Ensure that a phishing-resistant Multi-factor Authentication Policy Exists for High-Privileged Users

Miért fontos ez

A magas jogosultságú felhasználók, mint a globális rendszergazdák és a biztonsági rendszergazdák, elsődleges célpontjai a hitelesítő adatok ellopására irányuló támadásoknak és adathalász támadásoknak. Fishedzésnek ellenálló többtényezős hitelesítés nélkül egyetlen feltört fiók is széles körű hozzáférést biztosíthat érzékeny adatokhoz és kritikus rendszerekhez. A fishedzésnek ellenálló hitelesítés kötelezővé tétele ezen szerepkörök számára elengedhetetlen a Zero Trust elvek teljesítéséhez és a fiókátvétel kockázatának csökkentéséhez.

Mit ellenőriz az Aether365

Ez az ellenőrzés azt vizsgálja, hogy van-e olyan feltételes hozzáférési szabályzat, amely fishedzésnek ellenálló többtényezős hitelesítést ír elő a magas jogosultságú felhasználók számára. Az Aether365 irányítópultján, az entra-id ellenőrzések között jelenik meg, és jelzi a CIS 5.2.2.5 követelményének való megfelelés hiányosságait.

Javítás menete

1. Jelentkezzen be az Azure Portalra (portal.azure.com), és nyissa meg a Microsoft Entra ID-t.
2. A bal oldali navigációs menüben válassza a Security lehetőséget.
3. A Security alatt válassza a Conditional Access lehetőséget.
4. Kattintson a + New policy elemre egy új feltételes hozzáférési szabályzat létrehozásához, vagy szerkesszen egy meglévőt.
5. Rendelje hozzá a szabályzatot a magas jogosultságú felhasználói szerepkörökhöz (például Global Administrator, Privileged Role Administrator, Exchange Administrator).
6. A Cloud apps or actions alatt válassza az All cloud apps lehetőséget.
7. A Conditions alatt szükség szerint konfigurálja a feltételeket (például felhasználói kockázat vagy eszközplatform).
8. A Grant alatt válassza a Require multifactor authentication és a require phishing-resistant authentication method lehetőséget (például FIDO2 biztonsági kulcsok, Windows Hello for Business vagy tanúsítványalapú hitelesítés).
9. Mentse el a szabályzatot, először report-only módban engedélyezze a hatás teszteléséhez, majd állítsa On állapotba.

Megfelelőség

• CIS Microsoft 365 Foundations Benchmark 3.1.0 5.2.2.5 szakasz (E3 Level 2)
• CISA Zero Trust Maturity Model
• Microsoft Secure Score ajánlások az identitáskezeléshez

Kapcsolódó források

• Conditional Access policy for admin MFA
• Security emergency access accounts
• Troubleshoot Conditional Access using the What If tool
• Plan a Conditional Access deployment
• Azure security benchmark IM-7: Restrict resource access based on conditions

Microsoft references

• Howto conditional access policy admin mfa
• Security emergency access
• Troubleshoot conditional access what if
• Plan conditional access
• Security controls v3 identity management