Kiemelt hozzáférés biztosítása hibrid és felhőbeli környezetekhez a Microsoft Entra ID-ban

Az üzleti eszközök biztonsága az informatikai rendszereket kezelő kiemelt fiókok integritásától függ. A számítógépes támadók hitelesítőadat-lopási támadásokkal célba kapják a rendszergazdai fiókokat és más emelt szintű hozzáférést, hogy megpróbálják elérni a bizalmas adatokat.

A felhőszolgáltatások esetében a megelőzés és a reagálás a felhőszolgáltató és az ügyfél közös felelőssége. A végpontokat és a felhőt fenyegető legújabb fenyegetésekkel kapcsolatos további információkért lásd a Microsoft biztonsági intelligencia jelentést. Ez a cikk segíthet ütemterv kidolgozásában a jelenlegi tervek és az itt ismertetett útmutatás közötti rések megszüntetéséhez.

A szervezeti biztonság hagyományosan a hálózat belépési és kilépési pontjaira összpontosított biztonsági szegélyként. Az interneten található SaaS-alkalmazások és személyes eszközök azonban kevésbé hatékonyabbá tették ezt a megközelítést.

A Microsoft Entra-azonosítóban a hálózati biztonsági szegélyt a szervezet identitásrétegében lévő hitelesítésre cseréljük, a kiemelt rendszergazdai szerepkörökhöz rendelt felhasználókkal. Hozzáférésüket védeni kell, függetlenül attól, hogy a környezet helyszíni, felhő vagy hibrid.

A kiemelt hozzáférés biztonságossá tételéhez a következő módosítások szükségesek:

• Folyamatok, felügyeleti eljárások és tudáskezelés
• Technikai összetevők, például nyújtott védelmek, fiókvédelem és identitáskezelés

Úgy biztosíthatja a kiemelt hozzáférést, hogy az a Microsoft-szolgáltatásokban, melyek fontosak Önnek, kezelve és jelentve legyen. Ha helyszíni rendszergazdai fiókokkal rendelkezik, keresse fel a helyszíni és hibrid emelt szintű hozzáféréssel kapcsolatos útmutatót az Active Directoryban a Privileged Access biztonságossá tételéről.

Ütemterv kidolgozása

A Microsoft azt javasolja, hogy dolgozzon ki és kövesse az ütemtervet a kibertámadások elleni emelt szintű hozzáférés biztosítása érdekében. Az ütemtervet mindig úgy módosíthatja, hogy megfeleljen a szervezeten belüli meglévő képességeknek és konkrét követelményeknek.

Az ütemterv minden szakaszának meg kell növelnie a helyszíni, felhőbeli és hibrid eszközök kiemelt hozzáférésének megtámadásához szükséges költségeket és nehézséget a támadók számára. A Microsoft az alábbi négy ütemtervszakaszt javasolja. Először a leghatékonyabb és leggyorsabb implementációkat ütemezze.

Ez a cikk a Microsoft kibertámadási incidensekkel és válaszmegoldásokkal kapcsolatos tapasztalatain alapuló útmutató lehet. Az ütemterv időkeretei becslések.

• 1. szakasz (24–48 óra): Az ajánlott kritikus elemek azonnal elvégezhetők

• 2. szakasz (2-4 hét): A leggyakrabban használt támadási technikák enyhítése

• 3. szakasz (1-3 hónap): A rendszergazdai tevékenység láthatóságának és teljes körű felügyeletének kiépítése

• 4. szakasz (hat hónap után): Folytassa a védelmi műveletek kiépítését a biztonsági platform további keményítéséhez

Ez az ütemterv-keretrendszer úgy lett kialakítva, hogy maximalizálja a már üzembe helyezett Microsoft-technológiák használatát. Fontolja meg a más gyártóktól származó biztonsági eszközökhöz való be- és csatlakoztatást, amelyeket már üzembe helyezett vagy üzembe helyezést fontolgat.

1. szakasz: Jelenleg kritikus fontosságú elemek

Az ütemterv 1. szakasza a gyors és könnyen implementálható kritikus feladatokra összpontosít. Javasoljuk, hogy az első 24–48 órában azonnal végezze el ezt a néhány elemet a biztonságos emelt szintű hozzáférés biztosítása érdekében. A biztonságos emelt szintű hozzáférés ütemtervének ezen szakasza a következő műveleteket tartalmazza:

Általános előkészítés

A Microsoft Entra Privileged Identity Management használata.

Javasoljuk, hogy kezdje el használni a Microsoft Entra Privileged Identity Managementet (PIM) a Microsoft Entra éles környezetében. A PIM használatának megkezdése után értesítést kap e-mailben a kiemelt hozzáférési szerepkör változásairól. Az értesítések korai figyelmeztetést nyújtanak, ha további felhasználókat adnak hozzá a kiemelt szerepkörökhöz.

A Microsoft Entra Privileged Identity Management a Microsoft Entra ID P2 vagy EMS E5 része. A helyszíni és a felhőbeli alkalmazásokhoz és erőforrásokhoz való hozzáférés védelme érdekében regisztráljon az Enterprise Mobility + Security ingyenes 90 napos próbaverziójára. A Microsoft Entra Privileged Identity Management és Microsoft Entra ID-védelem a biztonsági tevékenységeket a Microsoft Entra ID jelentésével, naplózásával és riasztásaival figyeli.

A Microsoft Entra Privileged Identity Management használatának megkezdése után:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.

2. Ha olyan címtárakat szeretne váltani, ahol a Privileged Identity Managementet szeretné használni, válassza ki a felhasználónevet a Microsoft Entra felügyeleti központ jobb felső sarkában.

3. Nyissa meg az Identitásirányítás>Kiváltságos identitáskezelés.

Győződjön meg arról, hogy a PIM-et elsőként használó személy a biztonsági rendszergazdai és a kiemelt szerepkör-rendszergazdai szerepkörökhöz van hozzárendelve. Csak a kiemelt szerepkörgazdák kezelhetik a Felhasználók Microsoft Entra címtárbeli szerepkör-hozzárendeléseit. A PIM biztonsági varázsló útmutatást ad a kezdeti felfedezési és kijelölési élményen. Jelenleg további módosítások végrehajtása nélkül is kiléphet a varázslóból.

Magas jogosultsági szintű szerepkörökben lévő fiókok azonosítása és kategorizálása

A Microsoft Entra Privileged Identity Management használatának megkezdése után tekintse meg azokat a felhasználókat, akik a következő Microsoft Entra-szerepkörökben vannak:

• Globális rendszergazda
• Kiemelt szerepkörű rendszergazda
• Exchange-rendszergazda
• SharePoint-rendszergazda

Ha nem rendelkezik Microsoft Entra Privileged Identity Managementtel a szervezetében, használhatja a Microsoft Graph PowerShellt. Kezdje a globális rendszergazdai szerepkörrel, mert a globális rendszergazda ugyanazokkal az engedélyekkel rendelkezik minden olyan felhőszolgáltatásban, amelyre a szervezet előfizetett. Ezeket az engedélyeket a hozzárendelés helyétől függetlenül kapják meg: a Microsoft 365 Felügyeleti központ, a Microsoft Entra felügyeleti központban vagy a Microsoft Graph PowerShell használatával.

Távolítsa el azokat a fiókokat, amelyekre már nincs szükség ezekben a szerepkörökben. Ezután kategorizálja a rendszergazdai szerepkörökhöz rendelt többi fiókot:

• Rendszergazda felhasználókhoz rendelve, de nem rendszergazdai célokra is használható (például személyes e-mailekhez)
• Rendszergazdai felhasználókhoz rendelve, és csak rendszergazdai célokra használatos
• Több felhasználó között megosztva
• Üvegtöréses vészhelyzeti hozzáférési forgatókönyvek esetén
• Automatizált szkriptek esetén
• Külső felhasználók számára

Legalább két segélyhívási fiók definiálása

A Microsoft azt javasolja, hogy a szervezetek két kizárólag felhőalapú segélyhívási fiókkal rendelkezzenek, amelyekhez véglegesen hozzárendelték a globális rendszergazdai szerepkört. Ezek a fiókok kiemelt jogosultságokkal rendelkeznek, és nincsenek meghatározott személyekhez rendelve. A fiókok olyan vészhelyzeti vagy "break glass" forgatókönyvekre korlátozódnak, ahol a normál fiókok nem használhatók, vagy az összes többi rendszergazdát véletlenül kizárták. Ezeket a fiókokat a vészhelyzeti hozzáférési fiók ajánlásait követve kell létrehozni.

Kapcsolja be a többtényezős hitelesítést, és regisztrálja az összes többi magas jogosultságú, egyfelhasználós, nem összevont rendszergazdai fiókot

Többtényezős Microsoft Entra-hitelesítés megkövetelése bejelentkezéskor minden olyan egyéni felhasználó számára, aki véglegesen hozzárendelve van egy vagy több Microsoft Entra-rendszergazdai szerepkörhöz: globális rendszergazda, kiemelt szerepkör-rendszergazda, Exchange-rendszergazda és SharePoint-rendszergazda. Használja a többtényezős hitelesítés kényszerítése a rendszergazdákra című útmutatót, és győződjön meg arról, hogy az összes felhasználó regisztrált a következő helyenhttps://aka.ms/mfasetup: . További információt a Felhasználók és eszközök hozzáférésének védelme a Microsoft 365-ben című útmutató 2. és 3. lépésében talál.

2. szakasz: A gyakran használt támadások enyhítése

Az ütemterv 2. szakasza a hitelesítő adatok ellopásának és visszaélésének leggyakrabban használt támadási technikáinak mérséklésére összpontosít, és körülbelül 2-4 hét alatt implementálható. A Biztonságos emelt szintű hozzáférés ütemtervének ezen szakasza a következő műveleteket tartalmazza.

Általános előkészítés

Szolgáltatások, tulajdonosok és rendszergazdák leltárának készítése

A "saját eszköz használata" és az otthoni házirendek alapján végzett munka növekedése, valamint a vezeték nélküli kapcsolat növekedése kritikus fontosságúvá teszi a hálózathoz csatlakozók figyelését. A biztonsági auditok olyan eszközöket, alkalmazásokat és programokat jeleníthetnek meg a hálózaton, amelyeket a szervezet nem támogat, és amelyek magas kockázatot jelentenek. További információkért tekintse meg az Azure biztonsági felügyeletének és figyelésének áttekintését. Győződjön meg arról, hogy az alábbi feladatok mindegyikét belefoglalja a leltározási folyamatba.

• Azonosítsa azokat a felhasználókat, akiknek rendszergazdai szerepkörük van, és azokat a szolgáltatásokat, amelyeket kezelni tudnak.

• A Microsoft Entra PIM használatával megtudhatja, hogy a szervezet mely felhasználói férhetnek hozzá rendszergazdai hozzáféréssel a Microsoft Entra-azonosítóhoz.

• A Microsoft Entra ID-ban definiált szerepkörökön túl a Microsoft 365 rendelkezik a szervezet felhasználóihoz hozzárendelhető rendszergazdai szerepkörökkel. Minden rendszergazdai szerepkör leképezi a gyakori üzleti funkciókat, és engedélyt ad a szervezet tagjainak arra, hogy meghatározott feladatokat végezzenek a Microsoft 365 Felügyeleti központ. A Microsoft 365 Felügyeleti központ segítségével megtudhatja, hogy a szervezet mely felhasználói férhetnek hozzá rendszergazdai hozzáféréssel a Microsoft 365-höz, beleértve a Microsoft Entra-azonosítóban nem felügyelt szerepköröket is. További információ: Microsoft 365-rendszergazdai szerepkörök és az Office 365 biztonsági eljárásai.

• Végezze el a leltározást a szervezet által igénybe vett szolgáltatásokban, például az Azure, az Intune vagy a Dynamics 365.

• Győződjön meg arról, hogy az adminisztrációs célokra használt fiókjai:

  • Munkahelyi e-mail-címek csatolása hozzájuk
  • Regisztrálva van a Microsoft Entra többtényezős hitelesítésére vagy a helyszíni MFA használatára

• Kérje meg a felhasználókat, hogy indokolják a rendszergazdai hozzáférést.

• Távolítsa el a rendszergazdai hozzáférést azoknak a személyeknek és szolgáltatásoknak, akiknek nincs rá szükségük.

Olyan Microsoft-fiókok azonosítása rendszergazdai szerepkörökben, amelyeket át kell váltani munkahelyi vagy iskolai fiókokra

Ha a kezdeti globális rendszergazdák a Microsoft Entra ID használatának megkezdésekor újra felhasználják a meglévő Microsoft-fiók hitelesítő adatait, cserélje le a Microsoft-fiókokat egyéni felhőalapú fiókokra.

Külön felhasználói fiókok és levelezési továbbítás biztosítása a globális rendszergazdai fiókokhoz

A személyes e-mail-fiókokat rendszeresen megpróbálják adathalászattal ellopni a kibertámadók, ami a globális rendszergazdai fiókok számára elfogadhatatlanná teszi a személyes e-mail-címeket. Ha el szeretné különíteni az internetes kockázatokat a rendszergazdai jogosultságoktól, hozzon létre dedikált fiókokat minden rendszergazdai jogosultsággal rendelkező felhasználó számára.

• Mindenképpen hozzon létre külön fiókokat a felhasználók számára a globális rendszergazdai feladatok elvégzéséhez.
• Győződjön meg arról, hogy a globális rendszergazdák nem nyitják meg véletlenül az e-maileket, és nem futtatnak programokat a rendszergazdai fiókjukkal.
• Győződjön meg arról, hogy ezek a fiókok egy működő postaládába továbbítják az e-mail-címüket.
• A globális rendszergazdai (és egyéb kiemelt csoportok) fiókoknak csak felhőalapú fiókoknak kell lenniük, és nincs kapcsolatuk a helyi Active Directory.

Győződjön meg arról, hogy a rendszergazdai fiókok jelszavai nemrég megváltoztak

Győződjön meg arról, hogy az elmúlt 90 napban minden felhasználó bejelentkezett a felügyeleti fiókjába, és legalább egyszer módosította a jelszavát. Ellenőrizze azt is, hogy a megosztott fiókok jelszavai megváltoztak-e a közelmúltban.

Jelszókivonat-szinkronizálás bekapcsolása

A Microsoft Entra Connect szinkronizálja a felhasználó jelszavának kivonatát helyi Active Directory egy felhőalapú Microsoft Entra-szervezettel. A jelszókivonat-szinkronizálás biztonsági mentésként használható, ha összevonást alkalmaz az Active Directory összekötési szolgáltatásokkal (AD FS). Ez a biztonsági mentés akkor lehet hasznos, ha a helyi Active Directory vagy az AD FS-kiszolgálók átmenetileg nem érhetők el.

A jelszókivonat-szinkronizálás lehetővé teszi, hogy a felhasználók ugyanazzal a jelszóval jelentkezzenek be egy szolgáltatásba, amelyet a helyi Active Directory-példányba való bejelentkezéshez használnak. A jelszókivonat-szinkronizálás lehetővé teszi Microsoft Entra ID-védelem a feltört hitelesítő adatok észlelését a jelszókivonatok és az ismerten feltört jelszavak összehasonlításával. További információ: Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Connect Synctel.

Többtényezős hitelesítés megkövetelése a kiemelt szerepkörökben és a közzétett felhasználóknál

A Microsoft Entra ID azt javasolja, hogy minden felhasználóhoz többtényezős hitelesítésre van szükség. Mindenképpen vegye figyelembe azokat a felhasználókat, akik jelentős hatással lennének a fiókjuk (például pénzügyi tisztviselők) feltörése esetén. Az MFA csökkenti a támadás kockázatát egy feltört jelszó miatt.

Bekapcsol:

• MFA feltételes hozzáférési szabályzatokkal a szervezet összes felhasználója számára.

Ha a Windows Hello for Business szolgáltatást használja, az MFA-követelmény a Windows Hello bejelentkezési felületével teljesíthető. További információ: Windows Hello.

Microsoft Entra ID Protection

Microsoft Entra ID-védelem egy algoritmusalapú monitorozási és jelentéskészítési eszköz, amely észleli a szervezet identitásait érintő lehetséges biztonsági réseket. A gyanús tevékenységekre adott automatikus válaszokat konfigurálhatja, és a megoldásukhoz megfelelő műveletet hajthat végre. További információ: Microsoft Entra ID-védelem.

Szerezze be a Microsoft 365 biztonságos pontszámát (ha a Microsoft 365-öt használja)

A biztonságos pontszám megvizsgálja az Ön által használt Microsoft 365-szolgáltatások beállításait és tevékenységeit, és összehasonlítja őket a Microsoft által létrehozott alapkonfigurációval. A pontszámot attól függően kapja meg, hogy mennyire igazodik a biztonsági eljárásokhoz. Bárki, aki rendszergazdai engedélyekkel rendelkezik egy Microsoft 365 Vállalati standard verzió vagy vállalati előfizetéshez, hozzáférhet a biztonságos pontszámhoz a következő címenhttps://security.microsoft.com/securescore: .

Tekintse át a Microsoft 365 biztonsági és megfelelőségi útmutatóját (ha a Microsoft 365-öt használja)

A biztonsági és megfelelőségi terv az Office 365-ügyfeleknek az Office 365 konfigurálására és más EMS-képességek engedélyezésére vonatkozó megközelítését ismerteti. Ezután tekintse át a Microsoft 365-beli adatokhoz és szolgáltatásokhoz való hozzáférés védelmének 3–6. lépését, valamint a Microsoft 365-ben a biztonság és a megfelelőség monitorozásának útmutatóját.

A Microsoft 365 tevékenységfigyelésének konfigurálása (Ha a Microsoft 365-öt használja)

A microsoftos 365-öt használó felhasználók monitorozásával azonosíthatja azokat az alkalmazottakat, akik rendszergazdai fiókkal rendelkeznek, de előfordulhat, hogy nincs szükségük Microsoft 365-hozzáférésre, mert nem jelentkeznek be ezekbe a portálokra. További információ: Tevékenységjelentések a Microsoft 365 Felügyeleti központ.

Incidens-/vészhelyzet-elhárítási terv felelőseinek kijelölése

A sikeres incidenskezelési képesség létrehozásához jelentős tervezésre és erőforrásokra van szükség. Folyamatosan monitoroznia kell a kibertámadásokat, és meg kell határoznia az incidenskezelés prioritásait. Gyűjtse össze, elemezze és jelentse az incidensadatokat, hogy kapcsolatokat építsen ki, és kommunikációt alakítson ki más belső csoportokkal és tervtulajdonosokkal. További információ: Microsoft Security Response Center.

Gondoskodjon a helyszíni privilegizált rendszergazdai fiókok védelméről, ha még nem tették meg.

Ha a Microsoft Entra-szervezet szinkronizálva van a helyi Active Directory, kövesse a biztonsági emelt szintű hozzáférés ütemtervének útmutatását: Ez a szakasz a következőket tartalmazza:

• Külön rendszergazdai fiókok létrehozása azon felhasználók számára, akiknek helyszíni rendszergazdai feladatokat kell elvégeznie
• Privileged Access-munkaállomások üzembe helyezése Active Directory-rendszergazdák számára
• Egyedi helyi rendszergazdai jelszavak létrehozása munkaállomásokhoz és kiszolgálókhoz

További lépések az Azure-hoz való hozzáférést kezelő szervezetek számára

Előfizetések leltárának kitöltése

Az Enterprise Portal és az Azure Portal használatával azonosíthatja az éles alkalmazásokat üzemeltető szervezet előfizetéseit.

Microsoft-fiókok eltávolítása rendszergazdai szerepkörökből

Más programokból, például az Xboxból, a Live-ból és az Outlookból származó Microsoft-fiókok nem használhatók rendszergazdai fiókként a szervezet előfizetéseihez. Távolítsa el a rendszergazdai állapotot az összes Microsoft-fiókból, és cserélje le a Microsoft Entra-azonosítóra (például chris@contoso.com) a munkahelyi vagy iskolai fiókokat. Rendszergazdai célokból a Microsoft Entra-azonosítóban hitelesített fiókoktól függ, nem pedig más szolgáltatásokban.

Azure-tevékenység figyelése

Az Azure-tevékenységnapló az Azure előfizetés-szintű eseményeit tartalmazza. Információt nyújt arról, hogy ki hozta létre, frissítette és törölte az erőforrásokat, és hogy mikor történtek ezek az események. További információ: Naplózás és értesítések fogadása az Azure-előfizetés fontos műveleteiről.

További lépések a más felhőalkalmazásokhoz való hozzáférés Microsoft Entra-azonosítón keresztüli kezelésével kapcsolatos szervezetek számára

Feltételes hozzáférési szabályzatok konfigurálása

Feltételes hozzáférési szabályzatok előkészítése helyszíni és felhőalapú alkalmazásokhoz. Ha a felhasználók munkahelyi eszközökhöz csatlakoznak, a Microsoft Entra eszközregisztrációval további információt kaphat a helyszíni feltételes hozzáférés beállításáról.

3. szakasz: A rendszergazdai tevékenység ellenőrzése

A 3. szakasz a 2. fázisból származó kockázatcsökkentésekre épül, és körülbelül 1–3 hónapon belül kell végrehajtani. A Biztonságos emelt szintű hozzáférés ütemtervének ezen szakasza a következő összetevőket tartalmazza.

Általános előkészítés

Rendszergazdai szerepkörökben lévő felhasználók hozzáférési felülvizsgálatának befejezése

Több vállalati felhasználó kap kiemelt hozzáférést a felhőszolgáltatásokon keresztül, ami nem felügyelt hozzáféréshez vezethet. A felhasználók ma globális rendszergazdákká válhatnak a Microsoft 365-höz, az Azure-előfizetés rendszergazdáihoz, vagy rendszergazdai hozzáféréssel rendelkezhetnek virtuális gépekhez vagy SaaS-alkalmazásokon keresztül.

A szervezetnek rendelkeznie kell minden alkalmazottal, aki nem jogosult felhasználóként kezeli a szokásos üzleti tranzakciókat, majd csak szükség esetén biztosít rendszergazdai jogosultságokat. Végezze el a hozzáférési felülvizsgálatokat a rendszergazdai jogosultságok aktiválására jogosult felhasználók azonosításához és megerősítéséhez.

A következő megoldást javasoljuk:

1. Határozza meg, hogy mely felhasználók a Microsoft Entra rendszergazdái, engedélyezze az igény szerinti, just-in-time rendszergazdai hozzáférést, és a szerepköralapú biztonsági vezérlőket.
2. Konvertálja azokat a felhasználókat, akik nem indokolják egyértelműen a rendszergazdai jogosultságú hozzáférést egy másik szerepkörhöz (ha nincs jogosult szerepkör, távolítsa el őket).

Az erősebb hitelesítés bevezetésének folytatása minden felhasználó számára

A magas szintű hozzáférésű felhasználóknak modern, erős hitelesítésre van szükségük, például a Microsoft Entra többtényezős hitelesítéséhez vagy a Windows Hello-hoz. A nagymértékben kitett felhasználók közé tartoznak például a következők:

• C-suite vezetők
• Magas szintű vezetők
• Kritikus informatikai és biztonsági személyzet

Dedikált munkaállomások használata a Microsoft Entra-azonosító felügyeletéhez

A támadók megpróbálhatják megcélezni a kiemelt fiókokat, hogy megzavarhassák az adatok integritását és hitelességét. Gyakran rosszindulatú kódot használnak, amely módosítja a program logikáját, vagy kémkedik a hitelesítő adatokat beíró rendszergazda után. Az emelt hozzáférési szintű munkaállomások (Privileged Access Workstation, PAW) az internetről érkező támadások és fenyegetések ellen védett dedikált operációs rendszert biztosítanak a bizalmas feladatokhoz. Ezeknek a bizalmas feladatoknak és fiókoknak a napi használatú munkaállomásoktól és eszközöktől való elkülönítése erős védelmet nyújt a következőktől:

• Adathalászati támadások
• Alkalmazás- és operációsrendszer-biztonsági rések
• Megszemélyesítési támadások
• Hitelesítő adatokkal kapcsolatos lopási támadások, például billentyűzetfigyelés, Pass-the-Hash és Pass-the-Ticket

A kiemelt hozzáférésű munkaállomások üzembe helyezésével csökkentheti annak kockázatát, hogy a rendszergazdák olyan asztali környezetben adjanak meg hitelesítő adatokat, amely nem lett megerősítve. További információ: Privileged Access Workstations.

A Nemzeti Szabványügyi és Technológiai Intézet incidensek kezelésére vonatkozó ajánlásainak áttekintése

A Nemzeti Szabványügyi és Technológiai Intézet (NIST) irányelveket biztosít az incidenskezeléshez, különösen az incidensekkel kapcsolatos adatok elemzéséhez és az egyes incidensekre adott megfelelő válasz meghatározásához. További információ: A (NIST) számítógépbiztonsági incidenskezelési útmutatója (SP 800-61, 2. változat).

A JIT privileged Identity Management (PIM) implementálása további rendszergazdai szerepkörökre

A Microsoft Entra-azonosítóhoz használja a Microsoft Entra Privileged Identity Management képességet. A kiemelt szerepkörök időkorlátos aktiválása a következők engedélyezésével működik:

• Rendszergazdai jogosultságok aktiválása adott feladat elvégzéséhez

• MFA kényszerítése az aktiválási folyamat során

• Riasztások használata a rendszergazdák tájékoztatására a sávon kívüli változásokról

• Lehetővé teszi a felhasználók számára, hogy előre konfigurált ideig megőrizzék a kiemelt hozzáférésüket

• A biztonsági rendszergazdák számára a következő műveletek engedélyezése:

  • Az összes kiemelt identitás felderítése
  • Auditjelentések megtekintése
  • Hozzáférési felülvizsgálatok létrehozása a rendszergazdai jogosultságok aktiválására jogosult összes felhasználó azonosításához

Ha már használja a Microsoft Entra Privileged Identity Managementet, szükség szerint módosítsa az időkereteket az időkorlátos jogosultságokhoz (például karbantartási időszakokhoz).

A jelszóalapú bejelentkezési protokollok expozíciójának meghatározása (ha Exchange Online-t használ)

Javasoljuk, hogy azonosítsa azokat a potenciális felhasználókat, akik katasztrofálisak lehetnek a szervezet számára, ha a hitelesítő adataik sérülnének. Azoknak a felhasználóknak szigorú hitelesítési követelményeket kell bevezetnie, és a Microsoft Entra feltételes hozzáférést kell használnia, hogy megakadályozza őket abban, hogy felhasználónévvel és jelszóval jelentkezzenek be az e-mailbe. A feltételes hozzáférési használatával letilthatjaörökölt hitelesítést, és letilthatja az alapszintű hitelesítést az Exchange Online-on keresztül.

Szerepkör-felülvizsgálati értékelés elvégzése a Microsoft 365-szerepkörökről (Ha a Microsoft 365-öt használja)

Annak felmérése, hogy az összes rendszergazda felhasználó a megfelelő szerepkörökben van-e (az értékelésnek megfelelően törölje és rendelje hozzá újra).

Tekintse át a Microsoft 365-ben használt biztonsági incidenskezelési megközelítést, és hasonlítsa össze a saját szervezetével

Ezt a jelentést a Microsoft 365 biztonsági incidenskezeléséből töltheti le.

A helyszíni kiemelt rendszergazdai fiókok biztonságossá tételének folytatása

Ha a Microsoft Entra-azonosítója csatlakozik a helyi Active Directory-hoz, kövesse a Biztonsági Privilegizált Hozzáférési Ütemterv 2. szakasz útmutatását. Ebben a szakaszban:

• Privileged Access-munkaállomások üzembe helyezése minden rendszergazda számára
• MFA megkövetelése
• Just Enough Admin használata a tartományvezérlő karbantartásához, a tartományok támadási felületének csökkentése
• Advanced Threat Analytics üzembe helyezése támadásészleléshez

További lépések az Azure-hoz való hozzáférést kezelő szervezetek számára

Integrált monitorozás létrehozása

A Microsoft Defender for Cloud

• Integrált biztonsági monitorozást és szabályzatkezelést biztosít az Azure-előfizetésekben
• Segít észlelni azokat a fenyegetéseket, amelyek egyébként észrevétlenek lehetnek
• A biztonsági megoldások széles skálájával működik

A kiemelt fiókok leltározása az üzemeltetett virtuális gépeken

Általában nem kell korlátlan engedélyeket adnia a felhasználóknak az összes Azure-előfizetéshez vagy -erőforráshoz. A Microsoft Entra rendszergazdai szerepköreivel csak azoknak a felhasználóknak biztosítson hozzáférést, akiknek el kell végezniük a munkájukat. A Microsoft Entra rendszergazdai szerepköreivel lehetővé teheti, hogy az egyik rendszergazda csak az előfizetésben lévő virtuális gépeket kezelje, míg egy másik az ugyanazon előfizetésen belüli SQL-adatbázisokat. További információ: Mi az Azure szerepköralapú hozzáférés-vezérlése?

PIM implementálása a Microsoft Entra rendszergazdai szerepköreihez

A Privileged Identity Management és a Microsoft Entra rendszergazdai szerepkörök használatával kezelheti, szabályozhatja és figyelheti az Azure-erőforrásokhoz való hozzáférést. A PIM használata védelmet nyújt azáltal, hogy csökkenti a jogosultságok expozíciós idejét, és a jelentések és riasztások révén növeli a használatuk láthatóságát. További információ: What is Microsoft Entra Privileged Identity Management.

Az Azure-naplóintegrációk használatával releváns Azure-naplókat küldhet a SIEM-rendszereknek

Az Azure-naplóintegráció lehetővé teszi, hogy nyers naplókat integráljon az Azure-erőforrásokból a szervezet meglévő biztonsági információ- és eseménykezelési (SIEM) rendszereibe. Az Azure-naplóintegráció windowsos eseményeket gyűjt a Windows Eseménynapló naplóiból és az Azure-erőforrásokból:

• Azure-tevékenységnaplók
• Microsoft Defender for Cloud riasztások
• Azure-erőforrásnaplók

További lépések a más felhőalkalmazásokhoz való hozzáférés Microsoft Entra-azonosítón keresztüli kezelésével kapcsolatos szervezetek számára

A csatlakoztatott alkalmazások felhasználói hozzáférésének biztosítása

A Microsoft Entra ID segítségével automatizálhatja a felhasználói identitások létrehozását és karbantartását a felhőalkalmazásokban, például a Dropboxban, a Salesforce-ban és a ServiceNow-ban. További információért lásd: Felhasználók kiépítésének és visszavonásának automatizálása SaaS-alkalmazásokhoz a Microsoft Entra Identity segítségével.

Az információvédelem integrálása

Felhőhöz készült Microsoft Defender Alkalmazások lehetővé teszik a fájlok vizsgálatát és a szabályzatok Azure Information Protection-besorolási címkéken alapuló beállítását, így nagyobb átláthatóságot és felügyeletet biztosít a felhőbeli adatok számára. Fájlok vizsgálata és besorolása a felhőben, és Azure Information Protection-címkék alkalmazása. További információ: Azure Information Protection-integráció.

Feltételes hozzáférés konfigurálása

Konfigurálja a feltételes hozzáférést az SaaS-alkalmazások és a Microsoft Entra csatlakoztatott alkalmazások csoport-, hely- és alkalmazásérzékenysége alapján.

Tevékenységek monitorozása csatlakoztatott felhőalkalmazásokban

Javasoljuk, hogy Felhőhöz készült Microsoft Defender-alkalmazások használatával gondoskodjon arról, hogy a felhasználók hozzáférése a csatlakoztatott alkalmazásokban is védett legyen. Ez a funkció biztosítja a vállalati hozzáférést a felhőalkalmazásokhoz, és biztonságossá teszi a rendszergazdai fiókokat, így a következőket teheti:

• Láthatóság és szabályozás kiterjesztése a felhőalkalmazásokra
• Hozzáférési, tevékenység- és adatmegosztási szabályzatok létrehozása
• Kockázatos tevékenységek, rendellenes viselkedések és fenyegetések automatikus azonosítása
• Adatszivárgás megakadályozása
• A kockázatok és az automatizált fenyegetésmegelőzés és szabályzatkényszerítés minimalizálása

A Felhőhöz készült Defender Apps SIEM-ügynök integrálja a Felhőhöz készült Defender-alkalmazásokat a SIEM-kiszolgálóval a Microsoft 365-riasztások és tevékenységek központosított figyeléséhez. A program a kiszolgálón fut, lekéri a riasztásokat és tevékenységeket a Felhőbeli Defender alkalmazásokból, majd továbbítja őket a SIEM-kiszolgálóra. További információ: SIEM-integráció.

4. szakasz: A védelem továbbépítése

Az ütemterv 4. szakaszát hat hónapon belül és azon túl is végre kell hajtani. Végezze el az ütemtervet, hogy megerősítse kiemelt hozzáférés-védelmét a jelenleg ismert lehetséges támadásokkal szemben. A holnapi biztonsági fenyegetések esetén javasoljuk, hogy a biztonságot folyamatos folyamatként tekintse meg, amely növeli a költségeket, és csökkenti a környezetet célzó támadók sikerességi arányát.

A kiemelt hozzáférés biztosítása fontos az üzleti eszközök biztonsági garanciáinak kialakításához. Ennek azonban egy teljes biztonsági programnak kell lennie, amely folyamatos biztonsági garanciákat biztosít. Ennek a programnak tartalmaznia kell az alábbi elemeket:

• Szabályzat
• Üzemeltetés
• Információbiztonság
• Kiszolgálók
• Alkalmazások
• Pc
• Eszközök
• Felhőszövet

A kiemelt hozzáférési fiókok kezelésekor az alábbi eljárásokat javasoljuk:

• Győződjön meg arról, hogy a rendszergazdák a mindennapi munkájukat nem hátrányos helyzetű felhasználókként végzik
• Csak akkor adjon jogosultsági hozzáférést, ha szükséges, majd távolítsa el azt (igény szerinti)
• A kiemelt fiókokhoz kapcsolódó naplózási tevékenységnaplók megőrzése

A teljes biztonsági ütemterv elkészítésével kapcsolatos további információkért lásd a Microsoft felhőalapú informatikai architektúrájának erőforrásait. Annak érdekében, hogy a Microsoft szolgáltatásait igénybe vegye ütemterve bármely részének megvalósításához, forduljon a Microsoft képviselőjéhez, vagy tekintse meg a vállalatának védelmét biztosító kritikus kibervédelem kiépítését.

A Biztonságos emelt szintű hozzáférés ütemtervének utolsó, folyamatban lévő szakasza a következő összetevőket tartalmazza.

Általános előkészítés

Rendszergazdai szerepkörök áttekintése a Microsoft Entra-azonosítóban

Állapítsa meg, hogy a Microsoft Entra jelenlegi beépített rendszergazdai szerepkörei naprakészek-e, és győződjön meg arról, hogy a felhasználók csak a szükséges szerepkörökben vannak. A Microsoft Entra-azonosítóval külön rendszergazdákat rendelhet a különböző funkciók kiszolgálásához. További információért lásd: Microsoft Entra beépített szerepkörök.

A Microsoft Entra-hoz csatlakoztatott eszközök felügyeletével rendelkező felhasználók áttekintése

További információ: A Microsoft Entra hibrid csatlakoztatott eszközeinek konfigurálása.

A Microsoft 365 beépített rendszergazdai szerepköreinek tagjainak áttekintése

Ha nem a Microsoft 365-öt használja, hagyja ki ezt a lépést.

Incidenskezelési terv ellenőrzése

A terv továbbfejlesztése érdekében a Microsoft azt javasolja, hogy rendszeresen ellenőrizze, hogy a csomag a várt módon működik-e:

• Tekintse át a meglévő útitervet, és nézze meg, hogy mi hiányzott
• A halál utáni elemzés alapján vizsgálja felül a meglévő vagy definiált új eljárásokat
• Győződjön meg arról, hogy a frissített incidenskezelési terv és eljárások a teljes szervezetben el vannak osztva

További lépések az Azure-hoz való hozzáférést kezelő szervezetek számára

Állapítsa meg, hogy át kell-e adnia egy Azure-előfizetés tulajdonjogát egy másik fióknak.

"Üvegtörés": mi a teendő vészhelyzetben?

1. Értesítse a kulcskezelőket és a biztonsági tisztviselőket az incidenssel kapcsolatos információkkal.

2. Tekintse át a támadás forgatókönyvét.

3. A Microsoft Entra ID-be való bejelentkezéshez szerezze meg a "break glass" fiók felhasználónevét és jelszavát.

4. Kérjen segítséget a Microsofttól egy Azure-támogatás kérés megnyitásával.

5. Tekintse meg a Microsoft Entra bejelentkezési jelentéseit. Előfordulhat, hogy egy esemény bekövetkezése és a jelentésbe való belefoglalása között van némi idő.

6. Hibrid környezetek esetén, ha a helyszíni infrastruktúra összevont és az AD FS-kiszolgáló nem érhető el, ideiglenesen válthat az összevont hitelesítésről a jelszókivonat-szinkronizálás használatára. Ez a kapcsoló visszaállítja a tartomány-összevonást a felügyelt hitelesítésre, amíg el nem érhető az AD FS-kiszolgáló.

7. Kiemelt fiókok e-mailjeinek figyelése.

8. Győződjön meg arról, hogy biztonsági másolatot készít a releváns naplókról a lehetséges törvényszéki és jogi vizsgálathoz.

A Microsoft Office 365 biztonsági incidensek kezelésével kapcsolatos további információkért tekintse meg a Microsoft Office 365 biztonsági incidenskezelését ismertető témakört.

Gyakori kérdések: Válaszok a kiemelt hozzáférés biztonságossá tételéhez

K: Mit tegyek, ha még nem implementáltam biztonságos hozzáférési összetevőket?

Válasz: Adjon meg legalább két törésvonal-fiókot, rendeljen MFA-t a kiemelt rendszergazdai fiókokhoz, és különítse el a felhasználói fiókokat a globális rendszergazdai fiókoktól.

K: A szabálysértés után mi a legfontosabb probléma, amelyet először meg kell oldani?

Válasz: Győződjön meg arról, hogy a legerősebb hitelesítésre van szüksége a magasan közzétett személyek számára.

K: Mi történik, ha a kiemelt rendszergazdák inaktiválva lettek?

Válasz: Hozzon létre egy globális rendszergazdai fiókot, amely mindig naprakész.

K: Mi történik, ha csak egy globális rendszergazda maradt, és nem érhető el?

Válasz: Használjon egy vészhelyzeti hozzáférési fiókot azonnali emelt szintű hozzáféréshez.

K: Hogyan védhetem meg a szervezeten belüli rendszergazdákat?

Válasz: A rendszergazdák mindig a szokásos "nem hátrányos helyzetű" felhasználókként hajtják végre a mindennapi munkájukat.

K: Mik a Microsoft Entra-azonosítón belüli rendszergazdai fiókok létrehozásának ajánlott eljárásai?

Válasz: Emelt szintű hozzáférés lefoglalása adott rendszergazdai feladatokhoz.

K: Milyen eszközök léteznek az állandó rendszergazdai hozzáférés csökkentéséhez?

Válasz: Privileged Identity Management (PIM) és Microsoft Entra rendszergazdai szerepkörök.

K: Mi a Microsoft álláspontja a rendszergazdai fiókok Microsoft Entra-azonosítóval való szinkronizálásával kapcsolatban?

Válasz: A 0. szintű rendszergazdai fiókok csak a helyszíni AD-fiókokhoz használhatók. Az ilyen fiókok általában nem szinkronizálódnak a felhőben lévő Microsoft Entra-azonosítóval. A 0. rétegbeli rendszergazdai fiókok közé tartoznak az olyan fiókok, csoportok és egyéb eszközök, amelyek közvetlen vagy közvetett felügyelettel rendelkeznek az helyi Active Directory erdő, a tartományok, a tartományvezérlők és az eszközök felett.

K: Hogyan tarthatjuk meg, hogy a rendszergazdák véletlenszerű rendszergazdai hozzáférést rendelhessenek a portálhoz?

Válasz: Használjon nem kiemelt szintű fiókokat minden felhasználó és a legtöbb rendszergazda számára. Először is a szervezet lábnyomának fejlesztésével állapítsa meg, hogy mely rendszergazdai fiókokat kell kiemelten használni. Újonnan létrehozott rendszergazdai felhasználók figyelése.

Következő lépések

• Microsoft Trust Center for Product Security – A Microsoft felhőalapú termékeinek és szolgáltatásainak biztonsági funkciói

• Microsoft-megfelelőségi ajánlatok – A Microsoft felhőszolgáltatásokhoz készült megfelelőségi ajánlatainak átfogó készlete

• Útmutató a kockázatértékeléshez – A Microsoft felhőszolgáltatásainak biztonsági és megfelelőségi követelményeinek kezelése

Egyéb Microsoft Online Services

• Microsoft Intune Security – Az Intune mobileszköz-kezelési, mobilalkalmazás-kezelési és PC-felügyeleti képességeket biztosít a felhőből.

• Microsoft Dynamics 365 biztonság – A Dynamics 365 a Microsoft felhőalapú megoldása, amely egységesíti az ügyfélkapcsolat-kezelési (CRM) és a vállalati erőforrás-tervezési (ERP) képességeket.