Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Administracja to praktyka monitorowania, utrzymywania i obsługi systemów informatycznych (IT) w celu spełnienia poziomów usług, których wymaga firma. Administracja wprowadza niektóre z najwyższych zagrożeń bezpieczeństwa, ponieważ wykonywanie tych zadań wymaga uprzywilejowanego dostępu do szerokiego zestawu tych systemów i aplikacji. Osoby atakujące wiedzą, że uzyskanie dostępu do konta z uprawnieniami administracyjnymi daje im dostęp do większości lub wszystkich danych, na które by celowali, co sprawia, że bezpieczeństwo administracji stanowi jeden z najważniejszych obszarów zabezpieczeń.
Na przykład firma Microsoft dokonuje znaczących inwestycji w ochronę i szkolenie administratorów w naszych systemach w chmurze i systemach IT:
Zalecaną podstawową strategią firmy Microsoft dla uprawnień administracyjnych jest użycie dostępnych mechanizmów kontroli w celu zmniejszenia ryzyka
Zmniejszenie narażenia na ryzyko (zakres i czas) — Zasada najniższych uprawnień jest najlepiej realizowana z nowoczesnymi kontrolkami, które zapewniają uprawnienia na żądanie. Pomaga to ograniczyć ryzyko, ograniczając narażenie uprawnień administracyjnych przez:
Zakres — Just Enough Access (JEA) zapewnia tylko wymagane uprawnienia do przeprowadzenia potrzebnej operacji administracyjnej (w porównaniu z bezpośrednimi i natychmiastowymi uprawnieniami do wielu lub wszystkich systemów naraz, co prawie nigdy nie jest wymagane).
Time — podejścia typu just in time (JIT) zapewniały wymagane uprawnienia, ponieważ są one potrzebne.
Łagodzenie pozostałych zagrożeń — użyj kombinacji mechanizmów kontroli prewencyjnej i detekcyjnej, aby zmniejszyć ryzyko, takie jak izolowanie kont administratorów przed najczęstszymi ryzykami, jak phishing oraz ogólne przeglądanie internetu, upraszczanie i optymalizowanie ich przepływu pracy, zwiększanie pewności decyzji dotyczących uwierzytelniania oraz identyfikowanie anomalii w normalnym zachowaniu linii bazowej, które można zablokować lub zbadać.
Firma Microsoft przechwyciła i udokumentowała najlepsze rozwiązania dotyczące ochrony kont administracyjnych i opublikowano priorytetyzowane plany ochrony uprzywilejowanego dostępu, które mogą być używane jako odwołania do ustalania priorytetów dla kont z uprzywilejowanym dostępem.
Minimalizowanie liczby administratorów o krytycznym wpływie
Przyznaj jak najmniejszej liczbie kont uprawnienia, które mogą mieć krytyczny wpływ na działalność firmy.
Każde konto administratora reprezentuje potencjalną powierzchnię ataków, którą osoba atakująca może atakować, dzięki czemu zminimalizowanie liczby kont z tym uprawnieniem pomaga ograniczyć ogólne ryzyko organizacyjne. Doświadczenie nauczyło nas, że członkostwo w tych uprzywilejowanych grupach rośnie naturalnie w miarę upływu czasu, gdy ludzie zmieniają role, jeśli członkostwo nie jest aktywnie ograniczone i zarządzane.
Zalecamy podejście, które zmniejsza ryzyko związane z atakiem przy jednoczesnym zapewnieniu ciągłości działania w przypadku wystąpienia problemu z administratorem:
Przypisywanie co najmniej dwóch kont do uprzywilejowanej grupy w celu zapewnienia ciągłości działania
Gdy wymagane są dwa lub więcej kont, podaj uzasadnienie dla każdego członka, w tym oryginalne dwa.
Regularnie przeglądaj członkostwo i uzasadnienie dla każdego członka grupy
Konta zarządzane dla administratorów
Upewnij się, że wszyscy administratorzy o krytycznym wpływie są zarządzani poprzez katalog firmowy, aby przestrzegać zasad organizacji.
Konta konsumentów, takie jak konta Microsoft, takie jak @Hotmail.com, @live.com, @outlook.com, nie oferują wystarczającej widoczności i kontroli zabezpieczeń, aby zapewnić przestrzeganie zasad organizacji i wszelkich wymagań prawnych. Ponieważ wdrożenia Azure często zaczynają się od małych i nieformalnych działań, zanim przekształcą się w dzierżawy zarządzane przez przedsiębiorstwo, niektóre konta użytkowników pozostają kontami administracyjnymi długo po tym, na przykład konta oryginalnych menedżerów projektów Azure, co tworzy luki w zabezpieczeniach i potencjalne ryzyko.
Oddzielne konta dla administratorów
Upewnij się, że wszyscy kluczowi administratorzy mają oddzielne konto dla zadań administracyjnych w przeciwieństwie do konta używanego do obsługi poczty e-mail, przeglądania internetu i innych zadań.
Ataki wyłudzania informacji i przeglądarki internetowej reprezentują najbardziej typowe wektory ataków na konta, w tym konta administracyjne.
Utwórz oddzielne konto administracyjne dla wszystkich użytkowników, którzy mają rolę wymagających uprawnień krytycznych. W przypadku tych kont administracyjnych zablokuj narzędzia zwiększające produktywność, takie jak poczta e-mail usługi Office 365 (usuń licencję). Jeśli to możliwe, zablokuj dowolne przeglądanie sieci Web (z kontrolkami serwera proxy i/lub aplikacji) przy jednoczesnym umożliwieniu wyjątków przeglądania witryny Azure Portal i innych witryn wymaganych do wykonywania zadań administracyjnych.
Brak stałego dostępu / uprawnienia Just in Time
Unikaj zapewniania stałego dostępu do kont o krytycznym wpływie
Trwałe uprawnienia zwiększają ryzyko biznesowe, zwiększając czas, przez jaki osoba atakująca może użyć konta do uszkodzenia. Tymczasowe uprawnienia zmuszają atakujących do działania w ramach ograniczonego czasu, kiedy administrator już używa konta, lub do próby podniesienia uprawnień (co zwiększa ich prawdopodobieństwo wykrycia i usunięcia ze środowiska).
Przyznaj uprawnienia tylko zgodnie z wymaganiami przy użyciu jednej z następujących metod:
Just in Time — Włącz usługę Microsoft Entra Privileged Identity Management (PIM) lub rozwiązanie innej firmy, aby wymagać przestrzegania przepływu pracy zatwierdzania w celu uzyskania uprawnień dla kont o krytycznym wpływie
Awaryjne otwarcie – W przypadku rzadko używanych kont, postępuj zgodnie z procesem dostępu awaryjnego, aby uzyskać do nich dostęp. Jest to preferowane w przypadku uprawnień, które nie wymagają regularnego użycia operacyjnego, takiego jak członkowie kont administratorów globalnych.
Dostęp awaryjny lub konta "Break Glass"
Upewnij się, że masz mechanizm uzyskiwania dostępu administracyjnego w nagłych wypadkach
Chociaż rzadkie, czasami skrajne okoliczności pojawiają się, gdy wszystkie normalne środki dostępu administracyjnego są niedostępne.
Zalecamy wykonanie instrukcji opisanych w temacie Zarządzanie kontami administracyjnymi dostępu awaryjnego w usłudze Microsoft Entra ID i upewnienie się, że operacje zabezpieczeń uważnie monitorują te konta.
Zabezpieczenia stacji roboczej administratora
Zapewnij, aby administratorzy o krytycznym wpływie używali stacji roboczej z podwyższonymi zabezpieczeniami i monitorowaniem.
Wektory ataków korzystające z przeglądania i wiadomości e-mail, takie jak wyłudzanie informacji, są tanie i typowe. Izolowanie administratorów o krytycznym wpływie z tych zagrożeń znacznie obniży ryzyko wystąpienia poważnego incydentu, w którym jedno z tych kont zostało naruszone i wykorzystane do znacznego uszkodzenia firmy lub misji.
Wybierz poziom zabezpieczeń stacji roboczej administratora na podstawie opcji dostępnych na stronie https://aka.ms/securedworkstation
Wysoce bezpieczne urządzenie zwiększające produktywność (ulepszona stacja robocza zabezpieczeń lub wyspecjalizowana stacja robocza)
Możesz rozpocząć tę podróż bezpieczeństwa dla administratorów o krytycznym wpływie, zapewniając im bardziej zabezpieczoną stację roboczą, która nadal umożliwia ogólne przeglądanie i zadania związane z produktywnością. Użycie tego jako tymczasowego kroku ułatwia przejście na w pełni izolowane stacje robocze zarówno dla administratorów o krytycznym wpływie, jak i pracowników IT obsługujących tych użytkowników i ich stacje robocze.Stacja robocza z dostępem uprzywilejowanym (wyspecjalizowana stacja robocza lub zabezpieczona stacja robocza)
Te konfiguracje reprezentują idealny stan zabezpieczeń dla administratorów o krytycznym znaczeniu, ponieważ w dużym stopniu ograniczają dostęp do wektorów ataków związanych z wyłudzaniem informacji, przeglądarką i produktywnością aplikacji. Te stacje robocze nie zezwalają na ogólne przeglądanie Internetu, zezwalają tylko na dostęp przeglądarki do witryny Azure Portal i innych witryn administracyjnych.
Zależności administratora o krytycznym wpływie — konto/stacja robocza
Starannie wybieraj lokalne zależności zabezpieczeń dla kont o krytycznym znaczeniu i ich stacjach roboczych
Aby ograniczyć ryzyko przerodzenia się poważnego incydentu w środowisku lokalnym w znaczące zagrożenie dla zasobów w chmurze, należy wyeliminować lub zminimalizować środki kontroli, jakie zasoby lokalne mogą mieć na krytyczne konta w chmurze. Na przykład osoby atakujące, które naruszyją zabezpieczenia lokalnej usługi Active Directory, mogą uzyskiwać dostęp do zasobów opartych na chmurze i naruszyć je, które korzystają z tych kont, takich jak zasoby na platformie Azure, amazon web services (AWS), usługa ServiceNow itd. Osoby atakujące mogą również używać stacji roboczych dołączonych do tych domen lokalnych, aby uzyskać dostęp do kont i usług zarządzanych z nich.
Wybierz poziom izolacji od lokalnych środków kontroli nazywanych również zależnościami zabezpieczeń dla kont o krytycznym wpływie
Konta użytkowników — wybierz miejsce hostowania kont o krytycznym znaczeniu
Natywne konta Microsoft Entra -*Utwórz natywne konta Microsoft Entra, które nie są synchronizowane z lokalną usługą Active Directory
Synchronizuj z lokalnej usługi Active Directory (niezalecane) — korzystaj z istniejących kont hostowanych w lokalnej usłudze Active Directory.
Stacje robocze — wybierz sposób zarządzania i zabezpieczania stacji roboczych używanych przez krytyczne konta administratora:
Natywne zarządzanie chmurą i bezpieczeństwo (zalecane) — dołączanie stacji roboczych do Microsoft Entra ID i aktualizacja za pomocą Intune lub innych usług w chmurze. Ochrona i monitorowanie za pomocą usługi Microsoft Defender ATP lub innej usługi w chmurze, która nie jest zarządzana przez konta lokalne.
Zarządzanie przy użyciu istniejących systemów — dołącz do istniejącej domeny usługi AD i korzystaj z istniejących funkcji zarządzania i zabezpieczeń.
Uwierzytelnianie bez hasła lub uwierzytelnianie wieloskładnikowe dla administratorów
Wymagaj, aby wszyscy administratorzy o krytycznym znaczeniu używali uwierzytelniania bez hasła lub uwierzytelniania wieloskładnikowego (MFA).
Metody ataków ewoluowały do tego stopnia, że same hasła nie mogą niezawodnie chronić konta. Jest to dobrze udokumentowane w sesji konferencji Microsoft Ignite.
Konta administracyjne i wszystkie krytyczne konta powinny używać jednej z następujących metod uwierzytelniania. Te możliwości są wymienione w kolejności preferencji według najwyższego kosztu/trudności w atakowaniu (najsilniejsze/preferowane opcje) do najniższego kosztu/najłatwiejsze do atakowania:
Bez hasła (np. Windows Hello)
https://aka.ms/HelloForBusinessBez hasła (aplikacja Authenticator)
</azure/active-directory/authentication/howto-authentication-phone-sign-in>Uwierzytelnianie wieloskładnikowe
</azure/active-directory/authentication/howto-mfa-userstates>
Należy pamiętać, że uwierzytelnianie wieloskładnikowe oparte na wiadomościach SMS stało się łatwe do obejścia przez atakujących, dlatego zalecamy unikanie polegania na nim. Ta opcja jest nadal silniejsza niż tylko hasła, ale jest znacznie słabsza niż inne opcje uwierzytelniania wieloskładnikowego
Wymuszanie dostępu warunkowego dla administratorów — Zero Trust
Uwierzytelnianie dla wszystkich administratorów i innych kont o kluczowym znaczeniu powinno obejmować pomiar i wymuszanie kluczowych atrybutów zabezpieczeń w celu obsługi strategii Zero Trust.
Atakujący, którzy przejmują konta administratorów platformy Azure, mogą spowodować znaczne szkody. Dostęp warunkowy może znacznie zmniejszyć to ryzyko, wymuszając higienę zabezpieczeń przed zezwoleniem na dostęp do zarządzania platformą Azure.
Skonfiguruj zasady dostępu warunkowego na potrzeby zarządzania platformą Azure spełniającego apetyt na ryzyko i potrzeby operacyjne organizacji.
Wymagaj uwierzytelniania wieloskładnikowego i/lub połączenia z wyznaczonej sieci roboczej
Wymagaj integralności urządzenia za pomocą usługi Microsoft Defender ATP (Silne Zabezpieczenie)
Unikaj szczegółowych i niestandardowych uprawnień
Unikaj uprawnień, które odwołują się konkretnie do poszczególnych zasobów lub użytkowników
Określone uprawnienia tworzą niepotrzebną złożoność i zamieszanie, ponieważ nie przenoszą intencji do nowych podobnych zasobów. Następnie gromadzi się w złożonej starszej konfiguracji, która jest trudna do utrzymania lub zmiany bez obawy przed "złamaniem czegoś" — negatywnie wpływa zarówno na zwinność zabezpieczeń, jak i rozwiązań.
Zamiast przypisywać określone uprawnienia specyficzne dla zasobów, użyj jednego z tych uprawnień
Grupy zarządzania uprawnień dla całego przedsiębiorstwa
Grupy zasobów do zarządzania uprawnieniami w ramach subskrypcji
Zamiast udzielać uprawnień określonym użytkownikom, przypisz dostęp do grup w identyfikatorze Entra firmy Microsoft. Jeśli nie ma odpowiedniej grupy, skontaktuj się z zespołem tożsamości, aby go utworzyć. Dzięki temu można dodawać i usuwać członków grupy zewnętrznie do platformy Azure i zapewnić, że uprawnienia są aktualne, a jednocześnie zezwalają na używanie grupy do innych celów, takich jak listy wysyłkowe.
Używaj ról wbudowanych
W miarę możliwości używaj wbudowanych ról do przypisywania uprawnień.
Dostosowanie prowadzi do złożoności, która zwiększa zamieszanie i sprawia, że automatyzacja jest bardziej złożona, trudna i krucha. Wszystkie te czynniki mają negatywny wpływ na bezpieczeństwo
Zalecamy ocenę wbudowanych ról zaprojektowanych tak, aby obejmowały większość normalnych scenariuszy. Role niestandardowe to zaawansowana i czasami przydatna funkcja, ale powinna być zarezerwowana w przypadkach, gdy wbudowane role nie będą działać.
Ustanawianie zarządzania cyklem życia dla kont o krytycznym wpływie
Upewnij się, że masz proces wyłączania lub usuwania kont administracyjnych, gdy pracownicy administracyjni opuszczają organizację (lub opuszczają stanowiska administracyjne)
Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem użytkowników i użytkowników-gości za pomocą przeglądów dostępu .
Symulacja ataku dla kont o krytycznym wpływie
Regularnie symulują ataki na użytkowników administracyjnych przy użyciu bieżących technik ataków, aby je edukować i wzmacniać ich możliwości.
Ludzie są kluczową częścią twojej obrony, szczególnie twój personel z dostępem do kont o krytycznym znaczeniu. Zapewnienie, że ci użytkownicy (i najlepiej wszyscy użytkownicy) mają wiedzę i umiejętności, aby uniknąć i oprzeć się atakom, zmniejszy ogólne ryzyko organizacji.
Możesz użyć funkcji symulacji ataków usługi Office 365 lub dowolnej liczby ofert innych firm.
Dalsze kroki
Aby uzyskać dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft, zobacz dokumentację zabezpieczeń firmy Microsoft.