5 BƯỚC BẢO MẬT HỆ THỐNG ĐỊNH DANH VỚI AZURE AD

Bước 1: Tăng cường độ bảo mật của các thông tin danh tính

Hầu hết các vi phạm bảo mật doanh nghiệp đều bắt nguồn từ việc tài khoản bị xâm phạm bằng một trong số các phương pháp như phun mật khẩu, phát lại vi phạm hoặc lừa đảo. Vì vậy để tăng cường độ bảo mật của các thông tin danh tính, bạn cần:

Sử dụng các phương thức xác thực mạnh

Sử dụng các mật khẩu thông thường, dùng nhiều lần sẽ dễ bị đoán, lừa đảo hoặc đánh cắp. Do đó, bạn cần tạo ra các chính sách về cách tạo mật khẩu mạnh cho người dùng.

Để dễ dàng kích hoạt mức bảo mật danh tính cơ bản, bạn có thể sử dụng tính năng kích hoạt bằng một cú nhấp chuột với Azure AD Security Defaults . Các mặc định bảo mật thực thi Azure AD MFA cho tất cả người dùng trong một đối tượng thuê và chặn đăng nhập từ các giao thức kế thừa cho toàn mạng tenant.

Chặn các mật khẩu thông thường và bỏ các quy tắc mật khẩu phức tạp

Nhiều doanh nghiệp sử dụng các quy tắc đặt mật khẩu phức tạp như yêu cầu có cả chữ, số, chữ in hoa và ký tự đặc biệt. Ngoài ra, họ cũng đặt thêm thời hạn đổi mật khẩu thường kỳ. Điều này gây rắc rối và khó nhớ cho người dùng. Dẫn tới yêu cầu về đổi, đặt lại mật khẩu cho phòng IT tăng lên.

Tính năng chặn mật khẩu động của Azure AD sử dụng các hành vi thường dùng của các hacker để chặn người dùng đặt các mật khẩu dễ đoán. Khả năng này luôn bật khi người dùng được tạo trên đám mây, nhưng hiện cũng khả dụng cho các tổ chức kết hợp khi họ triển khai bảo vệ bằng mật khẩu Azure AD cho Windows Server Active Directory . Bảo vệ bằng mật khẩu Azure AD chặn người dùng chọn các mật khẩu phổ biến này và có thể được mở rộng để chặn mật khẩu chứa các từ khóa tùy chỉnh mà bạn chỉ định.

Bảo vệ chống lại thông tin đăng nhập bị rò rỉ và thêm khả năng phục hồi chống lại sự cố

Nếu tổ chức của bạn sử dụng giải pháp nhận dạng kết hợp với xác thực chuyển qua hoặc liên kết, thì bạn nên bật đồng bộ hóa băm mật khẩu vì hai lý do sau:

• Các Người sử dụng với thông tin bị rò rỉ báo cáo trong công tác quản lý AD Azure cảnh báo bạn nhập tên người dùng và mật khẩu cặp, mà đã tiếp xúc trên “web đen”. Một lượng lớn mật khẩu đáng kinh ngạc bị rò rỉ thông qua lừa đảo, phần mềm độc hại và sử dụng lại mật khẩu trên các trang web của bên thứ ba mà sau đó đã bị vi phạm. Microsoft tìm thấy nhiều thông tin đăng nhập bị rò rỉ này và sẽ cho bạn biết, trong báo cáo này, nếu chúng khớp với thông tin đăng nhập trong tổ chức của bạn – nhưng chỉ khi bạn bật đồng bộ hóa băm mật khẩu hoặc có danh tính chỉ trên đám mây!
• Trong trường hợp cúp điện tại chỗ (ví dụ: trong một cuộc tấn công bằng ransomware), bạn có thể chuyển sang sử dụng xác thực đám mây bằng cách sử dụng đồng bộ hóa băm mật khẩu . Phương thức xác thực dự phòng này sẽ cho phép bạn tiếp tục truy cập các ứng dụng được định cấu hình để xác thực với Azure Active Directory, bao gồm cả Microsoft 365. Trong trường hợp này, nhân viên CNTT sẽ không cần sử dụng tài khoản email cá nhân để chia sẻ dữ liệu cho đến khi sự cố ngừng hoạt động tại chỗ được giải quyết. .

Triển khai khóa thông minh AD FS extranet

Các tổ chức định cấu hình ứng dụng để xác thực trực tiếp với Azure AD được hưởng lợi từ khóa thông minh Azure AD . Nếu bạn sử dụng AD FS trong Windows Server 2012R2, triển khai AD FS extranet khóa bảo vệ . Nếu bạn sử dụng AD FS trên Windows Server 2016, hãy triển khai khóa thông minh extranet . AD FS Smart Extranet lockout bảo vệ chống lại các cuộc tấn công bạo lực nhắm vào AD FS trong khi ngăn người dùng bị khóa trong Active Directory.

Bước 2: Giảm thiểu bề mặt tấn công

Với sự phổ biến của việc xâm phạm mật khẩu, việc giảm thiểu bề mặt tấn công trong tổ chức của bạn là rất quan trọng. Loại bỏ việc sử dụng các giao thức cũ hơn, kém an toàn hơn, hạn chế các điểm vào truy cập và thực hiện quyền kiểm soát đáng kể hơn đối với quyền truy cập quản trị vào tài nguyên có thể giúp giảm diện tích bề mặt tấn công.

Chặn xác thực kế thừa

Các ứng dụng sử dụng các phương pháp kế thừa của riêng chúng để xác thực với Azure AD và truy cập vào dữ liệu của công ty, gây ra một rủi ro khác cho các tổ chức. Ví dụ về các ứng dụng sử dụng xác thực cũ là ứng dụng khách POP3, IMAP4 hoặc SMTP. Các ứng dụng xác thực kế thừa xác thực thay mặt người dùng và ngăn Azure AD thực hiện các đánh giá bảo mật nâng cao. Phương thức xác thực hiện đại thay thế sẽ giảm thiểu rủi ro bảo mật của bạn vì nó hỗ trợ xác thực đa yếu tố và Truy cập có điều kiện. Chúng tôi khuyên bạn nên thực hiện ba hành động sau:

1. Chặn xác thực kế thừa nếu bạn sử dụng AD FS .
2. Thiết lập SharePoint Online và Exchange Online để sử dụng xác thực hiện đại .
3. Nếu bạn có Azure AD Premium, hãy sử dụng chính sách Truy cập có điều kiện để chặn xác thực kế thừa , nếu không, hãy sử dụng Azure AD Security Defaults.

Chặn các điểm nhập xác thực không hợp lệ

Sử dụng tâm lý giả định vi phạm, bạn nên giảm tác động của thông tin đăng nhập người dùng bị xâm phạm khi chúng xảy ra. Đối với mỗi ứng dụng trong môi trường của bạn, hãy xem xét các trường hợp sử dụng hợp lệ: nhóm nào, mạng nào, thiết bị nào và các phần tử khác được ủy quyền – sau đó chặn phần còn lại. Với Quyền truy cập có điều kiện của Azure AD , bạn có thể kiểm soát cách người dùng được ủy quyền truy cập vào các ứng dụng và tài nguyên của họ dựa trên các điều kiện cụ thể mà bạn xác định.

Hạn chế hoạt động lấy sự đồng ý của người dùng

Điều quan trọng là phải hiểu các trải nghiệm chấp thuận ứng dụng Azure AD khác nhau , các loại quyền và sự đồng ý cũng như tác động của chúng đối với tình trạng bảo mật của tổ chức của bạn. Theo mặc định, tất cả người dùng trong Azure AD có thể cấp cho các ứng dụng tận dụng nền tảng nhận dạng Microsoft để truy cập vào dữ liệu của tổ chức bạn. Mặc dù việc cho phép người dùng tự chấp thuận cho phép người dùng dễ dàng có được các ứng dụng hữu ích tích hợp với Microsoft 365, Azure và các dịch vụ khác, nhưng nó có thể gây rủi ro nếu không được sử dụng và giám sát cẩn thận.

Đảm bảo người dùng có thể yêu cầu quản trị viên phê duyệt các ứng dụng mới để giảm bớt sự phiền hà của người dùng, giảm thiểu khối lượng hỗ trợ và ngăn người dùng đăng ký các ứng dụng bằng thông tin đăng nhập không phải Azure AD. Sau khi bạn điều chỉnh các hoạt động lấy sự đồng ý của mình, quản trị viên nên thường xuyên kiểm tra ứng dụng và các quyền được đồng ý.

Triển khai quản lý nhận dạng đặc quyền của Azure AD

Một tác động khác của “vi phạm giả định” là cần giảm thiểu khả năng tài khoản bị xâm phạm có thể hoạt động với vai trò đặc quyền.

Azure AD Privileged Identity Management (PIM) giúp bạn giảm thiểu các đặc quyền tài khoản bằng cách giúp bạn:

• Xác định và quản lý người dùng được giao cho các vai trò quản trị.
• Hiểu các vai trò đặc quyền không sử dụng hoặc quá mức mà bạn nên xóa.
• Thiết lập các quy tắc để đảm bảo các vai trò đặc quyền được bảo vệ bằng xác thực đa yếu tố.
• Thiết lập các quy tắc để đảm bảo các vai trò đặc quyền chỉ được cấp đủ lâu để hoàn thành nhiệm vụ đặc quyền.

Bật Azure AD PIM, sau đó xem những người dùng được chỉ định vai trò quản trị và xóa các tài khoản không cần thiết trong các vai trò đó. Đối với những người dùng đặc quyền còn lại, hãy chuyển họ từ vĩnh viễn sang đủ điều kiện. Cuối cùng, thiết lập các chính sách phù hợp để đảm bảo khi họ cần tiếp cận với các vai trò đặc quyền đó, họ có thể thực hiện điều đó một cách an toàn, với sự kiểm soát thay đổi cần thiết.

Bước 3: Tự động phản hồi các mối đe dọa

Azure Active Directory có nhiều khả năng tự động chặn các cuộc tấn công, để loại bỏ độ trễ giữa phát hiện và phản hồi. Bạn có thể giảm chi phí và rủi ro, khi bạn giảm thời gian bọn tội phạm sử dụng để tự nhúng mình vào môi trường của bạn. Dưới đây là các bước cụ thể mà bạn có thể thực hiện.

Triển khai chính sách bảo mật rủi ro người dùng bằng Azure AD Identity Protection

Rủi ro người dùng cho biết khả năng danh tính của người dùng đã bị xâm phạm và được tính toán dựa trên các phát hiện rủi ro người dùng có liên quan đến danh tính của người dùng. Chính sách rủi ro người dùng là chính sách Truy cập có điều kiện đánh giá mức độ rủi ro cho một người dùng hoặc một nhóm cụ thể. Dựa trên mức độ rủi ro Thấp, Trung bình, Cao, một chính sách có thể được định cấu hình để chặn truy cập hoặc yêu cầu thay đổi mật khẩu an toàn bằng cách sử dụng xác thực đa yếu tố. Khuyến nghị của Microsoft là yêu cầu thay đổi mật khẩu an toàn cho những người dùng có rủi ro cao.

Triển khai chính sách rủi ro khi đăng nhập bằng Bảo vệ nhận dạng quảng cáo Azure

Rủi ro khi đăng nhập là khả năng ai đó không phải chủ sở hữu tài khoản đang cố gắng đăng nhập bằng danh tính. Một Lần đăng nhập chính sách rủi ro là một chính sách có điều kiện truy cập mà đánh giá mức độ rủi ro đối với một người dùng hoặc nhóm cụ thể. Dựa trên mức độ rủi ro (cao / trung bình / thấp), một chính sách có thể được định cấu hình để chặn truy cập hoặc buộc xác thực đa yếu tố. Đảm bảo rằng bạn bắt buộc xác thực nhiều yếu tố khi đăng nhập có mức độ rủi ro Trung bình trở lên.

Bước 4: Sử dụng trí thông minh đám mây

Kiểm tra và ghi nhật ký các sự kiện liên quan đến bảo mật và các cảnh báo liên quan là các thành phần thiết yếu của một chiến lược bảo vệ hiệu quả. Nhật ký và báo cáo bảo mật cung cấp cho bạn hồ sơ điện tử về các hoạt động đáng ngờ và giúp bạn phát hiện các mẫu có thể cho thấy sự xâm nhập mạng từ bên ngoài đã cố gắng hoặc thành công cũng như các cuộc tấn công nội bộ. Bạn có thể sử dụng kiểm toán để giám sát hoạt động của người dùng, lập hồ sơ tuân thủ quy định, thực hiện phân tích pháp y và hơn thế nữa. Cảnh báo cung cấp thông báo về các sự kiện bảo mật.

Giám sát Azure AD

Các dịch vụ và tính năng của Microsoft Azure cung cấp cho bạn các tùy chọn kiểm tra và ghi nhật ký bảo mật có thể định cấu hình để giúp bạn xác định các lỗ hổng trong chính sách và cơ chế bảo mật của mình và giải quyết các lỗ hổng đó để giúp ngăn chặn vi phạm. Bạn có thể sử dụng Kiểm tra và Ghi nhật ký Azure và sử dụng báo cáo hoạt động Kiểm tra trong cổng Azure Active Directory .

Giám sát tình trạng kết nối Azure AD trong môi trường kết hợp

Giám sát AD FS với Azure AD Connect Health cung cấp cho bạn cái nhìn sâu sắc hơn về các vấn đề tiềm ẩn và khả năng hiển thị các cuộc tấn công vào cơ sở hạ tầng AD FS của bạn. Azure AD Connect Health cung cấp các cảnh báo với thông tin chi tiết, các bước giải quyết và liên kết đến tài liệu liên quan; phân tích sử dụng cho một số chỉ số liên quan đến lưu lượng xác thực; giám sát hiệu suất và báo cáo.

Giám sát tình trạng kết nối Azure AD trong môi trường kết hợp

Azure AD Identity Protection là một công cụ thông báo, giám sát và báo cáo mà bạn có thể sử dụng để phát hiện các lỗ hổng tiềm ẩn ảnh hưởng đến danh tính tổ chức của bạn. Nó phát hiện các phát hiện rủi ro, chẳng hạn như thông tin đăng nhập bị rò rỉ, không thể di chuyển và đăng nhập từ các thiết bị bị nhiễm, địa chỉ IP ẩn danh, địa chỉ IP liên quan đến hoạt động đáng ngờ và các vị trí không xác định. Bật cảnh báo thông báo để nhận email của người dùng có nguy cơ và email thông báo hàng tuần.

Azure AD Identity Protection cung cấp hai báo cáo quan trọng mà bạn nên theo dõi hàng ngày:

1. Báo cáo đăng nhập rủi ro sẽ hiển thị các hoạt động đăng nhập của người dùng mà bạn nên điều tra, chủ sở hữu hợp pháp có thể chưa thực hiện đăng nhập.
2. Báo cáo người dùng rủi ro sẽ hiển thị các tài khoản người dùng có thể đã bị xâm phạm, chẳng hạn như thông tin xác thực bị rò rỉ đã được phát hiện hoặc người dùng đăng nhập từ các vị trí khác nhau gây ra sự kiện không thể di chuyển.

Kiểm tra ứng dụng và quyền được đồng ý

Người dùng có thể bị lừa điều hướng đến một trang web bị xâm nhập hoặc các ứng dụng sẽ có quyền truy cập vào thông tin hồ sơ và dữ liệu người dùng của họ, chẳng hạn như email của họ. Kẻ độc hại có thể sử dụng các quyền được đồng ý mà nó nhận được để mã hóa nội dung hộp thư của họ và yêu cầu tiền chuộc để lấy lại dữ liệu hộp thư của bạn. Quản trị viên nên xem xét và kiểm tra các quyền do người dùng cấp hoặc vô hiệu hóa khả năng đồng ý của người dùng theo mặc định.

Bước 5: Cho phép người dùng tự hỗ trợ

Bạn sẽ muốn cân bằng bảo mật với năng suất càng nhiều càng tốt. Cùng đường hướng tiếp cận hành trình của bạn với suy nghĩ rằng bạn đang đặt nền tảng cho bảo mật về lâu dài, bạn có thể xóa bỏ xích mích khỏi tổ chức của mình bằng cách trao quyền cho người dùng trong khi vẫn cảnh giác.

Cho phép tự đặt lại mật khẩu

Đặt lại mật khẩu tự phục vụ của Azure AD (SSPR) cung cấp một phương tiện đơn giản cho quản trị viên CNTT để cho phép người dùng đặt lại hoặc mở khóa mật khẩu hoặc tài khoản của họ mà không cần bàn trợ giúp hoặc sự can thiệp của quản trị viên. Hệ thống bao gồm báo cáo chi tiết theo dõi thời điểm người dùng đặt lại mật khẩu của họ, cùng với các thông báo để cảnh báo bạn sử dụng sai hoặc lạm dụng.

Triển khai nhóm tự phục vụ và quyền truy cập ứng dụng

Azure AD cung cấp khả năng cho những người không phải là quản trị viên để quản lý quyền truy cập vào tài nguyên, sử dụng nhóm bảo mật, nhóm Microsoft 365, vai trò ứng dụng và danh mục gói truy cập. Quản lý nhóm tự phục vụ cho phép chủ sở hữu nhóm quản lý nhóm của riêng họ mà không cần được giao vai trò quản trị. Người dùng cũng có thể tạo và quản lý các nhóm Microsoft 365 mà không cần dựa vào quản trị viên để xử lý các yêu cầu của họ và các nhóm không sử dụng sẽ tự động hết hạn. Quản lý quyền Azure ADhơn nữa cho phép ủy quyền và khả năng hiển thị, với quy trình công việc yêu cầu truy cập toàn diện và hết hạn tự động. Bạn có thể ủy quyền cho những người không phải quản trị viên khả năng định cấu hình gói truy cập của riêng họ cho các nhóm, Nhóm, ứng dụng và trang SharePoint Online mà họ sở hữu, với các chính sách tùy chỉnh cho người được yêu cầu phê duyệt quyền truy cập, bao gồm định cấu hình người quản lý của nhân viên và nhà tài trợ đối tác kinh doanh làm người phê duyệt .

Thực hiện Azure AD đánh giá truy cập

Với đánh giá quyền truy cập Azure AD , bạn có thể quản lý gói truy cập và tư cách thành viên nhóm, quyền truy cập vào các ứng dụng doanh nghiệp và phân công vai trò đặc quyền để đảm bảo bạn duy trì tiêu chuẩn bảo mật. Sự giám sát thường xuyên của chính người dùng, chủ sở hữu tài nguyên và những người đánh giá khác đảm bảo rằng người dùng không giữ quyền truy cập trong thời gian dài khi họ không còn cần đến nó nữa.