Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID
Zabezpečení obchodních prostředků závisí na integritě privilegovaných účtů, které spravují vaše IT systémy. Kyberzločinci používají útoky krádeže přihlašovacích údajů k cílení účtů správců a dalšího privilegovaného přístupu, aby se pokusili získat přístup k citlivým datům.
Pro cloudové služby jsou prevence a reakce společné odpovědnosti poskytovatele cloudových služeb a zákazníka. Další informace o nejnovějších hrozbách pro koncové body a cloud najdete v sestavě Microsoft Bezpečnostní analýza. Tento článek vám pomůže vytvořit plán pro uzavření mezer mezi vašimi aktuálními plány a pokyny popsanými zde.
Poznámka:
Společnost Microsoft se zavázala k nejvyšší úrovni důvěry, transparentnosti, souladu s normami a dodržování předpisů. Přečtěte si další informace o tom, jak globální tým microsoftu pro reakci na incidenty zmírní účinky útoků na cloudové služby a jak je zabezpečení integrované do obchodních produktů a cloudových služeb Microsoftu v Centru zabezpečení Microsoftu – Cíle zabezpečení a dodržování předpisů microsoftu v Centru zabezpečení Společnosti Microsoft – Dodržování předpisů.
Tradičně se zabezpečení organizace zaměřovalo na vstupní a výstupní body sítě jako bezpečnostní obvod. Díky aplikacím SaaS a osobním zařízením na internetu je ale tento přístup méně efektivní.
V Microsoft Entra ID nahradíme obvod zabezpečení sítě ověřováním ve vrstvě identity vaší organizace uživateli přiřazenými k privilegovaným rolím pro správu, kteří mají kontrolu. Jejich přístup musí být chráněný bez ohledu na to, jestli je prostředí místní, cloudové nebo hybridní.
Zabezpečení privilegovaného přístupu vyžaduje změny:
- Procesy, administrativní postupy a správa znalostí
- Technické komponenty, jako jsou ochrana hostitelů, ochrana účtů a správa identit
Zabezpečte privilegovaný přístup způsobem, který se spravuje a hlásí v služby Microsoft vás zajímá. Pokud máte místní účty správce, přečtěte si pokyny k místnímu a hybridnímu privilegovanému přístupu ve službě Active Directory při zabezpečení privilegovaného přístupu.
Poznámka:
Pokyny v tomto článku se týkají především funkcí ID Microsoft Entra, které jsou součástí Microsoft Entra ID P1 a P2. Microsoft Entra ID P2 je součástí sady EMS E5 a sady Microsoft 365 E5. V tomto návodu se předpokládá, že vaše organizace už má licence Microsoft Entra ID P2 zakoupené pro vaše uživatele. Pokud tyto licence nemáte, některé pokyny se nemusí vztahovat na vaši organizaci. V tomto článku také pojem globální správce označuje totéž jako "správce společnosti" nebo "správce tenanta".
Vývoj plánu
Microsoft doporučuje vyvíjet a postupovat podle plánu zabezpečení privilegovaného přístupu proti kybernetickým útočníkům. Plán můžete kdykoli upravit tak, aby vyhovoval vašim stávajícím funkcím a konkrétním požadavkům v rámci vaší organizace.
Každá fáze plánu by měla zvýšit náklady a potíže nežádoucím osobam, aby napadaly privilegovaný přístup k místním, cloudovým a hybridním prostředkům. Microsoft doporučuje následující čtyři fáze roadmapy. Nejprve naplánujte nejúčinnější a nejrychlejší implementace.
Tento článek může být vaším průvodcem na základě zkušeností Microsoftu s incidentem a implementací reakcí na kybernetický útok. Časové osy tohoto plánu jsou aproximace.
Fáze 1 (24–48 hodin): Kritické položky, které doporučujeme provést okamžitě
Fáze 2 (2–4 týdny): Zmírnění nejčastěji používaných technik útoku
Fáze 3 (1–3 měsíce): Zajištění viditelnosti a sestavení úplné kontroly nad aktivitou správce
Fáze 4 (šest měsíců a dále): Pokračujte ve sestavování obrany a uposněte svou platformu zabezpečení.
Tato architektura roadmapy je navržená tak, aby maximalizovala využití technologií Microsoftu, které jste už možná nasadili. Zvažte připojení ke všem nástrojům zabezpečení od jiných dodavatelů, které jste už nasadili nebo zvažujete nasazení.
Fáze 1: Kritické položky, které je potřeba udělat právě teď
Fáze 1 plánu se zaměřuje na kritické úlohy, které jsou rychlé a snadno implementují. Doporučujeme provést tyto pár položek hned během prvních 24 až 48 hodin, abyste zajistili základní úroveň zabezpečeného privilegovaného přístupu. Tato fáze plánu zabezpečeného privilegovaného přístupu zahrnuje následující akce:
Obecná příprava
Použití služby Microsoft Entra Privileged Identity Management
Doporučujeme začít používat Microsoft Entra Privileged Identity Management (PIM) v produkčním prostředí Microsoft Entra. Po zahájení používání PIM obdržíte e-mailové zprávy s oznámením o změnách role privilegovaného přístupu. Oznámení poskytují včasné upozornění, když se do vysoce privilegovaných rolí přidají další uživatelé.
Microsoft Entra Privileged Identity Management je součástí Microsoft Entra ID P2 nebo EMS E5. Abyste mohli chránit přístup k aplikacím a prostředkům místně i v cloudu, zaregistrujte si bezplatnou 90denní zkušební verzi Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management a Microsoft Entra ID Protection monitorují aktivitu zabezpečení pomocí generování sestav, auditování a výstrah Microsoft Entra ID.
Jakmile začnete používat Microsoft Entra Privileged Identity Management:
Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
Pokud chcete přepnout adresáře, ve kterých chcete používat Privileged Identity Management, vyberte své uživatelské jméno v pravém horním rohu Centra pro správu Microsoft Entra.
Přejděte do služby Privileged Identity Governance>Privileged Identity Management.
Ujistěte se, že první osoba, která bude používat PIM ve vaší organizaci, má přiřazenou roli správce zabezpečení a správce privilegovaných rolí. Přiřazení rolí adresáře Microsoft Entra uživatelů můžou spravovat pouze správci privilegovaných rolí. Průvodce zabezpečením PIM vás provede počátečním prostředím zjišťování a přiřazení. Průvodce můžete ukončit, aniž byste v tuto chvíli museli provádět další změny.
Identifikace a kategorizace účtů, které jsou ve vysoce privilegovaných rolích
Po zahájení používání služby Microsoft Entra Privileged Identity Management zobrazte uživatele, kteří jsou v následujících rolích Microsoft Entra:
- Globální správce
- Správce privilegovaných rolí
- Správce Exchange
- Správce SharePointu
Pokud ve vaší organizaci nemáte Microsoft Entra Privileged Identity Management, můžete použít Microsoft Graph PowerShell. Začněte s rolí globálního správce, protože globální správce má stejná oprávnění pro všechny cloudové služby, pro které se vaše organizace přihlásila k odběru. Tato oprávnění jsou udělena bez ohledu na to, kde byla přiřazena: v Centrum pro správu Microsoftu 365, v Centru pro správu Microsoft Entra nebo pomocí Prostředí Microsoft Graph PowerShell.
Odeberte všechny účty, které už v těchto rolích nepotřebujete. Potom kategorizovat zbývající účty, které jsou přiřazeny k rolím správce:
- Přiřazeno administrativním uživatelům, ale používá se také pro jiné než administrativní účely (například osobní e-mail)
- Přiřazeno administrativním uživatelům a používáno pouze pro účely správy
- Sdíleno mezi více uživateli
- Scénáře nouzového přístupu
- Pro automatizované skripty
- Pro externí uživatele
Definování alespoň dvou účtů pro nouzový přístup
Microsoft doporučuje, aby organizace měly dva účty pro nouzový přístup jen pro cloud trvale přiřazené roli globálního správce . Tyto účty jsou vysoce privilegované a nepřiřazují se konkrétním jednotlivcům. Účty jsou omezené na scénáře tísňového volání nebo prolomení skla, kdy se nedají použít normální účty nebo všichni ostatní správci jsou omylem uzamčeni. Tyto účty by se měly vytvořit podle doporučení k účtu pro nouzový přístup.
Zapněte vícefaktorové ověřování a zaregistrujte všechny ostatní účty nefederovaného správce s vysokou úrovní oprávnění jednoho uživatele.
Vyžadovat vícefaktorové ověřování Microsoft Entra při přihlášení pro všechny jednotlivé uživatele, kteří jsou trvale přiřazeni k jedné nebo více rolím správce Microsoft Entra: globální správce, privilegovaný správce rolí, správce Exchange a správce SharePointu. Postupujte podle pokynů v části Vynucení vícefaktorového ověřování u správců a ujistěte se, že všichni tito uživatelé jsou zaregistrovaní na https://aka.ms/mfasetupadrese . Další informace najdete v kroku 2 a 3 příručky Ochrana přístupu uživatelů a zařízení v Microsoftu 365.
Fáze 2: Zmírnění často používaných útoků
Fáze 2 plánu se zaměřuje na zmírnění nejčastěji používaných technik útoku krádeží a zneužití přihlašovacích údajů a lze je implementovat přibližně za 2 až 4 týdny. Tato fáze plánu zabezpečeného privilegovaného přístupu zahrnuje následující akce.
Obecná příprava
Provádění inventáře služeb, vlastníků a správců
Zvýšení "přineste si vlastní zařízení" a práce z domácích zásad a růst bezdrátového připojení je pro monitorování, kdo se připojuje k vaší síti, důležité. Audit zabezpečení může odhalit zařízení, aplikace a programy ve vaší síti, které vaše organizace nepodporuje a které představují vysoké riziko. Další informace najdete v tématu Přehled správy a monitorování zabezpečení Azure. Ujistěte se, že do procesu inventáře zahrnete všechny následující úlohy.
Identifikujte uživatele, kteří mají role pro správu a služby, ve kterých můžou spravovat.
Pomocí nástroje Microsoft Entra PIM zjistěte, kteří uživatelé ve vaší organizaci mají přístup správce k ID Microsoft Entra.
Kromě rolí definovaných v Microsoft Entra ID obsahuje Microsoft 365 sadu rolí správce, které můžete přiřadit uživatelům ve vaší organizaci. Každá role správce se mapuje na běžné obchodní funkce a dává uživatelům ve vaší organizaci oprávnění provádět konkrétní úlohy v Centrum pro správu Microsoftu 365. Pomocí Centrum pro správu Microsoftu 365 zjistěte, kteří uživatelé ve vaší organizaci mají přístup správce k Microsoftu 365, včetně rolí, které nejsou spravovány v Microsoft Entra ID. Další informace najdete v článku o rolích správců Microsoftu 365 a postupech zabezpečení pro Office 365.
Proveďte inventář ve službách, na které vaše organizace spoléhá, jako je Azure, Intune nebo Dynamics 365.
Ujistěte se, že se vaše účty používají pro účely správy:
- Máte k nim připojené pracovní e-mailové adresy
- Zaregistrovali jste se pro vícefaktorové ověřování Microsoft Entra nebo použijte místní vícefaktorové ověřování MFA.
Požádejte uživatele o obchodní odůvodnění přístupu pro správu.
Odeberte přístup správce pro tyto jednotlivce a služby, které ho nepotřebují.
Identifikace účtů Microsoft v rolích pro správu, které je potřeba přepnout na pracovní nebo školní účty
Pokud vaši počáteční globální správci po zahájení používání Microsoft Entra ID znovu používají svoje stávající přihlašovací údaje k účtu Microsoft, nahraďte účty Microsoft jednotlivými cloudovými nebo synchronizovanými účty.
Zajištění samostatných uživatelských účtů a přeposílání pošty pro účty globálního správce
Osobní e-mailové účty pravidelně střídají kybernetickí útočníci, což představuje riziko, že osobní e-mailové adresy jsou nepřijatelné pro účty globálního správce. Pokud chcete pomoct oddělit rizika internetu od oprávnění správce, vytvořte pro každého uživatele vyhrazené účty s oprávněními správce.
- Nezapomeňte vytvořit samostatné účty pro uživatele, kteří budou provádět úlohy globálního správce.
- Ujistěte se, že globální správci nechtěně neotevřou e-maily nebo spouštějí programy se svými účty správců.
- Ujistěte se, že tyto účty mají e-maily přeposílané do pracovní poštovní schránky.
- Účty globálního správce (a dalších privilegovaných skupin) by měly být výhradně cloudové účty bez vazeb na místní Active Directory.
Ujistěte se, že se nedávno změnila hesla účtů pro správu.
Zajistěte, aby se všichni uživatelé přihlásili ke svým účtům pro správu a během posledních 90 dnů alespoň jednou změnili hesla. Ověřte také, že se nedávno změnila hesla všech sdílených účtů.
Zapnutí synchronizace hodnot hash hesel
Microsoft Entra Connect synchronizuje hodnotu hash hesla uživatele z místní Active Directory do cloudové organizace Microsoft Entra. Synchronizaci hodnot hash hesel můžete použít jako zálohu, pokud používáte federaci s Active Directory Federation Services (AD FS) (AD FS). Toto zálohování může být užitečné, pokud jsou vaše místní Active Directory nebo servery služby AD FS dočasně nedostupné.
Synchronizace hodnot hash hesel umožňuje uživatelům přihlásit se ke službě pomocí stejného hesla, které používají k přihlášení ke své instanci místní Active Directory. Synchronizace hodnot hash hesel umožňuje službě Microsoft Entra ID Protection zjišťovat ohrožené přihlašovací údaje porovnáním hodnot hash hesel s hesly, o kterých je známo, že jsou ohrožena. Další informace naleznete v tématu Implementace synchronizace hodnot hash hesel se službou Microsoft Entra Connect Sync.
Vyžadování vícefaktorového ověřování pro uživatele v privilegovaných rolích a vystavených uživatelích
Microsoft Entra ID doporučuje, abyste pro všechny uživatele vyžadovali vícefaktorové ověřování. Nezapomeňte zvážit uživatele, kteří by měli významný dopad, pokud by došlo k ohrožení jejich účtu (například finanční pracovníci). Vícefaktorové ověřování snižuje riziko útoku z důvodu ohroženého hesla.
Zapnout:
- Vícefaktorové ověřování používá zásady podmíněného přístupu pro všechny uživatele ve vaší organizaci.
Pokud používáte Windows Hello pro firmy, je možné splnit požadavek na vícefaktorové ověřování pomocí přihlašovacího prostředí Windows Hello. Další informace najdete v tématu Windows Hello.
Ochrana Microsoft Entra ID
Microsoft Entra ID Protection je nástroj pro monitorování a vytváření sestav založený na algoritmech, který detekuje potenciální ohrožení zabezpečení ovlivňující identity vaší organizace. Můžete nakonfigurovat automatizované odpovědi na zjištěné podezřelé aktivity a provést příslušnou akci k jejich vyřešení. Další informace naleznete v tématu Microsoft Entra ID Protection.
Získejte bezpečnostní skóre Microsoftu 365 (pokud používáte Microsoft 365).
Secure Score sleduje vaše nastavení a aktivity pro služby Microsoftu 365, které používáte, a porovnává je se základními hodnotami vytvořenými Microsoftem. Získáte skóre podle toho, jak jste v souladu s postupy zabezpečení. Ke skóre https://security.microsoft.com/securescore
zabezpečení má přístup každý, kdo má oprávnění správce pro předplatné Microsoft 365 Business Standard nebo Enterprise.
Projděte si pokyny k zabezpečení a dodržování předpisů Microsoftu 365 (pokud používáte Microsoft 365).
Plán zabezpečení a dodržování předpisů popisuje přístup zákazníka Office 365 ke konfiguraci Office 365 a povolení dalších funkcí EMS. Pak si projděte kroky 3 až 6 týkající se ochrany přístupu k datům a službám v Microsoftu 365 a v průvodci monitorováním zabezpečení a dodržování předpisů v Microsoftu 365.
Konfigurace monitorování aktivit Microsoftu 365 (pokud používáte Microsoft 365)
Monitorujte ve vaší organizaci uživatele, kteří používají Microsoft 365, a identifikujte zaměstnance, kteří mají účet správce, ale nemusí potřebovat přístup k Microsoftu 365, protože se k těmto portálům nepřihlašují. Další informace najdete v sestavách aktivit v Centrum pro správu Microsoftu 365.
Vytvoření vlastníků plánu reakce na incidenty nebo tísňové volání
Vytvoření úspěšné schopnosti reakce na incidenty vyžaduje značné plánování a zdroje. Je nutné nepřetržitě monitorovat kybernetické útoky a stanovit priority pro zpracování incidentů. Shromažďování, analýza a hlášení dat incidentů za účelem vytvoření vztahů a navázání komunikace s ostatními interními skupinami a vlastníky plánů Další informace najdete v centru Microsoft Security Response Center.
Zabezpečení místních privilegovaných účtů pro správu, pokud jste to ještě neudělali
Pokud je vaše organizace Microsoft Entra synchronizovaná s místní Active Directory, postupujte podle pokynů v Plánu zabezpečení privilegovaného přístupu: Tato fáze zahrnuje:
- Vytvoření samostatných účtů správce pro uživatele, kteří potřebují provádět místní úlohy správy
- Nasazení pracovních stanic s privilegovaným přístupem pro správce služby Active Directory
- Vytváření jedinečných hesel místního správce pro pracovní stanice a servery
Další kroky pro organizace, které spravují přístup k Azure
Dokončení inventáře předplatných
Pomocí portálu Enterprise a webu Azure Portal identifikujte předplatná ve vaší organizaci, která hostují produkční aplikace.
Odebrání účtů Microsoft z rolí správce
Účty Microsoft z jiných programů, jako jsou Xbox, Live a Outlook, by se neměly používat jako účty správců pro předplatná vaší organizace. Odeberte stav správce ze všech účtů Microsoft a nahraďte ho pracovním nebo školním účtem Microsoft Entra ID (například chris@contoso.com). Pro účely správce závisí na účtech, které jsou ověřeny v MICROSOFT Entra ID, a ne v jiných službách.
Monitorování aktivit Azure
Protokol aktivit Azure poskytuje historii událostí na úrovni předplatného v Azure. Nabízí informace o tom, kdo vytvořil, aktualizoval a odstranil jaké prostředky a kdy k těmto událostem došlo. Další informace najdete v tématu Audit a přijímání oznámení o důležitých akcích ve vašem předplatném Azure.
Další kroky pro organizace, které spravují přístup k jiným cloudovým aplikacím prostřednictvím ID Microsoft Entra
Konfigurace zásad podmíněného přístupu
Připravte zásady podmíněného přístupu pro místní a cloudové aplikace. Pokud máte zařízení připojená k pracovišti, získejte další informace z nastavení místního podmíněného přístupu pomocí registrace zařízení Microsoft Entra.
Fáze 3: Převzetí kontroly nad aktivitou správce
Fáze 3 vychází ze zmírnění rizik z fáze 2 a měla by být implementována přibližně za 1 až 3 měsíce. Tato fáze plánu zabezpečeného privilegovaného přístupu zahrnuje následující komponenty.
Obecná příprava
Dokončení kontroly přístupu uživatelů v rolích správce
Více podnikových uživatelů získává privilegovaný přístup prostřednictvím cloudových služeb, což může vést k nespravovanému přístupu. Uživatelé se dnes mohou stát globálními správci pro Microsoft 365, správce předplatného Azure nebo mít přístup správce k virtuálním počítačům nebo prostřednictvím aplikací SaaS.
Vaše organizace by měla mít všechny zaměstnance, kteří zpracovávají běžné obchodní transakce jako neprivilegovaní uživatelé, a pak podle potřeby udělovat práva správce. Dokončete kontroly přístupu, abyste identifikovali a potvrdili uživatele, kteří mají nárok na aktivaci oprávnění správce.
Doporučený postup:
- Určete, kteří uživatelé jsou správci Microsoft Entra, povolte přístup správce za běhu na vyžádání a ovládací prvky zabezpečení na základě rolí.
- Převeďte uživatele, kteří nemají jasné odůvodnění pro privilegovaný přístup správce, na jinou roli (pokud není způsobilá role, odeberte je).
Pokračovat v zavádění silnějšího ověřování pro všechny uživatele
Vyžadovat vysoce vystavené uživatele, aby měli moderní silné ověřování, jako je vícefaktorové ověřování Microsoft Entra nebo Windows Hello. Mezi příklady vysoce vystavených uživatelů patří:
- Vedení V sadě C
- Vedoucí vysoké úrovně
- Pracovníci kritického IT a zabezpečení
Použití vyhrazených pracovních stanic pro správu pro Microsoft Entra ID
Útočníci se mohou pokusit cílit na privilegované účty, aby mohli narušit integritu a pravost dat. Často používají škodlivý kód, který mění logiku programu nebo odpojí správce zadáním přihlašovacích údajů. Pracovní stanice s privilegovaným přístupem poskytují vyhrazený operační systém pro citlivé úlohy, který je chráněný před útoky z internetu a jinými vektory hrozeb. Oddělení těchtocitlivýchch
- Útoky phishing
- Ohrožení zabezpečení aplikací a operačních systémů
- Útoky na zosobnění
- Útoky na krádež přihlašovacích údajů, jako je protokolování stisknutí kláves, pass-the-hash a pass-the-ticket
Nasazením pracovních stanic s privilegovaným přístupem můžete snížit riziko, že správci zadají přihlašovací údaje do desktopového prostředí, které nebylo posíleno. Další informace naleznete v tématu Pracovní stanice s privilegovaným přístupem.
Projděte si doporučení Národního institutu standardů a technologií pro zpracování incidentů.
Národní institut standardů a technologií (NIST) poskytuje pokyny pro zpracování incidentů, zejména pro analýzu dat souvisejících s incidenty a určení odpovídající reakce na jednotlivé incidenty. Další informace naleznete v tématu Průvodce zpracováním incidentů zabezpečení počítače (NIST) (SP 800-61, Revize 2).
Implementace privileged Identity Management (PIM) pro JIT do dalších rolí pro správu
V případě ID Microsoft Entra použijte funkci Microsoft Entra Privileged Identity Management . Časově omezená aktivace privilegovaných rolí funguje tak, že vám umožní:
Aktivace oprávnění správce pro konkrétní úlohu
Vynucení vícefaktorového ověřování během procesu aktivace
Použití upozornění k informování správců o nesdílných změnách
Povolení uživatelům zachovat privilegovaný přístup po předem nakonfigurovanou dobu
Povolit správcům zabezpečení:
- Zjišťování všech privilegovaných identit
- Zobrazení sestav auditu
- Vytvoření kontrol přístupu pro identifikaci každého uživatele, který má nárok na aktivaci oprávnění správce
Pokud už používáte Microsoft Entra Privileged Identity Management, upravte časové rámce pro časově svázaná oprávnění podle potřeby (například časové intervaly údržby).
Určení ohrožení přihlašovacích protokolů založených na heslech (pokud používáte Exchange Online)
Doporučujeme identifikovat každého potenciálního uživatele, který by mohl být pro organizaci katastrofický, pokud by došlo k ohrožení přihlašovacích údajů. Pro tyto uživatele umístěte požadavky silného ověřování a použijte podmíněný přístup Microsoft Entra, abyste jim zabránili v přihlášení k e-mailu pomocí uživatelského jména a hesla. Starší ověřování můžete blokovat pomocí podmíněného přístupu a můžete blokovat základní ověřování prostřednictvím Exchange Online.
Dokončení posouzení rolí pro role Microsoftu 365 (pokud používáte Microsoft 365)
Vyhodnoťte, jestli jsou všichni uživatelé správců ve správných rolích (podle tohoto posouzení odstraňte a znovu přiřaďte).
Kontrola přístupu správy incidentů zabezpečení používaných v Microsoftu 365 a porovnání s vaší vlastní organizací
Tuto sestavu si můžete stáhnout ze služby Security Incident Management v Microsoftu 365.
Pokračujte v zabezpečení místních privilegovaných účtů pro správu.
Pokud je vaše ID Microsoft Entra připojené k místní Active Directory, postupujte podle pokynů v Plánu zabezpečení privilegovaného přístupu: Fáze 2. V této fázi:
- Nasazení pracovních stanic s privilegovaným přístupem pro všechny správce
- Vyžadování MFA
- Použití Just Enough Admin pro údržbu řadiče domény a snížení prostoru pro útoky domén
- Nasazení Advanced Threat Analytics pro detekci útoků
Další kroky pro organizace, které spravují přístup k Azure
Vytvoření integrovaného monitorování
Microsoft Defender for Cloud:
- Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure.
- Pomáhá zjišťovat hrozby, které by jinak mohly být nepozorované.
- Pracuje s širokou škálou řešení zabezpečení.
Inventarizace privilegovaných účtů v rámci hostovaných virtuálních počítačů
Obvykle nemusíte uživatelům udělit neomezená oprávnění ke všem předplatným nebo prostředkům Azure. Pomocí rolí správce Microsoft Entra udělte přístup pouze uživatelům, kteří potřebují provádět své úlohy. Pomocí rolí správce Microsoft Entra můžete umožnit jednomu správci spravovat jenom virtuální počítače v předplatném, zatímco jiný může spravovat databáze SQL v rámci stejného předplatného. Další informace najdete v tématu Co je řízení přístupu na základě role v Azure.
Implementace PIM pro role správce Microsoft Entra
Použití Privileged Identity Management s rolemi správce Microsoft Entra ke správě, řízení a monitorování přístupu k prostředkům Azure. Použití PIM chrání tím, že snižuje dobu vystavení oprávnění a zvyšuje viditelnost jejich použití prostřednictvím sestav a výstrah. Další informace naleznete v tématu Co je Microsoft Entra Privileged Identity Management.
Použití integrací protokolů Azure k odesílání relevantních protokolů Azure do systémů SIEM
Integrace protokolů Azure umožňuje integrovat nezpracované protokoly z prostředků Azure do stávajících systémů siEM (Security Information and Event Management). Integrace protokolů Azure shromažďuje události Windows z protokolů Windows Prohlížeč událostí a prostředků Azure z:
- Protokoly aktivit Azure
- Upozornění Microsoft Defenderu pro cloud
- Protokoly prostředků Azure
Další kroky pro organizace, které spravují přístup k jiným cloudovým aplikacím prostřednictvím ID Microsoft Entra
Implementace zřizování uživatelů pro připojené aplikace
Microsoft Entra ID umožňuje automatizovat vytváření a údržbu identit uživatelů v cloudových aplikacích, jako je Dropbox, Salesforce a ServiceNow. Další informace najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí Microsoft Entra ID.
Integrace ochrany informací
Microsoft Defender for Cloud Apps umožňuje zkoumat soubory a nastavovat zásady na základě popisků klasifikace Azure Information Protection, což umožňuje lepší viditelnost a kontrolu nad cloudovými daty. Prohledávat a klasifikovat soubory v cloudu a používat popisky služby Azure Information Protection. Další informace najdete v tématu Integrace služby Azure Information Protection.
Konfigurace podmíněného přístupu
Nakonfigurujte podmíněný přístup na základě skupiny, umístění a citlivosti aplikace pro aplikace SaaS a připojené aplikace Microsoft Entra.
Monitorování aktivity v připojených cloudových aplikacích
Doporučujeme používat Microsoft Defender for Cloud Apps , abyste měli jistotu, že uživatelský přístup je také chráněný v připojených aplikacích. Tato funkce zabezpečuje podnikový přístup ke cloudovým aplikacím a zabezpečuje účty správce, což vám umožní:
- Rozšíření viditelnosti a řízení do cloudových aplikací
- Vytvoření zásad pro přístup, aktivity a sdílení dat
- Automatická identifikace rizikových aktivit, neobvyklého chování a hrozeb
- Zabránění úniku dat
- Minimalizace rizik a automatizované prevence hrozeb a vynucování zásad
Agent SIEM Defender for Cloud Apps integruje Defender for Cloud Apps se serverem SIEM, aby bylo možné centralizované monitorování výstrah a aktivit Microsoftu 365. Běží na vašem serveru a načítá výstrahy a aktivity z Defenderu for Cloud Apps a streamuje je na server SIEM. Další informace najdete v tématu Integrace SIEM.
Fáze 4: Pokračování v budování obrany
Fáze 4 plánu by měla být provedena v šesti měsících a mimo ni. Dokončete plán pro posílení ochrany privilegovaného přístupu před potenciálními útoky, které jsou dnes známé. V případě budoucích bezpečnostních hrozeb doporučujeme zobrazit zabezpečení jako průběžný proces, který zvýší náklady a sníží míru úspěšnosti nežádoucích hrozeb, které cílí na vaše prostředí.
Zabezpečení privilegovaného přístupu je důležité k vytvoření záruk zabezpečení pro vaše obchodní prostředky. Měla by však být součástí kompletního programu zabezpečení, který poskytuje průběžné záruky zabezpečení. Tento program by měl obsahovat například tyto prvky:
- Zásady
- Operace
- Zabezpečení informací
- Servery
- Aplikace
- Ks
- Zařízení
- Cloudová prostředky infrastruktury
Při správě účtů privilegovaného přístupu doporučujeme následující postupy:
- Ujistěte se, že správci dělají každodenní práci jako neprivilegovaní uživatelé.
- Udělení privilegovaného přístupu pouze v případě potřeby a jeho následné odebrání (za běhu)
- Udržování protokolů aktivit auditu souvisejících s privilegovanými účty
Další informace o vytvoření kompletního plánu zabezpečení najdete v tématu Prostředky architektury IT v cloudu Microsoftu. Pokud se chcete spojit s služby Microsoft, abyste vám pomohli implementovat jakoukoli část plánu, obraťte se na zástupce Microsoftu nebo se podívejte na sestavení důležitých kybernetických obran, abyste ochránili váš podnik.
Tato poslední probíhající fáze plánu zabezpečeného privilegovaného přístupu zahrnuje následující komponenty.
Obecná příprava
Kontrola rolí správce v Microsoft Entra ID
Zjistěte, jestli jsou aktuální předdefinované role správce Microsoft Entra stále aktuální, a ujistěte se, že jsou uživatelé jenom v rolích, které potřebují. Pomocí Microsoft Entra ID můžete přiřadit samostatné správce, kteří budou obsluhovat různé funkce. Další informace najdete v tématu Předdefinované role Microsoft Entra.
Kontrola uživatelů, kteří mají správu zařízení připojených k Microsoft Entra
Další informace naleznete v tématu Jak nakonfigurovat zařízení připojená k hybridnímu připojení Microsoft Entra.
Kontrola členů předdefinovaných rolí správců Microsoftu 365
Pokud nepoužíváte Microsoft 365, tento krok přeskočte.
Ověření plánu reakce na incidenty
Pokud chcete plán vylepšit, Microsoft doporučuje pravidelně ověřovat, že váš plán funguje podle očekávání:
- Projděte si existující roadmapu a podívejte se, co se zmeškalo.
- Na základě analýzy pomortem revidujte stávající nebo definujte nové postupy.
- Ujistěte se, že se aktualizovaný plán reakce na incidenty a postupy distribuují v celé organizaci.
Další kroky pro organizace, které spravují přístup k Azure
Zjistěte, jestli potřebujete převést vlastnictví předplatného Azure na jiný účet.
"Rozbité sklo": co dělat v nouzovém stavu
Informujte klíčové manažery a bezpečnostní pracovníky o incidentu.
Projděte si playbook útoku.
Přístup k uživatelskému jménu účtu "break glass" a kombinaci hesla pro přihlášení k Microsoft Entra ID.
Získejte pomoc od Microsoftu otevřením žádosti o podpora Azure.
Podívejte se na sestavy přihlášení k Microsoft Entra. Mezi výskytem události a zahrnutím do sestavy může být nějaký čas.
Pokud je vaše místní infrastruktura federovaná a server SLUŽBY AD FS není dostupný, můžete dočasně přepnout z federovaného ověřování a použít synchronizaci hodnot hash hesel. Tento přepínač vrátí federaci domény zpět na spravované ověřování, dokud nebude server SLUŽBY AD FS dostupný.
Monitorujte e-maily pro privilegované účty.
Ujistěte se, že ukládáte zálohy relevantních protokolů pro potenciální forenzní a právní šetření.
Další informace o tom, jak systém Microsoft Office 365 zpracovává incidenty zabezpečení, najdete v tématu Správa incidentů zabezpečení v systém Microsoft Office 365.
Nejčastější dotazy: Odpovědi na zabezpečení privilegovaného přístupu
Otázka: Co mám dělat, když ještě neimplementuji žádné zabezpečené komponenty přístupu?
Odpověď: Definujte aspoň dva oddělené účty, přiřaďte vícefaktorové ověřování k účtům privilegovaného správce a oddělte uživatelské účty od účtů globálního správce.
Otázka: Co je po porušení zabezpečení hlavní problém, který je potřeba nejprve vyřešit?
Odpověď: Ujistěte se, že vyžadujete nejsilnější ověřování pro vysoce vystavené jednotlivce.
Otázka: Co se stane, když naši privilegovaní správci deaktivovali?
Odpověď: Vytvořte účet globálního správce, který je vždy aktuální.
Otázka: Co se stane, když zbývá jenom jeden globální správce, který není dostupný?
Odpověď: K získání okamžitého privilegovaného přístupu použijte jeden z vašich účtů se zalomeným sklem.
Otázka: Jak můžu chránit správce v rámci své organizace?
Odpověď: Mají správci vždy každodenní práci jako standardní "neprivilegovaní" uživatelé.
Otázka: Jaké jsou osvědčené postupy pro vytváření účtů správců v rámci ID Microsoft Entra?
Odpověď: Zarezervujte privilegovaný přístup pro konkrétní úlohy správce.
Otázka: Jaké nástroje existují pro omezení trvalého přístupu správce?
Odpověď: Privileged Identity Management (PIM) a role správce Microsoft Entra.
Otázka: Jaká je pozice Microsoftu při synchronizaci účtů správce do Microsoft Entra ID?
Odpověď: Účty správce vrstvy 0 se používají jenom pro místní účty AD. Tyto účty se obvykle nesynchronují s ID Microsoft Entra v cloudu. Účty správců vrstvy 0 zahrnují účty, skupiny a další prostředky, které mají přímou nebo nepřímou kontrolu nad doménovou strukturou místní Active Directory, doménami, řadiči domény a prostředky.
Otázka: Jak správcům bráníme v přiřazování náhodného přístupu správce na portálu?
Odpověď: Používejte neprivilegované účty pro všechny uživatele a většinu správců. Začněte vývojem stopy organizace, abyste zjistili, které účty správců by měly být privilegované. A monitorujte nově vytvořené správce.
Další kroky
Centrum zabezpečení produktů Microsoftu pro zabezpečení produktů – funkce zabezpečení cloudových produktů a služeb Microsoftu
Nabídky microsoftu pro dodržování předpisů – komplexní sada nabídek dodržování předpisů od Microsoftu pro cloudové služby
Pokyny k posouzení rizik – Správa požadavků na zabezpečení a dodržování předpisů pro cloudové služby Microsoftu
Další online služby Microsoftu
Zabezpečení Microsoft Intune – Intune poskytuje možnosti správy mobilních zařízení, správy mobilních aplikací a správy počítačů z cloudu.
Zabezpečení Microsoft Dynamics 365 – Dynamics 365 je cloudové řešení Microsoftu, které sjednocuje správu vztahů se zákazníky (CRM) a plánování podnikových zdrojů (ERP).