Mengamankan akses dengan hak istimewa untuk implementasi hibrid dan cloud di Microsoft Entra ID

Keamanan aset bisnis tergantung pada integritas akun istimewa yang mengelola sistem TI Anda. Penyerang siber menggunakan serangan pencurian kredensial untuk menargetkan akun administrator dan akses hak istimewa lainnya untuk mencoba mendapatkan akses ke data sensitif.

Untuk layanan cloud, pencegahan dan respons adalah tanggung jawab bersama penyedia layanan cloud dan pelanggan. Untuk informasi selengkapnya tentang ancaman terbaru terhadap titik akhir dan awan, lihat Laporan Kecerdasan Keamanan Microsoft. Artikel ini dapat membantu Anda mengembangkan peta jalan menuju menutup kesenjangan antara rencana Anda saat ini dan panduan yang dijelaskan di sini.

Secara tradisional, keamanan organisasi difokuskan pada titik masuk dan keluar jaringan sebagai perimeter keamanan. Namun, aplikasi SaaS dan perangkat pribadi di Internet telah membuat pendekatan ini kurang efektif.

Di Microsoft Entra ID, kami menggantikan perimeter keamanan jaringan dengan autentikasi pada lapisan identitas organisasi Anda, dengan pengguna yang memiliki peran administratif istimewa yang berperan dalam pengendalian. Akses mereka harus dilindungi, baik lingkungan lokal, cloud, atau hibrid.

Mengamankan akses hak istimewa memerlukan perubahan pada:

• Proses, praktik administrasi, dan manajemen pengetahuan
• Komponen teknis seperti pertahanan host, perlindungan akun, dan manajemen identitas

Amankan akses istimewa Anda dengan cara yang dikelola dan dilaporkan dalam layanan Microsoft yang penting. Jika Anda memiliki akun administrator lokal, lihat panduan untuk akses istimewa lokal dan hibrid di Active Directory di Mengamankan Akses Hak Istimewa.

Mengembangkan peta jalan

Microsoft menyarankan agar Anda mengembangkan dan mengikuti peta jalan untuk mengamankan akses istimewa terhadap penyerang cyber. Anda selalu dapat menyesuaikan peta jalan untuk mengakomodasi kemampuan dan persyaratan khusus yang ada dalam organisasi Anda.

Setiap tahap peta jalan harus meningkatkan biaya dan tingkat kesulitan bagi penyerang dalam menyerang akses hak istimewa untuk aset lokal, cloud, dan hibrid Anda. Microsoft merekomendasikan empat tahap roadmap berikut ini. Jadwalkan implementasi yang paling efektif dan tercepat terlebih dahulu.

Artikel ini dapat menjadi panduan Anda, berdasarkan pengalaman Microsoft dengan insiden serangan cyber dan implementasi respons. Garis waktu untuk roadmap ini adalah perkiraan.

• Tahap 1 (24-48 jam): Item penting yang kami sarankan untuk segera dilakukan

• Tahap 2 (2-4 minggu): Mitigasi teknik serangan yang paling sering dijumpai

• Tahap 3 (1-3 bulan): Bangun visibilitas dan bangun kontrol aktivitas administrator

• Tahap 4 (di atas enam bulan): Lanjutkan pembangunan pertahanan untuk melakukan hardening pada platform keamanan lebih lanjut

Kerangka kerja roadmap ini dirancang untuk memaksimalkan penggunaan teknologi Microsoft yang mungkin telah Anda sebarkan. Pertimbangkan untuk menghubungkan dengan alat keamanan apa pun dari vendor lain yang telah Anda implementasikan atau sedang Anda pertimbangkan untuk mengimplementasikan.

Tahap 1: Item penting untuk dilakukan saat ini

Tahap 1 roadmap difokuskan pada tugas penting yang cepat dan mudah dilaksanakan. Sebaiknya segera lakukan beberapa item ini dalam 24-48 jam pertama untuk memastikan tingkat dasar akses hak istimewa yang aman. Tahap peta jalan Akses Hak Istimewa Aman ini mencakup tindakan berikut:

Persiapan umum

Menggunakan Microsoft Entra Privileged Identity Management

Kami menyarankan agar Anda mulai menggunakan Microsoft Entra Privileged Identity Management (PIM) di lingkungan produksi Microsoft Entra Anda. Setelah Anda mulai menggunakan PIM, Anda akan menerima pesan email pemberitahuan untuk perubahan peran akses istimewa. Pemberitahuan memberikan peringatan dini ketika pengguna tambahan ditambahkan ke peran dengan akses tingkat tinggi.

Microsoft Entra Privileged Identity Management disertakan dalam Microsoft Entra ID P2 atau EMS E5. Untuk membantu Anda melindungi akses ke aplikasi dan sumber daya lokal dan di cloud, daftar untuk coba gratis 90 hari Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management dan Microsoft Entra ID Protection memantau aktivitas keamanan menggunakan pelaporan, audit, dan pemberitahuan ID Microsoft Entra.

Setelah Anda mulai menggunakan Microsoft Entra Privileged Identity Management:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

2. Untuk beralih direktori tempat Anda ingin menggunakan Privileged Identity Management, pilih nama pengguna Anda di sudut kanan atas pusat admin Microsoft Entra.

3. Telusuri tata kelola identitas>Privileged Identity Management.

Pastikan orang pertama yang menggunakan PIM di organisasi Anda ditetapkan ke peran Administrator Keamanan dan Administrator Peran Istimewa. Hanya Administrator Peran Istimewa yang dapat mengelola penetapan peran direktori Microsoft Entra pengguna. Wizard keamanan PIM memandu Anda melalui penemuan awal dan pengalaman penugasan. Anda bisa keluar dari wisaya tanpa melakukan perubahan tambahan saat ini.

Mengidentifikasi dan mengkategorikan akun yang berada dalam peran yang sangat istimewa

Setelah mulai menggunakan Microsoft Entra Privileged Identity Management, lihat pengguna yang berada dalam peran Microsoft Entra berikut:

• Administrator Global
• Administrator Peran Istimewa
• Administrator Exchange
• Administrator SharePoint

Jika Anda tidak memiliki Microsoft Entra Privileged Identity Management di organisasi, Anda dapat menggunakan Microsoft Graph PowerShell. Mulai dengan peran Administrator Global karena Administrator Global memiliki izin yang sama di semua layanan cloud tempat organisasi Anda berlangganan. Izin ini diberikan di mana pun mereka ditetapkan: di pusat admin Microsoft 365, pusat admin Microsoft Entra, atau dengan menggunakan Microsoft Graph PowerShell.

Hapus akun apa pun yang tidak lagi diperlukan dalam peran tersebut. Kemudian, kategorikan akun yang tersisa yang ditetapkan ke peran administrator:

• Ditetapkan untuk pengguna administratif, tetapi juga digunakan untuk tujuan non-administratif (misalnya, email pribadi)
• Ditetapkan untuk pengguna administratif dan digunakan hanya untuk tujuan administratif
• Dibagikan antara berbagai pengguna
• Untuk skenario akses darurat break-glass
• Untuk skrip otomatis
• Untuk pengguna eksternal

Tentukan setidaknya dua akun akses darurat

Microsoft menyarankan agar organisasi memiliki dua akun akses darurat khusus cloud yang secara permanen diberikan peran Administrator Global. Akun-akun ini memiliki hak tinggi dan tidak ditugaskan kepada individu tertentu. Akun hanya dapat digunakan dalam situasi darurat atau skenario "pecah kaca" ketika akun normal tidak bisa digunakan atau ketika semua administrator lain terkunci secara tidak sengaja. Akun-akun ini harus dibuat sesuai dengan rekomendasi akun akses darurat.

Aktifkan otentikasi multifaktor dan daftarkan semua akun administrator pengguna tunggal non-federasi lainnya yang berhak tinggi.

Wajibkan autentikasi multifaktor Microsoft Entra saat masuk untuk semua pengguna individu yang ditetapkan secara permanen ke satu atau beberapa peran administrator Microsoft Entra: Administrator Global, Administrator Peran Istimewa, Administrator Exchange, dan Administrator SharePoint. Gunakan panduan di Terapkan autentikasi multifaktor pada administrator Anda dan pastikan bahwa semua pengguna tersebut telah mendaftar di https://aka.ms/mfasetup. Informasi selengkapnya dapat ditemukan di langkah 2 dan langkah 3 panduan Lindungi akses pengguna dan perangkat di Microsoft 365.

Tahap 2: Mitigasi serangan yang sering digunakan

Tahap 2 dari roadmap berfokus pada mitigasi teknik serangan yang paling sering digunakan, yaitu pencurian dan penyalahgunaan kredensial, dan dapat diimplementasikan dalam waktu sekitar 2-4 minggu. Tahap peta jalan Akses Hak Istimewa Aman ini mencakup tindakan berikut:

Persiapan umum

Melakukan inventaris layanan, pemilik, dan administrator

Peningkatan "bring your own device (BYOD)" dan kebijakan bekerja dari rumah dan pertumbuhan konektivitas nirkabel membuatnya penting untuk memantau siapa yang terhubung ke jaringan Anda. Audit keamanan dapat mengungkapkan perangkat, aplikasi, dan program di jaringan Anda yang tidak didukung organisasi Anda dan yang mewakili risiko tinggi. Untuk informasi selengkapnya, lihat Gambaran umum manajemen keamanan dan pemantauan keamanan Azure. Pastikan Anda menyertakan semua tugas berikut dalam proses inventaris Anda.

• Identifikasi pengguna yang memiliki peran administratif dan layanan tempat mereka dapat mengelola.

• Gunakan Microsoft Entra PIM untuk mengetahui pengguna mana di organisasi Anda yang memiliki akses administrator ke ID Microsoft Entra.

• Di luar peran yang ditentukan dalam MICROSOFT Entra ID, Microsoft 365 dilengkapi dengan sekumpulan peran administrator yang dapat Anda tetapkan kepada pengguna di organisasi Anda. Setiap peran administrator sesuai dengan fungsi bisnis yang umum dan memberikan orang-orang di organisasi Anda izin untuk melakukan tugas tertentu di pusat admin Microsoft 365. Gunakan pusat admin Microsoft 365 untuk mengetahui pengguna mana di organisasi Anda yang memiliki akses administrator ke Microsoft 365, termasuk melalui peran yang tidak dikelola di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Tentang peran administrator Microsoft 365 dan Praktik keamanan untuk Office 365.

• Lakukan inventaris dalam layanan yang diandalkan organisasi Anda, seperti Azure, Intune, atau Dynamics 365.

• Pastikan bahwa akun-akun Anda yang digunakan untuk keperluan administratif:

  • Memiliki alamat email yang berfungsi terlampir pada mereka
  • Telah mendaftar untuk autentikasi multifaktor Microsoft Entra atau menggunakan MFA lokal

• Tanyakan kepada pengguna tentang alasan bisnis mereka untuk akses administratif.

• Hapus akses administrator untuk individu dan layanan yang tidak memerlukannya.

Identifikasi akun Microsoft dalam peran administratif yang perlu dialihkan ke akun kerja atau sekolah

Jika Administrator Global awal Anda menggunakan kembali kredensial akun Microsoft yang ada saat mereka mulai menggunakan ID Microsoft Entra, ganti akun Microsoft dengan akun berbasis cloud individual.

Memastikan akun pengguna dan penerusan email terpisah untuk akun Administrator Global

Akun email pribadi secara teratur di-phish oleh penyerang cyber, risiko yang membuat alamat email pribadi tidak dapat diterima untuk akun Administrator Global. Untuk membantu memisahkan risiko internet dari hak istimewa admin, buat akun khusus untuk setiap pengguna dengan hak istimewa admin.

• Pastikan untuk membuat akun terpisah bagi pengguna untuk melakukan tugas Administrator Global.
• Pastikan Administrator Global Anda tidak secara tidak sengaja membuka email atau menjalankan program dengan akun administrator mereka.
• Pastikan akun tersebut meneruskan email mereka ke kotak surat yang berfungsi.
• Akun Administrator Global (dan grup istimewa lainnya) harus menjadi akun khusus cloud tanpa ikatan dengan Active Directory lokal.

Pastikan kata sandi akun administratif baru-baru ini berubah

Pastikan semua pengguna telah masuk ke akun administratif mereka dan mengubah kata sandi mereka setidaknya sekali dalam 90 hari terakhir. Selain itu, verifikasi bahwa setiap akun bersama telah mengubah kata sandi mereka baru-baru ini.

Mengaktifkan sinkronisasi hash kata sandi

Microsoft Entra Connect menyinkronkan hash hash kata sandi pengguna dari Active Directory lokal ke organisasi Microsoft Entra berbasis cloud. Anda dapat menggunakan sinkronisasi hash kata sandi sebagai cadangan jika Anda menggunakan federasi dengan Layanan Federasi Direktori Aktif (AD FS). Cadangan ini bisa berguna jika Active Directory lokal atau server AD FS Anda untuk sementara waktu tidak tersedia.

Sinkronisasi hash kata sandi memungkinkan pengguna masuk ke layanan dengan menggunakan kata sandi yang sama dengan yang mereka gunakan untuk masuk ke instans Active Directory lokal. Sinkronisasi hash kata sandi memungkinkan Microsoft Entra ID Protection mendeteksi kredensial yang disusupi dengan membandingkan hash kata sandi dengan kata sandi yang diketahui disusupi. Untuk informasi selengkapnya, lihat Menerapkan sinkronisasi hash kata sandi dengan Microsoft Entra Connect Sync.

Memerlukan autentikasi multifaktor untuk pengguna dalam peran istimewa dan pengguna yang terekspos

ID Microsoft Entra merekomendasikan agar Anda memerlukan autentikasi multifaktor untuk semua pengguna Anda. Pastikan untuk mempertimbangkan pengguna yang akan memiliki dampak signifikan jika akun mereka dikompromikan (misalnya, pejabat keuangan). MFA mengurangi risiko serangan karena kata sandi yang disusupi.

Aktifkan:

• MFA menggunakan kebijakan Akses Bersyarat untuk semua pengguna di organisasi Anda.

Jika Anda menggunakan Windows Hello for Business, persyaratan MFA dapat dipenuhi menggunakan pengalaman masuk Windows Hello. Untuk informasi selengkapnya, lihat Windows Hello.

Microsoft Entra ID Protection

Microsoft Entra ID Protection adalah alat pemantauan dan pelaporan berbasis algoritma yang mendeteksi potensi kerentanan yang memengaruhi identitas organisasi Anda. Anda dapat mengonfigurasi respons otomatis terhadap aktivitas mencurigakan yang terdeteksi, dan mengambil tindakan yang tepat untuk mengatasinya. Untuk informasi selengkapnya, lihat Microsoft Entra ID Protection.

Dapatkan Skor Aman Microsoft 365 Anda (jika menggunakan Microsoft 365)

Skor Aman melihat pengaturan dan aktivitas Anda untuk layanan Microsoft 365 yang Anda gunakan dan membandingkannya dengan garis besar yang ditetapkan oleh Microsoft. Anda akan mendapatkan skor berdasarkan seberapa selaras Anda dengan praktik keamanan. Siapa pun yang memiliki izin administrator untuk langganan Microsoft 365 Business Standard atau Enterprise dapat mengakses Skor Aman di https://security.microsoft.com/securescore.

Meninjau panduan keamanan dan kepatuhan Microsoft 365 (jika menggunakan Microsoft 365)

Paket untuk keamanan dan kepatuhan menguraikan pendekatan bagi pelanggan Office 365 untuk mengonfigurasi Office 365 dan mengaktifkan kapabilitas EMS lainnya. Kemudian, tinjau langkah 3-6 tentang cara Melindungi akses ke data dan layanan di Microsoft 365 dan panduan cara memantau keamanan dan kepatuhan di Microsoft 365.

Mengonfigurasi Pemantauan Aktivitas Microsoft 365 (jika menggunakan Microsoft 365)

Pantau organisasi Anda untuk pengguna yang menggunakan Microsoft 365 untuk mengidentifikasi staf yang memiliki akun administrator tetapi mungkin tidak memerlukan akses Microsoft 365 karena mereka tidak masuk ke portal tersebut. Untuk informasi selengkapnya, lihat Laporan aktivitas di pusat admin Microsoft 365.

Menetapkan pemilik rencana insiden/respons darurat

Membangun kemampuan respons insiden yang sukses membutuhkan perencanaan dan sumber daya yang cukup besar. Anda harus terus memantau serangan cyber dan menetapkan prioritas untuk penanganan insiden. Kumpulkan, analisis, dan laporkan data insiden untuk membangun hubungan dan menjalin komunikasi dengan grup internal lain dan pemilik rencana. Untuk informasi selengkapnya, lihat Microsoft Security Response Center.

Amankan akun administratif istimewa di tempat, jika belum dilakukan

Jika organisasi Microsoft Entra Anda disinkronkan dengan Active Directory lokal, ikuti panduan dalam Peta Jalan Akses Istimewa Keamanan: Tahap ini meliputi:

• Membuat akun administrator terpisah untuk pengguna yang perlu melakukan tugas administratif lokal
• Menyebarkan Stasiun Kerja Akses Istimewa untuk administrator Direktori Aktif
• Membuat kata sandi administrator lokal yang unik untuk stasiun kerja dan server

Langkah tambahan untuk organisasi yang mengelola akses ke Azure

Menyelesaikan inventaris langganan

Gunakan portal Enterprise dan portal Microsoft Azure untuk mengidentifikasi langganan di organisasi Anda yang menghosting aplikasi produksi.

Menghapus akun Microsoft dari peran administrator

Akun Microsoft dari program lain, seperti Xbox, Live, dan Outlook, tidak boleh digunakan sebagai akun administrator untuk langganan organisasi Anda. Hapus status administrator dari semua akun Microsoft, dan ganti dengan ID Microsoft Entra (misalnya, chris@contoso.com) akun kerja atau sekolah. Untuk tujuan administrator, bergantung pada akun yang diautentikasi di ID Microsoft Entra dan bukan di layanan lain.

Memantau aktivitas Azure

Log Aktivitas Azure menyediakan riwayat peristiwa tingkat langganan di Azure. Ini menawarkan informasi tentang siapa yang membuat, memperbarui, dan menghapus sumber daya apa, dan kapan peristiwa ini terjadi. Untuk informasi selengkapnya, lihat Mengaudit dan menerima pemberitahuan tentang tindakan penting dalam langganan Azure Anda.

Langkah tambahan untuk organisasi yang mengelola akses ke aplikasi cloud lain melalui ID Microsoft Entra

Mengonfigurasi kebijakan Akses Bersyarat

Siapkan kebijakan Akses Bersyarat untuk aplikasi lokal dan yang dihosting cloud. Jika Anda memiliki perangkat yang terhubung dengan lingkungan kerja pengguna, dapatkan informasi selengkapnya dari Menyiapkan Akses Bersyarat di lokasi dengan menggunakan registrasi perangkat Microsoft Entra.

Tahap 3: Mengendalikan aktivitas administrator

Tahap 3 dibangun berdasarkan mitigasi dari Tahap 2 dan harus dilaksanakan dalam waktu kurang lebih 1-3 bulan. Tahap dari roadmap Akses Hak Istimewa yang Aman ini mencakup bagian-bagian berikut.

Persiapan umum

Menyelesaikan tinjauan akses pengguna dalam peran administrator

Lebih banyak pengguna perusahaan mendapatkan akses istimewa melalui layanan cloud, yang dapat menyebabkan akses yang tidak dikelola. Pengguna saat ini dapat menjadi Administrator Global untuk Microsoft 365, administrator langganan Azure, atau memiliki akses administrator ke komputer virtual atau melalui aplikasi SaaS.

Organisasi Anda harus memiliki semua karyawan menangani transaksi bisnis biasa sebagai pengguna yang tidak istimewa, lalu memberikan hak administrator hanya sesuai kebutuhan. Selesaikan tinjauan akses untuk mengidentifikasi dan mengonfirmasi pengguna yang memenuhi syarat untuk mengaktifkan hak istimewa administrator.

Kami menyarankan Anda:

1. Tentukan pengguna mana yang merupakan administrator Microsoft Entra, aktifkan akses administrator sesuai permintaan dan just-in-time, serta kontrol keamanan berbasis peran.
2. Konversikan pengguna yang tidak memiliki pembenaran yang jelas untuk akses istimewa administrator ke peran lain (jika tidak ada peran yang memenuhi syarat, hapus).

Lanjutkan peluncuran autentikasi yang lebih kuat untuk semua pengguna

Mengharuskan pengguna yang sangat terekspos untuk memiliki autentikasi modern dan kuat seperti autentikasi multifaktor Microsoft Entra atau Windows Hello. Contoh pengguna yang sangat terekspos meliputi:

• Eksekutif C-suite
• Manajer tingkat tinggi
• Personel kritis di bidang IT dan keamanan

Menggunakan stasiun kerja khusus untuk administrasi untuk ID Microsoft Entra

Penyerang mungkin mencoba menargetkan akun istimewa sehingga dapat mengganggu integritas dan keaslian data. Mereka sering menggunakan kode berbahaya yang mengubah logika program atau mengintai administrator yang memasukkan info masuk. Privileged Access Workstations (PAW) menyediakan sistem operasi khusus untuk tugas sensitif yang dilindungi dari serangan Internet dan vektor ancaman. Memisahkan tugas dan akun sensitif ini dari stasiun kerja dan perangkat penggunaan sehari-hari memberikan perlindungan yang kuat dari:

• Serangan phishing
• Kerentanan aplikasi dan sistem operasi
• Serangan pemalsuan identitas
• Serangan pencurian kredensial seperti pencatatan ketikan, Pass-the-Hash, dan Pass-The-Ticket

Dengan menyebarkan workstation dengan akses istimewa, Anda dapat mengurangi risiko administrator memasukkan kredensial mereka dalam lingkungan desktop yang belum diamankan. Untuk informasi selengkapnya, lihat Stasiun Kerja Akses Istimewa.

Tinjau rekomendasi National Institute of Standards and Technology untuk menangani insiden

National Institute of Standards and Technology (NIST) memberikan pedoman untuk penanganan insiden, terutama untuk menganalisis data terkait insiden dan menentukan respons yang tepat terhadap setiap insiden. Untuk informasi selengkapnya, lihat Panduan Penanganan Insiden Keamanan Komputer (SP 800-61, Revisi 2) (NIST).

Menerapkan Privileged Identity Management (PIM) untuk JIT ke peran administratif tambahan

Untuk ID Microsoft Entra, gunakan kemampuan Microsoft Entra Privileged Identity Management . Aktivasi peran istimewa dengan batas waktu berfungsi dengan memungkinkan Anda untuk:

• Mengaktifkan hak istimewa administrator untuk melakukan tugas tertentu

• Terapkan MFA selama proses aktivasi

• Gunakan pemberitahuan untuk memberi tahu administrator tentang perubahan di luar jalur komunikasi normal.

• Izinkan pengguna untuk menyimpan akses istimewa mereka untuk jumlah waktu yang telah dikonfigurasi

• Izinkan administrator keamanan untuk:

  • Menemukan semua identitas istimewa
  • Menampilkan laporan audit
  • Buat tinjauan akses untuk mengidentifikasi setiap pengguna yang memenuhi syarat untuk mengaktifkan hak istimewa administrator

Jika Anda sudah menggunakan Microsoft Entra Privileged Identity Management, sesuaikan jangka waktu untuk hak istimewa yang terikat waktu seperlunya (misalnya, jendela pemeliharaan).

Menentukan paparan protokol masuk berbasis kata sandi (jika menggunakan Exchange Online)

Kami merekomendasikan Anda untuk mengidentifikasi setiap pengguna potensial yang bisa membawa bencana bagi organisasi jika kredensial mereka disusupi. Untuk pengguna tersebut, tetapkan persyaratan autentikasi yang kuat dan gunakan Akses Bersyarat Microsoft Entra untuk mencegah mereka masuk ke email mereka menggunakan nama pengguna dan kata sandi. Anda dapat memblokir autentikasi lama menggunakan Akses Kondisional, dan Anda dapat memblokir autentikasi dasar melalui Exchange Online.

Menyelesaikan penilaian ulasan peran untuk peran Microsoft 365 (jika menggunakan Microsoft 365)

Menilai apakah semua pengguna administrator berada dalam peran yang benar (hapus dan tetapkan ulang sesuai dengan penilaian ini).

Tinjau pendekatan manajemen insiden keamanan yang digunakan di Microsoft 365 dan bandingkan dengan organisasi Anda sendiri

Anda dapat mengunduh laporan ini dari Manajemen Insiden Keamanan di Microsoft 365.

Lanjutkan mengamankan akun administratif istimewa lokal

Jika ID Microsoft Entra Anda tersambung ke Active Directory lokal, ikuti panduan di Peta Jalan Akses Istimewa Keamanan: Tahap 2. Pada tahap ini, Anda:

• Menyebarkan Stasiun Kerja Akses Istimewa untuk semua administrator
• Memerlukan MFA
• Menggunakan *Just Enough Admin* untuk pemeliharaan pengendali domain, mengurangi permukaan serangan pada domain.
• Terapkan Analitik Ancaman Tingkat Lanjut untuk mendeteksi serangan

Langkah tambahan untuk organisasi yang mengelola akses ke Azure

Menetapkan pemantauan terintegrasi

Pertahanan Microsoft untuk Cloud:

• Menyediakan pemantauan keamanan terintegrasi dan manajemen kebijakan di seluruh langganan Azure Anda
• Membantu mendeteksi ancaman yang mungkin luput dari perhatian
• Bekerja dengan berbagai solusi keamanan

Inventarisasikan akun istimewa Anda dalam Mesin Virtual yang dihosting

Anda biasanya tidak perlu memberi pengguna izin tidak terbatas ke semua langganan atau sumber daya Azure Anda. Gunakan peran administrator Microsoft Entra untuk hanya memberikan akses yang dibutuhkan pengguna Anda untuk melakukan pekerjaan mereka. Anda dapat menggunakan peran administrator Microsoft Entra untuk memungkinkan satu administrator mengelola hanya VM dalam langganan, sementara yang lain dapat mengelola database SQL dalam langganan yang sama. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan kontrol akses berbasis peran.

Menerapkan PIM untuk peran administrator Microsoft Entra

Gunakan Privileged identity Management dengan peran administrator Microsoft Entra untuk mengelola, mengontrol, dan memantau akses ke sumber daya Azure. Menggunakan PIM melindungi dengan menurunkan durasi paparan hak istimewa dan meningkatkan visibilitas Anda terhadap penggunaannya melalui laporan dan pemberitahuan. Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra Privileged Identity Management.

Gunakan integrasi log Azure untuk mengirim log Azure yang relevan ke sistem SIEM Anda

Integrasi log Azure memungkinkan Anda mengintegrasikan log mentah dari sumber daya Azure Anda ke sistem Security Information and Event Management (SIEM) organisasi Anda yang sudah ada. Integrasi log Azure mengumpulkan aktivitas Windows dari log Pemantau Peristiwa Windows dan sumber daya Azure dari:

• Log aktivitas Azure
• Peringatan Microsoft Defender untuk Cloud
• Log sumber daya Azure

Langkah tambahan untuk organisasi yang mengelola akses ke aplikasi cloud lain melalui ID Microsoft Entra

Menerapkan penyediaan pengguna untuk aplikasi yang terhubung

MICROSOFT Entra ID memungkinkan Anda mengotomatiskan pembuatan dan pemeliharaan identitas pengguna di aplikasi cloud seperti Dropbox, Salesforce, dan ServiceNow. Untuk informasi selengkapnya, lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra.

Mengintegrasikan perlindungan informasi

Pertahanan Microsoft untuk Aplikasi Cloud memungkinkan Anda menyelidiki file dan menetapkan kebijakan berdasarkan label klasifikasi Perlindungan Informasi Azure, sehingga memberikan visibilitas dan kontrol yang lebih baik atas data cloud Anda. Pindai dan klasifikasikan file di cloud dan terapkan label perlindungan informasi Azure. Untuk informasi selengkapnya, lihat Integrasi Perlindungan Informasi Azure.

Mengonfigurasi Akses Bersyarat

Mengonfigurasi Akses Bersyarkat berdasarkan sensitivitas grup, lokasi, dan aplikasi untuk aplikasi SaaS dan aplikasi yang terhubung dengan Microsoft Entra.

Memantau aktivitas di aplikasi cloud yang tersambung

Sebaiknya gunakan Pertahanan Microsoft untuk Aplikasi Cloud demi memastikan bahwa akses pengguna juga terlindungi di aplikasi yang terhubung. Fitur ini mengamankan akses perusahaan ke aplikasi cloud dan mengamankan akun administrator Anda, memungkinkan Anda:

• Memperluas visibilitas dan kontrol ke aplikasi cloud
• Membuat kebijakan untuk akses, aktivitas, dan berbagi data
• Mengidentifikasi aktivitas berisiko, perilaku abnormal, dan ancaman secara otomatis
• Mencegah kebocoran data
• Meminimalkan risiko dan pencegahan ancaman otomatis dan penegakan kebijakan

Agen SIEM Pertahanan Microsoft untuk Aplikasi Cloud mengintegrasikan Pertahanan Microsoft untuk Aplikasi Cloud dengan server SIEM Anda guna memungkinkan pemantauan yang terpusat untuk peringatan dan aktivitas Microsoft 365. Proses ini berjalan di server Anda dan mengambil peringatan serta aktivitas dari Pertahanan Microsoft untuk Aplikasi Cloud, lalu mengalirkannya ke server SIEM. Untuk informasi selengkapnya, lihat integrasi SIEM.

Tahap 4: Melanjutkan membangun pertahanan

Tahap 4 roadmap harus dilaksanakan pada enam bulan dan seterusnya. Lengkapi peta jalan Anda untuk memperkuat perlindungan akses istimewa Anda dari potensi serangan yang diketahui saat ini. Untuk ancaman keamanan besok, sebaiknya lihat keamanan sebagai proses yang sedang berlangsung untuk menaikkan biaya dan mengurangi tingkat keberhasilan musuh yang menargetkan lingkungan Anda.

Mengamankan akses istimewa penting untuk menetapkan jaminan keamanan untuk aset bisnis Anda. Namun, itu harus menjadi bagian dari program keamanan lengkap yang memberikan jaminan keamanan yang sedang berlangsung. Program ini harus mencakup elemen seperti:

• Kebijakan
• Operasi
• Keamanan informasi
• Server
• Aplikasi
• PC
• Perangkat
• Infrastruktur Cloud

Kami merekomendasikan praktik berikut saat Anda mengelola akun akses istimewa:

• Memastikan bahwa administrator melakukan bisnis sehari-hari mereka sebagai pengguna yang tidak istimewa
• Berikan akses khusus hanya jika diperlukan, dan hapus setelahnya (tepat waktu)
• Menyimpan log aktivitas audit yang berkaitan dengan akun istimewa

Untuk informasi selengkapnya tentang cara membangun roadmap keamanan lengkap, lihat Sumber daya arsitektur Microsoft cloud IT. Untuk berinteraksi dengan layanan Microsoft untuk membantu Anda menerapkan bagian mana pun dari peta jalan Anda, hubungi perwakilan Microsoft Anda atau lihat Membangun pertahanan cyber penting untuk melindungi perusahaan Anda.

Tahap akhir yang sedang berlangsung dari roadmap Akses Hak Istimewa Aman ini mencakup komponen-komponen berikut.

Persiapan umum

Tinjau ulang peran administrator di Microsoft Entra ID

Tentukan apakah peran administrator Microsoft Entra bawaan saat ini masih diperbarui dan pastikan bahwa pengguna hanya berada dalam peran yang mereka butuhkan. Dengan MICROSOFT Entra ID, Anda dapat menetapkan administrator terpisah untuk melayani fungsi yang berbeda. Untuk informasi selengkapnya, lihat Peran bawaan Microsoft Entra.

Tinjau pengguna yang mengelola perangkat terhubung Microsoft Entra.

Untuk informasi selengkapnya, lihat Cara mengonfigurasi perangkat gabungan hibrid Microsoft Entra.

Meninjau anggota dari peran admin Microsoft 365 bawaan

Lewati langkah ini jika Anda tidak menggunakan Microsoft 365.

Memvalidasi rencana respons insiden

Untuk meningkatkan rencana Anda, Microsoft menyarankan agar Anda secara teratur memeriksa apakah rencana Anda berfungsi sesuai harapan.

• Tinjau roadmap Anda yang ada untuk melihat apa yang terlewatkan
• Berdasarkan analisis postmortem, merevisi praktik yang ada atau mendefinisikan praktik baru.
• Pastikan rencana respons insiden dan praktik Anda yang diperbarui didistribusikan ke seluruh organisasi Anda

Langkah tambahan untuk organisasi yang mengelola akses ke Azure

Tentukan apakah Anda perlu mentransfer kepemilikan langganan Azure ke akun lain.

Instruksi "Pecahkan kaca": apa yang harus dilakukan dalam keadaan darurat

1. Beri tahu manajer utama dan petugas keamanan dengan informasi tentang insiden tersebut.

2. Tinjau buku panduan serangan Anda.

3. Akses nama pengguna dan kombinasi kata sandi akun "break glass" Anda untuk masuk ke Microsoft Entra ID.

4. Dapatkan bantuan dari Microsoft dengan membuka permintaan dukungan Azure.

5. Lihat laporan masuk Microsoft Entra. Mungkin ada beberapa waktu antara peristiwa yang terjadi dan kapan itu disertakan dalam laporan.

6. Untuk lingkungan hibrid, jika infrastruktur lokal Anda terfederasi dan server AD FS Anda tidak tersedia, Anda dapat beralih sementara dari autentikasi terfederasi ke penggunaan sinkronisasi hash kata sandi. Peralihan ini mengubah federasi domain menjadi autentikasi terkelola hingga server AD FS tersedia.

7. Memantau email untuk akun dengan hak istimewa.

8. Pastikan Anda menyimpan cadangan log yang relevan untuk penyelidikan forensik dan hukum potensial.

Untuk informasi selengkapnya tentang cara Microsoft Office 365 menangani insiden keamanan, lihat Manajemen Insiden Keamanan di Microsoft Office 365.

FAQ: Jawaban untuk mengamankan akses istimewa

T: Apa yang harus saya lakukan jika saya belum menerapkan komponen akses aman?

Jawaban: Tentukan setidaknya dua akun break-glass, tetapkan MFA ke akun administrator istimewa Anda, dan pisahkan akun pengguna dari akun Administrator Global.

T: Setelah pelanggaran, apa masalah teratas yang perlu ditangani terlebih dahulu?

Jawaban: Pastikan Anda memerlukan autentikasi terkuat untuk individu yang sangat terbuka.

T: Apa yang terjadi jika administrator istimewa kami telah dinonaktifkan?

Jawaban: Buat akun Administrator Global yang selalu diperbarui.

T: Apa yang terjadi jika hanya ada satu Administrator Global yang tersisa dan mereka tidak dapat dihubungi?

Jawaban: Gunakan salah satu akun break-glass Anda untuk mendapatkan akses istimewa langsung.

T: Bagaimana cara melindungi administrator dalam organisasi saya?

Jawaban: Minta administrator selalu melakukan bisnis sehari-hari mereka sebagai pengguna "non-istimewa" standar.

T: Apa praktik terbaik untuk membuat akun administrator dalam ID Microsoft Entra?

Jawaban: Cadangan akses istimewa untuk tugas administrator tertentu.

T: Alat apa yang ada untuk mengurangi akses administrator persisten?

Jawaban: Pengelolaan Identitas Istimewa (PIM) dan peran administrator Microsoft Entra.

T: Apa posisi Microsoft dalam menyinkronkan akun administrator ke ID Microsoft Entra?

Jawaban: Akun administrator tingkat 0 hanya digunakan untuk akun AD lokal. Akun tersebut biasanya tidak disinkronkan dengan ID Microsoft Entra di cloud. Akun administrator Tier 0 mencakup akun, grup, dan aset lain yang memiliki kontrol administratif langsung atau tidak langsung atas forest, domain, pengontrol domain, dan aset Active Directory di lokasi.

T: Bagaimana kita mencegah administrator dari menetapkan akses administrator secara acak di portal?

Jawaban: Gunakan akun non-istimewa untuk semua pengguna dan sebagian besar administrator. Mulailah dengan mengembangkan jejak organisasi untuk menentukan beberapa akun administrator mana yang harus diistimewakan. Awasi pengguna administratif yang baru dibuat.

Langkah berikutnya

• Microsoft Trust Center for Product Security – Fitur keamanan produk dan layanan cloud Microsoft

• Penawaran kepatuhan Microsoft – Serangkaian penawaran kepatuhan komprehensif Microsoft untuk layanan cloud

• Panduan tentang cara melakukan penilaian risiko - Mengelola persyaratan keamanan dan kepatuhan untuk layanan cloud Microsoft

Layanan Online Microsoft Lainnya

• Microsoft Intune Security – Azure Intune menyediakan manajemen perangkat seluler, manajemen aplikasi seluler, dan kemampuan manajemen PC dari cloud.

• Keamanan Microsoft Dynamics 365 – Dynamics 365 adalah solusi berbasis cloud Microsoft yang menyatukan kemampuan manajemen hubungan pelanggan (CRM) dan perencanaan sumber daya perusahaan (ERP).