Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID

Zabezpečení obchodních prostředků závisí na integritě privilegovaných účtů, které spravují vaše IT systémy. Kyberzločinci používají útoky krádeže přihlašovacích údajů k cílení účtů správců a dalšího privilegovaného přístupu, aby se pokusili získat přístup k citlivým datům.

Pro cloudové služby jsou prevence a reakce společné odpovědnosti poskytovatele cloudových služeb a zákazníka. Další informace o nejnovějších hrozbách pro koncové body a cloud najdete v sestavě Microsoft Bezpečnostní analýza. Tento článek vám pomůže vytvořit plán pro uzavření mezer mezi vašimi aktuálními plány a pokyny popsanými zde.

Tradičně se zabezpečení organizace zaměřovalo na vstupní a výstupní body sítě jako bezpečnostní obvod. Díky aplikacím SaaS a osobním zařízením na internetu je ale tento přístup méně efektivní. V Microsoft Entra ID nahradíme obvod zabezpečení sítě ověřováním ve vrstvě identity vaší organizace uživateli přiřazenými k privilegovaným rolím pro správu, kteří mají kontrolu. Jejich přístup musí být chráněný bez ohledu na to, jestli je prostředí místní, cloudové nebo hybridní.

Zabezpečení privilegovaného přístupu vyžaduje změny:

• Procesy, administrativní postupy a správa znalostí
• Technické komponenty, jako jsou ochrana hostitelů, ochrana účtů a správa identit

Zabezpečte privilegovaný přístup způsobem, který se spravuje a hlásí v služby Microsoft vás zajímá. Pokud máte místní účty správce, přečtěte si pokyny k místnímu a hybridnímu privilegovanému přístupu ve službě Active Directory při zabezpečení privilegovaného přístupu.

Vývoj plánu

Microsoft doporučuje vyvíjet a postupovat podle plánu zabezpečení privilegovaného přístupu proti kybernetickým útočníkům. Plán můžete kdykoli upravit tak, aby vyhovoval vašim stávajícím funkcím a konkrétním požadavkům v rámci vaší organizace. Každá fáze plánu by měla zvýšit náklady a potíže nežádoucím osobam, aby napadaly privilegovaný přístup k místním, cloudovým a hybridním prostředkům. Microsoft doporučuje následující čtyři fáze roadmapy. Nejprve naplánujte nejúčinnější a nejrychlejší implementace. Tento článek může být vaším průvodcem na základě zkušeností Microsoftu s incidentem a implementací reakcí na kybernetický útok. Časové osy tohoto plánu jsou aproximace.

• Fáze 1 (24–48 hodin): Kritické položky, které doporučujeme provést okamžitě

• Fáze 2 (2–4 týdny): Zmírnění nejčastěji používaných technik útoku

• Fáze 3 (1–3 měsíce): Zajištění viditelnosti a sestavení úplné kontroly nad aktivitou správce

• Fáze 4 (šest měsíců a dále): Pokračujte ve sestavování obrany a uposněte svou platformu zabezpečení.

Tato architektura roadmapy je navržená tak, aby maximalizovala využití technologií Microsoftu, které jste už možná nasadili. Zvažte připojení ke všem nástrojům zabezpečení od jiných dodavatelů, které jste už nasadili nebo zvažujete nasazení.

Fáze 1: Kritické položky, které je potřeba udělat právě teď

Fáze 1 plánu se zaměřuje na kritické úlohy, které jsou rychlé a snadno implementují. Doporučujeme provést tyto pár položek hned během prvních 24 až 48 hodin, abyste zajistili základní úroveň zabezpečeného privilegovaného přístupu. Tato fáze plánu zabezpečeného privilegovaného přístupu zahrnuje následující akce:

Obecná příprava

Použití služby Microsoft Entra Privileged Identity Management

Doporučujeme začít používat Microsoft Entra Privileged Identity Management (PIM) v produkčním prostředí Microsoft Entra. Po zahájení používání PIM obdržíte e-mailové zprávy s oznámením o změnách role privilegovaného přístupu. Oznámení poskytují včasné upozornění, když se do vysoce privilegovaných rolí přidají další uživatelé.

Microsoft Entra Privileged Identity Management je součástí Microsoft Entra ID P2 nebo EMS E5. Abyste mohli chránit přístup k aplikacím a prostředkům místně i v cloudu, zaregistrujte si bezplatnou 90denní zkušební verzi Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management a Microsoft Entra ID Protection monitorují aktivitu zabezpečení pomocí generování sestav, auditování a výstrah Microsoft Entra ID.

Jakmile začnete používat Microsoft Entra Privileged Identity Management:

1. Přihlaste se k Centru pro správu Microsoft Entra jako globální Správa istrator.

2. Pokud chcete přepnout adresáře, ve kterých chcete používat Privileged Identity Management, vyberte své uživatelské jméno v pravém horním rohu Centra pro správu Microsoft Entra.

3. Přejděte do služby Privileged Identity Governance>Privileged Identity Management.

Ujistěte se, že první osoba, která bude používat PIM ve vaší organizaci, je přiřazená k rolím zabezpečení Správa istratoru a privilegované Správa role. Přiřazení rolí adresáře Microsoft Entra mohou spravovat pouze privilegované role Správa istrátory. Průvodce zabezpečením PIM vás provede počátečním prostředím zjišťování a přiřazení. Průvodce můžete ukončit, aniž byste v tuto chvíli museli provádět další změny.

Identifikace a kategorizace účtů, které jsou ve vysoce privilegovaných rolích

Po zahájení používání služby Microsoft Entra Privileged Identity Management zobrazte uživatele, kteří jsou v následujících rolích Microsoft Entra:

• Globální správce
• Správce privilegovaných rolí
• Správce Exchange
• SharePoint Správa istrator

Pokud ve vaší organizaci nemáte Microsoft Entra Privileged Identity Management, můžete použít Microsoft Graph PowerShell. Začněte s rolí Globální Správa istrator, protože globální Správa istrator má stejná oprávnění ve všech cloudových službách, pro které se vaše organizace přihlásila k odběru. Tato oprávnění jsou udělena bez ohledu na to, kde byla přiřazena: v Centrum pro správu Microsoftu 365, v Centru pro správu Microsoft Entra nebo pomocí Prostředí Microsoft Graph PowerShell.

Odeberte všechny účty, které už v těchto rolích nepotřebujete. Potom kategorizovat zbývající účty, které jsou přiřazeny k rolím správce:

• Přiřazeno administrativním uživatelům, ale používá se také pro jiné než administrativní účely (například osobní e-mail)
• Přiřazeno administrativním uživatelům a používáno pouze pro účely správy
• Sdíleno mezi více uživateli
• Scénáře nouzového přístupu
• Pro automatizované skripty
• Pro externí uživatele

Definování alespoň dvou účtů pro nouzový přístup

Je možné, že uživatel omylem uzamkne svoji roli. Pokud například není k dispozici federovaný místní zprostředkovatel identity, uživatelé se nemůžou přihlásit ani aktivovat existující účet správce. Můžete se připravit na náhodný nedostatek přístupu uložením dvou nebo více účtů pro nouzový přístup.

Účty pro nouzový přístup pomáhají omezit privilegovaný přístup v rámci organizace Microsoft Entra. Tyto účty jsou vysoce privilegované a nepřiřazují se konkrétním jednotlivcům. Účty pro nouzový přístup jsou omezené na nouzové situace pro scénáře rozbitého skla, kdy se nedají použít běžné účty pro správu. Ujistěte se, že řídíte a zkracujete využití účtu tísňového volání jenom na tu dobu, pro kterou je potřeba.

Vyhodnoťte účty, které jsou přiřazené nebo způsobilé pro roli globálního Správa istratoru. Pokud se nezobrazují žádné účty jenom pro cloud pomocí domény *.onmicrosoft.com (pro nouzový přístup pro rozbité sklo), vytvořte je. Další informace naleznete v tématu Správa účtů pro správu tísňového přístupu v Microsoft Entra ID.

Zapněte vícefaktorové ověřování a zaregistrujte všechny ostatní účty nefederovaného správce s vysokou úrovní oprávnění jednoho uživatele.

Vyžadovat vícefaktorové ověřování Microsoft Entra při přihlášení pro všechny jednotlivé uživatele, kteří jsou trvale přiřazeni k jedné nebo více rolím správce Microsoft Entra: Globální Správa istrator, Privileged Role Správa istrator, Exchange Správa istrator a SharePoint Správa istrator. Postupujte podle pokynů v části Vynucení vícefaktorového ověřování u správců a ujistěte se, že všichni tito uživatelé jsou zaregistrovaní na https://aka.ms/mfasetupadrese . Další informace najdete v kroku 2 a 3 příručky Ochrana přístupu uživatelů a zařízení v Microsoftu 365.

Fáze 2: Zmírnění často používaných útoků

Fáze 2 plánu se zaměřuje na zmírnění nejčastěji používaných technik útoku krádeží a zneužití přihlašovacích údajů a lze je implementovat přibližně za 2 až 4 týdny. Tato fáze plánu zabezpečeného privilegovaného přístupu zahrnuje následující akce.

Obecná příprava

Provádění inventáře služeb, vlastníků a správců

Zvýšení "přineste si vlastní zařízení" a práce z domácích zásad a růst bezdrátového připojení je pro monitorování, kdo se připojuje k vaší síti, důležité. Audit zabezpečení může odhalit zařízení, aplikace a programy ve vaší síti, které vaše organizace nepodporuje a které představují vysoké riziko. Další informace najdete v tématu Přehled správy a monitorování zabezpečení Azure. Ujistěte se, že do procesu inventáře zahrnete všechny následující úlohy.

• Identifikujte uživatele, kteří mají role pro správu a služby, ve kterých můžou spravovat.

• Pomocí nástroje Microsoft Entra PIM zjistěte, kteří uživatelé ve vaší organizaci mají přístup správce k ID Microsoft Entra.

• Kromě rolí definovaných v Microsoft Entra ID obsahuje Microsoft 365 sadu rolí správce, které můžete přiřadit uživatelům ve vaší organizaci. Každá role správce se mapuje na běžné obchodní funkce a dává uživatelům ve vaší organizaci oprávnění provádět konkrétní úlohy v Centrum pro správu Microsoftu 365. Pomocí Centrum pro správu Microsoftu 365 zjistěte, kteří uživatelé ve vaší organizaci mají přístup správce k Microsoftu 365, včetně rolí, které nejsou spravovány v Microsoft Entra ID. Další informace najdete v článku o rolích správců Microsoftu 365 a postupech zabezpečení pro Office 365.

• Proveďte inventář ve službách, na které vaše organizace spoléhá, jako je Azure, Intune nebo Dynamics 365.

• Ujistěte se, že se vaše účty používají pro účely správy:

  • Máte k nim připojené pracovní e-mailové adresy
  • Zaregistrovali jste se pro vícefaktorové ověřování Microsoft Entra nebo použijte místní vícefaktorové ověřování MFA.

• Požádejte uživatele o obchodní odůvodnění přístupu pro správu.

• Odeberte přístup správce pro tyto jednotlivce a služby, které ho nepotřebují.

Identifikace účtů Microsoft v rolích pro správu, které je potřeba přepnout na pracovní nebo školní účty

Pokud vaše počáteční globální Správa istrátory znovu používají své stávající přihlašovací údaje k účtu Microsoft, když začali používat ID Microsoft Entra, nahraďte účty Microsoft jednotlivými cloudovými nebo synchronizovanými účty.

Zajištění samostatných uživatelských účtů a přeposílání e-mailů pro globální účty Správa istrator

Osobní e-mailové účty jsou pravidelně poštváleny kybernetickými útočníky, což je riziko, že osobní e-mailové adresy jsou nepřijatelné pro globální Správa istrator účty. Pokud chcete pomoct oddělit rizika internetu od oprávnění správce, vytvořte pro každého uživatele vyhrazené účty s oprávněními správce.

• Nezapomeňte vytvořit samostatné účty pro uživatele, kteří budou provádět globální Správa istrator úlohy.
• Ujistěte se, že globální Správa istrátory nechtěně neotevřou e-maily nebo spouštějí programy s účty správce.
• Ujistěte se, že tyto účty mají e-maily přeposílané do pracovní poštovní schránky.
• Globální účty Správa istratoru (a dalších privilegovaných skupin) by měly být účty jen pro cloud bez vazeb na místní Active Directory.

Ujistěte se, že se nedávno změnila hesla účtů pro správu.

Zajistěte, aby se všichni uživatelé přihlásili ke svým účtům pro správu a během posledních 90 dnů alespoň jednou změnili hesla. Ověřte také, že se nedávno změnila hesla všech sdílených účtů.

Zapnutí synchronizace hodnot hash hesel

Microsoft Entra Připojení synchronizuje hodnotu hash hesla uživatele z místní Active Directory do cloudové organizace Microsoft Entra. Synchronizaci hodnot hash hesel můžete použít jako zálohu, pokud používáte federaci s Active Directory Federation Services (AD FS) (AD FS). Toto zálohování může být užitečné, pokud jsou vaše místní Active Directory nebo servery služby AD FS dočasně nedostupné.

Synchronizace hodnot hash hesel umožňuje uživatelům přihlásit se ke službě pomocí stejného hesla, které používají k přihlášení ke své instanci místní Active Directory. Synchronizace hodnot hash hesel umožňuje službě Identity Protection zjišťovat ohrožené přihlašovací údaje porovnáním hodnot hash hesel s hesly, o kterých je známo, že jsou ohrožena. Další informace naleznete v tématu Implementace synchronizace hodnot hash hesel s Microsoft Entra Připojení Sync.

Vyžadování vícefaktorového ověřování pro uživatele v privilegovaných rolích a vystavených uživatelích

Microsoft Entra ID doporučuje, abyste pro všechny uživatele vyžadovali vícefaktorové ověřování. Nezapomeňte zvážit uživatele, kteří by měli významný dopad, pokud by došlo k ohrožení jejich účtu (například finanční pracovníci). Vícefaktorové ověřování snižuje riziko útoku z důvodu ohroženého hesla.

Zapněte:

• Vícefaktorové ověřování používá zásady podmíněného přístupu pro všechny uživatele ve vaší organizaci.

Pokud používáte Windows Hello pro firmy, je možné splnit požadavek na vícefaktorové ověřování pomocí přihlašovacího prostředí Windows Hello. Další informace najdete v tématu Windows Hello.

Konfigurace služby Identity Protection

Microsoft Entra ID Protection je nástroj pro monitorování a vytváření sestav založený na algoritmech, který detekuje potenciální ohrožení zabezpečení ovlivňující identity vaší organizace. Můžete nakonfigurovat automatizované odpovědi na zjištěné podezřelé aktivity a provést příslušnou akci k jejich vyřešení. Další informace naleznete v tématu Microsoft Entra ID Protection.

Získejte bezpečnostní skóre Microsoftu 365 (pokud používáte Microsoft 365).

Secure Score sleduje vaše nastavení a aktivity pro služby Microsoftu 365, které používáte, a porovnává je se základními hodnotami vytvořenými Microsoftem. Získáte skóre podle toho, jak jste v souladu s postupy zabezpečení. Ke skóre https://security.microsoft.com/securescorezabezpečení má přístup každý, kdo má oprávnění správce pro předplatné Microsoft 365 Business Standard nebo Enterprise.

Projděte si pokyny k zabezpečení a dodržování předpisů Microsoftu 365 (pokud používáte Microsoft 365).

Plán zabezpečení a dodržování předpisů popisuje přístup zákazníka Office 365 ke konfiguraci Office 365 a povolení dalších funkcí EMS. Pak si projděte kroky 3 až 6 týkající se ochrany přístupu k datům a službám v Microsoftu 365 a v průvodci monitorováním zabezpečení a dodržování předpisů v Microsoftu 365.

Konfigurace monitorování aktivit Microsoftu 365 (pokud používáte Microsoft 365)

Monitorujte ve vaší organizaci uživatele, kteří používají Microsoft 365, a identifikujte zaměstnance, kteří mají účet správce, ale nemusí potřebovat přístup k Microsoftu 365, protože se k těmto portálům nepřihlašují. Další informace najdete v sestavách aktivit v Centrum pro správu Microsoftu 365.

Vytvoření vlastníků plánu reakce na incidenty nebo tísňové volání

Vytvoření úspěšné schopnosti reakce na incidenty vyžaduje značné plánování a zdroje. Je nutné nepřetržitě monitorovat kybernetické útoky a stanovit priority pro zpracování incidentů. Shromažďování, analýza a hlášení dat incidentů za účelem vytvoření vztahů a navázání komunikace s ostatními interními skupinami a vlastníky plánů Další informace najdete v centru Microsoft Security Response Center.

Zabezpečení místních privilegovaných účtů pro správu, pokud jste to ještě neudělali

Pokud je vaše organizace Microsoft Entra synchronizovaná s místní Active Directory, postupujte podle pokynů v Plánu zabezpečení privilegovaného přístupu: Tato fáze zahrnuje:

• Vytvoření samostatných účtů správce pro uživatele, kteří potřebují provádět místní úlohy správy
• Nasazení pracovních stanic s privilegovaným přístupem pro správce služby Active Directory
• Vytváření jedinečných hesel místního správce pro pracovní stanice a servery

Další kroky pro organizace, které spravují přístup k Azure

Dokončení inventáře předplatných

Pomocí portálu Enterprise a webu Azure Portal identifikujte předplatná ve vaší organizaci, která hostují produkční aplikace.

Odebrání účtů Microsoft z rolí správce

Účty Microsoft z jiných programů, jako jsou Xbox, Live a Outlook, by se neměly používat jako účty správců pro předplatná vaší organizace. Odeberte stav správce ze všech účtů Microsoft a nahraďte ho pracovním nebo školním účtem Microsoft Entra ID (například chris@contoso.com). Pro účely správce závisí na účtech, které jsou ověřeny v MICROSOFT Entra ID, a ne v jiných službách.

Monitorování aktivit Azure

Protokol aktivit Azure poskytuje historii událostí na úrovni předplatného v Azure. Nabízí informace o tom, kdo vytvořil, aktualizoval a odstranil jaké prostředky a kdy k těmto událostem došlo. Další informace najdete v tématu Audit a přijímání oznámení o důležitých akcích ve vašem předplatném Azure.

Další kroky pro organizace, které spravují přístup k jiným cloudovým aplikacím prostřednictvím ID Microsoft Entra

Konfigurace zásad podmíněného přístupu

Připravte zásady podmíněného přístupu pro místní a cloudové aplikace. Pokud máte zařízení připojená k pracovišti, získejte další informace z nastavení místního podmíněného přístupu pomocí registrace zařízení Microsoft Entra.

Fáze 3: Převzetí kontroly nad aktivitou správce

Fáze 3 vychází ze zmírnění rizik z fáze 2 a měla by být implementována přibližně za 1 až 3 měsíce. Tato fáze plánu zabezpečeného privilegovaného přístupu zahrnuje následující komponenty.

Obecná příprava

Dokončení kontroly přístupu uživatelů v rolích správce

Více podnikových uživatelů získává privilegovaný přístup prostřednictvím cloudových služeb, což může vést k nespravovanému přístupu. Uživatelé se dnes můžou stát globálními Správa istrátory pro Microsoft 365, správce předplatného Azure nebo mít přístup správce k virtuálním počítačům nebo aplikacím SaaS.

Vaše organizace by měla mít všechny zaměstnance, kteří zpracovávají běžné obchodní transakce jako neprivilegovaní uživatelé, a pak podle potřeby udělovat práva správce. Dokončete kontroly přístupu, abyste identifikovali a potvrdili uživatele, kteří mají nárok na aktivaci oprávnění správce.

Doporučený postup:

1. Určete, kteří uživatelé jsou správci Microsoft Entra, povolte přístup správce za běhu na vyžádání a ovládací prvky zabezpečení na základě rolí.
2. Převeďte uživatele, kteří nemají jasné odůvodnění pro privilegovaný přístup správce, na jinou roli (pokud není způsobilá role, odeberte je).

Pokračovat v zavádění silnějšího ověřování pro všechny uživatele

Vyžadovat vysoce vystavené uživatele, aby měli moderní silné ověřování, jako je vícefaktorové ověřování Microsoft Entra nebo Windows Hello. Mezi příklady vysoce vystavených uživatelů patří:

• Vedení V sadě C
• Vedoucí vysoké úrovně
• Pracovníci kritického IT a zabezpečení

Použití vyhrazených pracovních stanic pro správu pro Microsoft Entra ID

Útočníci se mohou pokusit cílit na privilegované účty, aby mohli narušit integritu a pravost dat. Často používají škodlivý kód, který mění logiku programu nebo odpojí správce zadáním přihlašovacích údajů. Pracovní stanice s privilegovaným přístupem poskytují vyhrazený operační systém pro citlivé úlohy, který je chráněný před útoky z internetu a jinými vektory hrozeb. Oddělení těchtocitlivýchch

• Útoky phishing
• Ohrožení zabezpečení aplikací a operačních systémů
• Útoky na zosobnění
• Útoky na krádež přihlašovacích údajů, jako je protokolování stisknutí kláves, pass-the-hash a pass-the-ticket

Nasazením pracovních stanic s privilegovaným přístupem můžete snížit riziko, že správci zadají přihlašovací údaje do desktopového prostředí, které nebylo posíleno. Další informace naleznete v tématu Pracovní stanice s privilegovaným přístupem.

Projděte si doporučení Národního institutu standardů a technologií pro zpracování incidentů.

Národní institut standardů a technologií (NIST) poskytuje pokyny pro zpracování incidentů, zejména pro analýzu dat souvisejících s incidenty a určení odpovídající reakce na jednotlivé incidenty. Další informace naleznete v tématu Průvodce zpracováním incidentů zabezpečení počítače (NIST) (SP 800-61, Revize 2).

Implementace privileged Identity Management (PIM) pro JIT do dalších rolí pro správu

V případě ID Microsoft Entra použijte funkci Microsoft Entra Privileged Identity Management . Časově omezená aktivace privilegovaných rolí funguje tak, že vám umožní:

• Aktivace oprávnění správce pro konkrétní úlohu

• Vynucení vícefaktorového ověřování během procesu aktivace

• Použití upozornění k informování správců o nesdílných změnách

• Povolení uživatelům zachovat privilegovaný přístup po předem nakonfigurovanou dobu

• Povolit správcům zabezpečení:

  • Zjišťování všech privilegovaných identit
  • Zobrazení sestav auditu
  • Vytvoření kontrol přístupu pro identifikaci každého uživatele, který má nárok na aktivaci oprávnění správce

Pokud už používáte Microsoft Entra Privileged Identity Management, upravte časové rámce pro časově svázaná oprávnění podle potřeby (například časové intervaly údržby).

Určení ohrožení přihlašovacích protokolů založených na heslech (pokud používáte Exchange Online)

Doporučujeme identifikovat každého potenciálního uživatele, který by mohl být pro organizaci katastrofický, pokud by došlo k ohrožení přihlašovacích údajů. Pro tyto uživatele umístěte požadavky silného ověřování a použijte podmíněný přístup Microsoft Entra, abyste jim zabránili v přihlášení k e-mailu pomocí uživatelského jména a hesla. Starší ověřování můžete blokovat pomocí podmíněného přístupu a můžete blokovat základní ověřování prostřednictvím Exchange Online.

Dokončení posouzení rolí pro role Microsoftu 365 (pokud používáte Microsoft 365)

Vyhodnoťte, jestli jsou všichni uživatelé správců ve správných rolích (podle tohoto posouzení odstraňte a znovu přiřaďte).

Kontrola přístupu správy incidentů zabezpečení používaných v Microsoftu 365 a porovnání s vaší vlastní organizací

Tuto sestavu si můžete stáhnout ze služby Security Incident Management v Microsoftu 365.

Pokračujte v zabezpečení místních privilegovaných účtů pro správu.

Pokud je vaše ID Microsoft Entra připojené k místní Active Directory, postupujte podle pokynů v Plánu zabezpečení privilegovaného přístupu: Fáze 2. V této fázi:

• Nasazení pracovních stanic s privilegovaným přístupem pro všechny správce
• Vyžadování MFA
• Použití just enough Správa pro údržbu řadiče domény a snížení prostoru pro útoky domén
• Nasazení Advanced Threat Analytics pro detekci útoků

Další kroky pro organizace, které spravují přístup k Azure

Vytvoření integrovaného monitorování

Microsoft Defender for Cloud:

• Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure.
• Pomáhá zjišťovat hrozby, které by jinak mohly být nepozorované.
• Pracuje s širokou škálou řešení zabezpečení.

Inventarizace privilegovaných účtů v rámci hostovaných virtuálních počítačů

Obvykle nemusíte uživatelům udělit neomezená oprávnění ke všem předplatným nebo prostředkům Azure. Pomocí rolí správce Microsoft Entra udělte přístup pouze uživatelům, kteří potřebují provádět své úlohy. Pomocí rolí správce Microsoft Entra můžete umožnit jednomu správci spravovat jenom virtuální počítače v předplatném, zatímco jiný může spravovat databáze SQL v rámci stejného předplatného. Další informace najdete v tématu Co je řízení přístupu na základě role v Azure.

Implementace PIM pro role správce Microsoft Entra

Použití Privileged Identity Management s rolemi správce Microsoft Entra ke správě, řízení a monitorování přístupu k prostředkům Azure. Použití PIM chrání tím, že snižuje dobu vystavení oprávnění a zvyšuje viditelnost jejich použití prostřednictvím sestav a výstrah. Další informace naleznete v tématu Co je Microsoft Entra Privileged Identity Management.

Použití integrací protokolů Azure k odesílání relevantních protokolů Azure do systémů SIEM

Integrace protokolů Azure umožňuje integrovat nezpracované protokoly z prostředků Azure do stávajících systémů siEM (Security Information and Event Management). Integrace protokolů Azure shromažďuje události Windows z protokolů Windows Prohlížeč událostí a prostředků Azure z:

• Protokoly aktivit Azure
• Upozornění Microsoft Defenderu pro cloud
• Protokoly prostředků Azure

Další kroky pro organizace, které spravují přístup k jiným cloudovým aplikacím prostřednictvím ID Microsoft Entra

Implementace zřizování uživatelů pro připojené aplikace

Microsoft Entra ID umožňuje automatizovat vytváření a údržbu identit uživatelů v cloudových aplikacích, jako je Dropbox, Salesforce a ServiceNow. Další informace najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí Microsoft Entra ID.

Integrace ochrany informací

Microsoft Defender for Cloud Apps umožňuje zkoumat soubory a nastavovat zásady na základě popisků klasifikace Azure Information Protection, což umožňuje lepší viditelnost a kontrolu nad cloudovými daty. Prohledávat a klasifikovat soubory v cloudu a používat popisky služby Azure Information Protection. Další informace najdete v tématu Integrace služby Azure Information Protection.

Konfigurace podmíněného přístupu

Nakonfigurujte podmíněný přístup na základě skupiny, umístění a citlivosti aplikace pro aplikace SaaS a připojené aplikace Microsoft Entra.

Monitorování aktivity v připojených cloudových aplikacích

Doporučujeme používat Microsoft Defender for Cloud Apps , abyste měli jistotu, že uživatelský přístup je také chráněný v připojených aplikacích. Tato funkce zabezpečuje podnikový přístup ke cloudovým aplikacím a zabezpečuje účty správce, což vám umožní:

• Rozšíření viditelnosti a řízení do cloudových aplikací
• Vytvoření zásad pro přístup, aktivity a sdílení dat
• Automatická identifikace rizikových aktivit, neobvyklého chování a hrozeb
• Zabránění úniku dat
• Minimalizace rizik a automatizované prevence hrozeb a vynucování zásad

Agent SIEM Defender for Cloud Apps integruje Defender for Cloud Apps se serverem SIEM, aby bylo možné centralizované monitorování výstrah a aktivit Microsoftu 365. Běží na vašem serveru a načítá výstrahy a aktivity z Defenderu for Cloud Apps a streamuje je na server SIEM. Další informace najdete v tématu Integrace SIEM.

Fáze 4: Pokračování v budování obrany

Fáze 4 plánu by měla být provedena v šesti měsících a mimo ni. Dokončete plán pro posílení ochrany privilegovaného přístupu před potenciálními útoky, které jsou dnes známé. V případě budoucích bezpečnostních hrozeb doporučujeme zobrazit zabezpečení jako průběžný proces, který zvýší náklady a sníží míru úspěšnosti nežádoucích hrozeb, které cílí na vaše prostředí.

Zabezpečení privilegovaného přístupu je důležité k vytvoření záruk zabezpečení pro vaše obchodní prostředky. Měla by však být součástí kompletního programu zabezpečení, který poskytuje průběžné záruky zabezpečení. Tento program by měl obsahovat například tyto prvky:

• Zásada
• Operace
• Zabezpečení informací
• Servery
• Aplikace
• Počítačů
• Zařízení
• Cloudová prostředky infrastruktury

Při správě účtů privilegovaného přístupu doporučujeme následující postupy:

• Ujistěte se, že správci dělají každodenní práci jako neprivilegovaní uživatelé.
• Udělení privilegovaného přístupu pouze v případě potřeby a jeho následné odebrání (za běhu)
• Udržování protokolů aktivit auditu souvisejících s privilegovanými účty

Další informace o vytvoření kompletního plánu zabezpečení najdete v tématu Prostředky architektury IT v cloudu Microsoftu. Pokud se chcete spojit s služby Microsoft, abyste vám pomohli implementovat jakoukoli část plánu, obraťte se na zástupce Microsoftu nebo se podívejte na sestavení důležitých kybernetických obran, abyste ochránili váš podnik.

Tato poslední probíhající fáze plánu zabezpečeného privilegovaného přístupu zahrnuje následující komponenty.

Obecná příprava

Kontrola rolí správce v Microsoft Entra ID

Zjistěte, jestli jsou aktuální předdefinované role správce Microsoft Entra stále aktuální, a ujistěte se, že jsou uživatelé jenom v rolích, které potřebují. Pomocí Microsoft Entra ID můžete přiřadit samostatné správce, kteří budou obsluhovat různé funkce. Další informace najdete v tématu Předdefinované role Microsoft Entra.

Kontrola uživatelů, kteří mají správu zařízení připojených k Microsoft Entra

Další informace naleznete v tématu Jak nakonfigurovat zařízení připojená k hybridnímu připojení Microsoft Entra.

Kontrola členů předdefinovaných rolí správců Microsoftu 365

Pokud nepoužíváte Microsoft 365, tento krok přeskočte.

Ověření plánu reakce na incidenty

Pokud chcete plán vylepšit, Microsoft doporučuje pravidelně ověřovat, že váš plán funguje podle očekávání:

• Projděte si existující roadmapu a podívejte se, co se zmeškalo.
• Na základě analýzy pomortem revidujte stávající nebo definujte nové postupy.
• Ujistěte se, že se aktualizovaný plán reakce na incidenty a postupy distribuují v celé organizaci.

Další kroky pro organizace, které spravují přístup k Azure

Zjistěte, jestli potřebujete převést vlastnictví předplatného Azure na jiný účet.

"Rozbité sklo": co dělat v nouzovém stavu

1. Informujte klíčové manažery a bezpečnostní pracovníky o incidentu.

2. Projděte si playbook útoku.

3. Přístup k uživatelskému jménu účtu "break glass" a kombinaci hesla pro přihlášení k Microsoft Entra ID.

4. Získejte pomoc od Microsoftu otevřením žádosti o podpora Azure.

5. Podívejte se na sestavy přihlášení k Microsoft Entra. Mezi výskytem události a zahrnutím do sestavy může být nějaký čas.

6. Pokud je vaše místní infrastruktura federovaná a server SLUŽBY AD FS není dostupný, můžete dočasně přepnout z federovaného ověřování a použít synchronizaci hodnot hash hesel. Tento přepínač vrátí federaci domény zpět na spravované ověřování, dokud nebude server SLUŽBY AD FS dostupný.

7. Monitorujte e-maily pro privilegované účty.

8. Ujistěte se, že ukládáte zálohy relevantních protokolů pro potenciální forenzní a právní šetření.

Další informace o tom, jak systém Microsoft Office 365 zpracovává incidenty zabezpečení, najdete v tématu Správa incidentů zabezpečení v systém Microsoft Office 365.

Nejčastější dotazy: Odpovědi na zabezpečení privilegovaného přístupu

Otázka: Co mám dělat, když ještě neimplementuji žádné zabezpečené komponenty přístupu?

Odpověď: Definujte aspoň dva oddělené účty, přiřaďte vícefaktorové ověřování k účtům privilegovaného správce a oddělte uživatelské účty od globálních účtů Správa istrator.

Otázka: Co je po porušení zabezpečení hlavní problém, který je potřeba nejprve vyřešit?

Odpověď: Ujistěte se, že vyžadujete nejsilnější ověřování pro vysoce vystavené jednotlivce.

Otázka: Co se stane, když naši privilegovaní správci deaktivovali?

Odpověď: Vytvořte globální účet Správa istrator, který je vždy aktuální.

Otázka: Co se stane, když zbývá jen jeden globální Správa istrator a není možné je dosáhnout?

Odpověď: K získání okamžitého privilegovaného přístupu použijte jeden z vašich účtů se zalomeným sklem.

Otázka: Jak můžu chránit správce v rámci své organizace?

Odpověď: Mají správci vždy každodenní práci jako standardní "neprivilegovaní" uživatelé.

Otázka: Jaké jsou osvědčené postupy pro vytváření účtů správců v rámci ID Microsoft Entra?

Odpověď: Zarezervujte privilegovaný přístup pro konkrétní úlohy správce.

Otázka: Jaké nástroje existují pro omezení trvalého přístupu správce?

Odpověď: Privileged Identity Management (PIM) a role správce Microsoft Entra.

Otázka: Jaká je pozice Microsoftu při synchronizaci účtů správce do Microsoft Entra ID?

Odpověď: Účty správce vrstvy 0 se používají jenom pro místní účty AD. Tyto účty se obvykle nesynchronují s ID Microsoft Entra v cloudu. Účty správců vrstvy 0 zahrnují účty, skupiny a další prostředky, které mají přímou nebo nepřímou kontrolu nad doménovou strukturou místní Active Directory, doménami, řadiči domény a prostředky.

Otázka: Jak správcům bráníme v přiřazování náhodného přístupu správce na portálu?

Odpověď: Používejte neprivilegované účty pro všechny uživatele a většinu správců. Začněte vývojem stopy organizace, abyste zjistili, které účty správců by měly být privilegované. A monitorujte nově vytvořené správce.

Další kroky

• Centrum zabezpečení produktů Microsoftu pro zabezpečení produktů – funkce zabezpečení cloudových produktů a služeb Microsoftu

• Nabídky microsoftu pro dodržování předpisů – komplexní sada nabídek dodržování předpisů od Microsoftu pro cloudové služby

• Pokyny k posouzení rizik – Správa požadavků na zabezpečení a dodržování předpisů pro cloudové služby Microsoftu

Další online služby Microsoftu

• Zabezpečení Microsoft Intune – Intune poskytuje možnosti správy mobilních zařízení, správy mobilních aplikací a správy počítačů z cloudu.

• Zabezpečení Microsoft Dynamics 365 – Dynamics 365 je cloudové řešení Microsoftu, které sjednocuje správu vztahů se zákazníky (CRM) a plánování podnikových zdrojů (ERP).