Plano de modernização rápida de segurança

Esse plano de modernização rápida (RAMP) ajudará você a adotar rapidamente a estratégia de acesso privilegiado recomendada pela Microsoft.

Esse roteiro baseia-se nos controles técnicos estabelecidos nas diretrizes de implantação de acesso privilegiado . Conclua essas etapas e, em seguida, use as etapas neste RAMP para configurar os controles para sua organização.

À medida que você avança pelo roteiro, você pode utilizar o Microsoft Secure Score para acompanhar e comparar muitos itens no percurso com outros em organizações semelhantes ao longo do tempo. Saiba mais sobre o Microsoft Secure Score no artigo Visão geral do Secure Score.

Cada item neste RAMP é estruturado como uma iniciativa que será controlada e gerenciada usando um formato que se baseia na metodologia de objetivos e resultados principais (OKR). Cada item inclui o que (objetivo), por que, quem, como e como medir (resultados principais). Alguns itens exigem alterações nos processos e no conhecimento ou nas habilidades das pessoas, enquanto outros são mudanças de tecnologia mais simples. Muitas dessas iniciativas incluirão membros fora do Departamento de TI tradicional que devem ser incluídos na tomada de decisão e na implementação dessas alterações para garantir que elas sejam integradas com êxito em sua organização.

É fundamental trabalhar em conjunto como uma organização, criar parcerias e educar pessoas que tradicionalmente não fazem parte desse processo. É fundamental criar e manter a adesão em toda a organização; sem isso, muitos projetos fracassam.

Separar e gerenciar contas com privilégios

Contas de acesso de emergência

• O que: certifique-se de não ter tido o acesso acidentalmente bloqueado em sua organização do Microsoft Entra em uma situação de emergência.
• Motivo: contas de acesso de emergência são raramente usadas, mas podem ser altamente prejudiciais para a organização se comprometidas. No entanto, sua disponibilidade para a organização também é extremamente importante nos poucos cenários em que são realmente necessárias. Verifique se você tem um plano de continuidade do acesso que acomode eventos esperados e inesperados.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar quaisquer alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
• Como: siga as diretrizes em Gerenciar contas de acesso de emergência no Microsoft Entra ID.
• Medir os principais resultados:
  • Processo de acesso de emergência estabelecido foi projetado com base nas diretrizes da Microsoft que atendem às necessidades organizacionais
  • O acesso de Emergência mantido foi examinado e testado nos últimos 90 dias

Habilitar o Microsoft Entra Gerenciamento de Identidade com Privilégios

• O que: use o PIM (Microsoft Entra Privileged Identity Management) em seu ambiente de produção do Microsoft Entra para descobrir e proteger contas com privilégios
• Por que: o Privileged Identity Management fornece ativação de função baseada em tempo e aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Política e padrões a equipe documenta requisitos e padrões claros (com base nesta orientação)
    • Gerenciamento de Identidades e Chaves ou Operações Centrais de TI para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
• Como: Implantar e Configurar o Microsoft Entra Privileged Identity Management usando as diretrizes no artigo, Implantar o Microsoft Entra Privileged Identity Management (PIM).
• Medir os principais resultados: 100% das funções de acesso privilegiado aplicáveis estão usando o Microsoft Entra PIM

Identificar e categorizar contas com privilégios (ID do Microsoft Entra)

• O que: identificar todas as funções e grupos com alto impacto nos negócios que exigirão um nível de segurança privilegiado (imediatamente ou ao longo do tempo). Esses administradores exigirão contas separadas em uma etapa posterior de administração de acesso privilegiado.

• Por que: essa etapa é necessária para identificar e minimizar o número de pessoas que exigem contas separadas e proteção de acesso privilegiado.

• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Política e padrões equipe documenta requisitos e padrões claros (com base nesta orientação)
    • Gerenciamento de Identidade e Chave ou Operações de TI Central para implementar quaisquer alterações
    • O gerenciamento de conformidade de segurança garante a conformidade através de monitoramento

• Como: Depois de ativar o Microsoft Entra Privileged Identity Management, exiba os usuários que estão nas seguintes funções do Microsoft Entra, pelo menos com base nas políticas de risco de sua organização:

  • Administrador global
  • Administrador de Funções com Privilégios
  • Administrador do Exchange
  • Administrador do SharePoint

  Para obter uma lista completa das funções de administrador, confira Permissões da função de administrador no Microsoft Entra ID.

  Remova as contas que não são mais necessárias nessas funções. Em seguida, categorize as contas restantes atribuídas às funções de administrador:

  • Atribuído a usuários administrativos, mas também usado para fins de produtividade não administrativa, como ler e responder a emails.
  • Atribuído a usuários administrativos e usado somente para fins administrativos
  • Compartilhado entre vários usuários
  • Para cenários de acesso de emergência break glass
  • Para scripts automatizados
  • Para usuários externos

Se você não tiver o Microsoft Entra Privileged Identity Management em sua organização, poderá usar a API do PowerShell. Comece com a função de Administrador Global, pois ela tem as mesmas permissões em todos os serviços de nuvem para os quais sua organização assinou. Essas permissões são concedidas independentemente de onde foram atribuídas: no centro de administração do Microsoft 365, no portal do Azure ou no módulo do Azure AD para o Microsoft PowerShell.

• Medir os principais resultados: Revisão e Identificação de funções de acesso privilegiado foram concluídas nos últimos 90 dias

Contas separadas (contas do AD local)

• O que: proteger as contas administrativas locais, se ainda não tiver feito isso. Este estágio inclui:

  • Criando contas de administrador separadas para usuários que precisam realizar tarefas administrativas locais
  • Implantando estações de trabalho de acesso privilegiado para administradores do Active Directory
  • Criando senhas de administrador local exclusivas para estações de trabalho e servidores

• Por que: proteção das contas usadas para tarefas administrativas. As contas de administrador devem ter o email desabilitado e nenhuma conta pessoal da Microsoft deve ser permitida.

• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Patrocínio: Esta iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar quaisquer alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade

• Como: Todos os funcionários que estão autorizados a possuir privilégios administrativos devem ter contas separadas para funções administrativas que sejam distintas das contas de usuário. Não compartilhe essas contas entre os usuários.

  • Contas de Usuário Padrão – Privilégios de usuário padrão concedidos para tarefas de usuário padrão, como email, navegação na internet e uso de aplicativos empresariais. Essas contas não recebem privilégios administrativos.
  • Contas Administrativas – Contas separadas criadas para funcionários que recebem privilégios administrativos apropriados.

• Medir os principais resultados: 100% dos usuários com privilégios locais têm contas dedicadas separadas

Microsoft Defender para Identidade

• O que: o Microsoft Defender para Identidade combina sinais locais com insights de nuvem para monitorar, proteger e investigar eventos em um formato simplificado, permitindo que suas equipes de segurança detectem ataques avançados contra sua infraestrutura de identidade com a capacidade de:

  • Monitorar usuários, comportamento de entidade e atividades com análise baseada em aprendizado
  • Proteger identidades de usuário e credenciais armazenadas no Active Directory
  • Identificar e investigar atividades de usuário suspeitas e ataques avançados em toda a cadeia do ataque cibernético
  • Fornecer informações claras sobre incidentes em uma linha do tempo simples para triagem rápida

• Por que: os invasores modernos podem permanecer indetectados por longos períodos de tempo. Muitas ameaças são difíceis de encontrar sem uma imagem coesa de todo o seu ambiente de identidade.

• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Política e padrões equipe documenta requisitos e padrões claros (com base nesta orientação)
    • Gerenciamento de Identidades e Chaves ou Operações Centrais de TI para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade

• Como: implantar e habilitar o Microsoft Defender para Identidade e examinar os alertas em aberto.

• Medir os principais resultados: todos os alertas em aberto são examinados e mitigados pelas equipes adequadas.

Melhorar a experiência de gerenciamento de credenciais

Implementar e documentar a redefinição de senha de autoatendimento e o registro combinado de informações de segurança

• O que: habilitar e configurar a SSPR (redefinição de senha self-service) na organização e habilitar a experiência de registro de informações de segurança combinadas.
• Por que: os usuários podem redefinir suas próprias senhas depois de se registrarem. A experiência combinada de registro de informações de segurança fornece uma melhor experiência do usuário, permitindo o registro para autenticação multifator do Microsoft Entra e redefinição de senha de autoatendimento. Essas ferramentas quando usadas juntas contribuem para reduzir os custos de assistência técnica e usuários mais satisfeitos.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: Essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade.
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Política e padrões equipe documenta requisitos e padrões claros de acordo com esta orientação
    • Gerenciamento de Identidades e Chaves ou Operações Centrais de TI para implementar as alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
    • Os processos do Service Desk das operações de TI Central foram atualizados e o pessoal foi treinado neles
• Como: para habilitar e implantar a SSPR, confira o artigo Planejar uma implantação de redefinição de senha self-service do Microsoft Entra.
• Medir os principais resultados: a redefinição de senha de autoatendimento está totalmente configurada e disponível para a organização

Proteger contas de administrador – Habilitar e exigir MFA/Sem senha para usuários com privilégios da ID do Microsoft Entra

• O que: exigir que todas as contas com privilégios no Microsoft Entra ID usem uma autenticação multifator forte

• Por que: para proteger o acesso a dados e serviços no Microsoft 365.

• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações Centrais de TI para implementar as alterações
    • O gerenciamento de conformidade de segurança monitora para assegurar a conformidade
    • Operações Centrais de TI Os processos de assistência técnica foram atualizados e a equipe recebeu o respectivo treinamento
    • Os processos do dono de serviço das operações centrais de TI foram atualizados e o pessoal foi treinado neles

• Como: ativar a MFA (autenticação multifator) do Microsoft Entra e registrar todas as outras contas de administrador não federadas de usuário único com privilégios elevados. Exigir autenticação multifator na entrada para todos os usuários individuais atribuídos permanentemente a uma ou mais das funções de administrador do Microsoft Entra.

  Exigir que os administradores usem métodos de entrada sem senha, como chaves de segurança FIDO2 ou Windows Hello para Empresas, em conjunto com senhas exclusivas, longas e complexas. Imponha essa alteração com um documento de política organizacional.

Siga as diretrizes nos artigos a seguir: Planeje uma implantação de autenticação multifator no Microsoft Entra, e Planeje uma implantação de autenticação sem senha no Microsoft Entra ID.

• Medir os principais resultados: 100% de usuários privilegiados estão usando a autenticação sem senha ou uma forma forte de autenticação multifator para todos os logons. Consulte Contas de Acesso Privilegiado para obter a descrição da autenticação multifatorial

Bloquear protocolos de autenticação herdados para contas de usuário com privilégios

• O que: bloquear o uso do protocolo de autenticação herdado para contas de usuário com privilégios.

• Por que: as organizações devem bloquear esses protocolos de autenticação herdados porque a autenticação multifator não pode ser imposta contra eles. Deixar protocolos de autenticação herdados habilitados pode criar um ponto de entrada para invasores. Alguns aplicativos herdados podem depender desses protocolos e as organizações têm a opção de criar exceções específicas para determinadas contas. Essas exceções devem ser controladas e controles de monitoramento adicionais implementados.

• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.

  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Política e padrões: estabelecer requisitos claros
    • Gerenciamento de Identidade e Chave ou Operações de TI Central Operações de TI Central para implementar a política
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade

• Como: para bloquear protocolos de autenticação herdados na organização, siga as diretrizes no artigo Instruções: bloquear autenticação herdada no Microsoft Entra ID com acesso condicional.

• Medir os principais resultados:

  • protocolos herdados bloqueados: Todos os protocolos herdados são bloqueados para todos os usuários, com apenas exceções autorizadas
  • Exceções são examinadas a cada 90 dias e expiram permanentemente em um ano. Os proprietários de aplicativos devem corrigir todas as exceções dentro de um ano após a aprovação da primeira exceção

Processo de consentimento do aplicativo

• O que: desabilitar o consentimento do usuário final para aplicativos do Microsoft Entra.

• Por que: os usuários podem criar inadvertidamente riscos organizacionais fornecendo consentimento para um aplicativo que pode acessar dados organizacionais de maneira mal-intencionada.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar quaisquer alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
    • Operações Centrais de TI Os processos de assistência técnica foram atualizados e a equipe recebeu o respectivo treinamento
    • Os processos do proprietário de serviço das Operações Centrais de TI foram atualizados e o pessoal foi treinado sobre eles
• Como: estabelecer um processo de consentimento centralizado para manter a visibilidade centralizada e o controle dos aplicativos que têm acesso aos dados seguindo as diretrizes do artigo, Gerenciando o consentimento para aplicativos e avaliando solicitações de consentimento.
• Medir os principais resultados: os usuários finais não podem consentir com o acesso ao aplicativo Microsoft Entra

Limpar os riscos de conta e de entrada

• O que: habilitar o Microsoft Entra ID Protection e limpar os riscos encontrados.
• Por que: o comportamento do usuário suspeito e da entrada pode ser uma fonte de ataques contra a organização.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Política e padrões equipe documenta requisitos e padrões claros (com base nesta orientação)
    • Gerenciamento de Identidade e Chaves ou Operações de TI Central para implementar quaisquer alterações
    • gerenciamento de conformidade de segurança monitora para garantir a conformidade
    • Operações Centrais de TI Os processos de assistência técnica foram atualizados para as chamadas de suporte relacionadas e a equipe recebeu o respectivo treinamento
• Como: criar um processo que monitora e gerencia o risco de usuário e de entrada. Decida se você automatizará a correção usando a autenticação multifator do Microsoft Entra e a SSPR ou bloqueará e exigirá intervenção do administrador. Siga as diretrizes no artigo Como configurar e habilitar políticas de risco.
• Medir os principais resultados: A organização não tem riscos de usuário ou de login não tratados.

Implantação inicial de estações de trabalho de administrador

• O que: contas com privilégios, como aquelas que gerenciam o Microsoft Entra ID, têm estações de trabalho dedicadas para realizar as tarefas administrativas.
• Por que: dispositivos em que tarefas de administração privilegiadas são concluídas são um alvo de invasores. Proteger não apenas a conta, mas esses ativos são essenciais para reduzir sua área de superfície de ataque. Essa separação limita sua exposição a ataques comuns direcionados a tarefas relacionadas à produtividade, como email e navegação na Web.
• Quem: essa iniciativa normalmente é administrada pelo Gerenciamento de Identidades e Chaves e/ou pela Arquitetura de Segurança.
  • Patrocínio: Essa iniciativa normalmente é patrocinada pelo CISO, CIO ou Diretor de Identidade
  • Execução: essa iniciativa é um esforço colaborativo que envolve
    • Padrões e requisitos claros do documento da equipe de políticas e padrões (com base nessas diretrizes)
    • Gerenciamento de Identidades e Chaves ou Operações de TI Central para implementar quaisquer alterações
    • Monitores de gerenciamento de Conformidade de Segurança para garantir a conformidade
    • Os processos de Helpdesk da TI Central foram atualizados e o pessoal foi treinado neles
    • Os processos do responsável pelas Operações Centrais de TI serviço foram atualizados e o pessoal foi treinado neles.
• Como: a implantação inicial deve ser no nível corporativo, conforme descrito no artigo Implantação de Acesso Privilegiado
• Medir os principais resultados: cada conta com privilégios tem uma estação de trabalho dedicada para executar tarefas confidenciais.

Próximas etapas

• Visão geral da proteção de acesso privilegiado
• estratégia de acesso privilegiado
• Medindo o êxito
• Níveis de segurança
• contas de acesso privilegiado
• Intermediários
• Interfaces
• dispositivos de acesso privilegiado
• Modelo de acesso empresarial