Plano de modernização rápida de segurança

Este RAMP (plano modernização rápida) ajudará você a adotar rapidamente a estratégia de acesso privilegiado recomendada pela Microsoft.

Este roteiro se baseia nos controles técnicos estabelecidos nas diretrizes de implantação de acesso privilegiado. Conclua essas etapas e depois use as etapas neste RAMP para configurar os controles da organização.

Resumo do RAMP de acesso privilegiado

Observação

Muitas dessas etapas terão um greenfield/brownfield dinâmico, pois as organizações geralmente apresentam riscos de segurança na maneira como já foram implantadas ou como configuraram as contas. Esse roteiro prioriza a interrupção do acúmulo de novos riscos de segurança e posteriormente limpa os itens restantes que já foram acumulados.

Durante o andamento do roteiro, você pode utilizar o Microsoft Secure Score para acompanhar e comparar muitos itens no percurso com outros usuários em organizações semelhantes ao longo do tempo. Saiba mais sobre o Microsoft Secure Score no artigo Visão geral do Secure Score.

Cada item nesse RAMP é estruturado como uma iniciativa que será rastreada e gerenciada usando um formato baseado na metodologia de OKR (objetivos e principais resultados). Cada item inclui o que (objetivo), por que, quem, como e como medir (principais resultados). Alguns itens exigem mudanças nos processos e nos conhecimentos ou habilidades das pessoas, enquanto outros são mudanças tecnológicas mais simples. Muitas dessas iniciativas incluirão membros fora do departamento de TI tradicional que devem ser incluídos na tomada de decisões e na implementação dessas mudanças para garantir que sejam integradas com sucesso na sua organização.

É fundamental trabalharmos juntos como organização, criar parcerias e educar pessoas que tradicionalmente não faziam parte desse processo. É fundamental criar e manter a adesão em toda a organização, pois sem isso muitos projetos falham.

Separar e gerenciar as contas com privilégios

Contas de acesso de emergência

  • O que: Certifique-se de não ter acesso acidental à sua organização Microsoft Entra em uma situação de emergência.
  • O que: Contas de acesso de emergência raramente são usadas e são altamente prejudiciais para a organização se comprometidas, mas sua disponibilidade para a organização também é extremamente importante nos poucos cenários em que são necessárias. Verifique se você tem um plano de continuidade do acesso que comporte eventos esperados e inesperados.
  • Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Como: siga as diretrizes em Gerenciar contas de acesso de emergência no Microsoft Entra ID.
  • Medir principais resultados:
    • O processo de acesso de emergência estabelecido foi criado com base nas diretrizes da Microsoft que atendem às necessidades da organização
    • O acesso de emergência mantido foi examinado e testado nos últimos 90 dias

Habilitar o Microsoft Entra Privileged Identity Management

  • O que: usar o Microsoft Entra Privileged Identity Management (PIM) no ambiente de produção do Microsoft Entra para descobrir e proteger as contas com privilégios
  • Por que: o Privileged Identity Management fornece ativação de função baseada em tempo e aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou que foram indevidamente utilizadas.
  • Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Como: implantar e configurar o Microsoft Entra Privileged Identity Management usando as diretrizes no artigo Implantar o Microsoft Entra Privileged Identity Management (PIM).
  • Medir principais resultados: 100% das funções de acesso privilegiado aplicáveis estão usando o Microsoft Entra PIM

Identificar e categorizar contas privilegiadas (ID do Microsoft Entra)

  • O que: identificar todas as funções e grupos com alto impacto nos negócios que exigirão um nível de segurança privilegiado (imediatamente ou ao longo do tempo). Esses administradores exigirão contas separadas em uma etapa posterior. Administração de acesso privilegiado.

  • O que: Essa etapa é necessária para identificar e minimizar o número de pessoas que necessitam de contas separadas e proteção de acesso privilegiado.

  • Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Como: depois de ativar o Microsoft Entra Privileged Identity Management, exiba os usuários que estão nas seguintes funções do Microsoft Entra, no mínimo, com base nas políticas de risco de suas organizações:

    • Administrador Global
    • Administrador de função com privilégios
    • Administrador do Exchange
    • Administrador do SharePoint

    Para obter uma lista completa das funções de administrador, confira Permissões da função de administrador no Microsoft Entra ID.

    Remova todas as contas que não são mais necessárias nessas funções. Em seguida, categorize as contas restantes atribuídas às funções administrativas:

    • Atribuídas a usuários administrativos, mas também usadas para fins de produtividade não administrativa, como leitura e resposta de email.
    • Atribuídas a usuários administrativos e usadas apenas para fins administrativos
    • Compartilhada por vários usuários
    • Para cenários de acesso de emergência em situação crítica
    • Para scripts automatizados
    • Para usuários externos

Se você não tiver o Microsoft Entra Privileged Identity Management em sua organização, poderá usar a API do PowerShell. Comece com a função de administrador global porque tem as mesmas permissões em todos os serviços de nuvem ao quais sua organização tenha assinado. Essas permissões são concedidas independentemente de onde foram atribuídas: no Centro de Administração do Microsoft 365, no portal do Azure ou pelo módulo do Azure AD para Microsoft PowerShell.

  • Medir principais resultados: a revisão e a identificação das funções de acesso privilegiado foram concluídas nos últimos 90 dias

Contas separadas (contas do AD local)

  • O que: proteger as contas administrativas locais, se ainda não tiver feito isso. Este estágio inclui:

    • Criar contas de administrador separadas para usuários que precisam realizar tarefas administrativas locais
    • Implantar estações de trabalho com acesso privilegiado para administradores do Active Directory
    • Criar senhas de administrador local exclusivas para estações de trabalho e servidores
  • Por que: proteção das contas usadas para tarefas administrativas. As contas de administrador devem ter o email desabilitado e contas Microsoft pessoais não devem ser permitidas.

  • Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Como: todas as pessoas com autorização para ter privilégios administrativos devem ter contas separadas para funções administrativas diferentes das contas de usuário. Não compartilhe essas contas entre os usuários.

    • Contas de usuário padrão privilégios de usuário padrão concedidos para tarefas de usuário padrão, como email, navegação na Web e uso de aplicativos de linha de negócios. Essas contas não recebem privilégios administrativos.
    • Contas administrativas: contas separadas, criadas para funcionários que recebem os privilégios administrativos apropriados.
  • Medir principais resultados: 100% dos usuários com privilégios locais têm contas dedicadas separadas

Microsoft Defender para Identidade

  • O que: o Microsoft Defender para Identidade combina sinais locais com insights de nuvem para monitorar, proteger e investigar eventos em um formato simplificado, permitindo que as equipes de segurança detectem ataques avançados contra a infraestrutura de identidade com a capacidade de:

    • Monitorar usuários, comportamento de entidade e atividades com a análise baseada em aprendizado
    • Proteger as identidades do usuário e as credenciais armazenadas no Active Directory
    • Identificar e investigar atividades de usuário suspeitas e ataques avançados em toda a cadeia do ataque cibernético
    • Fornecer informações claras sobre incidentes em uma linha do tempo simples para triagem rápida
  • O que: Os invasores modernos podem passar despercebidos por longos períodos de tempo. Muitas ameaças são difíceis de encontrar sem uma imagem coesa de todo o ambiente de identidade.

  • Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Como: implantar e habilitar o Microsoft Defender para Identidade e examinar os alertas em aberto.

  • Medir principais resultados: todos os alertas em aberto são examinados e mitigados pelas equipes adequadas.

Melhorar a experiência de gerenciamento de credenciais

Implementar e documentar a redefinição de senha self-service e o registro de informações de segurança combinadas

  • O que: habilitar e configurar a SSPR (redefinição de senha self-service) na organização e habilitar a experiência de registro de informações de segurança combinadas.
  • Por que: os usuários podem redefinir suas próprias senhas após terem se registrado. A experiência de registro de informações de segurança combinadas proporciona uma melhor experiência de usuário, permitindo o registro da autenticação multifator do Microsoft Entra e a redefinição de senha self-service. Quando usadas em conjunto, essas ferramentas contribuem para reduzir os custos de assistência técnica e aumentar o número de usuários satisfeitos.
  • Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Como: para habilitar e implantar a SSPR, confira o artigo Planejar uma implantação de redefinição de senha self-service do Microsoft Entra.
  • Medir principais resultados: a redefinição de senha self-service está totalmente configurada e disponível para a organização

Proteger contas de administrador - habilitar e exigir MFA/sem senha para usuários com privilégios do Microsoft Entra ID

  • O que: exigir que todas as contas com privilégios no Microsoft Entra ID usem uma autenticação multifator forte

  • Por que: para proteger o acesso a dados e serviços no Microsoft 365.

  • Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Como: ativar a MFA (autenticação multifator) do Microsoft Entra e registrar todas as outras contas de administrador não federadas de usuário único com privilégios elevados. Exigir autenticação multifator na entrada para todos os usuários individuais atribuídos permanentemente a uma ou mais das funções de administrador do Microsoft Entra.

    Exigir que os administradores usem métodos de entrada sem senha, como chaves de segurança FIDO2 ou Windows Hello para Empresas, em conjunto com senhas exclusivas, longas e complexas. Aplicar essa alteração com um documento de política organizacional.

Seguir as diretrizes nos artigos Planejar uma implantação de autenticação multifator do Microsoft Entra e Planejar uma implantação de autenticação sem senha no Microsoft Entra ID.

  • Medir principais resultados: 100% dos usuários com privilégios estão usando a autenticação sem senha ou uma forma de autenticação multifator forte para todos os logons. Confira Contas de acesso privilegiado para obter a descrição da autenticação multifator

Bloquear protocolos de autenticação herdados para contas de usuário com privilégios

  • O que: bloquear o uso do protocolo de autenticação herdado para contas de usuário com privilégios.

  • O que: As organizações devem bloquear esses protocolos de autenticação legados porque a autenticação multifator não pode ser aplicada a eles. Deixar protocolos de autenticação herdados habilitados pode criar um ponto de entrada para invasores. Alguns aplicativos legados podem depender desses protocolos e as organizações têm a opção de criar exceções específicas para determinadas contas. Essas exceções devem ser acompanhadas e controles de monitoramento adicionais devem ser implementados.

  • Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Como: para bloquear protocolos de autenticação herdados na organização, siga as diretrizes no artigo Instruções: bloquear autenticação herdada no Microsoft Entra ID com acesso condicional.

  • Medir principais resultados:

    • Protocolos herdados bloqueados: todos os protocolos herdados são bloqueados para todos os usuários, com apenas exceções autorizadas
    • As exceções são examinadas a cada 90 dias e expiram permanentemente em um ano. Os proprietários do aplicativo devem corrigir todas as exceções em um ano após a primeira aprovação da exceção
  • O que: desabilitar o consentimento do usuário final para aplicativos do Microsoft Entra.

Observação

Essa alteração exigirá a centralização do processo de tomada de decisões com as equipes de administração de identidade e segurança da organização.

Limpar os riscos de conta e de entrada

  • O que: habilitar o Microsoft Entra ID Protection e limpar os riscos encontrados.
  • Por que: o comportamento do usuário suspeito e da entrada pode ser uma fonte de ataques contra a organização.
  • Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Como: criar um processo que monitora e gerencia o risco de usuário e de entrada. Decida se você automatizará a correção, usando a autenticação multifator Microsoft Entra e SSPR, ou bloqueará e exigirá a intervenção do administrador. Siga as orientações do artigo Como: Configurar e habilitar políticas de risco.
  • Medir principais resultados: a organização não tem riscos de usuário e de entrada não resolvidos.

Observação

Políticas de Acesso Condicional são necessárias para bloquear o acúmulo de novos riscos de entrada. Confira a seção de Acesso condicional da Implantação de Acesso Privilegiado

Implantação inicial das estações de trabalho de administração

  • O que: contas com privilégios, como aquelas que gerenciam o Microsoft Entra ID, têm estações de trabalho dedicadas para realizar as tarefas administrativas.
  • Por que: os dispositivos em que as tarefas de administração privilegiadas são concluídas são um alvo de invasores. A proteção da conta e desses ativos é crítica para reduzir a área da superfície de ataque. Essa separação limita a exposição a ataques comuns direcionados a tarefas relacionadas à produtividade, como email e navegação na Web.
  • Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Como: a implantação inicial deve ser para o nível Empresarial, conforme descrito no artigo Implantação de acesso privilegiado
  • Medir os principais resultados: cada conta com privilégios tem uma estação de trabalho dedicada para realizar as tarefas confidenciais.

Observação

Essa etapa estabelece rapidamente uma linha de base de segurança e deve ser aumentada em níveis especializados e privilegiados assim que possível.

Próximas etapas