Azure AD 5 大安全最佳实践

Azure Active Directory 掌握着 Microsoft 365 王国的钥匙。 Azure AD 负责身份验证和授权等重要功能，最终负责管理整个 Microsoft 云生态系统的访问。因此，它是许多网络攻击的目标。

在这篇博文中，我们将详细介绍保护 Azure Active Directory 和业务的 5 个最佳安全实践。

1.限制管理权限。

管理员帐户是攻击者的第一目标，因为它们提供对组织生态系统中更敏感数据和系统的访问权限。虽然这些帐户对于业务和 IT 功能都是必需的，但它们会给您的组织带来重大风险。

因此，专家强调，不仅要保护这些帐户的安全，还要限制其数量。实现这一目标需要全面了解组织的所有管理帐户 - 包括明显的和不明显的帐户。因此，除了枚举提供管理访问权限的已知组或角色的成员资格之外，请务必审核个人访问权限，以发现可能潜伏的影子管理员，并采取措施减少通过非标准方式进行权限升级的机会。

2. 定期审查访问和应用程序权限。

Azure AD 超越了本地 Active Directory 的配置能力 - 它不仅负责对用户和组进行身份验证并授予访问权限，还负责使用 SAML 或 OAuth 等现代身份验证方法的应用程序进行身份验证和授予访问权限。随着时间的推移，这些应用程序可能不再需要已授予的访问权限。事实上，如果没有监督和一致的审查，可能会发生严重的访问蔓延，从而大大增加组织的攻击面。

3. 启用 Azure AD 多重身份验证 (MFA)。

Azure AD MFA 通过要求用户提供两个或多个因素的组合来降低仅密码身份验证的风险：“他们知道的东西”（例如密码）、“他们拥有的东西”（例如电话等受信任的设备） ）和“它们是什么”（例如指纹）。 一般来说，建议不仅为管理员启用 MFA，还为所有用户启用 MFA，尤其是如果受到威胁可能会造成重大威胁的帐户。

Microsoft 提供了多种启用 MFA 的方法：

• Azure AD 安全默认设置 - 此选项使组织能够简化 MFA 部署并应用策略来质询管理帐户、要求所有用户通过 Microsoft Authenticator 进行 MFA 并限制旧版身份验证协议。此方法适用于所有许可级别。
• 条件访问策略 - 这些策略提供了在特定条件下要求 MFA 的灵活性，例如从异常位置、不受信任的设备或有风险的应用程序登录。这种方法仅在发现额外风险时才需要额外验证，从而减轻了用户的负担。
• 逐个用户修改用户状态 - 此选项适用于云中的 Azure AD MFA 和 Azure MFA 身份验证服务器。它要求用户在每次登录时执行两步验证并覆盖条件访问策略。

4. 审核 Azure AD 中的活动。

审核 Azure AD 环境中发生的情况非常重要，包括正在发生哪些登录、正在进行的更改以及应用程序的使用方式。组织应该部署的工具不仅可以监视正在发生的事件，还可以检测并标记正在发生的异常或威胁，例如：

• 权限更改，例如修改应用程序权限、应用程序证书或密钥生成，以及更改敏感角色（例如全局管理员）或组
• 可疑活动，例如不切实际或异常的地理位置登录或基于历史活动趋势的异常行为
• 已知攻击的迹象，例如可能表明存在密码喷射攻击的登录尝试失败

5. 保护本地 Active Directory。

虽然一些全新的组织仅部署在云中，但如今大多数公司结合使用本地系统和基于云的平台和应用程序。在这些混合 AD 部署中，监视和保护 Azure AD 和 Active Directory 的重要性怎么强调都不为过。通过使用 Azure AD Connect 等工具在本地和在线之间同步身份，被破坏的 AD 用户帐户很容易成为被破坏的 Azure AD 用户帐户，这为攻击者提供了超出本地基础设施边界的访问权限。

哪里可以获得帮助

现在你已经了解了这些强化 Azure Active Directory 环境的关键最佳实践，是时候使用它们了。虽然了解所有管理帐户、使用 MFA 保护它们、定期检查对它们的访问权限并以富有成效的方式监控更改可能感觉是一项艰巨的挑战，但不用担心 — Netwrix 提供了帮助的工具！详细了解如何使用我们广泛的产品组合审核管理权限、发现混合生态系统中的恶意活动以及通过即时访问替换易受攻击的常规管理帐户。