Защита привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra

Безопасность бизнес-активов зависит от целостности привилегированных учетных записей, используемых для администрирования ваших ИТ-систем. Киберпреступники совершают атаки, основанные на хищении учетных данных, на учетные записи администраторов и другие объекты привилегированного доступа, чтобы получить доступ к конфиденциальным данным.

Для облачных служб предотвращение и реагирование являются общими обязанностями клиента и поставщика облачных служб. Дополнительные сведения о последних угрозах в отношении конечных точек и облачной среды см. в этом отчете корпорации Майкрософт. Эта статья может помочь вам разработать стратегию развития в соответствии с вашими текущими планами и описанными здесь указаниями.

По сложившейся традиции безопасность организации сосредоточена на точках входа и выхода сети, составляющих периметр безопасности. Однако приложения SaaS и персональные устройства в Интернете сделали этот подход менее эффективным. В идентификаторе Microsoft Entra мы заменим периметр безопасности сети проверкой подлинности на уровне удостоверений вашей организации, а пользователи, назначенные привилегированным административным ролям в элементе управления. Их доступ должен быть защищен независимо от того, какая среда используется: локальная, облачная или гибридная.

Обеспечение безопасности привилегированного доступа требует внесения изменений в следующее:

• процессы, административные методы и управление знаниями.
• технические компоненты, такие как средства защиты узлов, защиту учетных записей и управление удостоверениями.

Обеспечьте безопасность привилегированного доступа способом, который поддерживает управление и отчеты в службах Майкрософт, в которых вы заинтересованы. Если у вас есть локальные учетные записи администраторов, ознакомьтесь с руководством по защите локального и гибридного привилегированного доступа в Active Directory в разделе Защита привилегированного доступа.

Разработка стратегии

Корпорация Майкрософт рекомендует разработать и следовать стратегии для обеспечения защиты привилегированного доступа от кибератак. Вы всегда можете изменить свою стратегию с учетом текущих возможностей и конкретных требований в вашей организации. Каждый этап стратегии должен повышать затратность и сложность атаки на получение привилегированного доступа к вашим локальным, облачным и гибридным активам. Корпорация Майкрософт рекомендует приведенные ниже четыре этапа стратегии. Первыми запланируйте наиболее значимые и быстрые реализации. Эта статья может быть вашим руководством, основанным на опыте корпорации Майкрософт по реагированию на кибератаки. Временные рамки для этой стратегии являются приблизительными.

• Этап 1 (24–48 ч). Критические действия, которые рекомендуется выполнить сразу.

• Этап 2 (2–4 нед.). Устранение рисков наиболее часто используемых методов атак.

• Этап 3 (1–3 месяца). Обеспечение прозрачности и полного контроля активности администратора.

• Этап 4 (шесть месяцев и более). Дальнейшее создания средств защиты для укрепления платформы безопасности.

Эта стратегия предназначена для эффективного использования технологий Майкрософт, которые возможно уже развернуты. Рекомендуется включить в план инструменты безопасности других поставщиков, которые вы уже развернули или собираетесь развернуть.

Этап 1. Критически важные элементы, которые нужно сделать прямо сейчас

Первый этап стратегии сосредоточен на критических задачах, которые быстро и легко реализовать. Мы рекомендуем выполнить его в течение первых 24–48 часов, чтобы обеспечить базовый уровень безопасности привилегированного доступа. Этот этап стратегии по защите привилегированного доступа включает в себя приведенные ниже действия.

Общая подготовка

Использование microsoft Entra управление привилегированными пользователями

Рекомендуется начать использовать Microsoft Entra управление привилегированными пользователями (PIM) в рабочей среде Microsoft Entra. Когда начнете использовать PIM, на электронную почту вам придут уведомления об изменениях ролей привилегированного доступа. Уведомления предоставляют раннее предупреждение, когда дополнительные пользователи добавляются к высокопривилегированным ролям.

Microsoft Entra управление привилегированными пользователями входит в состав Microsoft Entra ID P2 или EMS E5. Чтобы обеспечить защиту доступа к приложениям и ресурсам в локальной среде и в облаке, зарегистрируйтесь для использования бесплатной пробной версии на 90 дней Enterprise Mobility + Security. Microsoft Entra управление привилегированными пользователями и Защита идентификации Microsoft Entra отслеживать действия безопасности с помощью отчетов, аудита и оповещений Microsoft Entra ID.

После начала работы с Microsoft Entra управление привилегированными пользователями:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.

2. Чтобы переключить каталоги, в которых вы хотите использовать управление привилегированными пользователями, выберите имя пользователя в правом верхнем углу Центра администрирования Microsoft Entra.

3. Перейдите к управлению удостоверениями> управление привилегированными пользователями.

Убедитесь, что первому пользователю, использующему PIM в вашей организации, назначаются роли Администратор безопасности и Администратор привилегированных ролей. Только привилегированные роли Администратор istrator могут управлять назначениями ролей каталога Microsoft Entra пользователей. Мастер безопасности PIM поможет вам выполнить первое обнаружение и назначение. Вы можете выйти из мастера, пока не внося каких-либо дополнительных изменений.

Определение и классифицирование учетных записей, которые находятся в привилегированных ролях

После начала использования Microsoft Entra управление привилегированными пользователями просмотрите пользователей, которые находятся в следующих ролях Microsoft Entra:

• Глобальный администратор
• Администратор привилегированных ролей
• Администратор Exchange
• Администратор SharePoint

Если у вас нет microsoft Entra управление привилегированными пользователями в организации, можно использовать Microsoft Graph PowerShell. Начните с роли глобального администратора, так как глобальный администратор имеет одни и те же разрешения во всех облачных службах, на которые подписана ваша организация. Эти разрешения предоставляются независимо от того, где они были назначены: в Центр администрирования Microsoft 365, Центре администрирования Microsoft Entra или с помощью Microsoft Graph PowerShell.

Удалите все учетные записи, которые больше не нужны в этих ролях. Затем классифицируйте оставшиеся учетные записи, назначенные ролям администраторов:

• назначается пользователями с правами администратора, а также используется для неадминистративных целей (например, личной электронной почты);
• назначается пользователями с правами администратора и используется только для административных целей;
• совместно используется несколькими пользователями;
• для сценариев аварийного доступа;
• для автоматических скриптов;
• для внешних пользователей.

Определение по крайней мере двух учетных записей аварийного доступа

Пользователь может быть случайно заблокирован для своей роли. Например, если федеративный локальный поставщик удостоверений недоступен, пользователи не смогут войти в систему или активировать существующую учетную запись администратора. На случай непреднамеренной блокировки доступа можно сохранить несколько учетных записей для аварийного доступа.

Учетные записи аварийного доступа помогают ограничить привилегированный доступ в организации Microsoft Entra. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи аварийного доступа ограничены непредвиденными ситуациями, в которых невозможно использовать обычные учетные записи администратора. Необходимо контролировать использование учетной записи аварийного доступа и ограничить его только соответствующими ситуациями.

Оцените учетные записи, которым назначена или может быть назначена роль глобального администратора. Если вы не видите облачные учетные записи, использующие домен *.onmicrosoft.com (предназначенный для аварийного доступа), создайте их. Дополнительные сведения см. в разделе "Управление учетными записями администрирования аварийного доступа" в идентификаторе Microsoft Entra.

Включение многофакторной проверки подлинности и регистрация всех других учетных записей без федеративных администраторов с высоким уровнем привилегий

Требовать многофакторную проверку подлинности Microsoft Entra при входе для всех отдельных пользователей, которые постоянно назначены одной или нескольким ролям администратора Microsoft Entra: Global Администратор istrator, Privileged Role Администратор istrator, Exchange Администратор istrator и SharePoint Администратор istrator. Используйте рекомендации по принудительной многофакторной проверке подлинности для администраторов и убедитесь, что все эти пользователи зарегистрированы в https://aka.ms/mfasetup. Более подробные сведения можно найти на шагах 2 и 3 руководства по защите доступа к пользователям и устройствам в Microsoft 365.

Этап 2. Устранение часто используемых атак

Второй этап стратегии направлен на предотвращение наиболее часто используемых методов атак с целью кражи и злоумышленного использования учетных данных и может быть реализован примерно в течение 2–4 недель. Этот этап стратегии по защите привилегированного доступа включает в себя приведенные ниже действия.

Общая подготовка

Инвентаризация служб, владельцев и администраторов

С распространением политик использования личных устройств и дистанционной работы, а также ростом числа подключений к беспроводной сети крайне важно следить за тем, кто подключается к вашей сети. Аудит безопасности позволяет выявить устройства, приложения и программы в сети, которые не поддерживаются организацией и представляют высокий риск. Дополнительные сведения см. в статье Обзор управления безопасностью Azure и мониторинга. Выполните все следующие задачи в рамках процесса инвентаризации.

• Определите пользователей, у которых есть административные роли, и службы, которыми они могут управлять.

• Используйте Microsoft Entra PIM, чтобы узнать, какие пользователи в вашей организации имеют доступ к идентификатору Microsoft Entra ID.

• Помимо ролей, определенных в идентификаторе Microsoft Entra, Microsoft 365 поставляется с набором ролей администратора, которые можно назначать пользователям в вашей организации. Каждая роль администратора сопоставляется с общими бизнес-функциями и предоставляет сотрудникам в вашей организации разрешения на выполнение определенных задач в Центре администрирования Microsoft 365. Используйте Центр администрирования Microsoft 365, чтобы узнать, какие пользователи в вашей организации имеют доступ администратора к Microsoft 365, включая роли, не управляемые в идентификаторе Microsoft Entra. Дополнительные сведения см. в статьях Роли администраторов в Microsoft 365 и Рекомендации по обеспечению безопасности для Office 365.

• Выполните инвентаризацию в службах, которые используются в вашей организации, таких как Azure, Intune или Dynamics 365.

• Убедитесь, что учетные записи, используемые в целях администрирования:

  • имеют подключенные рабочие адреса электронной почты;
  • Зарегистрированы для многофакторной проверки подлинности Microsoft Entra или используют локальную MFA

• Просите пользователей указать коммерческое обоснование для административного доступа.

• Удалите доступ администратора для тех лиц и служб, которым он не требуется.

Определение учетных записей Майкрософт в административных ролях, которые необходимо переключить на использование рабочих или учебных учетных записей.

Если первоначальные глобальные Администратор istrator повторно используют существующие учетные данные учетной записи Майкрософт при начале использования идентификатора Microsoft Entra, замените учетные записи Майкрософт отдельными облачными или синхронизированными учетными записями.

Обеспечение отдельных учетных записей пользователей и перенаправление почты для глобальных учетных записей администратора

Личные учетные записи электронной почты регулярно подвергаются фишинговым атакам киберпреступников, что делает неприемлемым использование личных адресов электронной почты для учетных записей глобального администратора. Чтобы отделить интернет-риски от административных привилегий, создайте выделенные учетные записи для каждого пользователя с административными привилегиями.

• Не забудьте создать отдельные учетные записи для пользователей, которые будут выполнять задачи глобального администратора.
• Убедитесь, что глобальные администраторы не могут случайно открыть сообщения электронной почты или запустить программы в своих учетных записях администратора.
• Убедитесь, что электронная почта для этих учетных записей переадресовывается на рабочий почтовый ящик.
• Учетные записи глобального администратора (и других привилегированных групп) должны быть только облачными учетными записями, не имеющими связей с локальной службой Active Directory.

Проверка того, что пароли административных учетных записей недавно изменялись

Настройте такие политики, чтобы все пользователи входили в свои административные учетные записи и меняли пароли хотя бы один раз в 90 дней. Кроме того, убедитесь, что для всех совместно используемых учетных записей недавно изменялся пароль.

Включение синхронизации хэша паролей

Microsoft Entra Подключение синхронизирует хэш хэша пароля пользователя из локальная служба Active Directory в облачную организацию Microsoft Entra. Вы можете использовать синхронизацию хэша паролей в качестве резервного решения, если хотите использовать федерацию со службами федерации Active Directory (AD FS). Эта резервная копия может быть полезной, если локальная служба Active Directory или серверы AD FS серверы временно недоступны.

Синхронизация хэша паролей позволяет пользователям входить в службу с помощью того же пароля, который используется в локальном экземпляре Active Directory. Синхронизация хэша паролей позволяет Защите идентификации обнаруживать скомпрометированные учетные данные, сравнивая эти хэши паролей с паролями, которые были скомпрометированы. Дополнительные сведения см. в статье "Реализация синхронизации хэша паролей с помощью Microsoft Entra Подключение Sync".

Настройка принудительного прохождения многофакторной проверки подлинности для пользователей с привилегированными ролями и важных пользователей

Идентификатор Microsoft Entra рекомендует требовать многофакторную проверку подлинности для всех пользователей. Не забудьте учесть пользователей, компрометация учетных записей которых могла бы иметь значительные последствия (например, финансовые работники). MFA снижает риск атак, связанных с компрометацией паролей.

Включите:

• MFA с использованием политик условного доступа для всех пользователей в организации.

Если вы используете Windows Hello for Business, требование MFA может быть выполнено с использованием процедуры входа Windows Hello. Дополнительные сведения см. в статье Windows Hello.

Настройка защиты идентификации

Защита идентификации Microsoft Entra — это средство мониторинга и создания отчетов на основе алгоритма, которое обнаруживает потенциальные уязвимости, влияющие на удостоверения вашей организации. Вы можете настроить автоматические ответы на обнаруженные подозрительные действия и предпринимать соответствующие меры по их устранению. Дополнительные сведения см. в Защита идентификации Microsoft Entra.

Получение оценки безопасности Microsoft 365 (при использовании Microsoft 365)

Оценка безопасности изучает ваши параметры и действия для используемых служб Microsoft 365 и сравнивает их с базовыми показателями, установленными корпорацией Майкрософт. Вы получите оценку на основе степени соответствия рекомендациям по безопасности. Любой пользователь, имеющий разрешения администратора для подписки Microsoft 365 ценовой категории "Бизнес", "Стандартный" или "Корпоративный", может получить доступ к оценке безопасности по адресу https://security.microsoft.com/securescore.

Просмотр руководства по безопасности и соответствию требованиям Microsoft 365 (при использовании Microsoft 365)

План для обеспечения безопасности и соответствия описывает то, как клиенту Office 365 следует настроить эту службу и использовать другие возможности EMS. Затем просмотрите шаги 3–6 руководства по защите доступа к данным и службам в Microsoft 365 и руководство по мониторингу безопасности и соответствия требованиям Microsoft 365.

Настройка мониторинга действий Microsoft 365 (при использовании Microsoft 365)

Вы можете отслеживать в своей организации пользователей, работающих с Microsoft 365, чтобы выявить сотрудников, которые имеют учетную запись администратора, но могут не нуждаться в доступе к Microsoft 365, так как не входят на соответствующие порталы. Дополнительные сведения см. в статье Отчеты об активности в Центре администрирования Microsoft 365.

Определение владельцев плана реагирования на инциденты или чрезвычайные ситуации

Для создания возможностей успешного реагирования на инциденты требуется основательное планирование и значительное количество ресурсов. Необходимо постоянно отслеживать кибератаки и устанавливать приоритеты для обработки инцидентов. Вы можете собирать, анализировать данные об инцидентах и создавать по ним отчеты, а также обеспечить связь и взаимодействие с другими внутренними группами и владельцами планов. Дополнительные сведения см. в статье Microsoft Security Response Center (Центр Microsoft Security Response Center).

Защита локальных привилегированных учетных записей

Если ваша организация Microsoft Entra синхронизирована с локальная служба Active Directory, следуйте инструкциям в статье "Стратегия привилегированного доступа безопасности": этот этап включает:

• Создание отдельных учетных записей администратора для пользователей, которым необходимо выполнять локальные задачи администрирования
• Развертывание рабочих станций с привилегированным доступом для администраторов Active Directory
• Создание уникальных паролей локальных администраторов для рабочих станций и серверов

Дополнительные шаги для организаций, управляющих доступом к Azure

Выполнение инвентаризации подписок

Используйте корпоративный портал и портал Azure для определения подписок в организации, в которых размещены рабочие приложения.

Удаление учетных записей Майкрософт, добавленных в роли администратора

Учетные записи Майкрософт из других программ, таких как Xbox, Live и Outlook, не должны использоваться в качестве учетных записей администратора в подписках организации. Удалите состояние администратора из всех учетных записей Майкрософт и замените идентификатором Microsoft Entra (например, chris@contoso.com) рабочими или учебными учетными записями. В целях администратора зависит от учетных записей, прошедших проверку подлинности в идентификаторе Microsoft Entra, а не в других службах.

Мониторинг действий Azure

Журнал действий Azure содержит события на уровне подписки в Azure. Он предоставляет сведения о том, кто создал, обновил или удалил ресурсы, а также когда это произошло. Дополнительные сведения см. в статье Аудит и получение уведомлений о важных действиях в подписке Azure.

Дополнительные шаги для организаций, управляющих доступом к другим облачным приложениям с помощью идентификатора Microsoft Entra

Настраивать политики условного доступа

Подготовьте политики условного доступа для локальных и облачных приложений. Если у вас есть устройства, присоединенные к рабочему месту, получите дополнительные сведения о настройке локального условного доступа с помощью регистрации устройства Microsoft Entra.

Этап 3. Контроль действий администраторов

Этап 3 основывается на действиях устранения из этапа 2 и должен быть реализован примерно в течение 1–3 месяцев. Этот этап стратегии по защите привилегированного доступа включает в себя следующие компоненты.

Общая подготовка

Проверка доступа пользователей с ролью администратора

Все больше корпоративных пользователей получает привилегированный доступ через облачные службы, что может привести к неуправляемому доступу. Сейчас пользователи могут стать глобальными администраторами для Microsoft 365, администраторами подписок Azure или обладать административным доступом на виртуальных машинах или в приложениях SaaS.

Все сотрудники в организации должны обрабатывать повседневные бизнес-операции в качестве непривилегированных пользователей и получать права администратора только при необходимости. Выполните проверку доступа, чтобы идентифицировать и подтвердить пользователей, подходящих для активации привилегий администратора.

Примите во внимание следующие рекомендации.

1. Определите, какие пользователи являются администраторами Microsoft Entra, включите по запросу, JIT-доступ администратора и элементы управления безопасностью на основе ролей.
2. Назначьте пользователям, у которых нет явного обоснования для использования привилегированного доступа администратора, другую роль (если нет допустимой роли, удалите их).

Развертывание более строгой аутентификации для всех пользователей

Требовать наличия современной, строгой проверки подлинности, такой как многофакторная проверка подлинности Microsoft Entra или Windows Hello. Примеры важных пользователей

• Высшее руководство
• Руководители верхнего звена
• Критически важный персонал ИТ-службы и службы безопасности

Использование выделенных рабочих станций для администрирования для идентификатора Microsoft Entra

Злоумышленники могут попытаться нацелить атаки на привилегированные учетные записи, чтобы нарушить целостность и подлинность данных. Они часто используют вредоносный код, который изменяет логику программы или отслеживает ввод учетных данных администратором. Рабочие станции с привилегированным доступом предоставляют выделенную операционную систему для выполнения конфиденциальных задач, защищенных от атак из Интернета и векторов угроз. Отделение этих конфиденциальных задач и учетных записей от ежедневно используемых рабочих станций и устройств обеспечивает надежную защиту:

• от фишинговых атак;
• уязвимостей в приложениях и операционных системах;
• атак с олицетворением;
• атак, основанных на хищении учетных данных, таких как регистрация нажатий клавиш, Pass-the-Hash и Pass-the-Ticket.

Развертывая рабочие станции с привилегированным доступом, можно уменьшить число случаев ввода учетных данных администраторами в незащищенной среде рабочего стола. Дополнительные сведения см. в статье Privileged Access Workstations (Рабочие станции с привилегированным доступом).

Просмотр рекомендаций по реагированию на инциденты системы безопасности компьютера Национального института стандартов и технологий

Национальный институт стандартов и технологий (NIST) предоставляет рекомендации по обработке инцидентов, в частности по анализу данных, связанных с инцидентами, и определению соответствующих мер реагирования на каждый из них. Дополнительные сведения см. в руководстве по реагированию на инциденты системы безопасности компьютера Национального института стандартов и технологий (SP 800-61, 2 редакция).

Реализация PIM для JIT-доступа к дополнительным административным ролям

Для идентификатора Microsoft Entra используйте функцию Microsoft Entra управление привилегированными пользователями. Ограниченная активация привилегированных ролей позволяет выполнить следующее:

• Активировать права администратора для выполнения определенных задач.

• Настроить принудительное прохождение MFA во время процесса активации.

• Использовать оповещения для информирования администраторов о внештатных изменениях.

• Разрешить пользователям сохранять привилегированный доступ в течение предварительно заданного периода времени.

• Разрешите администраторам безопасности:

  • обнаруживать всех привилегированных пользователей;
  • просматривать отчеты об аудите;
  • создавать проверки доступа, чтобы идентифицировать каждого пользователя, который имеет право активировать права администратора.

Если вы уже используете Microsoft Entra управление привилегированными пользователями, настройте интервалы времени для привилегий, связанных с временем (например, периоды обслуживания).

Определение доступа к протоколам входа на основе пароля (при использовании Exchange Online)

Рекомендуется определять всех потенциальных пользователей, компрометация учетных данных которых может иметь разрушительные последствия для организации. Для этих пользователей поместите строгие требования к проверке подлинности и используйте условный доступ Microsoft Entra, чтобы сохранить их от входа в электронную почту с помощью имени пользователя и пароля. Вы можете блокировать старую проверку подлинности с помощью условного доступа, а также блокировать обычную проверку подлинности через Exchange Online.

Выполнение оценки ролей для Microsoft 365 (если используется Microsoft 365)

Проанализируйте, находятся ли все администраторы в правильных ролях (удалите и переназначьте их соответственно).

Проверка подхода к управлению инцидентами безопасности, используемого в Microsoft 365 и в вашей организации

Вы можете скачать этот отчет об управлении инцидентами безопасности в Microsoft Office 365.

Дальнейшее обеспечение защиты локальных учетных записей с правами администратора

Если идентификатор Microsoft Entra подключен к локальная служба Active Directory, следуйте инструкциям в схеме развития привилегированного доступа: этап 2. Этот этап включает в себя следующее.

• Развертывание рабочих станций с привилегированным доступом для всех администраторов
• Требовать многофакторную идентификацию.
• Использование Just Enough Administration для обслуживания контроллера домена в целях сокращения направлений атак на домены.
• Развертывание Расширенной аналитики угроз для обнаружения атак

Дополнительные шаги для организаций, управляющих доступом к Azure

Использование интегрированного мониторинга

Microsoft Defender для облака:

• включает в себя встроенные функции мониторинга безопасности и управления политиками для подписок Azure;
• помогает распознавать угрозы, которые в противном случае могли быть не замечены;
• работает с широким спектром решений безопасности.

Инвентаризация привилегированных учетных записей в размещенных виртуальных машинах

В общем случае вам не нужно предоставлять пользователям неограниченные разрешения на все свои подписки или ресурсы Azure. Используйте роли администратора Microsoft Entra, чтобы предоставить доступ только пользователям, которым требуется выполнять свои задания. Роли администратора Microsoft Entra позволяют одному администратору управлять только виртуальными машинами в подписке, а другой — управлять базами данных SQL в одной подписке. Общие сведения см. в статье Что такое управление доступом на основе ролей в Azure (Azure RBAC)?

Реализация PIM для ролей администратора Microsoft Entra

Используйте управление привилегированными удостоверениями с ролями администратора Microsoft Entra для управления, контроля и мониторинга доступа к ресурсам Azure. Использование PIM обеспечивает защиту, уменьшая время действия привилегий и увеличивая видимость их использования с помощью отчетов и оповещений. Дополнительные сведения см. в статье "Что такое Microsoft Entra управление привилегированными пользователями".

Использование интеграции журналов Azure для отправки соответствующих журналов Azure в ваши системы управления информационной безопасностью и событиями безопасности

Служба интеграции журналов Azure позволяет интегрировать необработанные журналы из ресурсов Azure с существующим системами управления информацией о безопасности и событиями безопасности вашей организации. Интеграция журналов данных Azure собирает события из журналов средства просмотра событий Windows и события ресурсов Azure:

• из журналов действий Azure;
• из оповещений Microsoft Defender для облака;
• Журналы ресурсов Azure

Дополнительные шаги для организаций, управляющих доступом к другим облачным приложениям с помощью идентификатора Microsoft Entra

Реализация подготовки пользователей для подключенных приложений

Идентификатор Microsoft Entra позволяет автоматизировать создание и обслуживание удостоверений пользователей в облачных приложениях, таких как Dropbox, Salesforce и ServiceNow. Дополнительные сведения см. в статье Автоматизация подготовки пользователей и отмена подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Интеграция Information Protection

Microsoft Defender for Cloud Apps позволяет вам анализировать файлы и устанавливать политики на основе меток классификации Azure Information Protection, что обеспечивает большую видимость и контроль ваших данных в облаке. Сканируйте и классифицируйте файлы в облаке и применяйте метки защиты данных Azure. Дополнительные сведения см. в статье Интеграция Azure Information Protection.

Настройка условного доступа

Настройте условный доступ на основе группы, расположения и конфиденциальности приложений Для приложений SaaS и подключенных приложений Microsoft Entra.

Мониторинг действий в подключенных облачных приложениях

Рекомендуется использовать Microsoft Defender for Cloud Apps, чтобы обеспечить защиту доступа пользователей в подключенных приложениях. Эта функция обеспечивает безопасность корпоративного доступа к облачным приложениям и защищает учетные записи администраторов, позволяя выполнить следующее:

• расширить возможности видимости и управления облачными приложениями;
• создать политики для доступа, действий и совместного использования данных;
• автоматически идентифицировать рискованные действия, ненормальное поведение и угрозы;
• предотвратить утечку данных;
• минимизировать риск, автоматизировать предотвращение угроз и обеспечить принудительное применение политики.

Агент Defender for Cloud Apps SIEM интегрирует Defender for Cloud Apps с вашим сервером SIEM, чтобы обеспечить централизованный мониторинг оповещений и действий Microsoft 365. Он запускается на вашем сервере, получает оповещения и действия из Defender for Cloud Apps и передает их на сервер SIEM. Дополнительные сведения см. в статье Интеграция SIEM.

Этап 4. Продолжение строительства обороны

Этап 4 стратегии необходимо реализовать в течение шести месяцев и далее. Завершите реализацию стратегии, чтобы усилить защиту привилегированного доступа от потенциальных атак, известных в настоящее время. Для устранения будущих угроз безопасности рекомендуется рассматривать обеспечение безопасности как непрерывный процесс, ориентированный на повышение затратности атак вашей среды и снижение вероятности их успешности.

Защита привилегированного доступа важна для обеспечения безопасности ваших бизнес-ресурсов. Однако она должна быть частью полноценной программы обеспечения безопасности, предоставляющей гарантии постоянной безопасности. Эта программа должна включать следующие элементы.

• Полис
• Operations
• Безопасность информации
• Серверы
• Приложения
• Компьютеры
• .
• Облачная структура

При управлении учетными записями привилегированного доступа рекомендуется учитывать следующие рекомендации.

• Убедитесь, что администраторы выполняют свою повседневную работу как непривилегированные пользователи.
• Предоставляйте привилегированный доступ, только когда это необходимо, а затем отменяйте его (JIT).
• Ведите для привилегированных учетных записей журналы действий аудита.

Дополнительные сведения о разработке комплексной стратегии безопасности см. в статье Ресурсы для администраторов, посвященные архитектуре Microsoft Cloud. Чтобы использовать службы Майкрософт для реализации любой части вашей стратегии, обратитесь к своему представителю корпорации Майкрософт или посетите нашу страницу создания системы кибербезопасности организации.

Последний этап стратегии по защите привилегированного доступа включает в себя следующие компоненты.

Общая подготовка

Проверка ролей администратора в идентификаторе Microsoft Entra

Определите, актуальны ли текущие встроенные роли администратора Microsoft Entra и убедитесь, что пользователи находятся только в необходимых ролях. С помощью идентификатора Microsoft Entra можно назначить отдельных администраторов для обслуживания различных функций. Дополнительные сведения см. в статье Встроенные роли Microsoft Entra.

Просмотр пользователей, у которых есть администрирование устройств, присоединенных к Microsoft Entra

Дополнительные сведения см. в разделе "Настройка гибридных устройств, присоединенных к Microsoft Entra".

Проверка участников встроенных ролей администратора Microsoft 365

Пропустите этот шаг, если вы не используете Microsoft 365.

Проверка плана реагирования на инциденты

Чтобы улучшить план, корпорация Майкрософт рекомендует регулярно проверять, что ваш план работает так, как ожидалось:

• Проанализируйте существующую стратегию, чтобы обнаружить упущенные компоненты.
• Основываясь на итоговом анализе, пересмотрите существующие или определите новые рекомендации.
• Убедитесь, что ваш обновленный план реагирования на инциденты и лучшие методики реализуются во всей вашей организации.

Дополнительные шаги для организаций, управляющих доступом к Azure

Определите необходимость передачи прав владения подпиской Azure другой учетной записи.

Аварийный режим: что делать в чрезвычайной ситуации

1. Уведомите ключевых менеджеров и сотрудников службы безопасности об инциденте.

2. Просмотрите ваш сборник реагирования на атаки.

3. Чтобы войти в идентификатор Microsoft Entra, перейдите к имени пользователя и паролю учетной записи", чтобы получить доступ к имени пользователя учетной записи и пароля.

4. Обратитесь за помощью в корпорацию Майкрософт, открыв запрос в службу поддержки Azure.

5. Просмотрите отчеты о входе в Microsoft Entra. Может наблюдаться задержка между самим событием и его включением в отчет.

6. Если федеративная локальная инфраструктура и ваш сервер AD FS в гибридных средах недоступны, вам может потребоваться временно переключиться с федеративной проверки подлинности на использование синхронизации хэша паролей. Это переключит федерацию доменов обратно на управляемую проверку подлинности до тех пор, пока сервер AD FS не станет доступным.

7. Отслеживайте электронную почту привилегированных учетных записей.

8. Сохраняйте резервные копии соответствующих журналов для ретроспективного анализа и расследования.

Дополнительные сведения об управлении инцидентами в системе безопасности Microsoft Office 365 см. в этом документе.

Часто задаваемые вопросы. Ответы на защиту привилегированного доступа

Вопрос. Что делать, если некоторые компоненты обеспечения безопасного доступа еще не реализованы?

Ответ. Определите не менее двух учетных записей для аварийного доступа, назначьте MFA привилегированным учетным записям администратора и отделите учетные записи пользователей от глобальных учетных записей администраторов.

Вопрос. После нарушения безопасности, что является главной проблемой, которую следует решить в первую очередь?

Ответ. Убедитесь, что в системе используется самая строгая проверка подлинности для критически важных сотрудников организации.

Вопрос. Что произойдет, если наши привилегированные администраторы будут деактивированы?

Ответ. Создайте постоянно обновляемую глобальную учетную запись администратора.

Вопрос. Что произойдет, если останется только один глобальный администратор, учетная запись которого недоступна?

Ответ. Используйте одну из своих учетных записей для аварийного доступа, чтобы быстро получить привилегированный доступ.

Вопрос. Как защитить администраторов внутри моей организации?

Ответ. Администраторы всегда должны выполнять свою повседневную работу в качестве стандартных, "непривилегированных" пользователей.

Вопрос. Каковы рекомендации по созданию учетных записей администратора в идентификаторе Microsoft Entra?

Ответ. Используйте привилегированный доступ для определенных задач администрирования.

Вопрос. Какие существуют средства для снижения постоянного административного доступа?

Ответ: управление привилегированными пользователями (PIM) и роли администратора Microsoft Entra.

Вопрос. Что такое позиция Майкрософт по синхронизации учетных записей администратора с идентификатором Microsoft Entra?

Ответ. Учетные записи администратора нулевого уровня используются только для локальных учетных записей AD. Такие учетные записи обычно не синхронизируются с идентификатором Microsoft Entra в облаке. Учетные записи администратора нулевого уровня, включая учетные записи, группы и другие ресурсы, которые имеют прямой или косвенный административный контроль над локальным лесом Active Directory, доменами, контроллерами доменов и ресурсами.

Вопрос. Как запретить администраторам назначать случайные права доступа администратора на портале?

Ответ. Используйте непривилегированные учетные записи для всех пользователей и большинства администраторов. Начните с разработки схемы сотрудников организации, чтобы определить, какие из немногих учетных записей администратора должны быть привилегированными. Отслеживайте создаваемых администраторов.

Следующие шаги

• Центр управления безопасностью Майкрософт. Безопасность продуктов. Функции безопасности облачных продуктов и служб Майкрософт.

• Предложения по соответствию требованиям Майкрософт — комплексный набор предложений соответствия для облачных служб Майкрософт

• Руководство по проведению оценки угроз для безопасности. Управление требованиями к безопасности и соответствию для облачных служб Майкрософт.

Другие веб-службы Майкрософт

• Microsoft Intune Security. Intune обеспечивает управление мобильными устройствами, управление мобильными приложениями и возможности управления ПК из облака.

• Средства обеспечения безопасности в Microsoft Dynamics 365. Dynamics 365 — это облачное решение Майкрософт, которое сочетает возможности управления отношениями с клиентами (CRM) и планирования ресурсов предприятия (ERP).