Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Безопасность учетных записей является критически важным компонентом защиты привилегированного доступа. Для реализации концепции нулевого доверия от начала до конца в сеансах необходимо достоверно установить, что учетная запись, используемая в сеансе, фактически находится под контролем владельца-человека, а не злоумышленника, выдающего себя за него.
Надежная безопасность учетных записей начинается с безопасного развертывания и полного управления жизненным циклом до удаления, и каждый сеанс должен установить надежные гарантии того, что учетная запись в настоящее время не скомпрометирована, учитывая все доступные данные, включая исторические поведенческие шаблоны, доступную информацию об угрозах и использование в текущем сеансе.
Безопасность учетной записи
В этом руководстве определены три уровня безопасности для безопасности учетной записи, которые можно использовать для ресурсов с разными уровнями конфиденциальности:
Эти уровни устанавливают четкие и реализуемые профили безопасности, соответствующие каждому уровню чувствительности, которым можно быстро назначать роли и масштабировать. Все эти уровни безопасности учетных записей предназначены для поддержания или повышения производительности для людей путем ограничения или устранения прерывания рабочих процессов пользователей и администраторов.
Планирование безопасности учетной записи
В этом руководстве описаны технические элементы управления, необходимые для удовлетворения каждого уровня. Руководство по реализации находится в дорожной карте привилегированного доступа .
Элементы управления безопасностью учетных записей
Для обеспечения безопасности интерфейсов требуется сочетание технических элементов управления, которые защищают учетные записи и предоставляют сигналы, которые будут использоваться в решении политики нулевого доверия (см. статью "Интерфейсы защиты" для справки по конфигурации политики).
Элементы управления, используемые в этих профилях, включают:
- Многофакторная аутентификация - это предоставление различных источников подтверждения, которые делают процесс максимально простым для пользователей, но сложным для имитации злоумышленниками.
- Риск учетной записи — мониторинг угроз и аномалий — использование аналитики UEBA и угроз для выявления рискованных сценариев
- Настраиваемый мониторинг. Для более конфиденциальных учетных записей явное определение разрешенного и принятого поведения/шаблонов позволяет раннее обнаружение аномальной активности. Этот элемент управления не подходит для учетных записей общего назначения в организации, так как эти учетные записи нуждаются в гибкости для их ролей.
Сочетание элементов управления также позволяет повысить безопасность и удобство использования. Например, пользователю, который остается в привычном режиме (используя одно и то же устройство в одном местоположении день за днем), не нужно запрашивать вне процедуры MFA каждый раз, когда он проходит проверку подлинности.
Корпоративные учетные записи безопасности
Средства управления безопасностью для корпоративных учетных записей предназначены для создания безопасной базовой базы для всех пользователей и обеспечения безопасной основы для специализированной и привилегированной безопасности:
Применение строгой многофакторной проверки подлинности (MFA) — убедитесь, что пользователь проходит проверку подлинности с помощью строгой MFA, предоставляемой системой удостоверений, управляемой предприятием (подробно на схеме ниже). Дополнительные сведения о многофакторной проверке подлинности см. в статье рекомендации по обеспечению безопасности Azure 6.
Заметка
Хотя ваша организация может использовать существующую более слабую форму MFA в переходный период, злоумышленники все чаще обходят более слабые механизмы защиты MFA, поэтому все новые инвестиции в MFA должны быть сосредоточены на самых сильных механизмах.
Применение контроля риска учетной записи или сеанса — убедитесь, что учетная запись не может пройти аутентификацию, пока она не находится на низком (или среднем?) уровне риска. Дополнительные сведения о безопасности условной корпоративной учетной записи см. в разделе "Уровни безопасности интерфейса".
Мониторинг оповещений и реагирование на них . Операции безопасности должны интегрировать оповещения системы безопасности учетной записи и получить достаточное обучение тому, как работают эти протоколы и системы, чтобы они могли быстро понять, что такое оповещение означает и реагировать соответствующим образом.
На следующей схеме представлено сравнение различных форм многофакторной проверки подлинности и проверки подлинности без пароля. Каждый вариант в лучшем варианте считается с высоким уровнем безопасности и высоким уровнем удобства использования. Каждый из них имеет разные требования к оборудованию, поэтому вам может потребоваться использовать их комбинированно в зависимости от различных ролей или отдельных лиц. Все решения Майкрософт без паролей распознаются системой условного доступа как многофакторная аутентификация, поскольку они требуют объединения того, что у вас есть, с биометрическими данными или знанием чего-либо, или того и другого одновременно.
Заметка
Дополнительные сведения о том, почему аутентификация на основе SMS и других телефонных методов ограничена, смотрите в записи блога Пора прекратить использование телефонных методов для аутентификации.
Специализированные учетные записи
Специализированные учетные записи — это более высокий уровень защиты, подходящий для конфиденциальных пользователей. Из-за их более высокого влияния на бизнес специализированные учетные записи требуют дополнительного мониторинга и приоритета во время оповещений системы безопасности, расследований инцидентов и охоты на угрозы.
Специализированная безопасность основана на строгой MFA в корпоративной безопасности, определяя наиболее конфиденциальные учетные записи и обеспечивая приоритеты оповещений и процессов реагирования:
- Определение конфиденциальных учетных записей. Ознакомьтесь со специализированными рекомендациями по уровню безопасности для идентификации этих учетных записей.
- Пометка специализированных учетных записей. Убедитесь, что каждая конфиденциальная учетная запись помечена.
- Настройка списков отслеживания Microsoft Sentinel для идентификации этих конфиденциальных учетных записей
- настройка защиты приоритетных учетных записей в Microsoft Defender для Office 365 и назначение специализированных и привилегированных учетных записей как приоритетных —
- Обновление процессов операций безопасности — чтобы убедиться, что эти оповещения имеют наивысший приоритет.
- Настройка системы управления — обновление или создание процесса управления, чтобы убедиться в том, что
- Все новые роли оцениваются для специализированных или привилегированных классификаций по мере их создания или изменения.
- Все новые учетные записи помечены по мере их создания
- Непрерывные или периодические внеполосные проверки для того чтобы гарантировать, что роли и учетные записи не были упущены обычными процессами управления.
Привилегированные учетные записи
Привилегированные учетные записи имеют самый высокий уровень защиты, так как они представляют собой значительную или материальную потенциальную угрозу для деятельности организации в случае компрометации.
Привилегированные учетные записи всегда включают ИТ-администраторов с доступом к большинству или всем корпоративным системам, включая большинство или все критически важные для бизнеса системы. Другие учетные записи с высоким влиянием на бизнес также могут гарантировать этот дополнительный уровень защиты. Дополнительные сведения о том, какие роли и учетные записи следует защищать на каком уровне, см. в статье привилегированной безопасности.
Помимо специализированной безопасности, безопасность привилегированных учетных записей увеличивает оба:
- Предотвращение — добавление элементов управления для ограничения использования этих учетных записей на назначенные устройства, рабочие станции и посредники.
- Ответ — внимательно отслеживайте эти учетные записи для аномальных действий и быстро исследуйте и исправьте риск.
Настройка безопасности привилегированных учетных записей
Следуйте инструкциям в плане быстрой модернизации безопасности, чтобы повысить безопасность привилегированных учетных записей и снизить затраты на управление.