Шаг 5. Управление доступом к удостоверениям

Управление доступом к удостоверениям является критически важным компонентом кибербезопасности в образовательных учреждениях. В этой статье приводятся общие сведения о функциях и рекомендациях для лицензии A3 для образовательных учреждений. В ней рассматриваются основные инструменты и стратегии, помогающие ИТ-администраторам управлять удостоверениями, обеспечивать безопасный доступ и защищать конфиденциальные данные в учебной среде.

Требования

• лицензия Microsoft 365 A3

Роли и обязанности.

• ИТ-Администратор
• Администратор удостоверений
• OneDrive Администратор
• Администратор SharePoint
• EXO Администратор

Расширенные отчеты о безопасности

Расширенные отчеты о безопасности имеют решающее значение для образовательных учреждений для понимания и устранения киберугроз. Ниже приведены некоторые ключевые аспекты и преимущества этих отчетов.

• Аналитика угроз предоставляет аналитические сведения о последних киберугрозах, нацеленных на учебные заведения, таких как вредоносные программы, фишинг и атаки программ-шантажистов.
• Оценки уязвимостей выявляют слабые места в ИТ-инфраструктуре, помогая школам и университетам определять приоритеты мер безопасности.
• Мониторинг соответствия требованиям гарантирует, что учреждение соответствует нормативным требованиям и стандартам защиты данных.
• Реагирование на инциденты обеспечивает подробный анализ инцидентов безопасности, помогая учреждениям улучшить свои стратегии реагирования.

Подробнее:

• Киберсигналы, проблема 8 | Образование в осаде: как киберпреступники нацелены на наши школы

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps — это мощный инструмент, который может значительно повысить кибербезопасность в образовательных средах. Она помогает защитить данные и приложения учебного заведения, обеспечивая комплексную безопасность для приложений SaaS (программное обеспечение как услуга). Ниже приведены некоторые ключевые функции и преимущества.

• Обнаружение теневых ИТ определяет и отслеживает все облачные приложения, используемые в вашем учреждении, даже те, которые официально не санкционированы.
• Защита от угроз предоставляет расширенные возможности обнаружения угроз и реагирования на нее для защиты от киберугроз.
• Защита информации обеспечивает безопасность данных и соответствие различным нормативным требованиям.
• Управление состоянием безопасности SaaS помогает повысить уровень безопасности приложений SaaS.

Подробнее:

• Обзор Microsoft Defender for Cloud Apps

Microsoft Defender для Cloud App Discovery

Microsoft Defender для Cloud App Discovery — это функция в Microsoft Defender for Cloud Apps, которая помогает получить представление об облачных приложениях, используемых в вашей организации. Это полезно для идентификации теневых ИТ-специалистов и управления ими, гарантируя, что используются только утвержденные и безопасные приложения.

Основные возможности:

• Каталог облачных приложений анализирует журналы трафика по каталогу из более чем 31 000 облачных приложений. Эти приложения ранжируются и оцениваются на основе более чем 90 факторов риска.
• Видимость и оценка рисков обеспечивают постоянную видимость использования облачных приложений и оценивают риск, связанный с этими приложениями. Это помогает выявлять потенциально рискованные приложения и принимать соответствующие меры.
• Интеграция с существующими средствами, такими как Microsoft Defender для конечной точки для расширения возможностей обнаружения облака за пределы корпоративной сети. Он также поддерживает интеграцию с защищенными веб-шлюзами (SWG) и другими средствами безопасности.
• Автоматическая и ручная отправка журналов поддерживает как ручную, так и автоматическую отправку журналов для непрерывного мониторинга. Для автоматизации процесса можно использовать сборщики журналов или API.
• Пользовательские политики и обнаружение аномалий позволяют создавать настраиваемые политики для мониторинга и контроля использования облачных приложений. Он также использует машинное обучение для обнаружения аномалий в шаблонах использования приложений.

Преимущества для образовательных учреждений:

• Повышенная безопасность защищает конфиденциальные данные учащихся и преподавателей путем выявления и управления облачными приложениями, которые рискуют.
• Соответствие требованиям помогает соответствовать нормативным требованиям для защиты данных и безопасности.
• Улучшенное управление ИТ-ресурсами предоставляет ИТ-администраторам средства для мониторинга и контроля использования облачных приложений, что снижает риск утечки данных.

Начало работы:

1. Настройте обнаружение в облаке, перейдя на портал Microsoft Defender for Cloud Apps и выбрав Cloud Discovery. Следуйте инструкциям по настройке, чтобы начать анализ журналов сетевого трафика.
2. Настройте коллекцию журналов, настроив сборщики журналов или интегрируя с существующими средствами, такими как Microsoft Defender для конечной точки, для автоматизации отправки журналов.
3. Определите настраиваемые политики для мониторинга и контроля использования облачных приложений на основе требований к безопасности вашей организации.

Подробнее:

• Обзор обнаружения облачных приложений
• Сравнение возможностей обнаружения для Defender for Cloud Apps и Cloud App Discovery

Office 365 Cloud App Security

Office 365 Cloud App Security, которая теперь является частью Microsoft Defender for Cloud Apps, обеспечивает улучшенную видимость и контроль над вашей Office 365 средой. Это полезно для образовательных учреждений для защиты конфиденциальных данных и обеспечения соответствия политикам безопасности.

Основные возможности:

• Обнаружение угроз обнаруживает угрозы на основе журналов действий пользователей и обнаружения аномалий. Это помогает выявлять скомпрометированные учетные записи и внутренние угрозы.
• Защита данных применяет политики защиты от потери данных (DLP) для защиты конфиденциальной информации. Он может обнаруживать, классифицировать, помечать и защищать регулируемые данные, хранящиеся в облаке.
• Управление разрешениями приложений управляет разрешениями приложений на Office 365, обеспечивая доступ к данным только доверенным приложениям.
• Обнаружение теневых ИТ определяет и отслеживает облачные приложения, используемые в вашей организации, помогая управлять рисками, связанными с несанкционированными приложениями, и устранять их.
• Автоматическое исправление позволяет автоматически реагировать на обнаруженные угрозы, сокращая время на устранение потенциальных проблем безопасности.

Преимущества для образовательных учреждений:

• Повышенная безопасность защищает данные учащихся и преподавателей от киберугроз и несанкционированного доступа.
• Соответствие требованиям помогает соответствовать нормативным требованиям к защите данных и конфиденциальности.
• Улучшенная видимость предоставляет аналитические сведения о действиях пользователей и использовании приложений, что обеспечивает более эффективное управление безопасностью.

Начало работы:

1. Откройте портал Microsoft Defender for Cloud Apps.
2. Настройте политики для обнаружения угроз, защиты данных и разрешений приложений. Используйте встроенные шаблоны политик, чтобы быстро приступить к работе.
3. Регулярно отслеживайте оповещения и отчеты на портале. Используйте автоматизированные действия по исправлению для быстрого устранения любых обнаруженных угроз.

Подробнее:

• Как Defender for Cloud Apps помогает защитить среду Microsoft 365
• Сравнение Microsoft Defender for Cloud Apps и Office 365 Cloud App Security

Microsoft Advanced Threat Analytics

Расширенная аналитика угроз Microsoft (ATA) — это локальная платформа, предназначенная для защиты организации от сложных целевых кибератак и внутренних угроз. Хотя ATA обычно используется в корпоративных средах, он также может быть весьма полезным в образовательных учреждениях для защиты конфиденциальной информации и обеспечения безопасности вашей сети.

Основные возможности ATA:

• Поведенческая аналитика: ATA использует аналитику поведения для изучения нормального поведения пользователей и других сущностей в вашей организации. Затем он обнаруживает аномалии, которые могут указывать на потенциальные угрозы.
• Обнаружение расширенных угроз: ATA может обнаруживать различные типы расширенных угроз, включая атаки типа pass-the-ticket, pass-the-hash и атаки методом подбора. В нем также выявляются подозрительные действия, такие как боковое перемещение и рекогносцировка.
• Очистить отчеты об инцидентах: Консоль ATA предоставляет подробные отчеты об обнаруженных угрозах, включая сведения о том, кто был вовлечен, что произошло, когда это произошло и как была выполнена атака.
• Интеграция с существующей инфраструктурой: ATA интегрируется с существующей сетевой инфраструктурой, собирает данные с контроллеров домена, DNS-серверов и других источников для обеспечения комплексного мониторинга безопасности.

Преимущества для образовательных учреждений:

• Защита конфиденциальных данных: Защита записей учащихся, исследовательских данных и другой конфиденциальной информации от киберугроз.
• Повышение безопасности сети. Отслеживайте и обнаруживайте подозрительные действия в сети, чтобы предотвратить нарушения.
• Согласие: Обеспечение соответствия нормативным требованиям к защите данных и безопасности в образовательных средах.

Начало работы с ATA:

1. Установите ATA, развернув центр ATA и шлюзы ATA в сети. Центр ATA обрабатывает данные и создает оповещения, а шлюзы собирают и анализируют сетевой трафик.
2. Настройте источники данных, настроив зеркальное отображение портов на сетевых устройствах для отправки трафика в шлюзы ATA. Кроме того, можно развернуть упрощенные шлюзы ATA непосредственно на контроллерах домена.
3. Мониторинг и реагирование с помощью консоли ATA для мониторинга оповещений и исследования подозрительных действий. Выполните соответствующие действия для устранения выявленных угроз.

Подробнее:

• Что такое Расширенная аналитика угроз?
• Документация по расширенной аналитике угроз

Самостоятельный сброс пароля для пользователей в облаке

Чтобы включить самостоятельный сброс пароля для облачных пользователей (SSPR) в образовательном параметре, можно использовать Microsoft Entra ID (ранее Azure AD). Эта функция позволяет учащимся, преподавателям и сотрудникам сбрасывать свои пароли без обращения в ИТ-службу поддержки. Вот как его настроить.

Преимущества в области образования:

• Снижение нагрузки НА ИТ: Учащиеся и сотрудники могут самостоятельно сбрасывать пароли, уменьшая количество запросов в службу поддержки.
• Улучшенная безопасность: Обеспечивает применение надежных политик паролей и снижает риск компрометации учетных записей.
• Улучшенный пользовательский интерфейс: Обеспечивает простой интерфейс для пользователей, позволяя им сбрасывать пароли из любого места.

Необходимые условия:

• Лицензирование. Убедитесь, что у пользователей есть лицензии, включающие возможности SSPR, например Microsoft 365 для образования A3 или A5.
• Microsoft Entra ID. Ваша организация должна использовать Microsoft Entra ID.

Действия по настройке SSPR:

1. Откройте центр Microsoft Entra Администратор.
2. Чтобы включить SSPR, перейдите в раздел Сброс пароля пользователей>. В разделе Самостоятельный сброс пароля выберите Свойства. Выберите Выбранные или Все , чтобы указать, какие пользователи могут использовать SSPR, и нажмите кнопку Сохранить.
3. Чтобы настроить методы проверки подлинности, перейдите к разделу Методы проверки подлинности в разделе Параметры сброса пароля. Выберите количество методов, необходимых для сброса пароля (например, один или два), и выберите доступные методы (например, электронная почта, телефон, контрольные вопросы). Выберите Сохранить.
4. Убедитесь, что пользователи регистрируют свои методы проверки подлинности. Это можно сделать, войдя на портал "Моя учетная запись" и выполнив запросы на настройку сведений безопасности.
5. Протестируйте конфигурацию, чтобы пользователь протестирует процесс SSPR, перейдя на портал сброса пароля. Они должны следовать инструкциям, чтобы проверить свое удостоверение и сбросить пароль.

Подробнее:

• Предоставление пользователям прав на самостоятельный сброс пароля
• Сброс рабочего или учебного пароля с помощью сведений о безопасности

Локальный локальный локальный сброс пароля для гибридных пользователей

Чтобы включить самостоятельное изменение или сброс паролей гибридных пользователей для локальных сред в образовательном параметре, можно использовать Microsoft Entra ID (ранее Azure AD) с обратной записью паролей. Это позволяет пользователям сбрасывать пароли в облаке и синхронизировать эти изменения с вашим локальная служба Active Directory (AD). Вот как его настроить.

Преимущества в области образования:

• Снижение нагрузки НА ИТ: Учащиеся и сотрудники могут сбрасывать свои пароли без вмешательства ИТ-специалистов, уменьшая количество запросов в службу поддержки.
• Улучшенная безопасность: Обеспечивает применение надежных политик паролей и снижает риск компрометации учетных записей.
• Улучшенный пользовательский интерфейс: Обеспечивает простой интерфейс для пользователей, позволяя им сбрасывать пароли из любого места.

Необходимые условия:

• Microsoft Entra Connect. Убедитесь, что установлено и настроено Microsoft Entra Connect.
• Лицензирование. У пользователей должны быть лицензии, которые включают возможности самостоятельного сброса пароля (SSPR), например Microsoft 365 для образования A3 или A5.

Действия по настройке:

1. Включение обратной записи паролей в Microsoft Entra Connect:
   1. Откройте Microsoft Entra Подключиться и нажмите кнопку Настроить.
   2. Выберите Настроить параметры синхронизации и продолжайте работу мастера, пока не перейдете на страницу Дополнительные компоненты .
   3. Включите обратную запись паролей и завершите работу мастера.
2. Включение сброса пароля Self-Service (SSPR):
   1. Перейдите к Центр администрирования Microsoft Entra.
   2. Перейдите в раздел Сброс пароля пользователей>.
   3. Выберите Самостоятельный сброс пароля и настройте параметры, чтобы включить SSPR для пользователей. Его можно включить для всех пользователей или определенной группы.
3. Настройка SSPR для гибридных пользователей:
   1. Убедитесь, что Windows 10 устройства являются гибридными Microsoft Entra ID присоединены.
   2. В Intune создайте профиль конфигурации устройства, чтобы включить SSPR на экране входа в Windows:
      1. Перейдите в раздел Профили > конфигурации устройств > + Создать профиль.
      2. Выберите Windows 10 и более поздних версий в качестве платформы и Шаблоны в качестве типа профиля.
      3. Выберите Защита идентификации и настройте параметры, чтобы включить SSPR.
4. Проверка конфигурации:
   1. Протестируйте конфигурацию, сбросив пароль пользователя на портале Microsoft 365 или на экране Windows 10 входа.
   2. Убедитесь, что изменение пароля записывается обратно в локальную службу AD.

Подробнее:

• Как работает обратная запись с самостоятельным сбросом пароля в Microsoft Entra ID?