Защита привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra

Безопасность бизнес-активов зависит от целостности привилегированных учетных записей, которые управляют ИТ-системами. Киберпреступники совершают атаки, основанные на хищении учетных данных, на учетные записи администраторов и другие объекты привилегированного доступа, чтобы получить доступ к конфиденциальным данным.

Для облачных служб предотвращение и реагирование являются общими обязанностями клиента и поставщика облачных служб. Дополнительные сведения о последних угрозах в отношении конечных точек и облачной среды см. в этом отчете корпорации Майкрософт. Эта статья может помочь вам разработать дорожную карту для устранения пробелов между вашими текущими планами и описанными здесь рекомендациями.

По сложившейся традиции безопасность организации сосредоточена на точках входа и выхода сети, составляющих периметр безопасности. Однако приложения SaaS и персональные устройства в Интернете сделали этот подход менее эффективным.

В Microsoft Entra ID мы заменяем периметр безопасности сети аутентификацией в слое идентификации вашей организации, управляемых пользователями, назначенными на привилегированные административные роли. Их доступ должен быть защищен независимо от того, какая среда используется: локальная, облачная или гибридная.

Обеспечение безопасности привилегированного доступа требует внесения изменений в следующее:

• процессы, административные методы и управление знаниями.
• Технические компоненты, такие как средства защиты узлов, защита учетных записей и управление удостоверениями.

Обеспечьте безопасность привилегированного доступа таким образом, чтобы управление и отчеты осуществлялись в службах Майкрософт, которые вас интересуют. Если у вас есть локальные учетные записи администраторов, ознакомьтесь с руководством по защите локального и гибридного привилегированного доступа в Active Directory в разделе Защита привилегированного доступа.

Разработка стратегии

Корпорация Майкрософт рекомендует разработать и следовать стратегии для обеспечения защиты привилегированного доступа от кибератак. Вы всегда можете изменить свою стратегию с учетом текущих возможностей и конкретных требований в вашей организации.

Каждый этап стратегии должен повышать затратность и сложность атаки на получение привилегированного доступа к вашим локальным, облачным и гибридным активам. Корпорация Майкрософт рекомендует приведенные ниже четыре этапа стратегии. Первыми запланируйте наиболее значимые и быстрые реализации.

Эта статья может быть вашим руководством, основанным на опыте корпорации Майкрософт по реагированию на кибератаки. Временные рамки для этой стратегии являются приблизительными.

• Этап 1 (24–48 ч). Критические действия, которые рекомендуется выполнить сразу.

• Этап 2 (2–4 нед.). Устранение рисков наиболее часто используемых методов атак.

• Этап 3 (1–3 месяца). Обеспечение прозрачности и полного контроля активности администратора.

• Этап 4 (шесть месяцев и более). Дальнейшее создания средств защиты для укрепления платформы безопасности.

Эта рамочная программа предназначена для максимального использования технологий Майкрософт, которые вы, возможно, уже внедрили. Подумайте об интеграции с инструментами безопасности других поставщиков, которые вы уже развернули или планируете развернуть.

Этап 1. Критически важные элементы, которые нужно сделать прямо сейчас

Первый этап стратегии сосредоточен на критических задачах, которые быстро и легко реализовать. Мы рекомендуем выполнить эти несколько действий в течение первых 24–48 часов, чтобы обеспечить базовый уровень безопасности привилегированного доступа. Этот этап стратегии по защите привилегированного доступа включает в себя приведенные ниже действия.

Общая подготовка

Использование Microsoft Entra для управления привилегированными идентификациями

Рекомендуется начать использовать Microsoft Entra управление привилегированными пользователями (PIM) в рабочей среде Microsoft Entra. Когда начнете использовать PIM, на электронную почту вам придут уведомления об изменениях ролей привилегированного доступа. Уведомления предоставляют раннее предупреждение, когда дополнительные пользователи добавляются к высокопривилегированным ролям.

Microsoft Entra Управление привилегированным доступом входит в Microsoft Entra ID P2 или EMS E5. Чтобы обеспечить защиту доступа к приложениям и ресурсам в локальной среде и в облаке, зарегистрируйтесь для использования бесплатной пробной версии на 90 дней Enterprise Mobility + Security. Microsoft Entra Управление привилегированными идентификациями и Защита ID Microsoft Entra отслеживают действия безопасности с помощью отчетности, аудита и оповещений Microsoft Entra ID.

После начала работы с Microsoft Entra Privileged Identity Management:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

2. Чтобы переключить каталоги, в которых вы хотите использовать управление привилегированными пользователями, выберите имя пользователя в правом верхнем углу Центра администрирования Microsoft Entra.

3. Перейдите к управлению удостоверениями>управлению привилегированными идентичностями.

Убедитесь, что первому пользователю, использующему PIM в вашей организации, назначаются роли Администратор безопасности и Администратор привилегированных ролей. Только администраторы привилегированных ролей могут управлять назначением ролей в каталоге Microsoft Entra пользователей. Мастер безопасности PIM поможет вам выполнить первое обнаружение и назначение. Вы можете выйти из мастера, пока не внося каких-либо дополнительных изменений.

Определение и классифицирование учетных записей, которые находятся в привилегированных ролях

После начала использования Microsoft Entra управление привилегированными пользователями просмотрите пользователей, которые находятся в следующих ролях Microsoft Entra:

• Глобальный администратор
• Администратор привилегированных ролей
• Администратор Exchange
• Администратор SharePoint

Если у вас нет microsoft Entra управление привилегированными пользователями в организации, можно использовать Microsoft Graph PowerShell. Начните с роли глобального администратора, так как глобальный администратор имеет одни и те же разрешения во всех облачных службах, на которые подписана ваша организация. Эти разрешения предоставляются независимо от того, где они были назначены: в Центр администрирования Microsoft 365, Центре администрирования Microsoft Entra или с помощью Microsoft Graph PowerShell.

Удалите все учетные записи, которые больше не нужны в этих ролях. Затем классифицируйте оставшиеся учетные записи, назначенные ролям администраторов:

• назначается пользователями с правами администратора, а также используется для неадминистративных целей (например, личной электронной почты);
• назначается пользователями с правами администратора и используется только для административных целей;
• совместно используется несколькими пользователями;
• для сценариев аварийного доступа в форс-мажорных ситуациях
• для автоматических скриптов;
• для внешних пользователей.

Определение по крайней мере двух учетных записей аварийного доступа

Корпорация Майкрософт рекомендует, чтобы организации постоянно назначали учетным записям для экстренного доступа в облаке роль Глобального администратора. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничены чрезвычайными или "аварийными" сценариями, когда обычные учетные записи не могут использоваться или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы в соответствии с рекомендациями по учетным записям для аварийного доступа.

Включите многофакторную аутентификацию и зарегистрируйте все остальные высокопривилегированные учетные записи администраторов для одного пользователя, не являющиеся федеративными.

Требовать многофакторную проверку подлинности Microsoft Entra при входе для всех отдельных пользователей, которые постоянно назначены одной или нескольким ролям администратора Microsoft Entra: глобальный администратор, администратор привилегированных ролей, администратор Exchange и администратор SharePoint. Используйте рекомендации по принудительной многофакторной проверке подлинности для администраторов и убедитесь, что все эти пользователи зарегистрированы в https://aka.ms/mfasetup. Более подробные сведения можно найти на шагах 2 и 3 руководства по защите доступа к пользователям и устройствам в Microsoft 365.

Этап 2. Устранение часто используемых атак

Второй этап стратегии направлен на предотвращение наиболее часто используемых методов атак с целью кражи и злоумышленного использования учетных данных и может быть реализован примерно в течение 2–4 недель. Этот этап стратегии по защите привилегированного доступа включает в себя приведенные ниже действия.

Общая подготовка

Инвентаризация служб, владельцев и администраторов

С распространением политик использования личных устройств и дистанционной работы, а также ростом числа подключений к беспроводной сети крайне важно следить за тем, кто подключается к вашей сети. Аудит безопасности позволяет выявить устройства, приложения и программы в сети, которые не поддерживаются организацией и представляют высокий риск. Дополнительные сведения см. в статье Обзор управления безопасностью Azure и мониторинга. Выполните все следующие задачи в рамках процесса инвентаризации.

• Определите пользователей, у которых есть административные роли, и службы, которыми они могут управлять.

• Используйте Microsoft Entra PIM, чтобы узнать, какие пользователи в вашей организации имеют доступ к идентификатору Microsoft Entra ID.

• Помимо ролей, определенных в идентификаторе Microsoft Entra, Microsoft 365 поставляется с набором ролей администратора, которые можно назначать пользователям в вашей организации. Каждая роль администратора сопоставляется с общими бизнес-функциями и предоставляет сотрудникам в вашей организации разрешения на выполнение определенных задач в Центре администрирования Microsoft 365. Используйте Центр администрирования Microsoft 365, чтобы узнать, какие пользователи в вашей организации имеют доступ администратора к Microsoft 365, включая роли, не управляемые в идентификаторе Microsoft Entra. Дополнительные сведения см. в статьях Роли администраторов в Microsoft 365 и Рекомендации по обеспечению безопасности для Office 365.

• Выполните инвентаризацию в службах, которые используются в вашей организации, таких как Azure, Intune или Dynamics 365.

• Убедитесь, что учетные записи, используемые в целях администрирования:

  • имеют подключенные рабочие адреса электронной почты;
  • Зарегистрированы для многофакторной проверки подлинности Microsoft Entra или используют локальную MFA

• Просите пользователей указать коммерческое обоснование для административного доступа.

• Удалите доступ администратора для тех лиц и служб, которым он не требуется.

Определение учетных записей Майкрософт в административных ролях, которые необходимо переключить на использование рабочих или учебных учетных записей.

Если первоначальные глобальные администраторы повторно используют имеющиеся учетные данные учетной записи Майкрософт при начале использования идентификатора Microsoft Entra, замените учетные записи Майкрософт отдельными облачными учетными записями.

Обеспечение отдельных учетных записей пользователей и перенаправление почты для глобальных учетных записей администратора

Личные учетные записи электронной почты регулярно подвергаются фишинговым атакам киберпреступников, что делает неприемлемым использование личных адресов электронной почты для учетных записей глобального администратора. Чтобы отделить интернет-риски от административных привилегий, создайте выделенные учетные записи для каждого пользователя с административными привилегиями.

• Не забудьте создать отдельные учетные записи для пользователей, которые будут выполнять задачи глобального администратора.
• Убедитесь, что глобальные администраторы не могут случайно открыть сообщения электронной почты или запустить программы в своих учетных записях администратора.
• Убедитесь, что электронная почта для этих учетных записей переадресовывается на рабочий почтовый ящик.
• Учетные записи глобального администратора (и других привилегированных групп) должны быть только облачными учетными записями, не имеющими связей с локальной службой Active Directory.

Проверка того, что пароли административных учетных записей недавно изменялись

Настройте такие политики, чтобы все пользователи входили в свои административные учетные записи и меняли пароли хотя бы один раз в 90 дней. Кроме того, убедитесь, что для всех совместно используемых учетных записей недавно изменялся пароль.

Включение синхронизации хэша паролей

Microsoft Entra Connect синхронизирует двойной хэш пароля пользователя из локального Active Directory в облачную организацию Microsoft Entra. Вы можете использовать синхронизацию хэша паролей в качестве запасного варианта, если используете федерацию со службами федерации Active Directory (AD FS). Эта резервная копия может быть полезной, если локальные серверы Active Directory или AD FS временно недоступны.

Синхронизация хэша паролей позволяет пользователям входить в службу с помощью того же пароля, который используется в локальном экземпляре Active Directory. Синхронизация хэшей паролей позволяет службе защиты идентификационных данных Microsoft Entra обнаруживать скомпрометированные учетные данные, сравнивая хэши паролей с уже известными скомпрометированными паролями. Дополнительные сведения см. в разделе "Реализация синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect".

Настройка принудительного прохождения многофакторной проверки подлинности для пользователей с привилегированными ролями и важных пользователей

Идентификатор Microsoft Entra рекомендует требовать многофакторную проверку подлинности для всех пользователей. Не забудьте учесть пользователей, компрометация учетных записей которых могла бы иметь значительные последствия (например, финансовые работники). MFA снижает риск атак, связанных с компрометацией паролей.

Включите:

• MFA с использованием политик условного доступа для всех пользователей в организации.

Если вы используете Windows Hello for Business, требование MFA может быть выполнено с использованием процедуры входа Windows Hello. Дополнительные сведения см. в статье Windows Hello.

Защита идентификации Microsoft Entra

Средство защиты идентификаций Microsoft Entra — это инструмент мониторинга и создания отчетов, основанное на алгоритмах, которое обнаруживает потенциальные уязвимости, влияющие на идентификации вашей организации. Вы можете настроить автоматические ответы на обнаруженные подозрительные действия и предпринимать соответствующие меры по их устранению. Дополнительные сведения см. в разделе Защита идентификаций Microsoft Entra.

Получение оценки безопасности Microsoft 365 (при использовании Microsoft 365)

Оценка безопасности изучает ваши параметры и действия для используемых служб Microsoft 365 и сравнивает их с базовыми показателями, установленными корпорацией Майкрософт. Вы получите оценку на основе степени соответствия рекомендациям по безопасности. Любой пользователь, имеющий разрешения администратора для подписки Microsoft 365 ценовой категории "Бизнес", "Стандартный" или "Корпоративный", может получить доступ к оценке безопасности по адресу https://security.microsoft.com/securescore.

Просмотр руководства по безопасности и соответствию требованиям Microsoft 365 (при использовании Microsoft 365)

План для обеспечения безопасности и соответствия описывает то, как клиенту Office 365 следует настроить эту службу и использовать другие возможности EMS. Затем просмотрите шаги 3–6 руководства по защите доступа к данным и службам в Microsoft 365 и руководство по мониторингу безопасности и соответствия требованиям Microsoft 365.

Настройка мониторинга действий Microsoft 365 (при использовании Microsoft 365)

Вы можете отслеживать в своей организации пользователей, работающих с Microsoft 365, чтобы выявить сотрудников, которые имеют учетную запись администратора, но могут не нуждаться в доступе к Microsoft 365, так как не входят на соответствующие порталы. Дополнительные сведения см. в статье Отчеты об активности в Центре администрирования Microsoft 365.

Определение владельцев плана реагирования на инциденты или чрезвычайные ситуации

Для создания возможностей успешного реагирования на инциденты требуется основательное планирование и значительное количество ресурсов. Необходимо постоянно отслеживать кибератаки и устанавливать приоритеты для обработки инцидентов. Собирать, анализировать и составлять отчёты по данным об инцидентах для налаживания взаимодействия и установления связи с другими внутренними группами и владельцами планов. Дополнительные сведения см. на Microsoft Security Response Center.

Обеспечьте защиту локальных привилегированных учетных записей администратора, если это еще не было сделано.

Если ваша организация Microsoft Entra синхронизирована с локальной службой Active Directory, следуйте инструкциям в документе "Дорожная карта привилегированного доступа к безопасности": этот этап включает:

• Создание отдельных учетных записей администратора для пользователей, которым необходимо выполнять локальные задачи администрирования
• Развертывание рабочих станций с привилегированным доступом для администраторов Active Directory
• Создание уникальных паролей локальных администраторов для рабочих станций и серверов

Дополнительные шаги для организаций, управляющих доступом к Azure

Выполнение инвентаризации подписок

Используйте корпоративный портал и портал Azure для определения подписок в организации, в которых размещены рабочие приложения.

Удалите учетные записи Майкрософт из ролей администратора

Учетные записи Майкрософт из других программ, таких как Xbox, Live и Outlook, не должны использоваться в качестве учетных записей администратора в подписках организации. Удалите статус администратора из всех учетных записей Майкрософт и замените на идентификатор Microsoft Entra ID (например, chris@contoso.com) с рабочими или учебными учетными записями. Для административных задач полагайтесь на учетные записи, прошедшие проверку подлинности в Microsoft Entra ID, а не в других службах.

Мониторинг действий Azure

Журнал действий Azure содержит события на уровне подписки в Azure. Он предоставляет сведения о том, кто создал, обновил или удалил ресурсы, а также когда это произошло. Дополнительные сведения см. в статье Аудит и получение уведомлений о важных действиях в подписке Azure.

Дополнительные шаги для организаций, управляющих доступом к другим облачным приложениям с помощью идентификатора Microsoft Entra

Настраивать политики условного доступа

Подготовьте политики условного доступа для локальных и облачных приложений. Если у вас есть устройства, присоединенные к рабочему месту, получите дополнительные сведения о настройке локального условного доступа с помощью регистрации устройства Microsoft Entra.

Этап 3. Контроль действий администраторов

Этап 3 основывается на действиях устранения из этапа 2 и должен быть реализован примерно в течение 1–3 месяцев. Этот этап стратегии по защите привилегированного доступа включает в себя следующие компоненты.

Общая подготовка

Проведите проверку доступа пользователей с ролью администратора

Все больше корпоративных пользователей получает привилегированный доступ через облачные службы, что может привести к неуправляемому доступу. Сейчас пользователи могут стать глобальными администраторами для Microsoft 365, администраторами подписок Azure или обладать административным доступом на виртуальных машинах или в приложениях SaaS.

Все сотрудники в организации должны обрабатывать повседневные бизнес-операции в качестве непривилегированных пользователей и получать права администратора только при необходимости. Выполните проверку доступа, чтобы идентифицировать и подтвердить пользователей, подходящих для активации привилегий администратора.

Примите во внимание следующие рекомендации.

1. Определите, какие пользователи являются администраторами Microsoft Entra, включите онлайн-доступ к администратору по запросу и ролевые элементы управления безопасностью.
2. Назначьте пользователям, у которых нет явного обоснования для использования привилегированного доступа администратора, другую роль (если нет допустимой роли, удалите их).

Развертывание более строгой аутентификации для всех пользователей

Требовать от пользователей с высоким уровнем риска использования современной, надежной проверки подлинности, такой как многофакторная аутентификация Microsoft Entra или Windows Hello. Примеры пользователей с повышенной степенью риска включают:

• Руководители высшего звена (C-suite)
• Руководители верхнего звена
• Критически важный персонал ИТ-службы и службы безопасности

Использование выделенных рабочих станций для администрирования для идентификатора Microsoft Entra

Злоумышленники могут попытаться нацелить атаки на привилегированные учетные записи, чтобы нарушить целостность и подлинность данных. Они часто используют вредоносный код, который изменяет логику программы или отслеживает ввод учетных данных администратором. Рабочие станции с привилегированным доступом предоставляют выделенную операционную систему для выполнения конфиденциальных задач, защищенных от атак из Интернета и векторов угроз. Отделение этих конфиденциальных задач и учетных записей от ежедневно используемых рабочих станций и устройств обеспечивает надежную защиту:

• Фишинговые атаки
• уязвимостей в приложениях и операционных системах;
• атаки с подменой личности.
• Атаки по хищению учетных данных, такие как регистрация нажатий клавиш, Pass-the-Hash и Pass-The-Ticket.

Развертывая рабочие станции с привилегированным доступом, можно уменьшить число случаев ввода учетных данных администраторами в незащищенной среде рабочего стола. Дополнительные сведения см. в статье Privileged Access Workstations (Рабочие станции с привилегированным доступом).

Просмотр рекомендаций Национального института стандартов и технологий по реагированию на инциденты

Национальный институт стандартов и технологий (NIST) предоставляет рекомендации по обработке инцидентов, в частности по анализу данных, связанных с инцидентами, и определению соответствующих мер реагирования на каждый из них. Дополнительные сведения см. в руководстве по реагированию на инциденты системы безопасности компьютера Национального института стандартов и технологий (SP 800-61, 2 редакция).

Реализация Привилегированного Управления Идентификацией (PIM) для JIT-доступа к дополнительным административным ролям

Для идентификатора Microsoft Entra используйте функцию Microsoft Entra управление привилегированными пользователями. Ограниченная активация привилегированных ролей позволяет выполнить следующее:

• Активировать права администратора для выполнения определенных задач.

• Обеспечить использование MFA во время процесса активации.

• Использовать оповещения для информирования администраторов о внештатных изменениях.

• Разрешить пользователям сохранять привилегированный доступ в течение предварительно заданного периода времени.

• Разрешите администраторам безопасности:

  • обнаруживать всех привилегированных пользователей;
  • просматривать отчеты об аудите;
  • создавать проверки доступа, чтобы идентифицировать каждого пользователя, который имеет право активировать права администратора.

Если вы уже используете Microsoft Entra Privileged Identity Management, настройте временные интервалы для привилегий с временным ограничением (например, диапазоны обслуживания).

Определение доступа к протоколам входа на основе пароля (при использовании Exchange Online)

Рекомендуется определять всех потенциальных пользователей, компрометация учетных данных которых может иметь разрушительные последствия для организации. Для этих пользователей поместите строгие требования к проверке подлинности и используйте условный доступ Microsoft Entra, чтобы сохранить их от входа в электронную почту с помощью имени пользователя и пароля. Вы можете заблокировать устаревшую проверку подлинности с помощьюусловного доступа, и вы можете блокировать обычную проверку подлинности через Exchange Online.

Выполнение оценки ролей для Microsoft 365 (если используется Microsoft 365)

Проанализируйте, находятся ли все администраторы в правильных ролях (удалите и переназначьте их соответственно).

Проверка подхода к управлению инцидентами безопасности, используемого в Microsoft 365 и в вашей организации

Вы можете скачать этот отчет об управлении инцидентами безопасности в Microsoft Office 365.

Дальнейшее обеспечение защиты локальных учетных записей с правами администратора

Если идентификатор Microsoft Entra подключен к локальному Active Directory, следуйте инструкциям в дорожной карте безопасного привилегированного доступа: шаг 2. На этом этапе вы:

• Развертывание рабочих станций с привилегированным доступом для всех администраторов
• Требовать многофакторную аутентификацию.
• Использование Just Enough Administration для обслуживания контроллера домена в целях сокращения направлений атак на домены.
• Развертывание Расширенной аналитики угроз для обнаружения атак

Дополнительные шаги для организаций, управляющих доступом к Azure

Использование интегрированного мониторинга

Microsoft Defender для облака:

• включает в себя встроенные функции мониторинга безопасности и управления политиками для подписок Azure;
• помогает распознавать угрозы, которые в противном случае могли быть не замечены;
• работает с широким спектром решений безопасности.

Инвентаризация привилегированных учетных записей в размещенных виртуальных машинах

В общем случае вам не нужно предоставлять пользователям неограниченные разрешения на все свои подписки или ресурсы Azure. Используйте роли администратора Microsoft Entra, чтобы предоставить доступ только пользователям, которым требуется выполнять свои задания. Роли администратора Microsoft Entra позволяют одному администратору управлять только виртуальными машинами в подписке, а другой — управлять базами данных SQL в одной подписке. Общие сведения см. в статье Что такое управление доступом на основе ролей в Azure (Azure RBAC)?

Внедрение PIM для ролей администратора Microsoft Entra

Используйте управление привилегированными удостоверениями с ролями администратора Microsoft Entra для управления, контроля и мониторинга доступа к ресурсам Azure. Использование PIM обеспечивает защиту, уменьшая время действия привилегий и увеличивая видимость их использования с помощью отчетов и оповещений. Дополнительные сведения см. в статье «Что такое Microsoft Entra управление привилегированными идентификациями».

Использование интеграции журналов Azure для отправки соответствующих журналов Azure в ваши системы управления информационной безопасностью и событиями безопасности

Служба интеграции журналов Azure позволяет интегрировать необработанные журналы из ресурсов Azure с существующим системами управления информацией о безопасности и событиями безопасности вашей организации. Интеграция журналов Azure собирает события из журналов средств просмотра событий Windows и ресурсов Azure.

• Журналы активности Azure
• Оповещения Microsoft Defender для облака
• Журналы ресурсов Azure

Дополнительные шаги для организаций, управляющих доступом к другим облачным приложениям с помощью идентификатора Microsoft Entra

Реализация подготовки пользователей для подключенных приложений

Идентификатор Microsoft Entra позволяет автоматизировать создание и обслуживание удостоверений пользователей в облачных приложениях, таких как Dropbox, Salesforce и ServiceNow. Дополнительные сведения см. в статье Автоматизация предоставления и удаления доступа пользователей к приложениям SaaS с помощью Microsoft Entra ID.

Интегрируйте защиту информации

Microsoft Defender for Cloud Apps позволяет вам анализировать файлы и устанавливать политики на основе меток классификации Azure Information Protection, что обеспечивает большую видимость и контроль ваших данных в облаке. Сканируйте и классифицируйте файлы в облаке и применяйте метки защиты данных Azure. Дополнительные сведения см. в статье Интеграция Azure Information Protection.

Настройка условного доступа

Настройте условный доступ на основе группы, расположения и чувствительности приложений для приложений SaaS и подключенных приложений Microsoft Entra.

Мониторинг действий в подключенных облачных приложениях

Рекомендуется использовать Microsoft Defender for Cloud Apps, чтобы обеспечить защиту доступа пользователей в подключенных приложениях. Эта функция обеспечивает безопасность корпоративного доступа к облачным приложениям и защищает учетные записи администраторов, позволяя выполнить следующее:

• расширить возможности видимости и управления облачными приложениями;
• создать политики для доступа, действий и совместного использования данных;
• автоматически идентифицировать рискованные действия, ненормальное поведение и угрозы;
• предотвратить утечку данных;
• минимизировать риск, автоматизировать предотвращение угроз и обеспечить принудительное применение политики.

Агент Defender for Cloud Apps SIEM интегрирует Defender for Cloud Apps с вашим сервером SIEM, чтобы обеспечить централизованный мониторинг оповещений и действий Microsoft 365. Он запускается на вашем сервере, получает оповещения и действия из Defender for Cloud Apps и передает их на сервер SIEM. Дополнительные сведения см. в статье Интеграция SIEM.

Этап 4. Продолжение строительства обороны

Этап 4 стратегии необходимо реализовать в течение шести месяцев и далее. Завершите реализацию стратегии, чтобы усилить защиту привилегированного доступа от потенциальных атак, известных в настоящее время. Для устранения будущих угроз безопасности рекомендуется рассматривать обеспечение безопасности как непрерывный процесс, ориентированный на повышение затратности атак вашей среды и снижение вероятности их успешности.

Защита привилегированного доступа важна для обеспечения безопасности ваших бизнес-ресурсов. Однако она должна быть частью полноценной программы обеспечения безопасности, предоставляющей гарантии постоянной безопасности. Эта программа должна включать следующие элементы.

• Политика
• Операции
• Безопасность информации
• Серверы
• Приложения
• Компьютеры
• Устройства
• Облачная структура

При управлении учетными записями привилегированного доступа рекомендуется учитывать следующие рекомендации.

• Убедитесь, что администраторы выполняют свою повседневную работу как непривилегированные пользователи.
• Предоставляйте привилегированный доступ только тогда, когда это необходимо, а затем удаляйте его (по принципу "точно в срок").
• Ведите для привилегированных учетных записей журналы действий аудита.

Дополнительные сведения о разработке комплексной стратегии безопасности см. в статье Ресурсы для администраторов, посвященные архитектуре Microsoft Cloud. Чтобы использовать службы Майкрософт для реализации любой части вашей стратегии, обратитесь к своему представителю корпорации Майкрософт или посетите нашу страницу создания системы кибербезопасности организации.

Последний этап стратегии по защите привилегированного доступа включает в себя следующие компоненты.

Общая подготовка

Проверка ролей администратора в идентификаторе Microsoft Entra

Определите, актуальны ли текущие встроенные роли администратора Microsoft Entra и убедитесь, что пользователи находятся только в необходимых ролях. С помощью идентификатора Microsoft Entra можно назначить отдельных администраторов для обслуживания различных функций. Дополнительные сведения см. в статье Встроенные роли Microsoft Entra.

Просмотр пользователей, управляющих присоединенными устройствами Microsoft Entra

Дополнительные сведения см. в разделе "Настройка гибридных устройств, присоединенных к Microsoft Entra".

Проверка участников встроенных ролей администратора Microsoft 365

Пропустите этот шаг, если вы не используете Microsoft 365.

Проверка плана реагирования на инциденты

Чтобы улучшить план, корпорация Майкрософт рекомендует регулярно проверять, что ваш план работает так, как ожидалось:

• Проанализируйте существующую стратегию, чтобы обнаружить упущенные компоненты.
• Основываясь на итоговом анализе, пересмотрите существующие или определите новые рекомендации.
• Убедитесь, что ваш обновленный план реагирования на инциденты и лучшие методики реализуются во всей вашей организации.

Дополнительные шаги для организаций, управляющих доступом к Azure

Определите необходимость передачи прав владения подпиской Azure другой учетной записи.

Разбейте стекло: что делать в чрезвычайной ситуации

1. Уведомите ключевых менеджеров и сотрудников службы безопасности об инциденте.

2. Просмотрите план атаки.

3. Для входа в Microsoft Entra ID используйте комбинированные имя пользователя и пароль вашей аварийной учетной записи.

4. Обратитесь за помощью в корпорацию Майкрософт, открыв запрос в службу поддержки Azure.

5. Просмотрите отчеты о входе в Microsoft Entra. Может наблюдаться задержка между самим событием и его включением в отчет.

6. Если федеративная локальная инфраструктура и ваш сервер AD FS в гибридных средах недоступны, вам может потребоваться временно переключиться с федеративной проверки подлинности на использование синхронизации хэша паролей. Это переключит федерацию доменов обратно на управляемую проверку подлинности до тех пор, пока сервер AD FS не станет доступным.

7. Отслеживайте электронную почту привилегированных учетных записей.

8. Сохраняйте резервные копии соответствующих журналов для ретроспективного анализа и расследования.

Дополнительные сведения об управлении инцидентами в системе безопасности Microsoft Office 365 см. в этом документе.

Часто задаваемые вопросы. Ответы на защиту привилегированного доступа

Вопрос. Что делать, если некоторые компоненты обеспечения безопасного доступа еще не реализованы?

Ответ. Определите не менее двух учетных записей для аварийного доступа, назначьте MFA привилегированным учетным записям администратора и отделите учетные записи пользователей от глобальных учетных записей администраторов.

Вопрос. После нарушения безопасности, что является главной проблемой, которую следует решить в первую очередь?

Ответ. Убедитесь, что в системе используется самая строгая проверка подлинности для критически важных сотрудников организации.

Вопрос. Что произойдет, если наши привилегированные администраторы будут деактивированы?

Ответ. Создайте постоянно обновляемую глобальную учетную запись администратора.

Вопрос. Что произойдет, если останется только один глобальный администратор, учетная запись которого недоступна?

Ответ. Используйте одну из своих учетных записей для аварийного доступа, чтобы быстро получить привилегированный доступ.

Вопрос. Как защитить администраторов внутри моей организации?

Ответ. Администраторы всегда должны выполнять свою повседневную работу в качестве стандартных, "непривилегированных" пользователей.

Вопрос. Каковы рекомендации по созданию учетных записей администратора в идентификаторе Microsoft Entra?

Ответ. Используйте привилегированный доступ для определенных задач администрирования.

Вопрос. Какие существуют средства для снижения постоянного административного доступа?

Ответ: управление привилегированными идентификациями (PIM) и роли администратора Microsoft Entra.

Вопрос. Что такое позиция Майкрософт по синхронизации учетных записей администратора с идентификатором Microsoft Entra?

Ответ. Учетные записи администратора нулевого уровня используются только для локальных учетных записей AD. Такие учетные записи обычно не синхронизируются с идентификатором Microsoft Entra в облаке. Учетные записи администратора нулевого уровня включают учетные записи, группы и другие ресурсы, которые имеют прямой или косвенный административный контроль над лесом Active Directory, доменами, контроллерами доменов и ресурсами.

Вопрос. Как запретить администраторам назначать случайные права доступа администратора на портале?

Ответ. Используйте непривилегированные учетные записи для всех пользователей и большинства администраторов. Начните с разработки схемы сотрудников организации, чтобы определить, какие из немногих учетных записей администратора должны быть привилегированными. Отслеживайте новых создаваемых административных пользователей.

Следующие шаги

• Центр управления безопасностью Майкрософт. Безопасность продуктов. Функции безопасности облачных продуктов и служб Майкрософт.

• Предложения по соответствию требованиям Майкрософт — комплексный набор предложений соответствия для облачных служб Майкрософт

• Руководство по проведению оценки угроз для безопасности. Управление требованиями к безопасности и соответствию для облачных служб Майкрософт.

Другие веб-службы Майкрософт

• Microsoft Intune Security. Intune обеспечивает управление мобильными устройствами, управление мобильными приложениями и возможности управления ПК из облака.

• Средства обеспечения безопасности в Microsoft Dynamics 365. Dynamics 365 — это облачное решение Майкрософт, которое сочетает возможности управления отношениями с клиентами (CRM) и планирования ресурсов предприятия (ERP).