Plan szybkiej modernizacji zabezpieczeń

Ten plan szybkiej modernizacji (RAMP) pomoże Ci szybko wdrożyć zalecaną przez firmę Microsoft strategię dostępu uprzywilejowanego .

Mapa drogowa opiera się na kontrolach technicznych określonych w wytycznych wdrażania dostępu uprzywilejowanego. Wykonaj te kroki, a następnie wykonaj kroki opisane w tym narzędziu RAMP, aby skonfigurować kontrolki dla organizacji.

W miarę postępów w planie działania możesz wykorzystać Wynik Bezpieczeństwa Microsoft do śledzenia i porównywania wielu elementów w podróży z innymi w podobnych organizacjach na przestrzeni czasu. Dowiedz się więcej o wskaźniku bezpieczeństwa firmy Microsoft w artykule Omówienie wskaźnika bezpieczeństwa.

Każdy element tego RAMP ma strukturę inicjatywy, która będzie śledzona i zarządzana przy użyciu formatu, który opiera się na celach i kluczowych wynikach (OKR). Każdy element zawiera to, co (cel), dlaczego, kto, jak i jak mierzyć (kluczowe wyniki). Niektóre elementy wymagają zmian w procesach i umiejętnościach ludzi, podczas gdy inne są prostszą zmianą technologii. Wiele z tych inicjatyw obejmuje członków spoza tradycyjnego działu IT, które powinny zostać uwzględnione w podejmowaniu decyzji i wdrażaniu tych zmian, aby upewnić się, że zostały one pomyślnie zintegrowane w organizacji.

Ważne jest, aby współpracować jako organizacja, tworzyć partnerstwa i edukować ludzi, którzy tradycyjnie nie byli częścią tego procesu. Tworzenie i utrzymywanie zaangażowania w całej organizacji ma kluczowe znaczenie, ponieważ bez niego wiele projektów kończy się niepowodzeniem.

Oddzielanie kont uprzywilejowanych i zarządzanie nimi

Konta dostępu awaryjnego

• Co zrobić: Upewnij się, że nie utracisz dostępu do organizacji Microsoft Entra w sytuacji awaryjnej.
• Dlaczego: konta dostępu awaryjnego rzadko używane i wysoce szkodliwe dla organizacji w przypadku naruszenia zabezpieczeń, ale ich dostępność w organizacji jest również niezwykle ważna w przypadku kilku scenariuszy, gdy są one wymagane. Upewnij się, że masz plan ciągłości dostępu, który uwzględnia zarówno oczekiwane, jak i nieoczekiwane zdarzenia.
• Who: Ta inicjatywa jest zwykle prowadzona przez zarządzanie tożsamością i kluczami i/lub architekturę bezpieczeństwa.
  • Sponsorowanie: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub Dyrektora tożsamości
  • Wykonanie: Ta inicjatywa to wspólna praca obejmująca
    • Polityka i standardy zespół dokumentuje jasne wymagania i standardy
    • Zarządzanie tożsamościami i kluczami lub Centralne Operacje IT w celu zaimplementowania wszelkich zmian
    • zarządzanie zgodnością zabezpieczeń monitoruje w celu zapewnienia zgodności
• Jak: postępuj zgodnie ze wskazówkami w Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Miara kluczowych wyników:
  • Ustanowiony proces dostępu awaryjnego został zaprojektowany na podstawie wskazówek firmy Microsoft, które spełniają potrzeby organizacji
  • Utrzymywany dostęp awaryjny został sprawdzony i przetestowany w ciągu ostatnich 90 dni

Włączanie usługi Microsoft Entra Privileged Identity Management

• co: używanie usługi Microsoft Entra Privileged Identity Management (PIM) w środowisku produkcyjnym firmy Microsoft Entra w celu odnajdywania i zabezpieczania kont uprzywilejowanych
• Dlaczego: Usługa Privileged Identity Management zapewnia aktywację roli opartą na czasie i zatwierdzania w celu ograniczenia ryzyka nadmiernego, niepotrzebnego lub nieprawidłowego użycia uprawnień dostępu.
• Who: Ta inicjatywa jest zwykle prowadzona przez zarządzanie tożsamością i kluczami i/lub architekturę zabezpieczeń.
  • Sponsorowanie: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub Dyrektora ds. Tożsamości
  • Wykonanie: Ta inicjatywa jest wspólnym wysiłkiem obejmującym
    • Polityka i standardy zespół dokumentuje jasne wymogi i standardy (na podstawie tych wskazówek)
    • zarządzanie tożsamościami i kluczami lub Centralne Operacje IT, aby wdrożyć wszelkie zmiany
    • zarządzanie zgodnością zabezpieczeń monitoruje w celu zapewnienia zgodności
• Jak: Wdrażanie i konfigurowanie usługi Microsoft Entra Privileged Identity Management przy użyciu wskazówek zawartych w artykule Wdrażanie usługi Microsoft Entra Privileged Identity Management (PIM).
• Miara kluczowych wyników: 100% odpowiednich ról dostępu uprzywilejowanego korzystają z usługi Microsoft Entra PIM

Identyfikowanie i kategoryzowanie uprzywilejowanych kont (Identyfikator Entra Firmy Microsoft)

• Co: Zidentyfikuj wszystkie role i grupy o dużym wpływie biznesowym, które będą wymagały uprzywilejowanego poziomu zabezpieczeń (natychmiast lub w czasie). Ci administratorzy będą potrzebować osobnych kont w późniejszym kroku administracji dostępem uprzywilejowanym.

• Dlaczego: ten krok jest wymagany do zidentyfikowania i zminimalizowania liczby osób, które wymagają oddzielnych kont i ochrony dostępu uprzywilejowanego.

• Who: Ta inicjatywa jest zwykle prowadzona przez Zarządzanie tożsamością i kluczami i/lub Architektura bezpieczeństwa.

  • Dostęp sponsorowany: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub Dyrektor tożsamości
  • Wykonanie: Ta inicjatywa to współpraca obejmująca
    • Polityka i standardy zespół dokumentuje jasne wymagania i standardy (na podstawie tych wskazówek)
    • zarządzanie tożsamościami i kluczami lub centralne operacje IT w celu zaimplementowania wszelkich zmian
    • Zarządzanie zgodnością zabezpieczeń monitoruje zgodność, aby ją zapewnić

• Jak: Po włączeniu Microsoft Entra Privileged Identity Management wyświetl użytkowników, którzy, zgodnie z zasadami ryzyka organizacji, znajdują się przynajmniej w następujących rolach Microsoft Entra:

  • Administrator globalny
  • Administrator ról uprzywilejowanych
  • Administrator systemu Exchange
  • SharePoint Administrator

  Aby uzyskać pełną listę ról administratora, zobacz uprawnienia roli administratora w usłudze Microsoft Entra ID.

  Usuń wszystkie konta, które nie są już potrzebne w tych rolach. Następnie kategoryzuj pozostałe konta przypisane do ról administratora:

  • Przypisane do użytkowników administracyjnych, ale także używane do celów nieadministracyjnych, takich jak odczytywanie i odpowiadanie na wiadomości e-mail.
  • Przypisane do użytkowników administracyjnych i używane tylko do celów administracyjnych
  • Współużytkowany przez wielu użytkowników
  • W przypadku scenariuszy awaryjnego dostępu przez wybijanie bariery
  • W przypadku skryptów automatycznych
  • Dla użytkowników zewnętrznych

Jeśli nie masz usługi Microsoft Entra Privileged Identity Management w organizacji, możesz użyć interfejsu API programu PowerShell. Zacznij od roli administratora globalnego, ponieważ ma te same uprawnienia we wszystkich usługach w chmurze, dla których twoja organizacja zasubskrybowała. Te uprawnienia są przyznawane niezależnie od tego, gdzie zostały przypisane: w centrum administracyjnym platformy Microsoft 365, w witrynie Azure Portal lub w module usługi Azure AD dla programu Microsoft PowerShell.

• Pomiar kluczowych wyników: Przegląd i Identyfikacja Ról Dostępu Uprzywilejowanego zostały ukończone w ciągu ostatnich 90 dni

Oddzielne konta (lokalne konta AD)

• Co: Zabezpiecz lokalne uprzywilejowane konta administracyjne, jeśli jeszcze nie zostało to zrobione. Ten etap obejmuje:

  • Tworzenie oddzielnych kont administratorów dla użytkowników, którzy muszą wykonywać lokalne zadania administracyjne
  • Wdrażanie stacji roboczych dostępu uprzywilejowanego dla administratorów usługi Active Directory
  • Tworzenie unikatowych haseł administratora lokalnego dla stacji roboczych i serwerów

• Dlaczego: wzmocnienie zabezpieczeń kont używanych do zadań administracyjnych. Konta administratora powinny mieć wyłączoną pocztę i nie powinno być dozwolone żadne osobiste konta Microsoft.

• Who: Ta inicjatywa jest zwykle prowadzona przez zarządzanie tożsamością i kluczami i/lub architekturę bezpieczeństwa.

  • Dostęp sponsorowany: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub Dyrektor tożsamości
  • Wykonanie: Inicjatywa ta to wspólny wysiłek obejmujący
    • Polityki i standardy zespół dokumentuje jasne wymagania i standardy (na podstawie tych wskazówek)
    • Zarządzanie tożsamościami i kluczami lub Centralne Operacje IT w celu zaimplementowania wszelkich zmian
    • zarządzanie zgodnością zabezpieczeń monitoruje w celu zapewnienia zgodności

• Jak: Wszyscy członkowie personelu z uprawnieniami administracyjnymi muszą posiadać oddzielne konta dla funkcji administracyjnych, które są odrębne od kont użytkowników. Nie udostępniaj tych kont użytkownikom.

  • konta użytkowników typu Standardowego — posiadają uprawnienia użytkownika standardowego do standardowych zadań, takich jak poczta e-mail, przeglądanie stron internetowych i użytkowanie aplikacji biznesowych. Te konta nie mają przyznanych uprawnień administracyjnych.
  • konta administracyjne — oddzielne konta utworzone dla personelu, którym przypisano odpowiednie uprawnienia administracyjne.

• Zmierz kluczowe wyniki: 100%% lokalnych uprzywilejowanych użytkowników ma odrębne dedykowane konta

Microsoft Defender for Identity

• Co: usługa Microsoft Defender for Identity łączy lokalne sygnały ze szczegółowymi informacjami w chmurze w celu monitorowania, ochrony i badania zdarzeń w uproszczonym formacie, dzięki czemu zespoły ds. zabezpieczeń mogą wykrywać zaawansowane ataki na infrastrukturę tożsamości dzięki możliwości:

  • Monitorowanie użytkowników, zachowania jednostek i działań przy użyciu analizy opartej na uczeniu
  • Ochrona tożsamości użytkowników i poświadczeń przechowywanych w usłudze Active Directory
  • Identyfikuj i badaj podejrzane działania użytkowników oraz zaawansowane ataki w całym łańcuchu zagrożeń
  • Podaj jasne informacje o zdarzeniu na prostej osi czasu na potrzeby szybkiego klasyfikacji

• Dlaczego: Nowoczesne osoby atakujące mogą pozostać niewykryte przez długi czas. Wiele zagrożeń trudno znaleźć bez spójnych obrazów całego środowiska tożsamości.

• Who: Ta inicjatywa jest zwykle prowadzona przez zarządzanie tożsamościami i kluczami i/lub Architektura Bezpieczeństwa.

  • Dostęp sponsorowany: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub Dyrektor tożsamości
  • Wykonanie: Ta inicjatywa to współpraca obejmująca
    • Polityka i standardy dokument zespołu przejrzyste wymagania i standardy (na podstawie tych wskazówek)
    • zarządzanie tożsamościami i kluczami lub operacje IT centralne w celu zaimplementowania wszelkich zmian
    • zarządzanie zgodnością zabezpieczeń monitoruje w celu zapewnienia zgodności

• Jak: Wdróż i włącz Microsoft Defender for Identity oraz przejrzyj wszystkie otwarte alerty.

• Miara kluczowych wyników: wszystkie otwarte alerty przeglądane i ograniczane przez odpowiednie zespoły.

Ulepszanie środowiska zarządzania poświadczeniami

Wprowadzenie i dokumentowanie samoobsługowego resetowania haseł oraz rejestracji łączonej informacji zabezpieczających

• Co: włącz i skonfiguruj samoobsługowe resetowanie haseł (SSPR) w organizacji i włącz połączone środowisko rejestracji informacji zabezpieczających.
• Dlaczego: użytkownicy mogą resetować własne hasła po zarejestrowaniu. Połączone środowisko rejestracji informacji zabezpieczających zapewnia lepsze środowisko użytkownika umożliwiające rejestrację na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła. Te narzędzia, gdy są używane razem, przyczyniają się do obniżenia kosztów pomocy technicznej i bardziej zadowolonych użytkowników.
• Who: Ta inicjatywa jest zwykle prowadzona przez zarządzanie tożsamością i kluczami i/lub architekturę bezpieczeństwa.
  • Sponsorowanie: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub Dyrektora ds. Tożsamości
  • Wykonanie: Ta inicjatywa jest współpracą, która obejmuje
    • Zespół ds. polityki i standardów dokumentuje jasne wymagania i standardy (na podstawie tych wskazówek)
    • zarządzanie tożsamościami i kluczami lub Centralne Operacje IT w celu zaimplementowania wszelkich zmian
    • zarządzanie zgodnością z zabezpieczeniami monitoruje w celu zapewnienia przestrzegania zgodności
    • centralne procesy operacji IT pomocy technicznej zostały zaktualizowane, a personel został na nich przeszkolony
• Jak: aby włączyć i wdrożyć samoobsługowe resetowanie hasła, zobacz w artykule Planowanie wdrożenia samoobsługowego resetowania haseł Microsoft Entra.
• Miara kluczowych wyników: samoobsługowe resetowanie hasła jest w pełni skonfigurowane i dostępne dla organizacji

Ochrona kont administratorów — włączanie i wymaganie uwierzytelniania wieloskładnikowego/bez hasła dla uprzywilejowanych użytkowników identyfikatora Entra firmy Microsoft

• Co: Wymaganie, aby wszystkie uprzywilejowane konta w Microsoft Entra ID używały silnego uwierzytelniania wieloskładnikowego

• Dlaczego: Aby chronić dostęp do danych i usług na platformie Microsoft 365.

• Who: Ta inicjatywa jest zwykle prowadzona przez Zarządzanie Tożsamością i Kluczami i/lub Architekturę Bezpieczeństwa.

  • pl-PL: Sponsorowanie: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub Dyrektora ds. Tożsamości
  • Wykonanie: Ta inicjatywa to współpraca obejmująca
    • Polityki i standardy zespół dokumentuje jasne wymagania i standardy (na podstawie tych wskazówek)
    • zarządzanie tożsamościami i kluczami lub Centralne Operacje IT w celu zaimplementowania wszelkich zmian
    • zarządzanie zgodnością zabezpieczeń monitoruje dla zapewnienia zgodności
    • centralne operacje IT procesy pomocy technicznej zostały zaktualizowane, a personel został przeszkolony w ich zakresie
    • Centralne operacje IT Procesy właściciela usług zostały zaktualizowane, a personel został przeszkolony z ich zakresu.

• Jak: Włącz uwierzytelnianie wieloskładnikowe Microsoft Entra (MFA) i zarejestruj wszystkie inne konta administracyjne jednego użytkownika o wysokich uprawnieniach, które nie są federacyjne. Wymagaj uwierzytelniania wieloskładnikowego podczas logowania dla wszystkich użytkowników indywidualnych, którzy są trwale przypisani do co najmniej jednej roli administratora Microsoft Entra.

  Wymagaj od administratorów używania metod logowania bez hasła, takich jak klucze zabezpieczeń FIDO2 lub Windows Hello dla firm, w połączeniu z unikatowymi, długimi, złożonymi hasłami. Wymuś tę zmianę za pomocą dokumentu zasad organizacji.

Postępuj zgodnie ze wskazówkami w poniższych artykułach Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft i Planowanie wdrożenia uwierzytelniania bez hasła w usłudze Microsoft Entra ID.

• Miara kluczowych wyników: 100% uprzywilejowanych użytkowników używa uwierzytelniania bez hasła lub silnej formy uwierzytelniania wieloskładnikowego dla wszystkich logów. Aby uzyskać opis uwierzytelniania wieloskładnikowego, zobacz Uprzywilejowane konta dostępu

Blokuj starsze protokoły uwierzytelniania dla uprzywilejowanych kont użytkowników

• Co: Blokowanie użycia starszych protokołów uwierzytelniania dla uprzywilejowanych kont.

• Dlaczego: Organizacje powinny blokować te starsze protokoły uwierzytelniania, ponieważ nie można wymusić na nich uwierzytelniania wieloskładnikowego. Pozostawienie włączonych starszych protokołów uwierzytelniania może spowodować utworzenie punktu wejścia dla osób atakujących. Niektóre starsze aplikacje mogą polegać na tych protokołach, a organizacje mają możliwość tworzenia określonych wyjątków dla niektórych kont. Te wyjątki powinny być śledzone i implementowane dodatkowe mechanizmy kontroli monitorowania.

• Who: Ta inicjatywa jest zwykle prowadzona przez identity and key management i/lub Security Architecture.

  • Dostęp sponsorowany: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub Dyrektor tożsamości
  • Wykonanie: Ta inicjatywa to współpraca obejmująca
    • zasad i standardów: ustanów jasne wymagania
    • Zarządzanie tożsamościami i kluczami lub Centralne Operacje IT Centralne Operacje IT w celu wdrożenia polityki
    • Zarządzanie zgodnością zabezpieczeń monitoruje, aby zapewnić zgodność

• Jak: Aby zablokować starsze protokoły uwierzytelniania w organizacji, postępuj zgodnie ze wskazówkami w artykule Jak: Zablokować starsze metody uwierzytelniania w Microsoft Entra ID za pomocą dostępu warunkowego.

• Miara kluczowych wyników:

  • zablokowane starsze protokoły: Wszystkie starsze protokoły są blokowane dla wszystkich użytkowników z tylko autoryzowanymi wyjątkami
  • wyjątki są przeglądane co 90 dni i przestają obowiązywać na stałe w ciągu jednego roku. Właściciele aplikacji muszą naprawić wszystkie wyjątki w ciągu jednego roku od zatwierdzenia pierwszego wyjątku

Proces wyrażania zgody aplikacji

• Co: Wyłącz możliwość wyrażania zgody przez użytkowników końcowych na aplikacje Microsoft Entra.

• Dlaczego: użytkownicy mogą przypadkowo tworzyć ryzyko organizacyjne, udzielając zgody dla aplikacji, która może złośliwie uzyskiwać dostęp do danych organizacji.
• Who: Ta inicjatywa jest zwykle prowadzona przez identity and key management i/lub Security Architecture.
  • Dostęp sponsorowany: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub Dyrektor tożsamości
  • Wykonanie: Ta inicjatywa jest wspólnym wysiłkiem obejmującym
    • Polityki i standardy zespół dokumentuje jasne wymagania i standardy (na podstawie tych wskazówek)
    • Zarządzanie tożsamościami i kluczami lub Central IT Operations w celu wprowadzenia wszelkich zmian
    • Zarządzanie zgodnością bezpieczeństwa monitoruje zgodność w celu jej zapewnienia
    • centralne procesy operacyjne IT helpdesku zostały zaktualizowane, a personel został na nich przeszkolony
    • centralne procesy właścicieli usług it zostały zaktualizowane, a personel został na nich przeszkolony
• Jak: ustanów scentralizowany proces wyrażania zgody w celu zachowania scentralizowanej widoczności i kontroli aplikacji, które mają dostęp do danych, postępując zgodnie ze wskazówkami w artykule Zarządzanie zgodą na aplikacje i ocenianie żądań zgody.
• Miara kluczowych wyników: użytkownicy końcowi nie mogą wyrazić zgody na dostęp do aplikacji Microsoft Entra

Czyszczenie konta i ryzyko związane z logowaniem

• Co: Włącz usługę Microsoft Entra ID Protection i usuń wszelkie zidentyfikowane zagrożenia.
• Dlaczego: ryzykowne zachowanie użytkownika i logowania może być źródłem ataków na organizację.
• Who: Ta inicjatywa jest zwykle prowadzona przez zarządzanie tożsamością i kluczami i/lub architekturę bezpieczeństwa.
  • Dostęp sponsorowany: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub Dyrektor tożsamości
  • Wykonanie: Ta inicjatywa to wspólne działanie obejmujące
    • Polityki i standardy zespół dokumentuje jasne wymagania i standardy (na podstawie tych wskazówek)
    • zarządzanie tożsamościami i kluczami lub centralne operacje IT w celu zaimplementowania wszelkich zmian
    • Zarządzanie zgodnością zabezpieczeń monitoruje, aby zapewnić zgodność.
    • Centrum Operacji IT Procesy helpdesku zostały zaktualizowane w odniesieniu do powiązanych zgłoszeń wsparcia, a personel został przeszkolony w ich zakresie.
• Jak: Stwórz proces, który monitoruje i zarządza ryzykiem związanym z użytkownikiem i logowaniem. Zdecyduj, czy zautomatyzujesz korygowanie przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła, czy też zablokujesz i będziesz wymagać interwencji administratora. Postępuj zgodnie ze wskazówkami w artykule Instrukcje: Konfigurowanie i włączanie zasad ryzyka.
• Miara kluczowych wyników: Organizacja nie posiada żadnych nierozwiązanych ryzyk związanych z użytkownikami i logowaniem.

Początkowe wdrażanie stacji roboczych administracyjnych

• Co: Konta uprzywilejowane, takie jak te zarządzające Microsoft Entra ID, mają dedykowane stacje robocze do wykonywania zadań administracyjnych.
• Dlaczego: urządzenia, na których są wykonywane uprzywilejowane zadania administracyjne, są celem osób atakujących. Zabezpieczanie nie tylko konta, ale również tych zasobów ma kluczowe znaczenie dla zmniejszenia obszaru powierzchni ataków. To rozdzielenie ogranicza narażenie na typowe ataki skierowane do zadań związanych z produktywnością, takich jak poczta e-mail i przeglądanie w Internecie.
• Who: Ta inicjatywa jest zwykle prowadzona przez Zarządzanie Tożsamością i Kluczami i/lub Architekturę Bezpieczeństwa.
  • Sponsorowanie: Ta inicjatywa jest zwykle sponsorowana przez CISO, CIO lub dyrektora ds. tożsamości
  • Wykonanie: Ta inicjatywa jest wspólnym wysiłkiem obejmującym
    • Polityka i standardy zespół dokumentuje jasne wymagania i standardy (na podstawie tych wskazówek)
    • zarządzanie tożsamościami i kluczami lub centralne operacje IT w celu zaimplementowania wszelkich zmian
    • zarządzanie zgodnością zabezpieczeń monitoruje w celu zapewnienia zgodności
    • Centralne operacje IT Helpdesk zostały zaktualizowane, a personel został w nich przeszkolony.
    • Operacje centralne IT zostały zaktualizowane, a pracownicy zostali przeszkoleni w zakresie procesów właścicieli usług.
• Jak: wdrożenie początkowe powinno być na poziomie przedsiębiorstwa zgodnie z opisem w artykule Wdrożenie dostępu uprzywilejowanego
• Miara kluczowych wyników: każde uprzywilejowane konto ma dedykowaną stację roboczą do wykonywania poufnych zadań.

Następne kroki

• Zabezpieczanie uprzywilejowanego dostępu — omówienie
• strategia dostępu uprzywilejowanego
• Mierzenie sukcesu
• poziomy zabezpieczeń
• konta dostępu uprzywilejowanego
• pośredników
• interfejsy
• Urządzenia z dostępem uprzywilejowanym
• model dostępu przedsiębiorstwa