Защита Microsoft 365 от локальных атак

Многие клиенты подключают свои частные корпоративные сети к службе Microsoft 365, чтобы воспользоваться преимуществами ее пользователей, устройств и приложений. Участники угроз могут компрометировать эти частные сети многими хорошо задокументированными способами. Microsoft 365 выступает в качестве нервной системы для организаций, которые инвестировали в модернизацию своей среды в облако. Важно защитить Microsoft 365 от компрометации локальной инфраструктуры.

В этой статье показано, как настроить ваши системы, чтобы помочь защитить облачную среду Microsoft 365 от локальной компрометации.

• Параметры конфигурации клиента Microsoft Entra.
• Как безопасно подключить клиенты Microsoft Entra к локальным системам.
• Компромиссы, необходимые для управления вашими системами таким образом, чтобы защитить облачные системы от компрометации локальных систем.

Корпорация Майкрософт настоятельно рекомендует реализовать рекомендации, приведенные в этой статье.

Источники угроз в локальных средах

Облачная среда Microsoft 365 использует преимущества обширной инфраструктуры мониторинга и безопасности. Служба Microsoft 365 использует машинное обучение и человеческий интеллект для проверки трафика по всему миру. Она может быстро обнаружить атаки и позволяет изменять конфигурацию практически в режиме реального времени.

Можно использовать гибридные развертывания для соединения локальной инфраструктуры с Microsoft 365. В таких развертываниях многие организации делегируют доверие локальным компонентам для принятия критически важных решений относительно проверки подлинности и управления состоянием объектов каталога. Если субъекты угроз компрометирует локальную среду, эти отношения доверия становятся возможностями для них, чтобы также скомпрометировать среду Microsoft 365.

Два основных вектора угроз — отношения доверия федерации и синхронизация учетных записей. Оба вектора могут предоставить злоумышленнику административный доступ к вашему облаку.

• Федеративные отношения доверия, например проверка подлинности SAML, используются для проверки подлинности в Microsoft 365 с помощью локальной инфраструктуры идентификации. Если сертификат для подписи маркера SAML скомпрометирован, федерация позволяет всем пользователям, имеющим этот сертификат, олицетворять любого пользователя в облаке. Чтобы устранить этот вектор атаки, мы рекомендуем, по возможности, отключить доверительные отношения федерации для аутентификации в Microsoft 365. Мы также рекомендуем перенести другие приложения, использующие локальную инфраструктуру федерации для использования Microsoft Entra для проверки подлинности.
• Используйте синхронизацию учетных записей для изменения привилегированных пользователей, включая их учетные данные, или группы с правами администратора в Microsoft 365. Чтобы устранить этот вектор, рекомендуется убедиться, что синхронизированные объекты не имеют привилегий за пределами пользователя в Microsoft 365. Вы можете управлять привилегиями напрямую или путем включения их в доверенные роли или группы. Убедитесь, что эти объекты не имеют прямого или вложенного назначения в доверенных облачных ролях или группах.

Защита Microsoft 365 от локальной компрометации

Чтобы устранить локальные угрозы, рекомендуется придерживаться четырех принципов, показанных на следующей схеме.

1. Полностью изолируйте учетные записи администратора Microsoft 365. Они должны:

   • Облачные учетные записи.
   • Проверка подлинности с помощью учетных данных, устойчивых к фишингу.
   • Защищенный условным доступом Microsoft Entra.
   • Доступ осуществляется только с помощью облачных привилегированных рабочих станций доступа.

   Использование этих учетных записей администратора ограничено. Локальные учетные записи не должны иметь прав администратора в Microsoft 365.

   Дополнительные сведения см. в разделах О ролях администратора и Роли для Microsoft 365 в идентификаторе Microsoft Entra.

2. Управление устройствами из Microsoft 365. Использование соединения Microsoft Entra и управления мобильными устройствами на основе облака (MDM) для устранения зависимостей в локальной инфраструктуре управления устройствами. Эти зависимости могут компрометировать управление устройствами и безопасностью.

3. Убедитесь, что локальная учетная запись не имеет повышенных привилегий для Microsoft 365. Некоторые учетные записи обращаются к локальным приложениям, которым требуется NTLM, протокол LDAP или проверка подлинности Kerberos. Эти учетные записи должны находиться в локальной инфраструктуре идентификации организации. Убедитесь, что эти учетные записи не включаются вместе с учетными записями служб в привилегированных облачных ролях или группах. Убедитесь, что изменения этих учетных записей не могут повлиять на целостность облачной среды. Привилегированное локальное программное обеспечение не должно влиять на привилегированные учетные записи или роли Microsoft 365.

4. Используйте облачную проверку подлинности Microsoft Entra, чтобы устранить зависимости от локальных учетных данных. Всегда используйте методы проверки подлинности, устойчивые к фишингу, такие как Windows Hello для бизнеса, учетные данные платформы для macOS, Passkeys (FIDO2), секретные ключи Microsoft Authenticator или аутентификация на основе сертификатов.

Конкретные рекомендации по безопасности

В следующих разделах приведены рекомендации по реализации принципов, описанных в этой статье.

Изоляция привилегированных удостоверений

В идентификаторе Microsoft Entra пользователи, имеющие привилегированные роли, такие как администраторы, являются корнем доверия для создания и управления остальной частью среды. Чтобы свести к минимуму последствия компрометации, реализуйте следующие методы.

• Используйте облачные учетные записи для ролей Microsoft Entra ID и Microsoft 365 с привилегированными ролями.
• Развертывание устройств с привилегированным доступом для привилегированного доступа для управления идентификатором Microsoft 365 и Microsoft Entra. См. раздел Роли и профили устройств.
• Разверните Microsoft Entra Privileged Identity Management (PIM) для предоставление временного доступа ко всем учетным записям пользователей с привилегированными ролями. Для активации ролей требуется защищённая от фишинга аутентификация.
• Предоставьте административные роли, которые обеспечивают минимальные права, необходимые для требуемых задач. См. сведения о наименее привилегированных ролях по задачам в идентификаторе Microsoft Entra.
• Чтобы включить широкий интерфейс назначения ролей, включающий делегирование и несколько ролей одновременно, рассмотрите возможность использования групп безопасности Microsoft Entra или Группы Microsoft 365. Вместе мы называем эти облачные группы.
• Включите управление доступом на основе ролей. См. раздел о назначении ролей Microsoft Entra. Используйте административных единиц в идентификаторе Microsoft Entra ID, чтобы ограничить область ролей на часть организации.
• Развертывайте учетные записи аварийного доступа, а не локальные хранилища паролей для хранения учетных данных. См. раздел "Управление учетными записями аварийного доступа" в идентификаторе Microsoft Entra.

Дополнительные сведения см. в разделе Защита привилегированного доступа и практики безопасного доступа для администраторов в Microsoft Entra ID.

Использование облачной проверки подлинности

Учетные данные являются основным вектором атаки. Чтобы лучше защитить учетные данные, реализуйте следующие методы.

• Разверните проверку подлинности без пароля. Сведите к минимуму использование паролей при развертывании учетных данных без пароля. Вы можете управлять этими учетными данными и проверять их напрямую в облаке. Дополнительные сведения см. в статье Начало работы с развертыванием аутентификации без пароля и устойчивой к фишингу в Microsoft Entra ID. Выберите один из следующих методов проверки подлинности:

  • Windows Hello для бизнеса
  • Платформенные учетные данные для macOS
  • приложение Microsoft Authenticator
  • ключи доступа FIDO2)
  • Microsoft аутентификация на основе сертификатов Entra

• Разверните многофакторную проверку подлинности. Дополнительные сведения см. в статье Планирование развертывания многофакторной проверки подлинности Microsoft Entra. Подготовка нескольких надежных учетных данных с помощью многофакторной проверки подлинности Microsoft Entra. Таким образом, для доступа к облачным ресурсам требуются управляемые учетные данные Идентификатора Microsoft Entra в дополнение к локальному паролю. Дополнительные сведения см. в статье "Создание устойчивости с помощью управления учетными данными" и создание устойчивой стратегии управления доступом с помощью идентификатора Microsoft Entra.

• Обновите систему единого входа на устройствах. Используйте современные возможности единого входа Windows 11, macOS, Linux и мобильных устройств.

• Соображения. Для управления паролями гибридной учетной записи требуются такие гибридные компоненты, как агенты защиты паролей и агенты обратной записи паролей. Если злоумышленники компрометируют локальную инфраструктуру, они могут управлять компьютерами, на которых находятся эти агенты. Эта уязвимость не ставит под угрозу вашу облачную инфраструктуру. Использование облачных учетных записей для привилегированных ролей не защищает эти гибридные компоненты от компрометации локальных систем.

  Политика срока действия пароля по умолчанию в Microsoft Entra задает пароль учетной записи синхронизированных локальных учетных записей, чтобы никогда не истекает срок действия. Этот параметр можно устранить с помощью локальных параметров пароля Active Directory. Если экземпляр Active Directory скомпрометирован и синхронизация отключена, установите параметр CloudPasswordPolicyForPasswordSyncedUsersEnabled, чтобы принудительно изменить пароли или перейти от паролей к проверке подлинности с устойчивостью к фишингу .

Предоставление пользователям доступа из облака

Подготовка подразумевает создание учетных записей пользователей и групп в приложениях или поставщиках удостоверений.

Мы рекомендуем использовать следующие методы подготовки:

• Подготовка облачных приложений hr к идентификатору Microsoft Entra. Такая подготовка позволяет изолировать компрометацию локальной инфраструктуры. Эта изоляция не нарушает цикл соединения-mover-leaver из облачных приложений HR в идентификатор Microsoft Entra ID.

• облачные приложения; По возможности используйте оснащение приложений в Microsoft Entra ID, а не локальные системы оснащения. Этот метод защищает некоторые ваши приложения в модели программного обеспечения как услуги (SaaS) от вредоносных профилей злоумышленников в случае нарушения безопасности в локальной инфраструктуре.

• Внешние удостоверения. Используйте службы совместной работы Microsoft Entra External ID B2B, чтобы уменьшить зависимость от локальных учетных записей для внешней совместной работы с партнерами, клиентами и поставщиками. Тщательно оцените любую прямую федерацию с другими поставщиками удостоверений. Мы рекомендуем ограничить гостевые учетные записи B2B следующими способами.

  • Ограничьте гостевой доступ для просмотра групп и других свойств в каталоге. Используйте параметры внешней совместной работы, чтобы ограничить возможность гостей читать группы, из которых они не являются членами.
  • Блокируйте доступ к порталу Azure. Изредка можно делать необходимые исключения. Создайте политику условного доступа, которая включает всех гостей и внешних пользователей. Затем реализуйте политику для блокирования доступа.

• Отключенные леса. Используйте подготовку облака Microsoft Entra для подключения к отключенным лесам. Такой подход устраняет необходимость устанавливать между лесами подключение или отношения доверия, что может усугубить последствия использования локальной бреши. Дополнительные сведения см. в разделе Что такое Microsoft Entra Connect Cloud Sync.

• Соображения. При использовании для подготовки гибридных учетных записей идентификатор Microsoft Entra ID-from-cloud-HR использует локальную синхронизацию для завершения потока данных из Active Directory в идентификатор Microsoft Entra. Если синхронизация прерывается, новые записи сотрудников не будут доступны в идентификаторе Microsoft Entra.

Использование облачных групп для совместной работы и доступа

Облачные группы позволяют отделить совместную работу и доступ от локальной инфраструктуры.

• Совместная работа. Используйте для современной совместной работы Группы Microsoft 365 и Microsoft Teams. Вывод внутренних списков рассылки из эксплуатации и обновление их до групп Microsoft 365 в Outlook.
• Доступ. Используйте группы безопасности Microsoft Entra или Группы Microsoft 365 для авторизации доступа к приложениям в идентификаторе Microsoft Entra. Чтобы управлять доступом к локальным приложениям, рассмотрите вариант предоставления групп в Active Directory с помощью Microsoft Entra Cloud Sync.
• лицензирование. Используйте групповое лицензирование для подготовки к службам Майкрософт с помощью облачных групп. Этот метод разделяет управление членством в группе из локальной инфраструктуры.

Рассматривайте владельцев групп, используемых для доступа, как привилегированные идентичности, чтобы избежать захвата членства при компрометации локальной системы. Захваты включают прямую манипуляцию членством в локальной группе или манипуляцию атрибутами, которая может повлиять на членство в динамических группах Microsoft 365.

Управление устройствами из облака

Безопасное управление устройствами с помощью возможностей Microsoft Entra.

Развертывание рабочих станций Microsoft Entra, присоединенных к Windows 11, с политиками управления мобильными устройствами. Включите Windows Autopilot для полностью автоматизированного развертывания. См. раздел Планирование реализации присоединения Microsoft Entra.

• Используйте рабочие станции Windows 11 с последними обновлениями, развернутыми.

  • Нерекомендуйте компьютеры под управлением Windows 10 и более ранних версий.
  • Не развертывайте компьютеры с серверными операционными системами в качестве рабочих станций.

• Используйте Microsoft Intune в качестве центра для всех рабочих нагрузок управления устройствами, включая Windows, macOS, iOS, Android и Linux.

  • Развернуть расширение корпоративного SSO на iOS.
  • Развертывание расширения единого входа macOS Enterprise или платформы SSO Secure Enclave Key.

• Развертывание устройств с привилегированным доступом Дополнительные сведения см. в разделе Роли и профили устройств.

Рабочие нагрузки, приложения и ресурсы

В этом разделе приведены рекомендации по защите от локальных атак на рабочие нагрузки, приложения и ресурсы.

• Локальные системы единого входа. Не рекомендуется использовать локальную инфраструктуру управления федерацией и веб-доступом. Настройте приложения для использования идентификатора Microsoft Entra. Если вы используете AD FS для федерации, см. раздел Изучите этапы миграции аутентификации приложений из AD FS в идентификатор Microsoft Entra ID.
• Приложения SaaS и бизнес-приложения, поддерживающие современные протоколы проверки подлинности. Используйте единый вход в microsoft Entra ID. Настройте приложения для использования учетной записи Microsoft Entra для аутентификации, чтобы снизить риск в случае локальной угрозы безопасности.
• Устаревшие приложения. Вы можете включить проверку подлинности, авторизацию и удаленный доступ к устаревшим приложениям, которые не поддерживают современную проверку подлинности с помощью Microsoft Entra Private Access. В качестве первого шага включите современный доступ к внутренним сетям с помощью быстрого доступа Microsoft Entra Private Access. Этот шаг предоставляет быстрый и простой способ замены одноразовой конфигурации VPN с помощью безопасных возможностей условного доступа. Затем настройте доступ для каждого приложения к любому приложению на основе TCP или UDP.
• Условный доступ. Определите политики условного доступа для приложений SaaS, линейных бизнес-приложений и наследуемых приложений для применения таких элементов управления безопасностью, как многофакторная аутентификация, устойчивая к фишингу, и соответствие устройств. Дополнительные сведения см. в статье Планирование развертывания условного доступа Microsoft Entra.
• Жизненный цикл доступа. Управление жизненным циклом доступа к приложениям и ресурсам с помощью системы управления идентификаторами Майкрософт для реализации минимального доступа к привилегиям. Предоставление пользователям доступа к информации и ресурсам только в том случае, если у них есть реальная потребность в выполнении своих задач. Интегрируйте приложения SaaS, LOB и устаревшие приложения с Microsoft Entra ID Governance. Управление правами идентификатора Microsoft Entra автоматизирует рабочие процессы запросов на доступ, назначения доступа, проверки и истечение срока действия.
• Серверы приложений и рабочих нагрузок. Вы можете перенести приложения или ресурсы, требующие серверов в инфраструктуру Azure как услуга (IaaS). Используйте доменные службы Microsoft Entra для уменьшения доверия и зависимости от локальных экземпляров Active Directory. Чтобы добиться этого развязки, убедитесь, что виртуальные сети, используемые для доменных служб Microsoft Entra, не имеют подключения к корпоративным сетям. Используйте многоуровневые учетные данные. Серверы приложений обычно считаются ресурсами уровня 1. Дополнительные сведения см. в статье о Корпоративной модели доступа.

Политики условного доступа

Используйте условный доступ Microsoft Entra для интерпретации сигналов и их использования для принятия решений по проверке подлинности. Дополнительные сведения см. в плане развертывания условного доступа.

• По возможности используйте условный доступ для блокировки устаревших протоколов проверки подлинности. Кроме того, отключите устаревшие протоколы проверки подлинности на уровне приложения, используя конфигурацию для конкретного приложения. См. раздел Блокировка устаревшей проверки подлинности и устаревших протоколов проверки подлинности. Найдите конкретные сведения о Exchange Online и SharePoint Online.
• Реализуйте рекомендуемые конфигурации доступа для удостоверений и устройств. См. раздел Общие политики доступа "Никому не доверяй" для удостоверений и устройств.
• Если вы используете версию идентификатора Microsoft Entra, который не включает условный доступ, используйте значения по умолчанию безопасности в идентификаторе Microsoft Entra. Дополнительные сведения о лицензировании функций Microsoft Entra см. в руководстве по ценам на Microsoft Entra.

Azure Monitor

После настройки среды для защиты Microsoft 365 от локальных компрометации заранее отслеживайте среду. Дополнительные сведения см. в Что такое мониторинг Microsoft Entra.

Помимо всех сценариев, характерных именно для вашей организации, осуществляйте мониторинг в рамках следующих ключевых сценариев.

• Подозрительное действие. Отслеживайте все события риска Microsoft Entra для подозрительных действий. См. статью Практическое руководство. Анализ риска. Защита идентификаторов Microsoft Entra изначально интегрируется с Microsoft Defender для удостоверений. Определите сетевые именованные расположения, чтобы избежать ложных обнаружений в сигналах на основе расположения. См. раздел Использование условия месторасположения в политике условного доступа.

• Оповещения о поведении пользователей и сущностей (аналитика UEBA). Используйте UEBA для получения полезных сведений об обнаружении аномалий. Microsoft Defender for Cloud Apps предоставляет UEBA в облаке. См. раздел Изучение поведения пользователей, совершающих рискованные действия. Вы можете интегрировать UEBA-решение локально через Microsoft Defender for Identity. Microsoft Defender для облака Приложения считывают сигналы из Защита идентификации Microsoft Entra. См. раздел Включение аналитики поведения сущностей для обнаружения расширенных угроз.

• Активность учетных записей аварийного доступа. Осуществляйте мониторинг любого доступа, для которого используются учетные записи для аварийного доступа. См. раздел "Управление учетными записями аварийного доступа" в идентификаторе Microsoft Entra. Создание предупреждения для исследований. Этот мониторинг должен включать следующие действия:

  • Вход в систему
  • Управление учетными данными
  • Все обновления членства в группах
  • Назначения приложений

• Действие привилегированной роли. Настройка и проверка оповещений системы безопасности созданных Microsoft Entra Privileged Identity Management (PIM). Отслеживайте прямое назначения привилегированных ролей за пределами PIM, активировав создание предупреждений при непосредственном назначении пользователя.

• Конфигурации на уровне клиента Microsoft Entra. При любых изменениях в конфигурациях на уровне клиента в системе должны создаваться предупреждения. Включите (но не ограничиваясь) следующие изменения:

  • Обновление личных доменов
  • Изменения Microsoft Entra B2B для списков разрешений и блок-списков
  • Microsoft Entra B2B вносит изменения в разрешенные поставщики удостоверений, такие как SAML, через прямую федерацию или социальные входы.
  • Изменения политики условного доступа или риска

• Объекты приложения и субъекта-службы в Azure Active Directory (Azure AD)

  • Новые приложения или субъекты-службы, которые могут требовать применения политик условного доступа
  • Учетные данные добавлены в субъекты-службы
  • Действие получения согласия для приложения

• Пользовательские роли

  • Обновления в определениях настраиваемых ролей
  • Вновь созданные настраиваемые роли

Подробные рекомендации по этому разделу см. в руководстве по операциям безопасности Microsoft Entra.

Управление журналами

Определите хранилища журналов и стратегию хранения, а также схему и реализацию для обеспечения единообразия набора средств. Например, рассмотрим системы управления информацией и событиями безопасности (SIEM), такие как Microsoft Sentinel, стандартные запросы, а также руководства по расследованиям и судебной экспертизе.

• Журналы Microsoft Entra. Последовательно придерживайтесь рекомендаций по таким параметрам, как диагностика, хранение журналов и прием SIEM, для принятия созданных журналов и сигналов.

• Идентификатор Microsoft Entra поддерживает интеграцию с Azure Monitor для различных журналов удостоверений. Дополнительные сведения см. в журналах действий Microsoft Entra в Azure Monitor и Анализ рискованных пользователей с помощью Copilot.

• Журналы безопасности операционной системы гибридной инфраструктуры. Архивируйте и тщательно отслеживайте все журналы операционных систем инфраструктуры гибридной идентификации как систему уровня 0 из-за потенциальных уязвимостей. Включите следующие элементы:

  • Коннекторы частной сети для Microsoft Entra Private Access и Microsoft Entra Прокси приложений.
  • Агенты обратной записи паролей.
  • Устройства шлюза защиты паролем.
  • Серверы политики сети (NPS), имеющие расширение RADIUS многофакторной аутентификации Microsoft Entra.
  • Microsoft Entra Connect.
  • Чтобы отслеживать синхронизацию удостоверений, необходимо развернуть Microsoft Entra Connect Health.

Подробные рекомендации по этому разделу см. в сборниках схем реагирования на инциденты и в исследовании рискованных пользователей с помощью Copilot.

Следующие шаги

• Создание устойчивости в управлении удостоверениями и доступом с помощью идентификатора Microsoft Entra
• Безопасный внешний доступ к ресурсам
• Интеграция всех приложений с идентификатором Microsoft Entra