Privilegovaný přístup: Účty

Zabezpečení účtu je důležitou součástí zabezpečení privilegovaného přístupu. Koncové nulová důvěra (Zero Trust) zabezpečení relací vyžaduje silné zjištění, že účet, který se používá v relaci, je vlastně pod kontrolou vlastníka člověka, a ne útočníka, který je zosobňuje.

Zabezpečení silného účtu začíná zabezpečením zabezpečeného zřizování a úplné správy životního cyklu prostřednictvím zrušení zřízení a každá relace musí zajistit silné záruky, že účet není aktuálně ohrožen na základě všech dostupných dat, včetně historických vzorů chování, dostupné analýzy hrozeb a využití v aktuální relaci.

Zabezpečení účtu

Tyto pokyny definují tři úrovně zabezpečení pro zabezpečení účtu, které můžete použít pro prostředky s různými úrovněmi citlivosti:

Protecting accounts end to end

Tyto úrovně stanoví jasné a implementovatelné profily zabezpečení vhodné pro každou úroveň citlivosti, ke které můžete přiřadit role a rychle škálovat kapacitu. Všechny tyto úrovně zabezpečení účtů jsou navržené tak, aby udržovaly nebo zlepšily produktivitu pro uživatele omezením nebo odstraněním přerušení pracovních postupů uživatelů a správců.

Plánování zabezpečení účtu

Tyto pokyny popisují technické kontroly potřebné ke splnění jednotlivých úrovní. Pokyny k implementaci jsou v plánu privilegovaného přístupu.

Kontrolní mechanismy zabezpečení účtu

Dosažení zabezpečení pro rozhraní vyžaduje kombinaci technických kontrolních mechanismů, které chrání účty a poskytují signály, které se mají použít v rozhodnutí o zásadách nulová důvěra (Zero Trust) (viz Rozhraní zabezpečení pro referenční informace o konfiguraci zásad).

Mezi ovládací prvky použité v těchto profilech patří:

  • Vícefaktorové ověřování – poskytuje různorodé zdroje důkazu, že (navržený tak, aby byl pro uživatele co nejjednodušší, ale pro nežádoucí osobu je obtížné napodobovat).
  • Riziko účtů – Monitorování hrozeb a anomálií – identifikace rizikových scénářů pomocí UEBA a analýzy hrozeb
  • Vlastní monitorování – U citlivějších účtů explicitně definující povolené/akceptované chování/vzory umožňují včasnou detekci neobvyklé aktivity. Tento ovládací prvek není vhodný pro účty pro obecné účely v podniku, protože tyto účty potřebují flexibilitu pro své role.

Kombinace ovládacíchprvkůchm prvkům vám také umožňuje zlepšit zabezpečení i použitelnost – například uživatel, který zůstává v normálním vzoru (používá stejné zařízení ve stejném umístění po dni) nemusí být při každém ověření vyzván k zadání externího vícefaktorového ověřování.

Comparing each account tier and cost benefit

Podnikové účty zabezpečení

Kontrolní mechanismy zabezpečení pro podnikové účty jsou navržené tak, aby vytvořily zabezpečený směrný plán pro všechny uživatele a poskytovaly bezpečný základ pro specializované a privilegované zabezpečení:

  • Vynucení silného vícefaktorového ověřování (MFA) – ujistěte se, že je uživatel ověřený pomocí silného vícefaktorového ověřování poskytovaného systémem identit spravovaného podnikem (podrobně v následujícím diagramu). Další informace o vícefaktorovém ověřování najdete v osvědčených postupech zabezpečení Azure 6.

    Poznámka:

    I když se vaše organizace může rozhodnout použít stávající slabší formu vícefaktorového ověřování během přechodného období, útočníci stále více zneužívají slabší ochranu vícefaktorového ověřování, takže všechny nové investice do vícefaktorového ověřování by měly být na nejsilnějších formách.

  • Vynucujte riziko účtu nebo relace – ujistěte se, že se účet nemůže ověřit, pokud nemá nízkou (nebo střední?) úroveň rizika. Podrobnosti o zabezpečení podmíněného podnikového účtu najdete v tématu Úrovně zabezpečení rozhraní.

  • Monitorování a reakce na výstrahy – Operace zabezpečení by měly integrovat výstrahy zabezpečení účtů a získat dostatečné školení o tom, jak tyto protokoly a systémy fungují, aby mohly rychle pochopit, co výstraha znamená, a odpovídajícím způsobem reagovat.

Následující diagram poskytuje porovnání různých forem vícefaktorového ověřování a ověřování bez hesla. Každá možnost v nejlepším poli se považuje za vysokou bezpečnost i vysokou použitelnost. Každý z nich má jiné požadavky na hardware, takže můžete chtít kombinovat a shodovat, které se vztahují na různé role nebo jednotlivce. Všechna řešení bez hesla Microsoftu jsou podmíněným přístupem rozpoznána jako vícefaktorové ověřování, protože vyžadují kombinaci něčeho, co máte s biometrikou, něčím, co víte nebo obojí.

Comparison of authentication methods good, better, best

Poznámka:

Další informace o tom, proč je sms a jiné ověřování založené na telefonu omezené, najdete v blogovém příspěvku Je čas zavěsit na Telefon přenosy pro ověřování.

Specializované účty

Specializované účty jsou vyšší úroveň ochrany vhodná pro citlivé uživatele. Kvůli vyššímu obchodnímu dopadu vyžadují specializované účty další monitorování a stanovení priorit během výstrah zabezpečení, vyšetřování incidentů a proaktivního vyhledávání hrozeb.

Specializované zabezpečení vychází ze silného vícefaktorového ověřování v podnikovém zabezpečení tím, že identifikuje nejcitlivější účty a zajišťuje stanovení priority procesů výstrah a odpovědí:

  1. Identifikace citlivých účtů – Pokyny ke specializované úrovni zabezpečení pro identifikaci těchto účtů
  2. Označení specializovaných účtů – Zajistěte, aby byl každý citlivý účet označený.
    1. Konfigurace seznamů ke zhlédnutí služby Microsoft Sentinel pro identifikaci těchto citlivých účtů
    2. Konfigurace ochrany účtu priority v Microsoft Defender pro Office 365 a určení specializovaných a privilegovaných účtů jako účtů s prioritou –
  3. Aktualizace procesů operací zabezpečení – aby se zajistilo, že se těmto výstrahám přidělí nejvyšší priorita
  4. Nastavení zásad správného řízení – Aktualizace nebo vytvoření procesu zásad správného řízení, aby se zajistilo, že
    1. Všechny nové role, které se mají vyhodnotit pro specializované nebo privilegované klasifikace při jejich vytváření nebo změně
    2. Všechny nové účty se označí jako vytvořené.
    3. Průběžné nebo pravidelné kontroly mimo pásmo, aby se zajistilo, že role a účty nezmeškaly normální procesy zásad správného řízení.

Privilegované účty

Privilegované účty mají nejvyšší úroveň ochrany, protože představují významný nebo materiálový dopad na operace organizace v případě ohrožení zabezpečení.

Privilegované účty vždy zahrnují IT Správa s přístupem k většině nebo všem podnikovým systémům, včetně většiny nebo všech důležitých obchodních systémů. Další účty s vysokým obchodním dopadem mohou také zaručovat tuto dodatečnou úroveň ochrany. Další informace o tom, které role a účty by měly být chráněny na jaké úrovni, najdete v článku Privilegované zabezpečení.

Kromě specializovaného zabezpečení zvyšuje zabezpečení privilegovaného účtu obojí:

  • Prevence – přidání ovládacích prvků, které omezují používání těchto účtů na určená zařízení, pracovní stanice a zprostředkovatele.
  • Reakce – pečlivě monitorujte tyto účty za neobvyklé aktivity a rychle prošetřujte a opravujte rizika.

Konfigurace zabezpečení privilegovaného účtu

Postupujte podle pokynů v plánu rychlé modernizace zabezpečení, abyste zvýšili zabezpečení privilegovaných účtů a snížili náklady na správu.

Další kroky