Planejar padrões de segurança

  • 2 minutos

Gerir a segurança pode ser difícil com ataques comuns relacionados à identidade, como ataque spray de palavras-passe, replay e phishing, que se estão a tornar mais populares. Os padrões de segurança fornecem configurações padrão seguras que a Microsoft gerencia em nome das organizações para manter os clientes seguros até que as organizações estejam prontas para gerenciar sua própria história de segurança de identidade. Os padrões de segurança fornecem configurações de segurança pré-configuradas, como:

  • Exigir que todos os usuários se registrem para autenticação multifator.

  • Exigir que os administradores realizem a autenticação multifator.

  • Bloqueio de protocolos de autenticação herdados.

  • Exigir que os usuários executem autenticação multifator quando necessário.

  • Proteger atividades privilegiadas, como o acesso ao portal do Azure.

    Captura de ecrã do centro de administração do Microsoft Entra com a alternância para ativar predefinições de segurança.

Disponibilidade

Os padrões de segurança da Microsoft estão disponíveis para todos. O objetivo é garantir que todas as organizações tenham um nível básico de segurança habilitado sem custo extra. Se o seu locatário foi criado a 22 de outubro de 2019 ou depois, as predefinições de segurança podem já estar ativadas. Para proteger todos os utilizadores, as definições de segurança estão ativadas em todos os novos locatários no momento da criação.

Para ativar ou desativar as predefinições de segurança, inicie sessão no centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional, depois, aceda a Entra ID>Visão geral>Propriedades e selecione Gerir predefinições de segurança.

A quem se destina?

Quem deve usar os padrões de segurança? Quem não deve usar padrões de segurança?
Organizações que querem aumentar a sua postura de segurança, mas não sabem como ou por onde começar Organizações que atualmente usam políticas de Acesso Condicional para reunir sinais, tomar decisões e aplicar políticas organizacionais
Organizações que utilizam o nível gratuito do Licenciamento do Microsoft Entra ID Organização com licenças Microsoft Entra ID Premium
Organizações com requisitos de segurança complexos que justificam o uso do Acesso Condicional

Políticas aplicadas

Registro unificado de autenticação multifator

Todos os utilizadores do seu tenant devem registar-se para autenticação multifator (MFA) usando a aplicação Microsoft Authenticator. O registo é obrigatório imediatamente — não há período de carência. Quando os utilizadores iniciam sessão após estarem ativados os valores de segurança, são convidados a registar-se antes de poderem aceder a qualquer recurso. O prompt MFA utiliza correspondência de números, onde os utilizadores inserem um número exibido no ecrã na aplicação Microsoft Authenticator, o que ajuda a prevenir ataques de fadiga MFA.

Proteção de administradores

Utilizadores com acesso privilegiado frequentemente aumentam o acesso ao seu ambiente. Devido ao poder que essas contas têm, você deve tratá-las com cuidado especial. Um método comum para melhorar a proteção de contas privilegiadas é exigir uma forma mais forte de verificação de conta para entrar. No Microsoft Entra ID, você pode obter uma verificação de conta mais forte exigindo autenticação multifator.

Após a conclusão do registo com autenticação multifator, os seguintes papéis de administrador do Microsoft Entra são obrigados a realizar outra autenticação sempre que iniciam sessão:

  • Administrador Global
  • Administrador de Aplicações
  • Administrador de Autenticação
  • Administrador de políticas de autenticação
  • Administrador de Faturação
  • Administrador de aplicativos na nuvem
  • Administrador de Acesso Condicional
  • Administrador do Exchange
  • Administrador do Helpdesk
  • Administrador de Governança de Identidade
  • Administrador de senha
  • Administrador de Autenticação Privilegiada
  • Administrador de Função Privilegiada
  • Administrador de Segurança
  • Administrador do SharePoint
  • Administrador de Utilizadores

Proteger todos os utilizadores

Tendemos a pensar que as contas de administrador são as únicas contas que precisam de camadas extras de autenticação. Os administradores têm amplo acesso a informações confidenciais e podem fazer alterações nas configurações de toda a assinatura. Mas os atacantes têm frequentemente como alvo os utilizadores finais.

Depois que esses invasores obtiverem acesso, eles podem solicitar acesso a informações privilegiadas em nome do titular da conta original. Eles podem até mesmo baixar todo o diretório para realizar um ataque de phishing em toda a sua organização.

Um método comum para melhorar a proteção para todos os usuários é exigir uma forma mais forte de verificação de conta, como autenticação multifator, para todos. Depois de os utilizadores concluírem o registo da Autenticação Multifator, serão solicitados a obter autenticação adicional sempre que necessário. Esta funcionalidade protege todas as aplicações registadas com o Microsoft Entra ID, incluindo aplicações SaaS.

Bloqueando a autenticação herdada

Para dar aos seus utilizadores fácil acesso às suas aplicações na cloud, o Microsoft Entra ID suporta vários protocolos de autenticação, incluindo autenticação legada. A autenticação herdada é uma solicitação de autenticação feita por:

  • Clientes que não usam autenticação moderna (por exemplo, um cliente do Office 2010). A autenticação moderna engloba clientes que implementam protocolos, como o OAuth 2.0, para suportar recursos como autenticação multifator e cartões inteligentes. A autenticação herdada normalmente suporta apenas mecanismos menos seguros, como senhas.
  • Cliente que usa protocolos de email como IMAP, SMTP ou POP3.

Atualmente, a maioria das tentativas de login comprometedoras vem da autenticação herdada. A autenticação herdada não suporta autenticação multifator. Mesmo que você tenha uma política de autenticação multifator habilitada em seu diretório, um invasor pode autenticar usando um protocolo mais antigo e ignorar a autenticação multifator.

Depois que os padrões de segurança forem habilitados em seu locatário, todas as solicitações de autenticação feitas por um protocolo mais antigo serão bloqueadas. Os padrões de segurança bloqueiam a autenticação básica do Exchange Ative Sync.