi account con impatto critico
I privilegi permanenti aumentano il rischio aziendale aumentando il tempo in cui un utente malintenzionato può usare l'account per danneggiare. I privilegi temporanei costringono gli attaccanti che mirano a un account a operare solo durante i periodi limitati in cui l'amministratore sta già utilizzando l'account oppure a cercare un'escalation dei privilegi, aumentando così le possibilità di essere rilevati e rimossi dall'ambiente.
Concedere privilegi solo in base alle esigenze usando uno di questi metodi:
Just-in-Time - Abilitare Microsoft Entra Privileged Identity Management (PIM) o una soluzione di terze parti per implementare un flusso di approvazione per ottenere privilegi per gli account ad alto impatto
Vetro di rottura - Per gli account usati raramente, seguire un processo di accesso di emergenza per ottenere l'accesso agli account. Questa opzione è preferibile per i privilegi che hanno poca necessità di un utilizzo operativo regolare, ad esempio i membri degli account di amministratore globale.
Accesso di emergenza o account "Break Glass"
Assicurarsi di disporre di un meccanismo per ottenere l'accesso amministrativo in caso di emergenza
Anche se raramente, talvolta si verificano circostanze estreme in cui tutti i normali mezzi di accesso amministrativo non sono disponibili.
È consigliabile seguire le istruzioni riportate in Gestione degli account amministrativi di accesso di emergenza in Microsoft Entra ID e assicurarsi che le operazioni di sicurezza monitorino attentamente questi account.
Sicurezza della workstation di amministrazione
Assicurarsi che gli amministratori con impatto critico usino una workstation con protezioni e monitoraggio di sicurezza elevati
I vettori di attacco che usano l'esplorazione e la posta elettronica come il phishing sono economici e comuni. Isolare gli amministratori di impatto critico da questi rischi ridurrà significativamente il rischio di un incidente grave in cui uno di questi account viene compromesso e usato per danneggiare materialmente l'azienda o la missione.
Scegliere il livello di sicurezza della workstation admin in base alle opzioni disponibili su https://aka.ms/securedworkstation
Dispositivo di produttività altamente sicuro (workstation di sicurezza avanzata o workstation specializzata)
È possibile iniziare questo percorso di sicurezza per gli amministratori con impatto critico fornendo loro una workstation di sicurezza più elevata che consente comunque l'esplorazione generale e le attività di produttività. L'uso di questo come passaggio provvisorio consente di semplificare la transizione a workstation completamente isolate sia per gli amministratori che per il personale IT che supportano questi utenti e le loro workstation.Workstation con accesso con privilegi (workstation specializzata o workstation protetta)
Queste configurazioni rappresentano lo stato di sicurezza ideale per gli amministratori con impatto critico, poiché limitano in modo significativo l'accesso ai vettori di attacco di phishing, browser e produttività dell'applicazione. Queste workstation non consentono l'esplorazione Internet generale, ma consentono solo l'accesso del browser al portale di Azure e ad altri siti amministrativi.
Dipendenze di amministrazione con impatto critico - Account/Workstation
Scegliere con attenzione le dipendenze di sicurezza locali per gli account di impatto critico e le relative workstation
Per contenere il rischio dovuto a un grave evento imprevisto locale che si estende per diventare una grave compromissione degli asset cloud, è necessario eliminare o ridurre al minimo i mezzi di controllo che le risorse locali devono avere per gli account di impatto critici nel cloud. Ad esempio, gli utenti malintenzionati che comprometteno Active Directory locale possono accedere e compromettere gli asset basati sul cloud che si basano su tali account come risorse in Azure, Amazon Web Services (AWS), ServiceNow e così via. Gli attaccanti possono anche utilizzare workstation collegate a quei domini locali per ottenere l'accesso agli account e ai servizi gestiti da questi.
Scegli il livello di isolamento dai mezzi locali di controllo, noti anche come dipendenze di sicurezza, per gli account di impatto critico.
Account utente : scegliere dove ospitare gli account di impatto critico
Account Microsoft Entra nativi -*Creare account Microsoft Entra nativi non sincronizzati con Active Directory locale
Eseguire la sincronizzazione da Active Directory locale (scelta non consigliata): sfruttare gli account esistenti ospitati nell'istanza locale di Active Directory.
Workstations: scegliere come gestire e proteggere le workstation usate dagli account amministratori critici:
Gestione e sicurezza cloud nativa (scelta consigliata): aggiungi le workstation a Microsoft Entra ID e gestiscile/riparale con Intune o altri servizi cloud. Proteggere e monitorare con Windows Defender ATP o un altro servizio cloud non gestito da account basati su locale.
Gestire con sistemi esistenti: aggiungere un dominio di Active Directory esistente e sfruttare la gestione/sicurezza esistente.
Autenticazione senza password o a più fattori per gli amministratori
Richiedere a tutti gli amministratori di impatto critico di usare l'autenticazione senza password o l'autenticazione a più fattori (MFA).
I metodi di attacco si sono evoluti fino al punto in cui le password da sole non possono proteggere in modo affidabile un account. Questo è ben documentato in una sessione di Microsoft Ignite.
Gli account amministrativi e tutti gli account critici devono usare uno dei metodi di autenticazione seguenti. Queste funzionalità sono elencate in ordine di preferenza in base al costo/difficoltà più elevato per l'attacco (opzioni più avanzate/preferite) al costo più basso/difficile da attaccare:
Senza password (ad esempio Windows Hello)
https://aka.ms/HelloForBusinessSenza password (App Authenticator)
</azure/active-directory/authentication/come-autenticazione-accesso-telefono>Autenticazione a più fattori
</azure/active-directory/authentication/howto-mfa-userstates>
Si noti che l'autenticazione a più fattori basata su messaggi SMS è diventata facile da aggirare per gli aggressori, quindi è consigliabile evitare di basarsi su questo metodo. Questa opzione è ancora più forte rispetto alle password da sola, ma è molto più debole rispetto ad altre opzioni di autenticazione a più fattori
Applicare l'accesso condizionale per gli amministratori - Zero Trust
L'autenticazione per tutti gli amministratori e altri account di impatto critico deve includere la misurazione e l'imposizione degli attributi di sicurezza chiave per supportare una strategia Zero Trust.
Gli utenti malintenzionati che compromettono gli account amministratore di Azure possono causare danni significativi. L'accesso condizionale può ridurre significativamente il rischio applicando l'igiene della sicurezza prima di consentire l'accesso alla gestione di Azure.
Configurare i criteri di accesso condizionale per la gestione di Azure che soddisfi le esigenze operative e dell'appetito per i rischi dell'organizzazione.
Richiedere l'autenticazione a più fattori e/o la connessione dalla rete aziendale designata
Richiedi integrità del dispositivo con Microsoft Defender ATP (Strong Assurance)
Evitare autorizzazioni granulari e personalizzate
Evitare autorizzazioni che fanno riferimento in modo specifico a singole risorse o utenti
Le autorizzazioni specifiche creano complessità e confusione non necessarie perché non portano l'intenzione a nuove risorse simili. Questo si accumula quindi in una configurazione legacy complessa che è difficile da gestire o modificare senza timore di "interrompere qualcosa", con un impatto negativo sia sulla sicurezza che sull'agilità della soluzione.
Anziché assegnare autorizzazioni specifiche delle risorse, usare una delle due
Gruppi di gestione per autorizzazioni a livello aziendale
Gruppi di risorse per le autorizzazioni all'interno delle sottoscrizioni
Anziché concedere autorizzazioni a utenti specifici, assegnare l'accesso ai gruppi in MICROSOFT Entra ID. Se non è presente un gruppo appropriato, collaborare con il team di gestione delle identità per crearne uno. In questo modo è possibile aggiungere e rimuovere membri del gruppo esternamente ad Azure e assicurarsi che le autorizzazioni siano correnti, consentendo al gruppo di essere usate anche per altri scopi, ad esempio le liste di distribuzione.
Usare i ruoli predefiniti
Usare i ruoli predefiniti per assegnare le autorizzazioni laddove possibile.
La personalizzazione porta a una complessità che aumenta la confusione e rende l'automazione più complessa, impegnativa e fragile. Questi fattori influiscono negativamente sulla sicurezza
È consigliabile valutare i ruoli predefiniti progettati per coprire la maggior parte degli scenari normali. I ruoli personalizzati sono una funzionalità potente e talvolta utile, ma devono essere riservati per i casi in cui i ruoli predefiniti non funzioneranno.
Stabilire la gestione del ciclo di vita per gli account di impatto critico
Assicurarsi di disporre di un processo per disabilitare o eliminare gli account amministrativi quando il personale amministratore lascia l'organizzazione (o lascia posizioni amministrative)
Vedi Gestire l'accesso utente e guest con verifiche di accesso per ulteriori dettagli.
Simulazione degli attacchi per gli account di impatto critico
Simulare regolarmente gli attacchi contro gli utenti amministratori con tecniche di attacco correnti per educarli e supportarli.
Le persone sono una parte fondamentale della difesa, in particolare il personale con accesso agli account di impatto critici. Garantire che questi utenti (e idealmente tutti gli utenti) abbiano le conoscenze e le competenze per evitare e resistere agli attacchi ridurranno il rischio complessivo dell'organizzazione.
È possibile usare le funzionalità di simulazione degli attacchi di Office 365 o un numero qualsiasi di offerte di terze parti.
Passaggi successivi
Per altre indicazioni sulla sicurezza di Microsoft, vedere la documentazione sulla sicurezza Microsoft.