特权访问:帐户
帐户安全性是 保护特权访问的关键组成部分。 会话的端到端零信任安全要求强力验证使用中的帐户实际上是由人类所有者掌控,而非被攻击者冒充。
强帐户安全性始于安全的预配和从供应到撤销的完整生命周期管理,并且每个会话必须根据所有可用数据(包括历史行为模式、可用的威胁情报和当前会话的使用情况)建立强有力的保证,以确保帐户当前未被入侵。
帐户安全性
本指南为帐户安全性定义了三个安全级别,这些安全级别可用于具有不同敏感度级别的资产:
这些级别建立了适用于每个敏感度级别的清晰且可实施的安全配置文件,您可以将角色快速分配到这些配置文件中,并快速进行横向扩展。 所有这些帐户安全级别旨在通过限制或消除用户和管理员工作流的中断来维护或提高人员的工作效率。
规划帐户安全性
本指南概述了满足每个级别所需的技术控制。 实施指南位于 特权访问路线图中。
帐户安全控制
实现接口安全性需要多种技术控制措施的组合,这些措施既可以保护帐户,又能够提供信号,用于零信任策略决策中(参阅《接口安全指南》的政策配置参考)。
这些配置文件中使用的控件包括:
- 多重身份验证 - 提供不同的证据来源(设计为用户尽可能容易,但攻击者难以模仿)。
- 帐户风险 - 异常监视和威胁监测 - 使用 UEBA 和威胁情报识别高风险情境
- 自定义监视 - 对于更敏感的帐户,显式定义允许/接受的行为/模式可以提前检测异常活动。 此控制不适用于企业中的常规用途帐户,因为这些帐户需要其角色的灵活性。
控件的组合还可以提高安全性和可用性——例如,对于那些始终保持正常使用模式(如每天在同一位置使用同一设备)的用户,不需要在每次身份验证时要求进行外部多因素认证。
企业安全帐户
企业帐户的安全控制旨在为所有用户创建安全基线,并为专用和特权安全性提供安全基础:
强制实施强多重身份验证 (MFA) - 确保用户使用企业托管标识系统提供的强 MFA 进行身份验证(如下图所示)。 有关多重身份验证的详细信息,请参阅 Azure 安全最佳做法 6。
注意
虽然组织可以选择在过渡期间使用现有的较弱形式的 MFA,但攻击者越来越多地逃避较弱的 MFA 保护,因此对 MFA 的所有新投资都应采用最强的形式。
强制实施帐户/会话风险 - 确保帐户无法进行身份验证,除非该帐户处于低(或中等?)风险级别。 有关条件企业帐户安全性的详细信息,请参阅接口安全级别。
监视和响应警报 - 安全作应集成帐户安全警报,并就这些协议和系统的工作方式进行足够的培训,以确保它们能够快速理解警报的含义并做出相应的反应。
下图比较了不同形式的 MFA 和无密码身份验证。 最佳框中的每个选项都被视为高安全性和高可用性。 每个都有不同的硬件要求,因此你可能想要混合和匹配哪些硬件要求适用于不同的角色或个人。 条件访问将所有 Microsoft无密码解决方案识别为多重身份验证,因为它们需要将你拥有的内容与生物识别、已知或两者兼有的内容相结合。
注意
有关短信和其他基于电话的身份验证受限的原因的详细信息,请参阅博客文章 是时候挂断电话传输进行身份验证了。
专用帐户
专用帐户是适合敏感用户的更高保护级别。 由于业务影响较高,专用帐户在安全警报、事件调查和威胁搜寻期间需要额外的监视和优先顺序。
专门安全措施基于企业安全中的强大多因素认证,通过识别最敏感的账户,并确保警报和响应过程得到优先处理。
- 识别敏感帐户 - 请参阅用于识别这些帐户的专用安全级别指南。
- 标记专用帐户 - 确保标记每个敏感帐户
- 配置Microsoft Sentinel 监视列表 以标识这些敏感帐户
- 在 Microsoft Defender for Office 365 中配置优先级帐户保护,并将专用帐户和特权帐户指定为优先级帐户 -
- 更新安全作过程 - 确保为这些警报提供最高优先级
- 设置治理流程 - 更新或创建治理流程以确保
- 在创建或更改所有新角色时,都会对其进行专门或特权分类评估
- 创建时所有新帐户都会被标记
- 连续或定期的额外检查,以确保角色和帐户没有被常规治理流程遗漏。
特权帐户
特权账户受到最高级别的保护,因为它们在遭到入侵时对组织运营可能产生重大或显著影响。
特权帐户始终包括有权访问大多数或所有企业系统的 IT 管理员,包括大多数或全部业务关键系统。 对业务影响较高的其他帐户也可能保证这种额外的保护级别。 有关应在哪个级别保护哪些角色和帐户的详细信息,请参阅 Privileged Security一文。
除了专门安全性外,特权帐户安全性还增加了以下两个方面:
- 预防 - 添加控制,以将这些帐户的使用限制为指定的设备、工作站和中介。
- 响应 - 密切监视这些帐户是否存在异常活动,并快速调查和修正风险。
配置特权帐户安全性
按照 安全快速现代化计划中的指导,提高特权帐户的安全性并降低管理成本。