共用方式為

特權存取:帳戶

帳戶安全性是 保護特殊許可權存取的重要元件。 為了確保工作階段的零信任端對端安全性,需要明確確認所使用的帳戶確實在用戶本人的控制之下,而非由冒充用戶的攻擊者操控。

強化帳戶安全性始於安全的佈建及從佈建到取消佈建的完整生命週期管理,而在每個會話中都必須基於所有可用的數據建立強有力的保證,這些數據包括歷史行為模式、可用的威脅情報,以及當前會話中的使用情況,以確保帳戶現在未被入侵。

帳戶安全性

本指南會針對帳戶安全性定義三個安全性層級,以用於具有不同敏感度層級的資產:

全面保護帳戶

這些層級為您可以指派角色的每個敏感度等級建立清晰且可實施的安全配置文件,並能迅速擴展。 所有這些帳戶安全性層級都是為了藉由限制或消除用戶和系統管理工作流程的中斷,來維護或改善人員的生產力。

規劃帳戶安全性

本指南概述符合每個層級所需的技術控制件。 實作指引位於 特殊許可權存取藍圖中,

帳戶安全性控制

確保介面的安全性需要同時保護帳戶的技術控制措施,並提供用於零信任政策中的決策過程的訊號(請參閱『介面安全設定參考』)。

這些設定檔中使用的控制件包括:

  • 多重要素驗證 - 提供多樣化的證明來源,設計為對使用者而言盡可能方便,卻對對手難以模仿。
  • 帳戶風險 - 威脅和異常監視 - 使用 UEBA 和威脅情報來識別有風險的案例
  • 自定義監視 - 針對更敏感的帳戶,明確定義允許/接受的行為/模式,允許早期偵測異常活動。 此控件不適用於企業中的一般用途帳戶,因為這些帳戶需要其角色的彈性。

控件的組合也讓您能同時提升安全性和易用性。例如,對於那些始終在相同位置使用相同裝置的使用者而言,若維持其平時的使用模式,他們在每次驗證時就不需要額外的多因素驗證提醒。

比較每個帳戶層級和成本效益

企業安全性帳戶

企業帳戶的安全性控制旨在為所有使用者建立安全基準,並提供特殊化和特殊許可權安全性的安全基礎:

  • 強制執行強式多重要素驗證 (MFA) - 請確定使用者已使用企業受控識別系統所提供的強式 MFA 進行驗證 (詳見下圖)。 如需多重要素驗證的詳細資訊,請參閱 Azure 安全性最佳做法 6

    注意

    雖然貴組織可以選擇在轉換期間使用現有較弱的 MFA 形式,但攻擊者越來越迴避較弱的 MFA 保護,因此對 MFA 的所有新投資都應該處於最強的形式。

  • 強制執行帳戶/會話風險 - 確保帳戶無法進行身份驗證,除非處於低(或中等)風險層級。 如需條件式企業帳戶安全性的詳細資訊,請參閱介面安全性層級。

  • 監視和回應警示 - 安全性作業應該整合帳戶安全性警示,並取得這些通訊協定和系統運作方式的充分訓練,以確保他們能夠快速理解警示的意義,並據以做出反應。

下圖提供不同形式的 MFA 和無密碼驗證的比較。 盒子中的每個選項 具有高安全性和高可用性。 每個都有不同的硬體需求,因此您可能會想要混合和比對哪些硬體需求適用於不同的角色或個人。 所有 Microsoft 無密碼解決方案皆被「條件式存取」識別為多因素身份驗證,因為它們需要將擁有的物件與生物辨識、所知的資訊或兩者結合。

驗證方法的比較良好、更好、最佳

注意

如需了解為何 SMS 和其他基於電話的驗證方式受到限制,請參閱部落格文章 《是時候停止依賴電話驗證傳輸》

特製化帳戶

專用帳戶提供較高的保護層級,適合敏感使用者。 由於業務影響較高,特製化帳戶在安全性警示、事件調查和威脅搜捕期間需要額外的監視和優先順序。

專業化安全性以企業安全中的強化 MFA 為基礎,透過識別最敏感的帳戶,並確保警示和回應流程獲得優先處理:

  1. 識別敏感性帳戶 - 請參閱識別這些帳戶的特殊安全性層級指引。
  2. 標記特製化帳戶 - 確保每個敏感性帳戶都已標記
    1. 設定 Microsoft Sentinel 監看列表 來識別這些敏感性帳戶
    2. 在適用於 Office 365 的 Microsoft Defender 中設定優先順序帳戶保護,並將特製化和特殊許可權帳戶指定為優先帳戶 -
  3. 更新安全性作業程式,讓這些警示具有最高優先順序
  4. 設定治理 - 更新或建立治理程式以確保
    1. 所有新角色在創建或更改時都會被評估是否適合專業化或特權分類。
    2. 所有新帳戶都會在建立時加上標記
    3. 連續或定期頻外檢查,以確保一般治理程式不會遺漏角色和帳戶。

特殊許可權帳戶

特殊許可權帳戶具有最高層級的保護,因為它們在遭到入侵時,對組織的作業造成重大或重大潛在影響。

特殊許可權帳戶一律包含IT系統管理員,可存取大部分或所有企業系統,包括大部分或所有業務關鍵系統。 其他對業務影響較高的帳戶也可能需要這種額外的保護層級。 如需哪些角色和帳戶應該在哪個層級受到保護的詳細資訊,請參閱 Privileged Security一文。

除了專門的安全性之外,特權帳戶安全性還會增加:

  • 預防 - 新增控件,以限制這些帳戶的使用至指定的裝置、工作站和媒介。
  • 回應 - 密切監視這些帳戶是否有異常活動,並快速調查並補救風險。

設定特殊許可權帳戶安全性

請遵循 安全性快速現代化計劃 中的指引,以增加特殊許可權帳戶的安全性,並降低管理成本。

後續步驟

  • Last updated on