План быстрой модернизации безопасности

Этот план быстрой модернизации (RAMP) поможет вам быстро внедрить рекомендуемую стратегию привилегированного доступа Майкрософт.

Эта стратегия основана на технических элементах управления, установленных в руководстве по развертыванию привилегированного доступа . Выполните эти действия, а затем используйте шаги, описанные в этом RAMP, чтобы настроить элементы управления для вашей организации.

По мере прохождения дорожной карты вы можете использовать Microsoft Secure Score для отслеживания и сравнения множества элементов на пути с аналогичными организациями по прошествии времени. Дополнительные сведения о оценке безопасности Майкрософт см. в статье "Оценка безопасности".

Каждый элемент в этом RAMP структурирован как инициатива, которая будет отслеживаться и управляться с помощью формата, который основывается на задачах и методологии ключевых результатов (OKR). Каждый элемент включает в себя то, почему, кто, как и как измерять (ключевые результаты). Для некоторых элементов требуются изменения в процессах и знаниях людей или навыках, а другие — это более простые изменения технологий. Многие из этих инициатив будут включать членов за пределами традиционного ИТ-отдела, который должен быть включен в принятие решений и реализацию этих изменений, чтобы убедиться, что они успешно интегрированы в вашу организацию.

Важно работать вместе как организация, создавать партнерские отношения и обучать людей, которые традиционно не были частью этого процесса. Крайне важно обеспечить и поддерживать согласие в организации, без него многие проекты терпят неудачу.

Разделение привилегированных учетных записей и управление ими

Учетные записи для аварийного доступа

• Что: Убедитесь, что вы случайно не потеряете доступ к вашей организации Microsoft Entra в случае чрезвычайной ситуации.
• Почему: учетные записи аварийного доступа редко используются и сильно вредят организации, если они скомпрометируются, но их доступность в организации также критически важна для нескольких сценариев, когда они необходимы. Убедитесь, что у вас есть план непрерывности доступа, который содержит как ожидаемые, так и непредвиденные события.
• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.
  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Исполнение: Эта инициатива представляет собой совместную работу с участием
    • Документ группы по политикам и стандартам о четких требованиях и стандартах
    • Управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений
    • Контроль управления соответствием безопасности для гарантии соблюдения требований
• Как: следуйте руководству в разделе Управление учетными записями аварийного доступа в Microsoft Entra ID.
• Результаты измерения:
  • Установлено Процесс аварийного доступа разработан на основе рекомендаций Майкрософт, которые соответствуют потребностям организации
  • Поддерживается Экстренный доступ был проверен и протестирован за последние 90 дней

Включите управление привилегированными удостоверениями Microsoft Entra

• Что: использование Microsoft Entra Privileged Identity Management (PIM) в рабочей среде Microsoft Entra для обнаружения и защиты привилегированных учетных записей
• Почему: Привилегированное управление удостоверениями обеспечивает активацию ролей на основе времени и утверждения, чтобы снизить риски чрезмерного, ненужного или неправильного доступа.
• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.
  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Выполнение: Эта инициатива представляет собой совместную работу с участием
    • Документ группы по политикам и стандартам о четких требованиях и стандартах (на основе этого руководства)
    • Управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений
    • Система управления соответствием безопасности осуществляет мониторинг для обеспечения соответствия требованиям
• Как: развернуть и настроить Microsoft Entra Privileged Identity Management, следуя рекомендациям статьи Размещение Microsoft Entra Privileged Identity Management (PIM).
• Результаты измерения: 100% применимых ролей привилегированного доступа используют Microsoft Entra PIM

Определение и классификация привилегированных учетных записей (идентификатор Microsoft Entra)

• Что: определение всех ролей и групп с высоким уровнем влияния на бизнес, требующее привилегированного уровня безопасности (немедленно или с течением времени). Эти администраторы потребуют отдельных учетных записей в последующих шагах администрирования привилегированного доступа.

• Почему: этот шаг необходим для выявления и минимизации количества пользователей, требующих отдельных учетных записей и защиты привилегированного доступа.

• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.

  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Исполнение: Эта инициатива представляет собой совместную работу с участием
    • Документ группы по политикам и стандартам о четких требованиях и стандартах (на основе этого руководства)
    • Управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений
    • Система управления соответствием безопасности осуществляет мониторинг для обеспечения соответствия требованиям

• Как. После включения Microsoft Entra Privileged Identity Management просмотрите пользователей, которые занимают следующие роли Microsoft Entra, как минимум в соответствии с политиками риска вашей организации:

  • Глобальный администратор
  • Администратор привилегированных ролей
  • Администратор Exchange
  • Администратор SharePoint

  Полный список ролей администратора см. в разделе "Разрешения роли администратора" в идентификаторе Microsoft Entra.

  Удалите все учетные записи, которые больше не нужны в этих ролях. Затем классифицируйте оставшиеся учетные записи, назначенные ролям администратора:

  • Назначены администраторам, но также используются для повышения производительности, отличной от администрирования, например чтения и реагирования на электронную почту.
  • Назначены администраторам и используются только для административных целей
  • совместно используется несколькими пользователями;
  • Сценарии аварийного доступа для внештатных ситуаций
  • для автоматических скриптов;
  • для внешних пользователей.

Если у вас нет microsoft Entra Privileged Identity Management в организации, можно использовать API PowerShell. Начните с роли глобального администратора, так как она имеет одинаковые разрешения во всех облачных службах, для которых подписана ваша организация. Эти разрешения предоставляются независимо от того, где они были назначены: в Центре администрирования Microsoft 365, на портале Azure или модуле Azure AD для Microsoft PowerShell.

• Результаты измерения: Проверка и идентификация привилегированных ролей доступа завершена за последние 90 дней

Отдельные учетные записи (локальные учетные записи AD)

• Что: защита локальных привилегированных учетных записей администратора, если это еще не сделано. Этот этап включает в себя следующее:

  • Создание отдельных учетных записей администратора для пользователей, которым необходимо выполнять локальные административные задачи
  • Развертывание рабочих станций привилегированного доступа для администраторов Active Directory
  • Создание уникальных паролей локального администратора для рабочих станций и серверов

• Почему: ужесточение учетных записей, используемых для административных задач. Учетные записи администратора должны отключать почту, и личные учетные записи Майкрософт не должны быть разрешены.

• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.

  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Исполнение: Эта инициатива представляет собой совместную работу с участием
    • Документ группы по политикам и стандартам о четких требованиях и стандартах (на основе этого руководства)
    • Управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений
    • Система управления соответствием безопасности осуществляет мониторинг для обеспечения соответствия требованиям

• Практическое руководство. Все сотрудники, которым разрешено обладать правами администратора, должны иметь отдельные учетные записи для административных функций, отличных от учетных записей пользователей. Не делитесь этими учетными записями между пользователями.

  • Учетные записи пользователей уровня "Стандартный " — предоставлены стандартные привилегии пользователей для стандартных задач пользователей, таких как электронная почта, просмотр веб-страниц и использование бизнес-приложений. Эти учетные записи не предоставляются правами администратора.
  • Административные учетные записи — отдельные учетные записи , созданные для персонала, которому назначены соответствующие права администратора.

• Результаты измерения: 100% локальных привилегированных пользователей имеют отдельные выделенные учетные записи.

Microsoft Defender для идентификации

• Что: Microsoft Defender для удостоверений объединяет локальные сигналы с облачными аналитическими сведениями для мониторинга, защиты и изучения событий в упрощенном формате, что позволяет группам безопасности обнаруживать расширенные атаки на инфраструктуру удостоверений с возможностью:

  • Мониторинг пользователей, поведения сущностей и действий с помощью аналитики на основе обучения
  • Защита удостоверений пользователей и учетных данных, хранящихся в Active Directory
  • Выявление и исследование подозрительных действий пользователей и расширенных атак в цепочке убийств
  • Предоставление четкой информации об инциденте на простой временной шкале для быстрого выполнения

• Почему: современные злоумышленники могут оставаться незамеченными в течение длительного периода времени. Многие угрозы трудно найти без единой картины всей среды идентификации.

• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.

  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Исполнение: Эта инициатива представляет собой совместную работу с участием
    • Документ группы по политикам и стандартам о четких требованиях и стандартах (на основе этого руководства)
    • Управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений
    • Система управления соответствием безопасности осуществляет мониторинг для обеспечения соответствия требованиям

• Практическое руководство. Развертывание и включение Microsoft Defender для удостоверений и просмотр всех открытых оповещений.

• Измеряйте ключевые результаты: все открытые оповещения проверены и устранены соответствующими командами.

Улучшение управления учетными данными

Реализация и регистрация самостоятельного сброса пароля и объединенной регистрации сведений о безопасности

• Что: включение и настройка самостоятельного сброса пароля (SSPR) в вашей организации и включение объединенного интерфейса регистрации сведений о безопасности.
• Почему: пользователи могут сбрасывать свои собственные пароли после регистрации. Объединенный интерфейс регистрации сведений о безопасности обеспечивает лучший пользовательский интерфейс, позволяющий регистрировать многофакторную проверку подлинности Microsoft Entra и самостоятельный сброс пароля. Эти средства при совместном использовании способствуют снижению затрат на службу поддержки и более удовлетворенных пользователей.
• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.
  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Исполнение: Эта инициатива представляет собой совместную работу с участием
    • Документ группы по политикам и стандартам о четких требованиях и стандартах (на основе этого руководства)
    • Управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений
    • Менеджмент соответствия требованиям безопасности следит за соблюдением требований
    • Централизованные ИТ-операции Процессы технической поддержки были обновлены, и персонал был обучен на них
• Практическое руководство. Включение и развертывание SSPR см. в статье "Планирование развертывания самостоятельного сброса пароля Microsoft Entra".
• Ключевые результаты измерений: самостоятельный сброс пароля полностью настроен и доступен для организации.

Защита учетных записей администраторов - Включение и требование использования MFA / беспарольной аутентификации для привилегированных пользователей Microsoft Entra ID

• Что: требуется использовать все привилегированные учетные записи в идентификаторе Microsoft Entra для использования строгой многофакторной проверки подлинности

• Почему: защита доступа к данным и службам в Microsoft 365.

• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.

  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Исполнение: Эта инициатива представляет собой совместную работу с участием
    • Документ группы по политикам и стандартам о четких требованиях и стандартах (на основе этого руководства)
    • Управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений
    • Управление соблюдением требований безопасности отслеживает для обеспечения соответствия требованиям
    • Централизованные ИТ-операции Процессы технической поддержки были обновлены, и персонал был обучен на них
    • Централизованные ИТ-операции Процессы владельца службы были обновлены, а персонал был обучен на них

• Как: Включить многофакторную аутентификацию (MFA) Microsoft Entra и зарегистрировать все другие нефедеративные учетные записи администратора с высоким уровнем привилегий. Требовать многофакторную проверку подлинности при входе для всех отдельных пользователей, которые постоянно назначены одной или нескольким ролям администратора Microsoft Entra.

  Требовать от администраторов использовать методы входа без пароля, такие как ключи безопасности FIDO2 или Windows Hello для бизнеса в сочетании с уникальными, длинными и сложными паролями. Применение этого изменения с помощью документа политики организации.

Следуйте инструкциям в следующих статьях: планирование развертывания многофакторной проверки подлинности Microsoft Entra и планирование развертывания без пароля проверки подлинности в идентификаторе Microsoft Entra ID.

• Результаты измерения ключа: 100% привилегированных пользователей используют проверку подлинности без пароля или надежную форму многофакторной проверки подлинности для всех входов. См. Учетные записи привилегированного доступа для описания многофакторной аутентификации.

Блокировать устаревшие протоколы проверки подлинности для привилегированных учетных записей пользователей

• Что: блокировать использование устаревшего протокола проверки подлинности для привилегированных учетных записей пользователей.

• Почему: организации должны блокировать эти устаревшие протоколы проверки подлинности, так как многофакторная проверка подлинности не может быть применена к ним. После включения устаревших протоколов проверки подлинности можно создать точку входа для злоумышленников. Некоторые устаревшие приложения могут полагаться на эти протоколы и организации имеют возможность создавать определенные исключения для определенных учетных записей. Эти исключения следует отслеживать и реализовывать дополнительные элементы управления мониторингом.

• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.

  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Выполнение: Эта инициатива представляет собой совместную работу с участием
    • Политика и стандарты: определение четких требований
    • Управление удостоверениями и ключами или центральные ИТ-операции для реализации политики
    • Мониторинг управления соблюдением норм безопасности для обеспечения соответствия требованиям.

• Практическое руководство. Чтобы заблокировать устаревшие протоколы проверки подлинности в организации, следуйте инструкциям в статье "Практическое руководство. Блокировка устаревшей проверки подлинности в идентификаторе Microsoft Entra с помощью условного доступа".

• Результаты измерения:

  • Устаревшие протоколы заблокированы: Все устаревшие протоколы блокируются для всех пользователей, только авторизованные исключения
  • Исключения проверяются каждые 90 дней и истекают окончательно в течение одного года. Владельцы приложений должны исправить все исключения в течение одного года первого утверждения исключения

Процесс получения согласия для приложения

• Что: отключите согласие конечных пользователей для приложений Microsoft Entra.

• Почему: пользователи могут непреднамеренно создавать организационные риски, предоставляя согласие для приложения, которое может злонамеренно получать доступ к данным организации.
• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.
  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Выполнение: Эта инициатива представляет собой совместную работу с участием
    • Документ группы по политикам и стандартам о четких требованиях и стандартах (на основе этого руководства)
    • Управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений
    • Мониторинг управления соблюдением норм безопасности для обеспечения соответствия требованиям.
    • Централизованные ИТ-операции Процессы технической поддержки были обновлены, и персонал был обучен на них
    • Централизованные ИТ-операции Процессы владельца службы были обновлены, а персонал был обучен на них
• Практическое руководство. Создание централизованного процесса согласия для обеспечения централизованной видимости и контроля над приложениями, имеющими доступ к данным, следуя инструкциям в статье, управлению согласием приложений и оценке запросов на согласие.
• Измерение ключевых результатов: конечные пользователи не могут дать согласие на доступ к приложению Microsoft Entra

Очистка учетных записей и рисков входа

• Что: активируйте Microsoft Entra ID Protection и устраните все риски, выявленные системой.
• Почему: рискованные действия пользователя и входа могут быть источником атак на вашу организацию.
• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.
  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Выполнение: Эта инициатива представляет собой совместную работу с участием
    • Документ группы по политикам и стандартам о четких требованиях и стандартах (на основе этого руководства)
    • Управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений
    • Мониторинг управления соблюдением норм безопасности для обеспечения соответствия требованиям.
    • Централизованные ИТ-операции Процессы технической поддержки были обновлены для связанных вызовов поддержки, и персонал был обучен на них
• Практическое руководство. Создание процесса, который отслеживает и управляет пользователями и рисками входа. Определите, будет ли вы автоматизировать исправление, используя многофакторную проверку подлинности Microsoft Entra и SSPR, или заблокировать и потребовать вмешательства администратора. Следуйте инструкциям в статье "Практическое руководство. Настройка и включение политик риска".
• Измерение ключевых результатов: у организации нет неурегулированных рисков для пользователей и для входа.

Начальное развертывание рабочих станций администратора

• Что: привилегированные учетные записи, такие как те, которые используются для управления идентификатором Microsoft Entra ID, имеют выделенные рабочие станции для выполнения административных задач.
• Почему: устройства, на которых выполняются задачи привилегированного администрирования, являются мишенью злоумышленников. Защита не только учетной записи, но и этих ресурсов является критически важной для уменьшения области атаки. Это разделение ограничивает их воздействие на распространенные атаки, направленные на задачи, связанные с производительностью, такие как электронная почта и веб-просмотр.
• Кто: эта инициатива обычно возглавляется архитектурой управления удостоверениями и ключами и (или) архитектурой безопасности.
  • Спонсорство: Как правило, эта инициатива спонсируется CISO, CIO или директором по идентификации
  • Выполнение: Эта инициатива представляет собой совместную работу с участием
    • Документ группы по политикам и стандартам о четких требованиях и стандартах (на основе этого руководства)
    • Управление удостоверениями и ключами или централизованные ИТ-операции для реализации любых изменений
    • Мониторинг управления соблюдением норм безопасности для обеспечения соответствия требованиям.
    • Централизованные ИТ-операции Процессы технической поддержки были обновлены, и персонал был обучен на них
    • Централизованные ИТ-операции Процессы владельца службы были обновлены, а персонал был обучен на них
• Практическое руководство. Начальное развертывание должно быть на уровне предприятия, как описано в статье "Развертывание привилегированного доступа"
• Измеряйте ключевые результаты: каждая привилегированная учетная запись имеет выделенную рабочую станцию для выполнения конфиденциальных задач.

Дальнейшие шаги

• Безопасность привилегированного доступа: обзор
• стратегия привилегированного доступа
• Измерение успеха
• Уровни безопасности
• учетные записи привилегированного доступа
• Посредников
• Интерфейсы
• устройства с привилегированным доступом
• Корпоративная модель доступа