Partilhar via

Plano de modernização rápida da segurança

Este plano de modernização rápida (RAMP) irá ajudá-lo a adotar rapidamente a estratégia de acesso privilegiado recomendada da Microsoft.

Este plano baseia-se nos controlos técnicos estabelecidos nas orientações de implementação de acesso privilegiado . Conclua essas etapas e use as etapas neste RAMP para configurar os controles para sua organização.

Resumo do RAMP de acesso privilegiado

Observação

Muitas dessas etapas terão uma dinâmica greenfield/brownfield, uma vez que as organizações muitas vezes enfrentam riscos de segurança na forma como estão atualmente implantadas ou configuradas as suas contas. Este roteiro prioriza parar o acúmulo de novos riscos de segurança primeiro e, em seguida, limpa os itens restantes que já se acumularam.

À medida que avança no roteiro, você pode utilizar o Microsoft Secure Score para acompanhar e comparar muitos itens na jornada com outros em organizações semelhantes ao longo do tempo. Saiba mais sobre o Microsoft Secure Score no artigo Visão geral do Secure Score.

Cada item neste RAMP é estruturado como uma iniciativa que será rastreada e gerenciada usando um formato que se baseia na metodologia de objetivos e resultados-chave (OKR). Cada item inclui o que (objetivo), porquê, quem, como e como medir (resultados-chave). Alguns itens exigem mudanças nos processos e nos conhecimentos ou habilidades das pessoas, enquanto outros são mudanças tecnológicas mais simples. Muitas dessas iniciativas incluirão membros fora do departamento de TI tradicional que devem ser incluídos na tomada de decisões e na implementação dessas mudanças para garantir que elas sejam integradas com sucesso em sua organização.

É fundamental trabalhar em conjunto como organização, criar parcerias e educar pessoas que tradicionalmente não faziam parte desse processo. É fundamental criar e manter a adesão em toda a organização; caso contrário, muitos projetos falham.

Separe e gerencie contas privilegiadas

Contas de acesso de emergência

  • O que: Certifique-se de que não fique acidentalmente bloqueado da sua organização Microsoft Entra em uma situação de emergência.
  • Por que: Contas de acesso de emergência raramente usadas são altamente prejudiciais para a organização se forem comprometidas, mas a sua disponibilidade para a organização também é extremamente importante para os poucos cenários em que são necessárias. Certifique-se de ter um plano de continuidade de acesso que acomoda eventos esperados e inesperados.
  • Quem: Esta iniciativa é normalmente liderada por Gestão de Identidades e Chaves e/ou Arquitetura de Segurança .
    • Patrocínio: Esta iniciativa é normalmente patrocinada por CISO, CIO ou Diretor de Identidade
    • Execução: Esta iniciativa é um esforço colaborativo que envolve
  • Como: Siga as orientações em Gerir contas de acesso de emergência no Microsoft Entra ID.
  • Medir os principais resultados:
    • O processo de acesso de emergência já estabelecido foi projetado com base nas diretrizes da Microsoft que atendem às necessidades organizacionais
    • Mantido o acesso de emergência, foi revisado e testado nos últimos 90 dias

Ativar a Gestão de Identidades Privilegiadas do Microsoft Entra

  • O que: Use o Microsoft Entra Privileged Identity Management (PIM) em seu ambiente de produção do Microsoft Entra para descobrir e proteger contas privilegiadas
  • Por que: o Privileged Identity Management fornece ativação de função baseada em tempo e aprovação para mitigar os riscos de permissões de acesso excessivas, desnecessárias ou usadas indevidamente.
  • Quem: Esta iniciativa é normalmente liderada por Identidade e Gestão de Chaves e/ou Arquitetura de Segurança.
  • Como: Implantar e configurar o Microsoft Entra Privileged Identity Management usando as orientações no artigo, Implantar o Microsoft Entra Privileged Identity Management (PIM).
  • Medir os principais resultados: 100% de funções de acesso privilegiado aplicáveis estão usando o Microsoft Entra PIM

Identificar e categorizar contas privilegiadas (ID do Microsoft Entra)

  • O que: Identifique todas as funções e grupos com alto impacto nos negócios que exigirão um nível de segurança privilegiado (imediatamente ou ao longo do tempo). Esses administradores exigirão contas separadas em uma etapa posterior Administração de acesso privilegiado.

  • Por que: Esta etapa é necessária para identificar e minimizar o número de pessoas que exigem contas separadas e proteção de acesso privilegiado.

  • Quem: Esta iniciativa é normalmente liderada por Gestão de Identidades e Chaves e/ou Arquitetura de Segurança.

  • Como fazer: Depois de ativar o Microsoft Entra Privileged Identity Management, exiba os utilizadores que, no mínimo, estão nos papéis seguintes do Microsoft Entra com base nas políticas de risco da sua organização:

    • Administrador Global
    • Administrador de Função Privilegiada
    • Administrador do Exchange
    • Administrador do SharePoint

    Para obter uma lista completa das funções de administrador, consulte permissões de função de administrador no Microsoft Entra ID.

    Remova todas as contas que não são mais necessárias nessas funções. Em seguida, categorize as contas restantes atribuídas a funções de administrador:

    • Atribuído a usuários administrativos, mas também usado para fins de produtividade não administrativa, como ler e responder a e-mails.
    • Atribuído a usuários administrativos e usado apenas para fins administrativos
    • Compartilhado entre vários usuários
    • Para cenários de acesso de emergência de quebra de vidro
    • Para scripts automatizados
    • Para utilizadores externos

Se você não tiver o Microsoft Entra Privileged Identity Management em sua organização, poderá usar a API do PowerShell. Comece com a função de Administrador Global, porque ela tem as mesmas permissões em todos os serviços de nuvem para os quais sua organização se inscreveu. Essas permissões são concedidas independentemente de onde foram atribuídas: no centro de administração do Microsoft 365, no portal do Azure ou pelo módulo do Azure AD para Microsoft PowerShell.

  • Medir os principais resultados: Revisão e identificação de funções de acesso privilegiado foi concluída nos últimos 90 dias

Contas separadas (contas do Active Directory locais)

  • O que: Proteger contas administrativas privilegiadas no local, se ainda não tiver sido feito. Esta etapa inclui:

    • Criação de contas de administrador separadas para usuários que precisam realizar tarefas administrativas locais
    • Implantando estações de trabalho de acesso privilegiado para administradores do Ative Directory
    • Criação de senhas de administrador local exclusivas para estações de trabalho e servidores

  • Porque: Fortalecer as contas usadas para tarefas administrativas. As contas de administrador devem ter o email desabilitado e nenhuma conta pessoal da Microsoft deve ser permitida.

  • Quem: Esta iniciativa é normalmente liderada por Gestão de Identidades e Chaves e/ou Arquitetura de Segurança.

  • Como: Todo o pessoal autorizado a possuir privilégios administrativos deve ter contas separadas para funções administrativas distintas das contas de usuário. Não partilhe estas contas entre utilizadores.

    • Contas de usuário padrão - Concedido privilégios de usuário padrão para tarefas de usuário padrão, como e-mail, navegação na Web e uso de aplicativos de linha de negócios. Essas contas não recebem privilégios administrativos.
    • Contas administrativas - Contas separadas criadas para o pessoal ao qual são atribuídos os privilégios administrativos apropriados.

  • Medir os principais resultados: 100% de usuários privilegiados locais têm contas dedicadas separadas

Microsoft Defender para Identidade

  • O que: O Microsoft Defender for Identity combina sinais locais com informações na nuvem para monitorar, proteger e investigar eventos em um formato simplificado, permitindo que suas equipes de segurança detetem ataques avançados contra sua infraestrutura de identidade com a capacidade de:

    • Monitore usuários, comportamento da entidade e atividades com análises baseadas em aprendizagem
    • Proteja as identidades e credenciais dos usuários armazenadas no Ative Directory
    • Identifique e investigue atividades suspeitas do usuário e ataques avançados em toda a cadeia de eliminação
    • Forneça informações claras sobre incidentes em um cronograma simples para triagem rápida

  • Por que: Os atacantes modernos podem ficar sem serem detetados por longos períodos de tempo. Muitas ameaças são difíceis de encontrar sem uma imagem coesa de todo o seu ambiente de identidade.

  • Quem: Esta iniciativa é normalmente liderada por Gestão de Identidades e Chaves e/ou Arquitetura de Segurança .

    • Patrocínio: Esta iniciativa é normalmente patrocinada por CISO, CIO ou Diretor de Identidade
    • Execução: Esta iniciativa é um esforço colaborativo que envolve

  • Como: Implantar e habilitar Microsoft Defender for Identity e revisar todos os alertas abertos.

  • Medir os principais resultados: Todos os alertas abertos revisados e mitigados pelas equipes apropriadas.

Melhore a experiência de gerenciamento de credenciais

Implementar e documentar a redefinição de senha de autoatendimento e o registro combinado de informações de segurança

  • O que: Habilite e configure a redefinição de senha de autoatendimento (SSPR) em sua organização e habilite a experiência combinada de registro de informações de segurança.
  • Por que: Os usuários podem redefinir suas próprias senhas depois de se registrarem. A experiência combinada de registro de informações de segurança fornece uma melhor experiência do usuário, permitindo o registro para autenticação multifator Microsoft Entra e redefinição de senha de autoatendimento. Estas ferramentas, quando utilizadas em conjunto, contribuem para reduzir os custos dos serviços de assistência e tornar os utilizadores mais satisfeitos.
  • Quem: Esta iniciativa é normalmente liderada por Gestão de Identidades e Chaves e/ou Arquitetura de Segurança.
  • Como: Para habilitar e implantar o SSPR, consulte o artigo Planeie uma implementação de redefinição de senha de autoatendimento do Microsoft Entra.
  • Medir os principais resultados: A redefinição de senha de autoatendimento está totalmente configurada e disponível para a organização

Proteger contas de administrador - Habilite e exija MFA / Passwordless para usuários privilegiados do Microsoft Entra ID

  • O que: Exigir que todas as contas privilegiadas no Microsoft Entra ID usem autenticação multifator forte

  • Por que: Para proteger o acesso a dados e serviços no Microsoft 365.

  • Quem: Esta iniciativa é normalmente liderada por Gestão de Identidades e Chaves e/ou Arquitetura de Segurança.

  • Como: Ative a autenticação multifator (MFA) do Microsoft Entra e registe todas as restantes contas de administrador de utilizador único altamente privilegiadas e não federadas. Exigir autenticação multifator no início de sessão para todos os utilizadores individuais atribuídos permanentemente a uma ou mais funções de administrador Microsoft Entra.

    Exija que os administradores usem métodos de entrada sem senha, como chaves de segurança FIDO2 ou Windows Hello for Business em conjunto com senhas exclusivas, longas e complexas. Imponha essa alteração com um documento de política organizacional.

Siga as orientações nos artigos a seguir, Planejar uma implantação de autenticação multifator do Microsoft Entra e Planejar uma implantação de autenticação sem senha no Microsoft Entra ID.

  • Medir os principais resultados: 100% de usuários privilegiados estão usando autenticação sem senha ou uma forma forte de autenticação multifator para todos os logons. Consulte Contas de Acesso Privilegiado para obter descrição da autenticação multifator

Bloquear protocolos de autenticação herdados para contas de usuário privilegiadas

  • O que: Bloquear o uso do protocolo de autenticação herdado para contas de usuário privilegiadas.

  • Por que: As organizações devem bloquear esses protocolos de autenticação herdados porque a autenticação multifator não pode ser imposta contra eles. Deixar os protocolos de autenticação herdados habilitados pode criar um ponto de entrada para os invasores. Alguns aplicativos herdados podem contar com esses protocolos e as organizações têm a opção de criar exceções específicas para determinadas contas. Estas exceções devem ser acompanhadas e devem ser efetuados controlos de monitorização adicionais.

  • Quem: Esta iniciativa é normalmente liderada por Gestão de Identidades e Chaves e/ou Arquitetura de Segurança.

  • Como: Para bloquear protocolos de autenticação herdados em sua organização, siga as orientações no artigo Como: Bloquear autenticação herdada para o Microsoft Entra ID com acesso condicional.

  • Medir os principais resultados:

    • Protocolos herdados bloqueados: Todos os protocolos herdados são bloqueados para todos os usuários, com apenas exceções autorizadas
    • Exceções são revistas a cada 90 dias e expiram permanentemente dentro de um ano. Os proprietários de aplicativos devem corrigir todas as exceções dentro de um ano após a aprovação da primeira exceção
  • O que: Desativar o consentimento do usuário final para aplicativos Microsoft Entra.

Observação

Essa mudança exigirá centralizar o processo de tomada de decisão com as equipes de administração de segurança e identidade da sua organização.

  • Por que: Os usuários podem criar inadvertidamente risco organizacional fornecendo consentimento para um aplicativo que pode acessar dados organizacionais de forma maliciosa.
  • Quem: Esta iniciativa é normalmente liderada por Gestão de Identidades e Chaves e/ou Arquitetura de Segurança .
  • Como: Estabeleça um processo de consentimento centralizado para manter a visibilidade e o controle centralizados dos aplicativos que têm acesso aos dados, seguindo as orientações do artigo, Gerenciando o consentimento para aplicativos e avaliando solicitações de consentimento.
  • Medir os principais resultados: Os usuários finais não podem consentir com o acesso ao aplicativo Microsoft Entra

Limpar riscos de conta e login

  • O que: Ative a Proteção de Identidade do Microsoft Entra e limpe quaisquer riscos que sejam encontrados.
  • Por que: O comportamento arriscado do usuário e do login pode ser uma fonte de ataques contra sua organização.
  • Quem: Esta iniciativa é normalmente liderada por Gestão de Identidades e Chaves e/ou Arquitetura de Segurança.
  • Como: Crie um processo que monitore e gerencie o risco de usuário e entrada. Decida se você automatizará a correção, usando a autenticação multifator do Microsoft Entra e o SSPR, ou bloqueará e exigirá a intervenção do administrador. Siga as orientações no artigo Como: Configurar e habilitar políticas de risco.
  • Meça os principais resultados: A organização tem zero riscos não endereçados de usuário e login.

Observação

As políticas de Acesso Condicional são necessárias para bloquear o acumulamento de novos riscos de início de sessão. Consulte a seção de Acesso Condicional em Implementação de Acesso Privilegiado

Implantação inicial de estações de trabalho de administração

  • O que: Contas privilegiadas, como as que gerenciam o Microsoft Entra ID, têm estações de trabalho dedicadas para executar tarefas administrativas.
  • Por que: Dispositivos onde tarefas de administração privilegiadas são concluídas são um alvo de invasores. Proteger não apenas a conta, mas esses ativos é fundamental para reduzir sua área de superfície de ataque. Essa separação limita sua exposição a ataques comuns direcionados a tarefas relacionadas à produtividade, como e-mail e navegação na Web.
  • Quem: Esta iniciativa é normalmente liderada por Gestão de Identidades e Chaves e/ou Arquitetura de Segurança.
  • Como: A implantação inicial deve ser ao nível empresarial, conforme descrito no artigo Implementação de Acesso Privilegiado
  • Meça os principais resultados: Cada conta privilegiada tem uma estação de trabalho dedicada para executar tarefas confidenciais.

Observação

Esta etapa estabelece rapidamente uma linha de base de segurança e deve ser aumentada para níveis especializados e privilegiados o mais rápido possível.

Próximos passos

  • Last updated on