Ochrana Microsoftu 365 před místními útoky

Řada zákazníků propojuje své privátní podnikové sítě s Microsoftem 365, aby mohli využívat výhody uživatelů, zařízení a aplikací. Aktéři hrozeb můžou tyto privátní sítě ohrozit mnoha dobře zdokumentovanými způsoby. Microsoft 365 funguje jako druh nervového systému pro organizace, které investovaly do modernizace jejich prostředí do cloudu. Je důležité chránit Microsoft 365 před ohrožením místní infrastruktury.

V tomto článku se dozvíte, jak nakonfigurovat systémy tak, aby chránily cloudové prostředí Microsoftu 365 před místním ohrožením:

• Nastavení konfigurace tenanta Microsoft Entra
• Jak můžete bezpečně propojit tenanty Microsoft Entra s místními systémy.
• Kompromisy potřebné k provozování systémů způsobem, který chrání vaše cloudové systémy před místním ohrožením.

Microsoft důrazně doporučuje implementovat pokyny v tomto článku.

Zdroje hrozeb v místních prostředích

Vaše cloudové prostředí Microsoftu 365 přináší výhody rozsáhlé infrastruktury monitorování a zabezpečení. Microsoft 365 používá strojové učení a lidskou inteligenci k vyhledávání po celém světě. Dokáže rychle detekovat útoky a umožnit vám překonfigurovat téměř v reálném čase.

Hybridní nasazení můžou připojit místní infrastrukturu k Microsoftu 365. Vtakovýchch Pokud aktéři hrozeb ohrožují místní prostředí, stanou se tyto vztahy důvěryhodnosti příležitostí k ohrožení vašeho prostředí Microsoftu 365.

Dva primární vektory hrozeb jsou vztahy důvěryhodnosti federace a synchronizace účtů. Oba vektory můžou útočníkovi udělit přístup správce ke cloudu.

• Federované vztahy důvěryhodnosti, jako je ověřování SAML (Security Assertions Markup Language), se používají k ověření v Microsoftu 365 prostřednictvím místní infrastruktury identit. Pokud dojde k ohrožení zabezpečení podpisového certifikátu tokenu SAML, federace umožňuje všem uživatelům, kteří tento certifikát mají, zosobnit libovolného uživatele ve vašem cloudu. Pokud chcete tento vektor zmírnit, doporučujeme zakázat vztahy důvěryhodnosti federace pro ověřování v Microsoftu 365, pokud je to možné. ** Doporučujeme také migrovat další aplikace, které ke svému ověřování používají on-premises infrastrukturu federace, aby používaly Microsoft Entra.
• Pomocí synchronizace účtů upravovat privilegované uživatele, včetně jejich přihlašovacích údajů nebo skupin s oprávněními správce v Microsoftu 365. Pokud chcete tento vektor zmírnit, doporučujeme zajistit, aby synchronizované objekty neměly žádná oprávnění nad rámec uživatele v Microsoftu 365. Oprávnění můžete řídit buď přímo, nebo prostřednictvím zahrnutí do důvěryhodných rolí nebo skupin. Ujistěte se, že tyto objekty nemají v důvěryhodných cloudových rolích nebo skupinách žádné přímé ani vnořené přiřazení.

Ochrana Microsoftu 365 před místním ohrožením

Pokud chcete řešit místní hrozby, doporučujeme dodržovat čtyři principy, které znázorňuje následující diagram.

1. Plně izolujte účty správce Microsoftu 365. Měly by být:

   • Nativní cloudové účty.
   • Ověřeno pomocí přihlašovacích údajů odolných proti phishingovým útokům .
   • Zabezpečeno podmíněným přístupem Microsoft Entra.
   • Přístup pouze pomocí cloudových pracovních stanic s privilegovaným přístupem.

   Tyto účty správce jsou účty s omezeným použitím. V Microsoftu 365 by neměly mít žádné místní účty oprávnění správce.

   Další informace najdete v tématu O rolích správců a rolích pro Microsoft 365 v Microsoft Entra ID.

2. Správa zařízení z Microsoftu 365 Pomocí připojení k Microsoft Entra a cloudové správy mobilních zařízení (MDM) můžete eliminovat závislosti na místní infrastruktuře správy zařízení. Tyto závislosti můžou ohrozit kontrolní mechanismy zařízení a zabezpečení.

3. Ujistěte se, že žádný místní účet nemá zvýšená oprávnění k Microsoftu 365. Některé účty přistupují k místním aplikacím, které vyžadují ověřování protokolu LDAP (NTLM, Lightweight Directory Access Protocol) nebo Kerberos. Tyto účty musí být v místní infrastruktuře identit organizace. Ujistěte se, že tyto účty nezahrnujete spolu s účty služeb v privilegovaných cloudových rolích nebo skupinách. Zajistěte, aby změny těchto účtů nemohly ovlivnit integritu vašeho cloudového prostředí. Privilegovaný místní software nesmí mít vliv na privilegované účty nebo role Microsoftu 365.

4. Pomocí cloudového ověřování Microsoft Entra odstraňte závislosti na vašich místních přihlašovacích údajích. Vždy používejte metody ověřování odolné proti útokům phishing, jako je Windows Hello pro firmy, přihlašovací údaje platformy pro macOS, klíče (FIDO2), klíče Microsoft Authenticatoru nebo ověřování založené na certifikátech.

Konkrétní doporučení zabezpečení

Následující části obsahují pokyny k implementaci principů v tomto článku.

Izolace privilegovaných identit

V Microsoft Entra ID jsou uživatelé, kteří mají privilegované role, jako jsou správci, kořenem důvěryhodnosti pro sestavení a správu zbytku prostředí. Implementujte následující postupy, abyste minimalizovali dopady ohrožení zabezpečení.

• Používejte účty pouze v cloudu pro privilegované role Microsoft Entra ID a Microsoft 365.
• Nasaďte zařízení s privilegovaným přístupem pro privilegovaný přístup pro správu Microsoft 365 a Microsoft Entra ID. Viz Role a profily zařízení.
• Implementujte Microsoft Entra Privileged Identity Management (PIM) pro přístup na vyžádání ke všem uživatelským účtům s privilegovanými rolemi. K aktivaci rolí vyžadovat ověřování odolné proti útokům phishing.
• Poskytněte role pro správu, které umožňují provádět požadované úlohy s nejnižšími oprávněními. Viz Nejméně privilegované role podle úkolu v Microsoft Entra ID.
• Pokud chcete povolit bohaté prostředí pro přiřazení rolí, které zahrnuje delegování a více rolí najednou, zvažte použití skupin zabezpečení Microsoft Entra nebo Skupiny Microsoft 365. Souhrnně těmto cloudovým skupinám říkáme.
• Povolte řízení přístupu na základě role. Viz Přiřazení rolí Microsoft Entra. Pomocí jednotek pro správu v Microsoft Entra ID omezte rozsah rolí na část organizace.
• Nasaďte účty pro nouzový přístup místo místních trezorů hesel pro ukládání přihlašovacích údajů. Viz Správa účtů pro nouzový přístup v Microsoft Entra ID.

Další informace naleznete v tématu Zabezpečení privilegovaného přístupu a principy zabezpečeného přístupu pro správce v Microsoft Entra ID.

Použití cloudového ověřování

Přihlašovací údaje jsou primárním vektorem útoku. Implementujte následující postupy pro lepší zabezpečení přihlašovacích údajů:

• Nasaďte ověřování bez hesla. Omezte používání hesel co nejvíce tím, že nasadíte přihlašovací údaje bez hesla. Tyto přihlašovací údaje můžete spravovat a ověřovat nativně v cloudu. Další informace najdete v Začínáme s nasazením bezheslového ověřování odolného vůči phishingu vMicrosoft Entra ID. Vyberte si z těchto metod ověřování:

  • windows Hello pro firmy
  • Platformový přihlašovací údaj pro macOS
  • aplikace Microsoft Authenticator
  • Passkeys FIDO2)
  • Ověřování založené na certifikátech Microsoft Entra

• Nasazení vícefaktorového ověřování Další informace naleznete v tématu Plánování nasazení vícefaktorového ověřování Microsoft Entra. Zřízení více silných přihlašovacích údajů pomocí vícefaktorového ověřování Microsoft Entra Přístup ke cloudovým prostředkům tak vyžaduje kromě místního hesla také přihlašovací údaje spravované microsoftem Entra ID. Další informace naleznete v tématu Sestavení odolnosti pomocí správy přihlašovacích údajů a vytvoření odolné strategie řízení přístupu pomocí Microsoft Entra ID.

• Modernizace jednotného přihlašování ze zařízení Využijte moderní funkce jednotného přihlašování ve Windows 11, macOS, Linuxu a mobilních zařízeních.

• Úvahy. Hybridní správa hesel účtu vyžaduje hybridní komponenty, jako jsou agenti ochrany hesel a agenti zpětného zápisu hesla. Pokud útočníci narušují vaši místní infrastrukturu, můžou řídit počítače, na kterých se tito agenti nacházejí. Toto ohrožení zabezpečení neohrožuje vaši cloudovou infrastrukturu. Použití cloudových účtů pro privilegované role nechrání tyto hybridní komponenty před místním ohrožením.

  Výchozí zásady vypršení platnosti hesla v Microsoft Entra nastaví heslo účtu synchronizovaných místních účtů na Nikdy nevypršet. Toto nastavení můžete zmírnit pomocí místního nastavení hesel služby Active Directory. Pokud dojde k ohrožení zabezpečení vaší instance služby Active Directory a synchronizace je zakázaná, nastavte možnost CloudPasswordPolicyForPasswordSyncedUsersEnabled pro vynucení změn hesel nebo přejděte od hesel k ověřování odolnému proti phishingu .

Zřízení přístupu uživatelů z cloudu

Zřizování odkazuje na vytváření uživatelských účtů a skupin v aplikacích nebo zprostředkovatelích identit.

Doporučujeme následující metody zřizování:

• Zřiďte z cloudových aplikací hr pro Microsoft Entra ID. Toto zřizování umožňuje izolovat místní ohrožení zabezpečení. Tato izolace nenaruší cyklus joiner-mover-leaver z cloudových aplikací HR na Microsoft Entra ID.

• Cloudové aplikace. Pokud je to možné, použijte nasazení aplikace v Microsoft Entra ID namísto řešení zřizování na místních serverech. Tato metoda chrání některé aplikace typu software jako služba (SaaS) před profily útočníků se zlými úmysly v místních porušeních zabezpečení.

• Externí identity Pomocí Microsoft Entra External ID B2B spolupráce můžete snížit závislost na lokálních účtech pro externí spolupráci s partnery, zákazníky a dodavateli. Pečlivě vyhodnoťte jakoukoli přímou federaci s jinými zprostředkovateli identity. Účty hostů B2B doporučujeme omezit následujícími způsoby:

  • Omezte přístup hostů na skupiny procházení a další vlastnosti v adresáři. Pomocí nastavení externí spolupráce omezte možnost hostů číst skupiny, u kterých nejsou členy.
  • Zablokuje přístup k webu Azure Portal. Můžete provést vzácné nezbytné výjimky. Vytvořte zásadu podmíněného přístupu, která zahrnuje všechny hosty a externí uživatele. Pak implementujte zásadu pro blokování přístupu.

• Odpojené doménové struktury. Pomocí zřizování cloudu Microsoft Entra se připojte k odpojeným doménovým strukturám. Tento přístup eliminuje nutnost vytvořit připojení mezi doménovými strukturami nebo vztahy důvěryhodnosti, což může rozšířit účinek místního porušení zabezpečení. Další informace naleznete v tématu Co je Microsoft Entra Connect Cloud Sync.

• Úvahy. Při zřizování hybridních účtů spoléhá systém Microsoft Entra ID-from-cloud-HR na místní synchronizaci k dokončení toku dat ze služby Active Directory do Microsoft Entra ID. Pokud dojde k přerušení synchronizace, nové záznamy zaměstnanců nebudou v Microsoft Entra ID k dispozici.

Použití cloudových skupin pro spolupráci a přístup

Cloudové skupiny umožňují oddělit spolupráci a přístup od místní infrastruktury.

• Spolupráce. Pro moderní spolupráci používejte Skupiny Microsoft 365 a Microsoft Teams. Vypnutí místních distribučních seznamů z provozu a aktualizace distribučních seznamů na skupiny Microsoft 365 v Outlooku.
• Přístup. Pomocí skupin zabezpečení Microsoft Entra nebo Skupiny Microsoft 365 můžete autorizovat přístup k aplikacím v Microsoft Entra ID. Pokud chcete řídit přístup k místním aplikacím, zvažte zřizování skupin ve službě Active Directory pomocí služby Microsoft Entra Cloud Sync.
• Licencování. Licencování založené na skupinách můžete použít k poskytování přístupu ke službám Microsoftu pomocí skupin pouze pro cloud. Tato metoda odděluje řízení členství ve skupinách od místní infrastruktury.

Uvažujte o vlastnících skupin, které jsou používány pro přístup, jako o privilegovaných identitách, aby se zabránilo únosu členství při kompromitaci prostředí. Převzetí zahrnuje přímou manipulaci s členstvím v místní skupině nebo manipulaci s místními atributy, které můžou ovlivnit členství v dynamických skupinách Microsoftu 365.

Správa zařízení z cloudu

Bezpečně spravujte zařízení pomocí funkcí Microsoft Entra.

Nasaďte pracovní stanice s Windows 11 připojené k Microsoft Entra se zásadami správy mobilních zařízení. Povolte Windows Autopilot pro plně automatizovaný zážitek zřizování. Viz Naplánuj implementaci připojení Microsoft Entra.

• Používejte pracovní stanice s Windows 11 s nejnovějšími nasazenými aktualizacemi.

  • Vyřaďte počítače, které používají Windows 10 nebo starší verze.
  • Nenasazujte počítače, které mají serverové operační systémy jako pracovní stanice.

• Použijte Microsoft Intune jako autoritu pro všechny úlohy správy zařízení, včetně Windows, macOS, iOS, Androidu a Linuxu.

  • Nasaďte rozšíření podnikového jednotného přihlašování pro iOS.
  • Nasaďte rozšíření macOS Enterprise SSO nebo Platform SSO Secure Enklave Key.

• Nasaďte zařízení s privilegovaným přístupem. Další informace najdete v tématu Role a profily zařízení.

Úlohy, aplikace a prostředky

Tato část obsahuje doporučení k ochraně před místními útoky na úlohy, aplikace a prostředky.

• Místní systémy jednotného přihlašování (SSO). Vyřazení jakékoli místní federace a infrastruktury pro správu webového přístupu Nakonfigurujte aplikace tak, aby používaly ID Microsoft Entra. Pokud používáte službu AD FS pro federaci, přečtěte si téma Vysvětlení fází migrace ověřování aplikací ze služby AD FS doMicrosoft Entra ID .
• Aplikace SaaS a obchodní aplikace, které podporují moderní ověřovací protokoly. Použijte jednotné přihlašování v Microsoft Entra ID. Nakonfigurujte aplikace k používání Microsoft Entra ID pro ověřování a snížení rizika při kompromitaci v rámci místní sítě.
• Starší verze aplikací Můžete povolit ověřování, autorizaci a vzdálený přístup ke starším aplikacím, které nepodporují moderní ověřování pomocí microsoft Entra Private Access. V prvním kroku povolte moderní přístup k interním sítím pomocí aplikace Microsoft Entra Private Access Quick Access. Tento krok poskytuje rychlý a snadný způsob, jak nahradit jednorázovou konfiguraci SÍTĚ VPN pomocí zabezpečených funkcí podmíněného přístupu. Dále nakonfigurujte přístup pro jednotlivé aplikace k libovolné aplikaci založené na protokolu TCP nebo UDP.
• Podmíněný přístup. Definujte zásady podmíněného přístupu pro aplikace SaaS, LOB a starší aplikace a vynucujte bezpečnostní kontrolní mechanismy, jako je vícefaktorové ověřování odolné proti phishingu a soulad zařízení. Další informace najdete v Plán nasazení podmíněného přístupu Microsoft Entra.
• Životní cyklus přístupu Řízení životního cyklu přístupu k aplikacím a prostředkům pomocí zásad správného řízení Microsoft Entra ID za účelem implementace přístupu s nejnižšími oprávněními Udělte uživatelům přístup k informacím a prostředkům jenom v případě, že mají skutečnou potřebu provádět své úkoly. Integrujte SaaS, LOB a starší aplikace se systémem správy Microsoft Entra ID. Microsoft Entra ID Entitlement Management automatizuje pracovní postupy žádosti o přístup, přiřazení přístupu, kontroly a vypršení platnosti.
• Aplikační servery a servery úloh. Můžete migrovat aplikace nebo prostředky, které vyžadují servery do infrastruktury Azure jako služby (IaaS). Pomocí služby Microsoft Entra Domain Services oddělte důvěru a závislost na místních instancích služby Active Directory. Pokud chcete tohoto oddělení dosáhnout, ujistěte se, že virtuální sítě používané pro službu Microsoft Entra Domain Services nemají připojení k podnikovým sítím. Používejte vrstvení přihlašovacích údajů. Aplikační servery se obvykle považují za prostředky vrstvy 1. Další informace najdete v tématu Model podnikového přístupu.

Zásady podmíněného přístupu

Pomocí podmíněného přístupu Microsoft Entra můžete interpretovat signály a používat je k rozhodování o ověřování. Další informace najdete v plánu nasazení podmíněného přístupu.

• Pokud je to možné, použijte podmíněný přístup k blokování starších ověřovacích protokolů. Kromě toho zakažte starší ověřovací protokoly na úrovni aplikace pomocí konfigurace specifické pro aplikaci. Viz Blokování staršího ověřování a starší ověřovací protokoly Vyhledejte konkrétní podrobnosti pro Exchange Online a SharePoint Online.
• Implementujte doporučené konfigurace identit a přístupu zařízení. Viz Běžné zásady nulová důvěra (Zero Trust) identit a přístupu zařízení.
• Pokud používáte verzi ID Microsoft Entra, které neobsahuje podmíněný přístup, použijte výchozí nastavení zabezpečení v Microsoft Entra ID. Další informace o licencování funkcí Microsoft Entra najdete v průvodci cenami Microsoft Entra.

Monitor

Jakmile nakonfigurujete prostředí tak, aby chránilo Microsoft 365 před místními ohroženími, aktivně monitorujte prostředí. Další informace naleznete v tématu Co je sledování Microsoft Entra.

Kromě scénářů specifických pro vaši organizaci můžete monitorovat i následující klíčové scénáře.

• Podezřelá aktivita Monitorujte všechny rizikové události Microsoft Entra pro podezřelou aktivitu. Podívejte se na postupy: Prošetření rizika. Microsoft Entra ID Protection se nativně integruje s Microsoft Defender for Identity. Definujte síťová pojmenovaná umístění, abyste se vyhnuli hlučným detekci na signálech založených na poloze. Viz Použití podmínky umístění v zásadách podmíněného přístupu.

• Upozornění UEBA (User and Entity Behavioral Analytics). Pomocí UEBA můžete získat přehled o detekci anomálií. Microsoft Defender for Cloud Apps poskytuje UEBA v cloudu. Viz Prozkoumání rizikových uživatelů. Místní rozhraní UEBA můžete integrovat z Microsoft Defenderu for Identity. Microsoft Defender for Cloud Apps čte signály ze služby Microsoft Entra ID Protection. Viz Povolení analýzy chování entit k detekci pokročilých hrozeb.

• Aktivita účtů tísňového přístupu Monitorujte veškerý přístup, který používá účty pro nouzový přístup. Viz Správa účtů pro nouzový přístup v Microsoft Entra ID. Vytvořte výstrahy pro šetření. Toto monitorování musí obsahovat následující akce:

  • Přihlášení
  • Správa přihlašovacích údajů
  • Všechny aktualizace členství ve skupinách
  • Přiřazení aplikací

• Aktivita privilegované role Nakonfigurujte a zkontrolujte bezpečnostní upozornění generovaná službou Microsoft Entra Privileged Identity Management (PIM). Monitorování přímého přiřazení privilegovaných rolí mimo PIM generováním výstrah vždy, když je uživatel přiřazený přímo.

• Konfigurace Microsoft Entra pro celý tenant Všechny změny konfigurací v rámci celého tenanta by měly vygenerovat výstrahy v systému. Zahrňte (ale neomezujete) následující změny:

  • Aktualizace vlastních domén
  • Microsoft Entra B2B změny seznamu povolených a blokovaných seznamů
  • Aktualizace Microsoft Entra B2B týkající se povolených zprostředkovatelů identity, jako jsou zprostředkovatelé identity SAML, prostřednictvím přímé federace nebo přihlášení pomocí sociálních sítí.
  • Změny zásad podmíněného přístupu nebo rizik

• Aplikační a instanční objekty

  • Nové aplikace nebo instanční objekty, které můžou vyžadovat zásady podmíněného přístupu
  • Přihlašovací údaje přidané do instančních objektů
  • Aktivita souhlasu aplikace

• Vlastní role

  • Aktualizace definic vlastních rolí
  • Nově vytvořené vlastní role

Pro podrobné pokyny k tomuto tématu se podívejte do průvodce operacemi zabezpečení Microsoft Entra.

Správa protokolů

Definujte strategii uchovávání protokolů, návrh a implementaci pro usnadnění konzistentní sady nástrojů. Zvažte například systémy pro správu bezpečnostních informací a událostí (SIEM), jako jsou Microsoft Sentinel, běžné dotazy a playbooky pro vyšetřování a forenzní analýzy.

• Protokoly Microsoft Entra. Ingestování generovaných protokolů a signálů konzistentním dodržováním osvědčených postupů pro nastavení, jako je diagnostika, uchovávání protokolů a příjem dat SIEM.

• Microsoft Entra ID se integruje s Azure Monitor pro různé protokoly identit. Pro více informací se podívejte na protokoly aktivit služby Microsoft Entra v Azure Monitor a prošetřování rizikových uživatelů pomocí Copilota.

• Protokoly zabezpečení operačního systému hybridní infrastruktury Archivujte a pečlivě monitorujte všechny protokoly operačního systému infrastruktury hybridní identity jako systém vrstvy 0 z důvodu dopadu na oblast. Zahrňte následující prvky:

  • Privátní síťové konektory pro privátní přístup Microsoft Entra a proxy aplikací Microsoft Entra
  • Agenti zpětného zápisu hesla.
  • Stroje pro ochranu hesel typu Gateway.
  • Servery NPS (Network Policy Servers), které mají rozšíření RADIUS multifaktorového ověřování Microsoft Entra.
  • Microsoft Entra Connect.
  • Pokud chcete monitorovat synchronizaci identit, musíte nasadit Microsoft Entra Connect Health.

Pro podrobné pokyny k tomuto tématu si přečtěte příručky pro reakci na incidenty a o vyšetřování rizikových uživatelů pomocí Copilotu.

Další kroky

• Zajištění odolnosti vůči identitě a správě přístupu pomocí ID Microsoft Entra
• Zabezpečení externího přístupu k prostředkům
• Integrace všech aplikací s Microsoft Entra ID