Zalecane ustawienia zabezpieczeń dla Azure AD i Microsoft 365 wg CISA

Agencja rządowa USA – CISA | Cybersecurity and Infrastructure Security Agency – opublikowała rekomendacje dla konfiguracji zabezpieczeń w usługach Microsoft Azure Active Directory i Microsoft 365.

W dokumencie datowanym na październik 2022 i opatrzonym dopiskiem Draft (szkic):

Microsoft Azure Active Directory M365 Minimum Viable Secure Configuration Baseline.
Draft Version 0.1.

znajdziemy zalecane ustawienia dla usługi Microsoft 365, które CISA uznaje jako minimalnie wymagane.

Większość z nich wywodzi się z metodyki Zero Trust (Metodyka Braku Zaufania – nigdy nie ufaj, zawsze kontroluj) i technologicznie wymaga zasad dostępu warunkowego. W ofercie Microsoft dostęp warunkowy to element subskrypcji Microsoft 365 Business Premium i wyższych.

W ofercie RedFlag usługa CloudAdmin zawiera technologię i usługi dla Zero Trust. Pozwala to w 100% dostosować się do rekomendacji CISA.

Każda organizacja może zweryfikować stan aktywnie stosowanych zabezpieczeń używając 18 punktów kontrolnych.

Lista 18 rekomendacji CISA:

1. Podstawowe protokoły uwierzytelnienia POWINNY ZOSTAĆ zablokowane

2. Użytkownicy wysokiego ryzyka POWINNI ZOSTAĆ zablokowani przy logowaniu

3. Logowanie wysokiego ryzyka POWINO ZOSTAĆ zablokowane

4. Odporne na phishing uwierzytelnianie wieloskładnikowe JEST wymagane dla wszystkich użytkowników

5. Dzienniki usługi Azure AD POWINNY BYĆ archiwizowane

6. Tylko administratorzy MOGĄ rejestrować aplikacje stron trzecich

7. Użytkownicy niebędący administratorami NIE MOGĄ udzielać zgody na aplikacje stron trzecich

8. Hasła NIE WYGASAJĄ

9. Długość sesji przeglądarki JEST ograniczona

10. Sesje przeglądarki NIE MOGĄ być trwałe

11. Liczba użytkowników z najwyższymi uprawnieniami POWINNA BYĆ ograniczona

12. Wysoce uprzywilejowane konta użytkowników BĘDĄ dostępne wyłącznie w chmurze

13. Uwierzytelnianie wieloskładnikowe JEST wymagane dla wysoce uprzywilejowanych ról

14. Użytkownicy przypisani do wysoce uprzywilejowanych ról NIE MAJĄ trwałych uprawnień

15. Aktywacja wysoce uprzywilejowanych ról POWINNA wymagać zatwierdzenia

16. Wysoce uprzywilejowane przydzielanie i aktywowanie ról POWINNO BYĆ monitorowane

17. Zarządzane urządzenia POWINNY BYĆ wymagane do uwierzytelniania

18. Dostęp gościa POWINIEN BYĆ ograniczony

Oryginalny tytuł publikacji: Microsoft Azure Active Directory M365 Minimum Viable Secure Configuration Baseline, Draft Version 0.1

Oryginalny link do publikacji

https://www.cisa.gov/sites/default/files/publications/Microsoft%20Azure%20Active%20Directory%20M365%20Minimum%20Viable%20SCB%20Draft%20v0.1.pdf#:~:text=CISA%20recommends%20placing%20highly%20privileged%20users%20into%20an,of%20the%20following%20phishing-resistant%20MFA%20methods%20to%20configure%3A

Dec
9