Поделиться через


Устранение рисков и разблокирование пользователей

После завершения исследования необходимо принять меры, чтобы устранить рискованных пользователей или разблокировать их. Организации могут включить автоматическое исправление, настроив политики на основе рисков. Организации должны пытаться исследовать и исправлять всех рискованных пользователей в течение определенного периода времени, с которым ваша организация комфортно. Корпорация Майкрософт рекомендует быстро действовать, так как время имеет значение при работе с рисками.

Исправление риска

Все активные обнаружения рисков способствуют вычислению уровня риска пользователя. Уровень риска пользователя — это индикатор (низкий, средний, высокий) вероятности компрометации учетной записи пользователя. После изучения рискованных пользователей и соответствующих рискованных входов и обнаружения следует исправить рискованных пользователей , чтобы они больше не были подвержены риску и заблокированы от доступа.

Защита идентификации Microsoft Entra помечает некоторые обнаружения рисков и соответствующие рискованные входы, как отклоненные с состоянием рискаСведения об отклонении и риске Защита идентификации Microsoft Entra безопасном входе. Он принимает это действие, так как эти события больше не были определены как рискованные.

Администраторы располагают следующими вариантами исправления:

Самостоятельное исправление с помощью политики на основе рисков

Вы можете разрешить пользователям самостоятельно устранять риски входа и риски пользователей, настраивая политики на основе рисков. Если пользователи передают необходимый контроль доступа, например многофакторную проверку подлинности или безопасное изменение пароля, их риски автоматически исправляются. Соответствующие обнаружения рисков, рискованные входы и рискованные пользователи сообщаются с состоянием риска, исправленным вместо риска.

Предварительные требования для пользователей перед применением политик на основе рисков, чтобы разрешить самостоятельное исправление рисков:

  • Чтобы выполнить многофакторную проверку подлинности для самостоятельного устранения риска входа:
    • Пользователь должен быть зарегистрирован для многофакторной проверки подлинности Microsoft Entra.
  • Чтобы выполнить безопасное изменение пароля для самостоятельного устранения риска пользователя:
    • Пользователь должен быть зарегистрирован для многофакторной проверки подлинности Microsoft Entra.
    • Для гибридных пользователей, которые синхронизируются из локальной среды в облако, необходимо включить обратную запись паролей.

Если политика на основе рисков применяется к пользователю во время входа до выполнения указанных выше предварительных требований, пользователь блокируется. Это действие блока связано с тем, что они не могут выполнять необходимый контроль доступа, а для разблокировки пользователя требуется вмешательство администратора.

Политики на основе рисков настраиваются на основе уровней риска и применяются только в том случае, если уровень риска входа или пользователя соответствует заданному уровню. Некоторые обнаружения могут не вызывать риск на уровне, в котором применяется политика, и администраторы должны обрабатывать этих рискованных пользователей вручную. Администраторы могут определить, что необходимы дополнительные меры, такие как блокировка доступа из расположений или снижение допустимого риска в их политиках.

Самостоятельное исправление с помощью самостоятельного сброса пароля

Если пользователь зарегистрирован для самостоятельного сброса пароля (SSPR), он может исправить собственный риск пользователя, выполнив самостоятельный сброс пароля.

Сброс паролей вручную

Если требуется сброс пароля с помощью политики риска пользователя не является вариантом или временем, администраторы могут исправить рискованных пользователей, требуя сброс пароля.

Администраторы могут выбрать следующие варианты:

Создание временного пароля

Создав временный пароль, вы можете немедленно вернуть удостоверение в безопасное состояние. Этот способ требует обращения к затронутым пользователям, так как им нужно знать временный пароль. Так как пароль является временным, при следующем входе пользователю предлагается сменить пароль на новый.

  • Они могут создавать пароли для облачных и гибридных пользователей в Центре администрирования Microsoft Entra.

  • Они могут создавать пароли для гибридных пользователей из локального каталога при синхронизации хэша паролей и включена возможность изменения локального пароля для сброса параметра риска пользователей.

    Предупреждение

    Не выбирайте параметр "Пользователь должен изменить пароль при следующем входе". Это не поддерживается.

Требовать от пользователя сброса пароля

Требовать от пользователей сброса паролей позволяет самостоятельно восстановиться без обращения в службу технической поддержки или администратора.

  • Облачные и гибридные пользователи могут завершить безопасное изменение пароля. Этот метод применяется только к пользователям, которые могут выполнять MFA уже. Для пользователей, которые не зарегистрированы, этот параметр недоступен.
  • Гибридные пользователи могут завершить изменение пароля с локального или гибридного присоединенного устройства Windows при синхронизации хэша паролей и включена возможность изменения локального пароля для сброса параметра риска пользователя.

Разрешить локальный сброс пароля для устранения рисков пользователей

Организации, которые обеспечивают синхронизацию хэша паролей, могут разрешить локальным изменениям паролей для устранения риска пользователей.

Эта конфигурация предоставляет организациям две новые возможности:

  • Рискованные гибридные пользователи могут самостоятельно исправиться без вмешательства администраторов. При изменении пароля в локальной среде риск пользователя теперь автоматически исправляется в Защита идентификации Microsoft Entra, сбросив текущее состояние риска пользователя.
  • Организации могут заранее развертывать политики риска пользователей, требующие изменения пароля для надежной защиты гибридных пользователей. Этот вариант повышает уровень безопасности организации и упрощает управление безопасностью, обеспечивая оперативное устранение рисков пользователей даже в сложных гибридных средах.

Снимок экрана: расположение параметра

Настройка этого параметра

  1. Войдите в Центр администрирования Microsoft Entra как минимум оператор безопасности.
  2. Перейдите к параметрам защиты>>идентификации.
  3. Установите флажок Разрешить изменение локального пароля для сброса риска пользователя.
  4. Выберите Сохранить.

Примечание.

Разрешение локального изменения пароля для сброса риска пользователей является единственной функцией согласия. Клиенты должны оценить эту функцию перед включением в рабочих средах. Мы рекомендуем клиентам защитить локальные потоки изменения или сброса паролей. Например, требуется многофакторная проверка подлинности, прежде чем разрешить пользователям изменять пароль локально с помощью средства, например портала самостоятельного сброса пароля Microsoft Identity Manager.

Закрыть уведомление о риске для пользователя

Если после расследования и подтверждения того, что учетная запись пользователя не подвержена риску компрометации, можно закрыть рискованных пользователей.

Чтобы закрыть риск пользователей как минимум оператор безопасности в Центре администрирования Microsoft Entra, перейдите к >пользователям Защиты>идентификации, рискованных пользователей, выберите затронутого пользователя и нажмите кнопку "Закрыть".

При выборе " Закрыть риск пользователя" пользователь больше не рискует, а все рискованные входы этого пользователя и соответствующие обнаружения рисков также будут отклонены.

Так как этот метод не влияет на существующий пароль пользователя, он не возвращает удостоверение в безопасное состояние.

Состояние риска и подробности на основе увольнения риска

  • Рискованные пользователи:
    • Состояние риска: "Риск" —> "Отклонено"
    • Сведения о рисках (сведения об исправлении рисков): "-" —> "Администратор отклонил все риски для пользователя"
  • Все рискованные входы этого пользователя и соответствующие обнаружения рисков:
    • Состояние риска: "Риск" —> "Отклонено"
    • Сведения о рисках (сведения об исправлении рисков): "-" —> "Администратор отклонил все риски для пользователя"

Подтверждение компрометации пользователя

Если после исследования учетная запись подтверждена, скомпрометирована:

  1. Выберите событие или пользователя в отчетах о рискованных входах или пользователях, совершающих рискованные действия, затем щелкните "Подтверждение компрометации".
  2. Если политика на основе рисков не была активирована, и риск не был самостоятельно устранен, выполните одно или несколько следующих действий:
    1. Запросите сброс пароля.
    2. Заблокировать пользователя, если вы подозреваете, что злоумышленник может сбросить пароль или выполнить многофакторную проверку подлинности для пользователя.
    3. Отмена маркеров обновления.
    4. Отключите все устройства , которые считаются скомпрометированы.
    5. Если используется непрерывная оценка доступа, отзовите все маркеры доступа.

Дополнительные сведения о том, что происходит при подтверждении компрометации, см. в разделе "Как дать отзыв о рисках".

Удаленные пользователи

Администраторы не могут закрыть риск для пользователей, удаленных из каталога. Чтобы убрать удаленных пользователей, откройте обращение в службу поддержки Майкрософт.

Разблокировка пользователей

Администратор может заблокировать вход на основании политики рисков или исследования. Блок может возникать на основе риска входа или пользователя.

Разблокировка на основании риска пользователя

Чтобы разблокировать учетную запись, заблокированную из-за риска, связанного с пользователем, администратор может использовать следующие средства.

  1. Смена пароля. Вы можете сбросить пароль пользователя. Если пользователь скомпрометирован или находится под угрозой компрометации, пароль пользователя следует сбросить, чтобы защитить свою учетную запись и вашу организацию.
  2. Отключение риска пользователя. Политика риска пользователя блокирует пользователя при достижении настроенного уровня риска пользователя для блокировки доступа. Если после исследования вы уверены, что пользователь не рискует быть скомпрометирован, и это безопасно, чтобы разрешить доступ, вы можете уменьшить уровень риска пользователя, уволив свой риск пользователя.
  3. Исключите пользователя из политики. Если вы считаете, что текущая конфигурация политики входа вызывает проблемы для конкретных пользователей, и это безопасно предоставить доступ к этим пользователям, не применяя к ним эту политику, то их можно исключить из этой политики. Дополнительные сведения см. в разделе "Исключения" в статье Настройка и включение политик риска.
  4. Отключение политики. Если вы считаете, что конфигурация политики является причиной проблем всех пользователей, то ее можно отключить. Дополнительные сведения см. в статье Настройка и включение политик риска.

Разблокировка на основании риска при входе

Чтобы разблокировать учетную запись, заблокированную на основании риска при входе, администраторы могут использовать следующие параметры.

  1. Вход из знакомого расположения или устройства. Распространенная причина блокировки подозрительного входа — попытки входа с незнакомого расположения или устройства. Пользователи могут быстро определить, является ли это причиной блокировки, выполнив попытку входа из знакомого расположения или устройства.
  2. Исключение пользователя из политики. Если вы считаете, что текущая конфигурация политики входа вызывает проблемы у конкретных пользователей, можно исключить из нее пользователей. Дополнительные сведения см. в разделе "Исключения" в статье Настройка и включение политик риска.
  3. Отключение политики. Если вы считаете, что конфигурация политики является причиной проблем всех пользователей, то ее можно отключить. Дополнительные сведения см. в статье Настройка и включение политик риска.

Автоматическая блокировка из-за риска высокой достоверности

Защита идентификации Microsoft Entra автоматически блокирует входы, которые имеют очень высокую уверенность в том, что они рискуют. Этот блок чаще всего возникает при входе, выполняемом с помощью устаревших протоколов проверки подлинности, и отображения свойств вредоносной попытки.

Когда пользователь заблокирован с помощью этого механизма, он получит ошибку проверки подлинности 50053. Исследование журналов входа отобразит следующую причину блокировки: "Вход был заблокирован встроенной защитой из-за высокой достоверности риска".

Чтобы разблокировать учетную запись на основе риска входа с высоким уровнем достоверности, администраторы имеют следующие параметры:

  1. Добавьте IP-адрес, используемый для входа в параметры надежного расположения. Если вход выполняется из известного расположения для вашей компании, можно добавить IP-адрес, чтобы быть доверенным. Дополнительные сведения см. в разделе "Надежные расположения" статьи "Условный доступ: назначение сети".
  2. Используйте современный протокол проверки подлинности. Если вход выполняется с помощью устаревшего протокола, переключение на современный разблокирует попытку.

При недавнем обновлении архитектуры обнаружения мы больше не будем автоматически выполнять сеансы с утверждениями MFA при краже маркеров или триггерах обнаружения IP-адресов в Центре аналитики угроз Майкрософт (MSTIC) State IP во время входа.

Следующие обнаружения защиты идентификаторов, определяющие подозрительное действие токена или обнаружение IP-адресов государства MSTIC, больше не будут автоматически перенаправляться:

  • Аналитика угроз Microsoft Entra
  • Аномальный маркер
  • Злоумышленник в середине
  • IP-адрес штата MSTIC
  • Аномалия издателя токенов

Защита идентификаторов теперь предоставляет сведения о сеансе в области сведений об обнаружении рисков, которые выдают данные входа. Это изменение гарантирует, что мы не закрываем сеансы, содержащие обнаружения, связанные с MFA. Предоставление сведений о сеансе с подробными сведениями о рисках на уровне пользователя предоставляет ценные сведения, помогающие в расследовании. Эта информация включает:

  • Тип издателя токена
  • Время входа
  • IP-адрес
  • Расположение входа
  • Клиент входа
  • Идентификатор запроса входа
  • Идентификатор корреляции входа

Если у вас настроены политики условного доступа на основе рисков, и одно из этих обнаружений, которое указывает на действие подозрительных маркеров, запускается на пользователя, конечный пользователь должен выполнить безопасное изменение пароля и повторно выполнить проверку подлинности с помощью многофакторной проверки подлинности, чтобы очистить риск.

Предварительная версия PowerShell

Используя модуль предварительной версии пакета SDK для Microsoft Graph PowerShell, организации могут управлять рисками с помощью PowerShell. Модули предварительного просмотра и пример кода можно найти в репозитории Microsoft Entra GitHub.

Скрипт, Invoke-AzureADIPDismissRiskyUser.ps1 включенный в репозиторий, позволяет организациям уволить всех рискованных пользователей в каталоге.