Provisioning users to highly privileged roles SHALL NOT occur outside of a PAM system.
Miért Fontos Ez
Amikor a magas jogosultságú szerepköröket, mint például a Global Administrator, egy emelt jogosultságú hozzáférés-kezelési (PAM) rendszeren kívül hozzák létre, elveszik annak lehetősége, hogy naplózzák, jóváhagyják és időkorláttal lássák el ezeket a megnövelt jogosultságokat. Ez növeli az állandó rendszergazdai hozzáférés kockázatát, amelyet a támadók kihasználhatnak vagy visszaélhetnek vele felügyelet nélkül. Egy PAM rendszer biztosítja a just-in-time hozzáférést és a megfelelő jóváhagyási munkafolyamatokat a kritikus szerepkörökhöz.
Mit Ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy a Microsoft Entra ID-n belüli magas jogosultságú szerepkörökbe történő összes felhasználói kiépítés egy PAM rendszeren, például a Microsoft Privileged Identity Management (PIM) rendszeren keresztül történik. Ez az ellenőrzés az Aether365 irányítópultján a entra-id kategória alatt jelenik meg CISA.MS.AAD.7.5 néven.
Hogyan Javítsuk
- Győződjön meg arról, hogy az összes magas jogosultságú szerepkör-hozzárendelés (például Global Administrator) csak a Microsoft Entra PIM-en vagy egy azzal egyenértékű PAM megoldáson keresztül aktiválódik.
- Helyezze át az állandó szerepkör-hozzárendeléseket a PIM-be azáltal, hogy jogosult hozzárendelésekké alakítja őket, amelyek aktiváláshoz multi-factor authentication és indoklás szükséges.
- Engedélyezze a PIM riasztásokat és jóváhagyási munkafolyamatokat a kiemelt szerepkörök aktiválásához a least privilege és a just-in-time hozzáférés érvényesítése érdekében.
- Tekintse át és távolítsa el a magas jogosultságú szerepkörök közvetlen, állandó hozzárendeléseit a Microsoft Entra admin centerből vagy PowerShell segítségével.
Megfelelés
- CIS: CISA.MS.AAD.7.5