Поделиться через


Общие сведения о стратегии без пароля

В этой статье описывается стратегия майкрософт без пароля и способы ее реализации с помощью функций безопасности Windows.

Четыре шага к свободе пароля

Корпорация Майкрософт прилагает все усилия, чтобы создать мир, в котором пароли больше не нужны. Вот как корпорация Майкрософт представляет четыре шага для завершения эры паролей для организаций:

Развертывание варианта замены паролей

Прежде чем отойти от паролей, вам нужно что-то заменить. ключи безопасности Windows Hello для бизнеса и FIDO2 предоставляют надежные аппаратные двухфакторные учетные данные, которые обеспечивают единый вход в Microsoft Entra ID и Active Directory.
Развертывание ключей безопасности Windows Hello для бизнеса или FIDO2 — это первый шаг к созданию среды без пароля. Пользователи, скорее всего, будут использовать эти функции из-за их удобства, особенно в сочетании с биометрией. Однако для некоторых рабочих процессов и приложений могут по-прежнему потребоваться пароли. На этом раннем этапе речь идет о реализации альтернативного решения для паролей и приучить пользователей к нему.

Уменьшение контактной области пароля, видимой пользователем

Если параметр замены паролей и пароли сосуществуют в среде, следующим шагом является уменьшение контактной области пароля. Среда и рабочие процессы должны перестать запрашивать пароли. Цель этого шага — достичь состояния, в котором пользователи знают, что у них есть пароль, но никогда не используют его. Это состояние помогает пользователям отменять ввод пароля в любое время, когда запрос пароля отображается на их компьютере. Это поведение является способом фишинга паролей. Пользователи, которые редко, если вообще используют свой пароль, вряд ли будут предоставлять его. Запросы паролей больше не являются нормой.

Переход на развертывание без пароля

После устранения видимой пользователем области паролей ваша организация может начать переход пользователей в среду без пароля. На этом этапе пользователи никогда не вводят, не изменяют или даже не знают свой пароль.
Пользователь входит в Windows с помощью ключей безопасности Windows Hello для бизнеса или FIDO2 и пользуется единым входом в ресурсы Microsoft Entra ID и Active Directory. Если пользователь вынужден пройти проверку подлинности, его проверка подлинности использует ключи безопасности Windows Hello для бизнеса или FIDO2.

Устранение паролей из каталога удостоверений

Последний шаг пути без пароля — это отсутствие паролей. На этом этапе в каталогах удостоверений не хранятся какие-либо пароли.

Подготовка к переходу без пароля

Путь к тому, чтобы быть без пароля - это путешествие. Длительность пути зависит от каждой организации. Ит-лицам важно понимать критерии, влияющие на продолжительность этого пути.

Самый интуитивный ответ — это размер организации, но что именно определяет размер? Мы можем рассмотреть эти факторы, чтобы получить сводку о размере организации:

Коэффициент размера Сведения
Количество отделов Количество отделов в организации различается. Большинство организаций имеют общий набор отделов, таких как исполнительное руководство, управление персоналом, бухгалтерия, продажи и маркетинг. Небольшие организации могут не сегментации своих отделов явным образом, в то время как более крупные организации могут. Кроме того, могут существовать поддепартаменты и поддепартаменты этих поддепартаментов.

Вам нужно знать все отделы в организации, а также знать, в каких отделах используются компьютеры, а в каких нет. Это нормально, если отдел не использует компьютеры (вероятно, редко, но приемлемо). Это обстоятельство означает, что есть на один отдел меньше, с которым вы должны заниматься. Тем не менее, убедитесь, что этот отдел находится в вашем списке и что он неприменим.

Ваш подсчет отделов должен быть тщательный и точный, а также знать заинтересованных лиц для тех отделов, которые ставят вас и ваши сотрудники на путь к свободе паролей. В реальности многие из нас упускают из виду нашу организационную диаграмму и то, как она растет или сокращается с течением времени. Именно поэтому вам нужно провести инвентаризацию всех из них. Кроме того, не забудьте включить внешние отделы, такие как поставщики или федеративные партнеры. Если в вашей организации используется без пароля, но ваши партнеры продолжают использовать пароли для доступа к корпоративным ресурсам, следует знать об этом и включать их в стратегию без пароля.
Иерархия организации или отдела Иерархия организации и отделов — это уровни управления в отделах или организации в целом. Как используется устройство, какие приложения и как они используются, скорее всего, различаются в каждом отделе, но и в структуре отдела. Чтобы определить правильную стратегию без пароля, необходимо знать эти различия в организации. Исполнительный руководитель, скорее всего, будет использовать свое устройство иначе, чем сотрудник среднего звена в отделе продаж. Оба этих варианта, вероятно, отличаются от того, как отдельные участник в отделе обслуживания клиентов используют свое устройство.
Количество и тип приложений и служб Большинство организаций имеют много приложений и редко имеют один централизованный список, который является точным. Приложения и службы являются наиболее важными элементами в оценке без пароля. Приложениям и службам требуется много усилий для перехода на другой тип проверки подлинности. Изменение политик и процедур может быть сложной задачей. Рассмотрите компромисс между обновлением стандартных операционных процедур и политик безопасности по сравнению с изменением 100 строк (или более) кода проверки подлинности в критическом пути вашего внутреннего приложения CRM.

Фиксировать количество используемых приложений проще, если у вас есть отделы, их иерархия и заинтересованные лица. При таком подходе у вас должен быть упорядоченный список отделов и иерархия в каждом из них. Теперь можно связать приложения, которые используются на всех уровнях в каждом отделе. Вы также хотите задокументировать, является ли приложение внутренне разработанным или коммерчески доступным в готовых версиях. В последнем случае задокументируйте производителя и версию. Кроме того, не забывайте о веб-приложениях или службах при инвентаризации приложений.
Количество рабочих персон Рабочие личности — это место, где сходятся три предыдущих усилия. Вы знаете отделы, организационные уровни в каждом отделе, количество приложений, используемых каждым, соответственно, и тип приложения. На основе этих сведений вы хотите создать рабочую персону.

Рабочая персона классифицирует категорию пользователя, должность или роль (отдельный участник, менеджер, менеджер среднего уровня и т. д.) в определенном отделе к коллекции используемых приложений. Существует высокая вероятность того, что у вас есть много рабочих персон. Эти рабочие лица станут единицами работы, и вы ссылаетесь на них в документации и на собраниях. Вам нужно присвоить им имя.

Дайте своим пользователям простые и интуитивно понятные имена, такие как Аманда - Бухгалтерия, Марк - Маркетинг или Sue - Продажи. Если уровни организации являются общими для разных отделов, определите имя, представляющее общие уровни в отделе. Например, Аманда может быть первым именем отдельного участник в любом отделе, в то время как имя Sue может представлять кого-то из руководителей среднего звена в любом отделе. Кроме того, можно использовать суффиксы (например, I, II, Старший и т. д.) для дальнейшего определения структуры отдела для данного человека.

В конечном итоге создайте соглашение об именовании, которое не требует от заинтересованных лиц и партнеров считывать длинный список таблиц или круг секретного декодера. Кроме того, по возможности старайтесь сохранять ссылки как имена людей. В конце концов, вы говорите о человеке, который находится в этом отделе и который использует это конкретное программное обеспечение.
ИТ-структура организации Структуры ИТ-отделов могут отличаться больше, чем в организации. Некоторые ИТ-отделы централизованны, а другие децентрализованы. Кроме того, на пути к свободе пароля вы, вероятно, будете взаимодействовать с командой проверки подлинности клиентов , командой развертывания , группой безопасности , PKI , командой идентификации , облачной командой и т. д. Большинство из этих команд являются вашими партнерами на пути к свободе паролей. Убедитесь, что в каждой из этих команд есть заинтересованные лица без пароля, и что эти усилия понятны и профинансированы.

Оценка организации

К настоящему времени вы можете понять, почему это путешествие, а не быстрая задача. Необходимо изучить области паролей, видимые пользователем, для каждого из ваших рабочих пользователей. После определения поверхностей паролей необходимо устранить их. Разрешение некоторых поверхностей паролей просто. Это означает, что решение уже существует в среде, и речь идет только о перемещении пользователей к нему. Разрешение некоторых поверхностей паролей может существовать, но не развертывается в вашей среде. Это решение приводит к тому, что проект должен быть спланирован, протестирован, а затем развернут. Этот проект, скорее всего, будет охватывать несколько ИТ-отделов с несколькими людьми и, возможно, одной или несколькими распределенными системами. Эти типы проектов требуют времени и требуют выделенных циклов. Это же мнение верно и для собственной разработки программного обеспечения. Даже в гибких методологиях разработки изменение способа проверки подлинности пользователя в приложении имеет решающее значение. Без надлежащего планирования и тестирования он может серьезно повлиять на производительность.

Время завершения пути без пароля зависит от соответствия организации стратегии без пароля. Соглашение сверху вниз о том, что среда без пароля является целью организации, упрощает общение. Более простые разговоры означают меньше времени, затрачиваемого на убеждение людей, и больше времени, затрачиваемого на продвижение к цели. Соглашение сверху вниз в качестве приоритета в рядах других текущих ИТ-проектов помогает всем понять, как определить приоритеты существующих проектов. Согласование приоритетов должно сократить и свести к минимуму эскалацию на уровне руководителей и руководителей. После этих обсуждений в организации используются современные методы управления проектами, чтобы продолжить работу без пароля. Организация выделяет ресурсы на основе приоритета (после согласования стратегии). Эти ресурсы:

  • Работа с рабочими пользователями
  • Организация и развертывание приемочного тестирования пользователей
  • Оценка результатов пользовательского приемочного тестирования для видимых пользователями поверхностей паролей
  • Работа с заинтересованными лицами для создания решений, которые устраняют видимые пользователями области паролей
  • Добавьте решение в невыполненную работу по проекту и определите приоритет по отношению к другим проектам.
  • Развертывание решения
  • Выполните приемочное тестирование пользователя, чтобы убедиться, что решение устраняет проблему с видимой областью пароля пользователя.
  • Повторите тестирование при необходимости

Переход вашей организации к свободе паролей может занять некоторое время. Подсчет количества рабочих лиц и количества заявок является хорошим показателем инвестиций. Надеюсь, ваша организация растет, что означает, что список пользователей и список приложений вряд ли сократится. Если работа по переходу без пароля сегодня n, то вполне вероятно, что перейти без пароля завтра n x 2 или более, n x n n n n. Не позволяйте отвлечению размера или длительности проекта. По мере продвижения по каждому рабочему человеку действия и задачи становятся более привычными для вас и ваших заинтересованных лиц. Оставьте проект в пределах масштабируемых, реалистичных этапов, выберите правильных рабочих лиц, и вскоре вы увидите, что часть вашей организации перейдет в состояние без пароля.

Какое лучшее руководство по началу пути к свободе паролей? Вы хотите как можно скорее показать своему руководству подтверждение концепции. В идеале вы хотите показывать его на каждом шаге пути без пароля. Сохраняя стратегию без пароля на первое место и показывая последовательный прогресс, все будут сосредоточены.

Рабочая персона

Вы начинаете с ваших рабочих персон. Они были частью процесса подготовки. У них есть имя пользователя, например Amanda — Accounting II, или любое другое соглашение об именовании, определенное вашей организацией. Эта рабочая персона включает в себя список всех приложений , которые Аманда использует для выполнения своих обязанностей в бухгалтерии. Для начала необходимо выбрать рабочую персону. Это целевой рабочий человек, который вы позволяете завершить путь.

Совет

Избегайте использования рабочих сотрудников из ИТ-отдела. Этот метод, вероятно, является худшим способом начать путь без пароля. ИТ-роли очень сложны и трудоемки. ИТ-работники обычно имеют несколько учетных данных, выполняют множество сценариев и пользовательских приложений и являются худшими нарушителями использования паролей. Лучше сохранить этих рабочих персон на середину или конец вашего пути.

Просмотрите коллекцию рабочих персон. В начале пути без пароля определите пользователей с наименьшим количеством приложений. Эти сотрудники могут представлять целый отдел или два. Эти роли являются идеальными рабочими лицами для подтверждения концепции (POC) или пилотного проекта.

Большинство организаций размещают свои POC в лаборатории тестирования или среде. Если вы выполняете этот тест с помощью стратегии без пароля, это может быть более сложной задачей и занять больше времени. Для тестирования в лаборатории необходимо сначала дублировать среду целевого пользователя. Этот процесс может занять несколько дней или несколько недель, в зависимости от сложности целевого сотрудника.

Вы хотите сбалансировать лабораторное тестирование и быстро предоставлять результаты управлению. Продолжать показывать прогресс на пути к свободе паролей всегда хорошо. Если существуют способы тестирования в рабочей среде с низким риском или без риска, это может оказаться выгодным для временная шкала.

Путь к свободе пароля заключается в том, чтобы провести каждого рабочего человека через каждый этап процесса. В начале мы рекомендуем работать с одним человеком за раз, чтобы участники команды и заинтересованные лица были знакомы с этим процессом. После того как вы сможете освоить процесс, вы можете параллельно охватить столько рабочих лиц, сколько позволяют ресурсы. Процесс выглядит примерно так:

Развертывание варианта замены без пароля

  • Определение тестовых пользователей, представляющих целевого рабочего человека
  • Развертывание Windows Hello для бизнеса для тестовых пользователей
  • Проверка работы паролей и Windows Hello для бизнеса

Уменьшение видимой пользователем области паролей

  • Опрос тестового рабочего процесса пользователя для использования пароля
  • Определение использования пароля и планирование, разработка и развертывание мер по устранению рисков паролей
  • Повторяйте, пока не будет устранено все использование паролей пользователем
  • Удаление возможностей паролей из Windows
  • Убедитесь, что ни один из рабочих процессов не нуждается в паролях

Переход в сценарий без пароля

  • Кампания по повышению осведомленности и обучение пользователей
  • Включение остальных пользователей, которые соответствуют рабочей персоне
  • Убедитесь, что ни один из пользователей рабочих пользователей не нуждается в паролях
  • Настройка учетных записей пользователей для предотвращения проверки подлинности по паролю

После успешного перемещения рабочей персоны к свободе пароля вы можете определить приоритеты остальных рабочих лиц и повторить процесс.

Дальнейшие действия