Delen via

Beveiligingsniveaus voor bevoegde toegang

  • Artikel

In dit document worden de beveiligingsniveaus van een geprivilegieerde toegangsstrategie beschreven. Voor een routekaart over hoe deze strategie te adopteren, zie het Snelle moderniseringsplan (RaMP). Zie bevoegde toegangsimplementatie voor implementatierichtlijnen

Deze niveaus zijn voornamelijk ontworpen om eenvoudige en eenvoudige technische richtlijnen te bieden, zodat organisaties deze zeer belangrijke beveiligingen snel kunnen implementeren. De geprivilegieerde toegangsstrategie erkent dat organisaties unieke behoeften hebben, maar ook dat aangepaste oplossingen complexiteit creëren die leidt tot hogere kosten en lagere beveiliging in de loop van de tijd. Om deze behoefte in evenwicht te houden, biedt de strategie stevige prescriptieve richtlijnen voor elk niveau en flexibiliteit door organisaties in staat te stellen te kiezen wanneer elke rol moet voldoen aan de vereisten van dat niveau.

Drie beveiligingsniveaus definiëren

Door dingen eenvoudig te maken, kunnen mensen het begrijpen en het risico verlagen dat ze in de war raken en fouten maken. Hoewel de onderliggende technologie vrijwel altijd complex is, is het essentieel om dingen eenvoudig te houden in plaats van aangepaste oplossingen te maken die moeilijk te ondersteunen zijn. Zie Principes voor het ontwerpen van beveiligingvoor meer informatie.

Het ontwerpen van oplossingen die gericht zijn op de behoeften van de beheerders en eindgebruikers, houdt het voor hen eenvoudig. Het ontwerpen van oplossingen die eenvoudig zijn voor beveiligings- en IT-medewerkers om (waar mogelijk) te bouwen, beoordelen en onderhouden (met automatisering) leidt tot minder beveiligingsfouten en betrouwbaardere beveiligingsgaranties.

De aanbevolen beveiligingsstrategie voor bevoegde toegang implementeert een eenvoudig systeem van drie niveaus van garanties, dat over verschillende gebieden gaat, ontworpen om eenvoudig te kunnen worden geïmplementeerd voor: accounts, apparaten, tussenpersonen en interfaces.

de kosten van aanvallers verhogen met elk beveiligingsbeleggingsniveau

Elk opeenvolgend niveau stimuleert de kosten van aanvallers, met een extra niveau van Defender for Cloud-investeringen. De niveaus zijn ontworpen om zich te richten op de 'sweet spots' waar verdedigers het meeste rendement krijgen (toename van de kosten van aanvallers) voor elke beveiligingsinvestering die ze maken.

Elke rol in uw omgeving moet worden toegewezen aan een van deze niveaus (en eventueel verhoogd in de loop van de tijd als onderdeel van een beveiligingsverbeteringsplan). Elk profiel is duidelijk gedefinieerd als een technische configuratie en waar mogelijk geautomatiseerd om de implementatie te vereenvoudigen en beveiliging te versnellen. Zie het artikel Privileged Access Roadmapvoor implementatiedetails.

Beveiligingsniveaus

De beveiligingsniveaus die in deze strategie worden gebruikt, zijn:

Onderneming

  • Enterprise Security is geschikt voor alle zakelijke gebruikers en productiviteitsscenario's. In de voortgang van het snelle moderniseringsplan dient enterprise ook als uitgangspunt voor gespecialiseerde en bevoorrechte toegang, omdat ze geleidelijk voortbouwen op de beveiligingscontroles in de beveiliging van ondernemingen.

    Notitie

    Er bestaan zwakkere beveiligingsconfiguraties, maar worden momenteel niet aanbevolen door Microsoft voor ondernemingen vanwege de vaardigheden en resources die aanvallers beschikbaar hebben. Zie de video Top 10 Best Practices voor Azure Security voor informatie over welke aanvallers van elkaar kunnen kopen op de donkere markten en de gemiddelde prijzen.

Gespecialiseerd

  • Gespecialiseerde beveiliging biedt verbeterde beveiligingsmechanismen voor rollen met een verhoogde bedrijfsimpact (indien aangetast door een aanvaller of kwaadwillende insider).

    Uw organisatie moet gedocumenteerde criteria hebben voor gespecialiseerde en bevoorrechte accounts (potentiële zakelijke impact is bijvoorbeeld meer dan $ 1 MILJOEN USD) en identificeer vervolgens alle rollen en accounts die aan deze criteria voldoen. (gebruikt in deze strategie, inclusief in de gespecialiseerde accounts)

    Gespecialiseerde rollen zijn doorgaans:

    • Ontwikkelaars van bedrijfskritieke systemen.
    • Gevoelige bedrijfsrollen zoals gebruikers van SWIFT-terminals, onderzoekers met toegang tot gevoelige gegevens, personeel met toegang tot financiële rapportage vóór openbare release, salarisbeheerders, goedkeurders voor gevoelige bedrijfsprocessen en andere belangrijke rollen.
    • Leidinggevenden en persoonlijke assistenten/administratieve assistenten die regelmatig gevoelige informatie verwerken.
    • Social media-accounts met grote invloed die de reputatie van het bedrijf kunnen schaden.
    • gevoelige IT-beheerders met aanzienlijke bevoegdheden en impact, maar niet voor de hele onderneming. Deze groep omvat doorgaans beheerders van afzonderlijke workloads met een hoge impact. (bijvoorbeeld ondernemingsresourceplanningsbeheerders, bankbeheerders, helpdesk/technische ondersteuningsrollen, enzovoort)

    Gespecialiseerde accountbeveiliging fungeert ook als een tussenstap voor beveiliging van bevoorrechte accounts, die verder voortbouwt op deze controles. Zie roadmap voor bevoegde toegang voor meer informatie over de aanbevolen volgorde van voortgang.

Bevoorrecht

  • Privileged Security is het hoogste beveiligingsniveau dat is ontworpen voor rollen die gemakkelijk een groot incident en mogelijke materiële schade aan de organisatie kunnen veroorzaken in handen van een aanvaller of kwaadwillende insider. Dit niveau bevat doorgaans technische rollen met beheerdersmachtigingen voor de meeste of alle bedrijfssystemen (en bevat soms enkele bedrijfskritieke rollen)

    Bevoegde accounts zijn eerst gericht op beveiliging, waarbij productiviteit is gedefinieerd als de mogelijkheid om gemakkelijk en veilig gevoelige taaktaken veilig uit te voeren. Deze rollen hebben niet de mogelijkheid om zowel gevoelig werk als algemene productiviteitstaken uit te voeren (blader door het web, installeer en gebruik een app) met hetzelfde account of hetzelfde apparaat/werkstation. Ze hebben zeer beperkte accounts en werkstations met een verhoogde bewaking van hun acties voor afwijkende activiteiten die de activiteit van aanvallers kunnen vertegenwoordigen.

    Beveiligingsrollen voor bevoegde toegang zijn doorgaans:

    • Microsoft Entra beheerdersrollen
    • Andere rollen voor identiteitsbeheer met beheerdersrechten voor een bedrijfsdirectory, identiteitssynchronisatiesystemen, federatieoplossing, virtuele directory, bevoegde identiteit/toegangsbeheersysteem of vergelijkbaar.
    • Rollen met lidmaatschap van deze on-premises Active Directory-groepen
      • Enterprise-beheerders
      • Domeinadministratoren
      • Schemabeheerder
      • BUILTIN\Administrators
      • Accountoperators
      • Backupoperators
      • Afdrukoperators
      • Server-operators
      • Domeincontrollers
      • Domeincontrollers met alleen-lezen toegang
      • Eigenaren van groepsbeleidmaker
      • Cryptografische operators
      • Gedistribueerde COM-gebruikers
      • Gevoelige on-premises Exchange-groepen (inclusief Exchange Windows-machtigingen en Exchange Trusted Subsystem)
      • Andere gedelegeerde groepen: aangepaste groepen die door uw organisatie kunnen worden gemaakt voor het beheren van adreslijstbewerkingen.
      • Een lokale beheerder voor een onderliggend besturingssysteem of cloudservicetenant die als host fungeert voor de bovenstaande mogelijkheden, waaronder
        • Leden van de lokale beheerdersgroep
        • Personeel dat het hoofdwachtwoord of het ingebouwde beheerderswachtwoord kent
        • Beheerders van een beheer- of beveiligingshulpprogramma met agents die op deze systemen zijn geïnstalleerd

Volgende stappen