Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Безопасность учетных записей является критически важным компонентом защиты привилегированного доступа. Для сквозной безопасности с нулевым доверием для сеансов необходимо четко установить, что учетная запись, используемая в сеансе, действительно находится под контролем владельца, а не злоумышленника, выдающего себя за него.
Надежная безопасность учетных записей начинается с безопасного развертывания и полного управления жизненным циклом до удаления, и каждый сеанс должен установить надежные гарантии того, что учетная запись в настоящее время не скомпрометирована, учитывая все доступные данные, включая исторические поведенческие шаблоны, доступную информацию об угрозах и использование в текущем сеансе.
Безопасность учетной записи
В этом руководстве определены три уровня безопасности для безопасности учетной записи, которые можно использовать для ресурсов с разными уровнями конфиденциальности:
Эти уровни устанавливают четкие и реализуемые профили безопасности, соответствующие каждому уровню чувствительности, которым можно быстро назначать роли и масштабировать. Все эти уровни безопасности учетных записей предназначены для поддержания или повышения производительности для людей путем ограничения или устранения прерывания рабочих процессов пользователей и администраторов.
Планирование безопасности учетной записи
В этом руководстве описаны технические элементы управления, необходимые для удовлетворения каждого уровня. Руководство по реализации находится в дорожной карте привилегированного доступа .
Элементы управления безопасностью учетных записей
Для обеспечения безопасности интерфейсов требуется сочетание технических элементов управления, которые защищают учетные записи и предоставляют сигналы, которые будут использоваться в решении политики нулевого доверия (см. статью "Интерфейсы защиты" для справки по конфигурации политики).
Элементы управления, используемые в этих профилях, включают:
- Многофакторная аутентификация — это предоставить различные источники доказательств, разработанные так, чтобы пользователям было как можно проще, но трудно для злоумышленника имитировать.
- Риск учетной записи — мониторинг угроз и аномалий — использование аналитики UEBA и угроз для выявления рискованных сценариев
- Настраиваемый мониторинг. Для более конфиденциальных учетных записей явное определение разрешенного и принятого поведения/шаблонов позволяет раннее обнаружение аномальной активности. Этот элемент управления не подходит для учетных записей общего назначения в организации, так как эти учетные записи нуждаются в гибкости для их ролей.
Сочетание элементов управления также позволяет повысить безопасность и удобство использования. Например, пользователю, который остается в привычном режиме (используя одно и то же устройство в одном местоположении день за днем), не нужно запрашивать вне процедуры MFA каждый раз, когда он проходит проверку подлинности.
Корпоративные учетные записи безопасности
Средства управления безопасностью для корпоративных учетных записей предназначены для создания безопасной базовой базы для всех пользователей и обеспечения безопасной основы для специализированной и привилегированной безопасности:
Принудительное применение надежной многофакторной проверки подлинности (MFA) — убедитесь, что пользователь проходит проверку подлинности с помощью строгой MFA, предоставляемой системой удостоверений, управляемой предприятием (подробно на схеме ниже). Дополнительные сведения о многофакторной проверке подлинности см. в рекомендации по обеспечению безопасности Azure 6.
Заметка
Хотя ваша организация может использовать существующую более слабую форму MFA в переходный период, злоумышленники все чаще обходят более слабые механизмы защиты MFA, поэтому все новые инвестиции в MFA должны быть сосредоточены на самых сильных механизмах.
Применение контроля риска учетной записи или сеанса — убедитесь, что учетная запись не может пройти аутентификацию, пока она не находится на низком (или среднем?) уровне риска. Дополнительные сведения о безопасности условной корпоративной учетной записи см. в разделе "Уровни безопасности интерфейса".
Мониторинг оповещений и реагирование на них . Операции безопасности должны интегрировать оповещения системы безопасности учетной записи и получить достаточное обучение тому, как работают эти протоколы и системы, чтобы они могли быстро понять, что такое оповещение означает и реагировать соответствующим образом.
На следующей схеме представлено сравнение различных форм многофакторной проверки подлинности и проверки подлинности без пароля. Каждый вариант в поле Best — это высокий уровень безопасности и высокая удобство использования. Каждый из них имеет разные требования к оборудованию, поэтому вам может потребоваться использовать их комбинированно в зависимости от различных ролей или отдельных лиц. Все решения без пароля Майкрософт распознаются условным доступом как многофакторная проверка подлинности, так как им требуется объединить то, что у вас есть с биометрическими данными, то, что вы знаете, или оба.
Заметка
Дополнительные сведения о том, почему аутентификация на основе SMS и других телефонных методов ограничена, смотрите в записи блога Пора прекратить использование телефонных методов для аутентификации.
Специализированные учетные записи
Специализированные учетные записи обеспечивают более высокий уровень защиты, подходящий для конфиденциальных пользователей. Из-за их более высокого влияния на бизнес специализированные учетные записи требуют дополнительного мониторинга и приоритета во время оповещений системы безопасности, расследований инцидентов и охоты на угрозы.
Специализированная безопасность основана на строгой MFA в корпоративной безопасности, определяя наиболее конфиденциальные учетные записи и обеспечивая приоритеты оповещений и процессов реагирования:
- Определение конфиденциальных учетных записей. Ознакомьтесь со специализированными рекомендациями по уровню безопасности для идентификации этих учетных записей.
- Пометьте специализированные учетные записи и убедитесь, что каждая конфиденциальная учетная запись помечена.
- Настройка списков отслеживания Microsoft Sentinel для идентификации этих конфиденциальных учетных записей
- настройка защиты приоритетных учетных записей в Microsoft Defender для Office 365 и назначение специализированных и привилегированных учетных записей как приоритетных —
- Обновите процессы обеспечения безопасности, чтобы присвоить этим оповещениям наивысший приоритет.
- Настройка системы управления — обновление или создание процесса управления, чтобы убедиться в том, что
- Все новые роли оцениваются для специализированных или привилегированных классификаций по мере их создания или изменения.
- Все новые учетные записи помечены по мере их создания
- Непрерывные или периодические внеполосные проверки для того чтобы гарантировать, что роли и учетные записи не были упущены обычными процессами управления.
Привилегированные учетные записи
Привилегированные учетные записи имеют самый высокий уровень защиты, так как они представляют собой значительную или материальную потенциальную угрозу для деятельности организации в случае компрометации.
Привилегированные учетные записи всегда включают ИТ-администраторов с доступом к большинству или всем корпоративным системам, включая большинство или все критически важные для бизнеса системы. Другие учетные записи с высоким влиянием на бизнес также могут гарантировать этот дополнительный уровень защиты. Дополнительные сведения о том, какие роли и учетные записи следует защищать на каком уровне, см. в статье привилегированной безопасности.
Помимо специализированной безопасности, безопасность привилегированных учетных записей обеспечивает дополнительные преимущества:
- Предотвращение — добавление элементов управления для ограничения использования этих учетных записей на назначенные устройства, рабочие станции и посредники.
- Ответ — внимательно отслеживайте эти учетные записи для аномальных действий и быстро исследуйте и исправьте риск.
Настройка безопасности привилегированных учетных записей
Следуйте инструкциям в плане быстрой модернизации безопасности, чтобы повысить безопасность привилегированных учетных записей и снизить затраты на управление.