Plán rychlé modernizace zabezpečení

Tento plán rychlé modernizace (RAMP) vám pomůže rychle přijmout doporučenou strategii privilegovaného přístupu od Microsoftu.

Tento plán vychází z technických kontrol vytvořených v pokynech k nasazení privilegovaného přístupu. Proveďte tyto kroky a pak pomocí kroků v této rampě nakonfigurujte ovládací prvky pro vaši organizaci.

Poznámka:

Mnoho z těchto kroků bude mít dynamickou zelenou/brownfieldovou dynamiku, protože organizace často mají bezpečnostní rizika způsobem, jakým jsou už nasazené nebo nakonfigurované účty. Tento plán upřednostňuje zastavení akumulace nových rizik zabezpečení nejprve a později vyčistí zbývající položky, které už byly kumulovány.

Při procházení plánu můžete pomocí bezpečnostního skóre Microsoftu sledovat a porovnávat mnoho položek na cestě s ostatními v podobných organizacích v průběhu času. Další informace o skóre zabezpečení microsoftu najdete v článku Přehled skóre zabezpečení.

Každá položka v této rampě je strukturovaná jako iniciativa, která se bude sledovat a spravovat pomocí formátu, který vychází z cílů a klíčové metodologie výsledků (OKR). Každá položka obsahuje co (cíl), proč, kdo, jak a jak měřit (klíčové výsledky). Některé položky vyžadují změny procesů a znalostí nebo dovedností lidí, zatímco jiné jsou jednodušší technologické změny. Mnoho z těchto iniciativ bude zahrnovat členy mimo tradiční IT oddělení, které by mělo být součástí rozhodování a implementace těchto změn, aby se zajistilo, že jsou úspěšně integrovány do vaší organizace.

Je důležité spolupracovat jako organizace, vytvářet partnerství a informovat lidi, kteří tradičně nebyli součástí tohoto procesu. Je důležité vytvářet a udržovat nákupy v celé organizaci, aniž by se nezdařilo mnoho projektů.

Oddělení a správa privilegovaných účtů

Nouzové přístupové účty

• Co: Ujistěte se, že jste omylem nezamknuli z vaší organizace Microsoft Entra v nouzové situaci.
• Proč: Účty pro nouzový přístup zřídka používané a vysoce škodlivé pro organizaci, pokud dojde k ohrožení zabezpečení, ale jejich dostupnost pro organizaci je důležitá i pro několik scénářů, kdy jsou potřeba. Ujistěte se, že máte plán pro kontinuitu přístupu, který vyhovuje očekávaným i neočekávaným událostem.
• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Tým pro zásady a standardy dokumentuje jasné požadavky a standardy.
    • Správa identit a klíčů nebo centrální IT operace za účelem implementace jakýchkoli změn
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů
• Postupy: Postupujte podle pokynů v části Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Měření klíčových výsledků:
  • Zavedený proces nouzového přístupu byl navržen na základě pokynů Microsoftu, které splňují potřeby organizace.
  • Udržovaný nouzový přístup byl zkontrolován a testován během posledních 90 dnů.

Povolení služby Microsoft Entra Privileged Identity Management

• Co: Použití microsoft Entra Privileged Identity Management (PIM) v produkčním prostředí Microsoft Entra k zjišťování a zabezpečení privilegovaných účtů
• Proč: Privileged Identity Management poskytuje aktivaci role na základě času a schválení, která zmírňují rizika nadměrného, zbytečného nebo zneužití přístupových oprávnění.
• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Tým zásad a standardů dokumentuje jasné požadavky a standardy (na základě těchto pokynů)
    • Správa identit a klíčů nebo centrální IT operace za účelem implementace jakýchkoli změn
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů
• Postupy: Nasazení a konfigurace služby Microsoft Entra Privileged Identity Management s využitím pokynů v článku Nasazení služby Microsoft Entra Privileged Identity Management (PIM)
• Klíčové výsledky měření: 100 % platných privilegovaných přístupových rolí používá Microsoft Entra PIM

Identifikace a kategorizace privilegovaných účtů (ID Microsoft Entra)

• Co: Identifikace všech rolí a skupin s vysokým obchodním dopadem, které budou vyžadovat úroveň privilegovaného zabezpečení (okamžitě nebo v průběhu času). Tito správci budou potřebovat samostatné účty v pozdějším kroku správy privilegovaného přístupu.

• Proč: Tento krok je nutný k identifikaci a minimalizaci počtu lidí, kteří vyžadují samostatné účty a ochranu privilegovaného přístupu.

• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.

  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Tým zásad a standardů dokumentuje jasné požadavky a standardy (na základě těchto pokynů)
    • Správa identit a klíčů nebo centrální IT operace za účelem implementace jakýchkoli změn
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů

• Postupy: Po zapnutí služby Microsoft Entra Privileged Identity Management zobrazte uživatele, kteří jsou minimálně v následujících rolích Microsoft Entra, na základě zásad rizik vaší organizace:

  • Globální správce
  • Správce privilegovaných rolí
  • Správce Exchange
  • SharePoint Správa istrator

  Úplný seznam rolí správce najdete v tématu Správa istrator role oprávnění v Microsoft Entra ID.

  Odeberte všechny účty, které už v těchto rolích nepotřebujete. Potom kategorizovat zbývající účty přiřazené k rolím správce:

  • Přiřazeno administrativním uživatelům, ale používá se také pro nesprávě pro účely produktivity, jako je čtení a odpovídání na e-maily.
  • Přiřazeno administrativním uživatelům a používáno pouze pro účely správy
  • Sdíleno mezi více uživateli
  • Scénáře nouzového přístupu
  • Pro automatizované skripty
  • Pro externí uživatele

Pokud ve vaší organizaci nemáte Microsoft Entra Privileged Identity Management, můžete použít rozhraní API PowerShellu. Začněte s rolí Globální Správa istrator, protože má stejná oprávnění pro všechny cloudové služby, pro které se vaše organizace přihlásila k odběru. Tato oprávnění jsou udělena bez ohledu na to, kde byla přiřazena: na webu Centrum pro správu Microsoftu 365, na webu Azure Portal nebo v modulu Azure AD pro Microsoft PowerShell.

• Klíčové výsledky měření: Kontrola a identifikace rolí privilegovaného přístupu byla dokončena během posledních 90 dnů.

Samostatné účty (místní účty AD)

• Co: Zabezpečte místní privilegované účty pro správu, pokud jste to ještě neudělali. Tato fáze zahrnuje:

  • Vytváření samostatných účtů správců pro uživatele, kteří potřebují provádět místní úlohy správy
  • Nasazení pracovních stanic s privilegovaným přístupem pro správce služby Active Directory
  • Vytváření jedinečných hesel místních správců pro pracovní stanice a servery

• Proč: Posílení zabezpečení účtů používaných pro úlohy správy Účty správce by měly mít zakázané e-maily a neměly by být povoleny žádné osobní účty Microsoft.

• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.

  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Tým zásad a standardů dokumentuje jasné požadavky a standardy (na základě těchto pokynů)
    • Správa identit a klíčů nebo centrální IT operace za účelem implementace jakýchkoli změn
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů

• Postupy: Všichni pracovníci, kteří mají oprávnění mít oprávnění správce, musí mít samostatné účty pro funkce správy, které se liší od uživatelských účtů. Tyto účty nesdílejte mezi uživateli.

  • Standardní uživatelské účty – udělena standardní uživatelská oprávnění pro standardní uživatelské úkoly, jako je například e-mail, prohlížení webu a použití obchodních aplikací. Těmto účtům se neudělují oprávnění správce.
  • Účty správců – samostatné účty vytvořené pro pracovníky, kteří mají přiřazená příslušná oprávnění ke správě.

• Klíčové výsledky měření: 100 % místních privilegovaných uživatelů má samostatné vyhrazené účty.

Microsoft Defender for Identity

• Co: Microsoft Defender for Identity kombinuje místní signály s cloudovými přehledy, které monitorují, chrání a prošetřují události ve zjednodušeném formátu, což týmům zabezpečení umožňuje zjišťovat pokročilé útoky na infrastrukturu identit s možností:

  • Monitorování uživatelů, chování entit a aktivit pomocí analýz založených na učení
  • Ochrana identit uživatelů a přihlašovacích údajů uložených v Active Directory
  • Identifikace a zkoumání podezřelých aktivit uživatelů a pokročilých útoků v rámci řetězu kill
  • Poskytnutí jasných informací oincidentch

• Proč: Moderní útočníci můžou zůstat nezjištění po dlouhou dobu. Mnoho hrozeb je obtížné najít bez soudržného obrázku celého prostředí identit.

• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.

  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Tým zásad a standardů dokumentuje jasné požadavky a standardy (na základě těchto pokynů)
    • Správa identit a klíčů nebo centrální IT operace za účelem implementace jakýchkoli změn
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů

• Postupy: Nasaďte a povolte Microsoft Defender for Identity a zkontrolujte všechna otevřená upozornění.

• Měření klíčových výsledků: Všechna otevřená upozornění kontrolovaná a zmírněná příslušnými týmy.

Vylepšení prostředí pro správu přihlašovacích údajů

Implementace a zdokumentování samoobslužného resetování hesla a kombinované registrace bezpečnostních informací

• Co: Povolte a nakonfigurujte samoobslužné resetování hesla (SSPR) ve vaší organizaci a povolte kombinované prostředí registrace bezpečnostních informací.
• Proč: Uživatelé můžou po registraci resetovat svá vlastní hesla. Kombinované prostředí registrace informací o zabezpečení poskytuje lepší uživatelské prostředí, které umožňuje registraci pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla. Tyto nástroje při společném použití přispívají ke snížení nákladů na helpdesk a spokojenějších uživatelů.
• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Tým zásad a standardů dokumentuje jasné požadavky a standardy (na základě těchto pokynů)
    • Správa identit a klíčů nebo centrální IT operace za účelem implementace jakýchkoli změn
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů
    • Procesy helpdesku centrálního it provozu byly aktualizovány a personál je na nich natrénován.
• Postupy: Povolení a nasazení SSPR najdete v článku Plánování samoobslužného resetování hesla Microsoft Entra.
• Klíčové výsledky měření: Samoobslužné resetování hesla je plně nakonfigurované a dostupné pro organizaci

Ochrana účtů správců – Povolení a vyžadování vícefaktorového ověřování nebo bez hesla pro privilegované uživatele Microsoft Entra ID

• Co: Vyžadování všech privilegovaných účtů v MICROSOFT Entra ID k použití silného vícefaktorového ověřování

• Proč: Ochrana přístupu k datům a službám v Microsoftu 365

• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.

  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Tým zásad a standardů dokumentuje jasné požadavky a standardy (na základě těchto pokynů)
    • Správa identit a klíčů nebo centrální IT operace za účelem implementace jakýchkoli změn
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů
    • Procesy helpdesku centrálního it provozu byly aktualizovány a personál je na nich natrénován.
    • Aktualizovali jsme procesy vlastníka centrální it provozní služby a pracovníci na nich byli vyškoleni.

• Postupy: Zapněte vícefaktorové ověřování Microsoft Entra (MFA) a zaregistrujte všechny ostatní vysoce privilegované účty správců bez federovaného uživatele. Vyžadovat vícefaktorové ověřování při přihlášení pro všechny jednotlivé uživatele, kteří jsou trvale přiřazeni k jedné nebo více rolím správce Microsoft Entra.

  Vyžadovat, aby správci používali metody přihlašování bez hesla, jako jsou klíče zabezpečení FIDO2 nebo Windows Hello pro firmy ve spojení s jedinečnými, dlouhými a složitými hesly. Tuto změnu vynucujte v dokumentu zásad organizace.

Postupujte podle pokynů v následujících článcích, naplánujte nasazení vícefaktorového ověřování Microsoft Entra a naplánujte nasazení ověřování bez hesla v Microsoft Entra ID.

• Klíčové výsledky měření: 100 % privilegovaných uživatelů používá ověřování bez hesla nebo silnou formu vícefaktorového ověřování pro všechna přihlášení. Popis vícefaktorového ověřování najdete v tématu Účty privilegovaného přístupu.

Blokování starších ověřovacích protokolů pro privilegované uživatelské účty

• Co: Blokování starší verze ověřovacího protokolu pro privilegované uživatelské účty

• Proč: Organizace by měly blokovat tyto starší ověřovací protokoly, protože u nich nejde vynutit vícefaktorové ověřování. Povolení starších ověřovacích protokolů může útočníkům vytvořit vstupní bod. Některé starší aplikace můžou spoléhat na tyto protokoly a organizace, které mají možnost vytvořit pro určité účty konkrétní výjimky. Tyto výjimky by se měly sledovat a implementovat další kontrolní mechanismy monitorování.

• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.

  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Zásady a standardy: stanovení jasných požadavků
    • Správa identit a klíčů nebo centrální provoz IT – provoz IT pro implementaci zásad
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů

• Postupy: Blokování starších ověřovacích protokolů ve vaší organizaci postupujte podle pokynů v článku Postupy: Blokování starší verze ověřování pro Microsoft Entra ID pomocí podmíněného přístupu.

• Měření klíčových výsledků:

  • Blokované starší verze protokolů: Všechny starší protokoly jsou blokované pro všechny uživatele s pouze autorizovanými výjimkami.
  • Výjimky se kontrolují každých 90 dnů a platnost vyprší trvale do jednoho roku. Vlastníci aplikací musí opravit všechny výjimky do jednoho roku od schválení první výjimky.

Proces souhlasu s aplikací

• Co: Zakažte souhlas koncového uživatele s aplikacemi Microsoft Entra.

Poznámka:

Tato změna bude vyžadovat centralizaci rozhodovacího procesu s týmy pro správu zabezpečení a identit vaší organizace.

• Proč: Uživatelé můžou neúmyslně vytvořit riziko organizace tím, že poskytnou souhlas pro aplikaci, která může k datům organizace přistupovat zlými úmysly.
• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Tým zásad a standardů dokumentuje jasné požadavky a standardy (na základě těchto pokynů)
    • Správa identit a klíčů nebo centrální IT operace za účelem implementace jakýchkoli změn
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů
    • Procesy helpdesku centrálního it provozu byly aktualizovány a personál je na nich natrénován.
    • Aktualizovali jsme procesy vlastníka centrální it provozní služby a pracovníci na nich byli vyškoleni.
• Postupy: Vytvořte centralizovaný proces souhlasu, který udržuje centralizovanou viditelnost a kontrolu nad aplikacemi, které mají přístup k datům, podle pokynů v článku, správa souhlasu s aplikacemi a vyhodnocení žádostí o souhlas.
• Měření klíčových výsledků: Koncoví uživatelé nemůžou udělit souhlas s přístupem k aplikacím Microsoft Entra

Vyčištění účtu a rizik přihlašování

• Co: Povolte ochranu Microsoft Entra ID Protection a vyčistěte všechna rizika, která najde.
• Proč: Rizikové chování uživatele a přihlašování může být zdrojem útoků na vaši organizaci.
• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Tým zásad a standardů dokumentuje jasné požadavky a standardy (na základě těchto pokynů)
    • Správa identit a klíčů nebo centrální IT operace za účelem implementace jakýchkoli změn
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů
    • Procesy helpdesku centrálního it provozu byly aktualizovány na související volání podpory a pracovníci na nich byli vyškoleni.
• Postupy: Vytvoření procesu, který monitoruje a spravuje rizika uživatelů a přihlašování. Rozhodněte se, jestli budete automatizovat nápravu pomocí vícefaktorového ověřování Microsoft Entra a SSPR nebo blokovat a vyžadovat zásah správce. Postupujte podle pokynů v článku Postupy: Konfigurace a povolení zásad rizik.
• Klíčové výsledky měření: Organizace má nulová neadresovaná rizika uživatelů a přihlášení.

Poznámka:

Zásady podmíněného přístupu se vyžadují, aby se blokovaly nabíhání nových rizik přihlašování. Viz část Podmíněný přístup nasazení privilegovaného přístupu.

počáteční nasazení pracovních stanic Správa

• Co: Privilegované účty, jako jsou účty, které spravují ID Microsoft Entra, mají vyhrazené pracovní stanice pro provádění úloh správy z.
• Proč: Zařízení, kde jsou dokončeny úlohy privilegované správy, jsou cílem útočníků. Zabezpečení nejen účtu, ale i těchto prostředků je důležité při omezení prostoru pro útoky. Toto oddělení omezuje jejich vystavení běžným útokům zaměřeným na úlohy související s produktivitou, jako je e-mail a procházení webu.
• Kdo: Tuto iniciativu obvykle vede správa identit a klíčů nebo architektura zabezpečení.
  • Sponsorship: Tuto iniciativu obvykle sponzoruje CISO, CIO nebo ředitel identity.
  • Provádění: Tato iniciativa je úsilím o spolupráci, která zahrnuje
    • Tým zásad a standardů dokumentuje jasné požadavky a standardy (na základě těchto pokynů)
    • Správa identit a klíčů nebo centrální IT operace za účelem implementace jakýchkoli změn
    • Monitorování správy dodržování předpisů zabezpečení za účelem zajištění dodržování předpisů
    • Procesy helpdesku centrálního it provozu byly aktualizovány a personál je na nich natrénován.
    • Aktualizovali jsme procesy vlastníka centrální it provozní služby a pracovníci na nich byli vyškoleni.
• Postupy: Počáteční nasazení by mělo být na úrovni Podniku, jak je popsáno v článku Nasazení privilegovaného přístupu
• Měření klíčových výsledků: Každý privilegovaný účet má vyhrazenou pracovní stanici pro provádění citlivých úloh z.

Poznámka:

Tento krok rychle vytvoří standardní hodnoty zabezpečení a musí být co nejdříve zvýšen na specializované a privilegované úrovně.

Další kroky

• Přehled zabezpečení privilegovaného přístupu
• Strategie privilegovaného přístupu
• Měření úspěšnosti
• Úrovně zabezpečení
• Účty s privilegovaným přístupem
• Zprostředkovatelů
• Rozhraní
• Zařízení s privilegovaným přístupem
• Model podnikového přístupu