Office 365 üldadministraatorikontode kaitsmine

Kokkuvõte: tehke oma üldadministraatori kontode kaitsmiseks järgmist.

Oma Office 365 tellimuse kaitsmiseks selliste rünnakute eest, mis kasutavad ära üldadministraatori kontot, peate viivitamatult tegema järgmist:

  1. looma sihtotstarbelised Office 365 üldadministraatorikontod ja kasutama neid ainult siis, kui see on tõesti vajalik;

  2. konfigureerima oma sihtotstarbeliste Office 365 üldadministraatorikontode jaoks mitmikautentimise ja kasutama tugevaimat teisese autentimise varianti;

  3. lubama ja konfigureerima Office 365 pilvrakenduste turbeteenuse, et hoida üldadministraatorikontode tegevustel silma peal ja kahtlasevõitu toiminguid kohe märgata.

Office 365 tellimuse turberünnakute (sh teabekogumis- ja andmepüügirünnakute) tegemisel kasutatakse enamasti kurjasti ära just Office 365 üldadministraatorikonto identimisteavet. Pilvkeskkonna turvalisuse tagamiseks peate Microsoftiga koostööd tegema.

  • Microsofti pilvteenused on rajatud usalduse ja turvalisuse vundamendile. Microsoft annab teie käsutusse turbemeetmed ja võimalused, mis aitavad teie andmeid ja rakendusi kaitsta.

  • Teie andmed ja identiteedid kuuluvad teile. Seega on ka nende kaitsmine teie ülesanne, nagu ka teie kohapealsete ressursside turvalisuse ja teie kontrolli alla jäävate pilvkomponentide turvalisuse tagamine.

Oma teabe kaitsmiseks peate kindlasti kasutusele võtma Microsofti pakutavad turbemeetmed ja kontrollivahendid.

Märkus. : Kuigi see artikkel keskendub üldadministraatori kontodele, peaksite ka kaaluma, kas täiendavaid kontosid, millel on laiaulatuslikud õigused teie tellimuse andmetele juurdepääsemiseks (nt e-juurdluse administraatori kontod või turbekontod või nõuetele vastavuse administraatori kontod), tuleks samal viisil kaitsta.

1. toiming: looge sihtotstarbelised Office 365 üldadministraatorikontod ja kasutage neid ainult siis, kui see on tõesti vajalik

Selliseid haldustoiminguid, mis nõuavad üldadministraatori õigusi, on üsna vähe – näiteks on selleks kasutajakontodele rollide määramine. Seetõttu peaksite tavapärastele kasutajakontodele üldadministraatorirolli määramise ja nende kontode argikasutuse asemel tegema viivitamatult järgmist.

  1. Otsige üles kasutajakontod, millele on määratud üldadministraatori roll. Seda saate teha Office 365 PowerShellis järgmise käsuga:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Logige oma Office 365 tellimuses sisse kasutajakontoga, millele on määratud üldadministraatori roll.

  3. Looge vähemalt üks, kuid mitte rohkem kui viis sihtotstarbelist üldadministraatori kasutajakontot. Kasutage tugevat parooli, mis koosneb vähemalt 12 märgist. Talletage uue konto paroolid kindlas kohas.

  4. Määrake igale uuele sihtotstarbelisele üldadministraatori kasutajakontole üldadministraatori roll.

  5. Logige teenusekomplektist Office 365 välja.

  6. Logige sisse ühega oma uutest sihtotstarbelistest üldadministraatori kasutajakontodest.

  7. Tehke iga 1. toimingus tuvastatud olemasoleva kasutajakontoga, millele oli määratud üldadministraatori roll, järgmist.

    • Eemaldage üldadministraatori roll.

    • Määrake kontole administraatorirollid, mis on selle kasutaja tööülesannete ja vastutusalade jaoks asjakohased. Lisateavet erinevate Office 365 administraatorirollide kohta leiate artiklist Teave Office 365 administraatorirollide kohta.

  8. Logige teenusekomplektist Office 365 välja.

Tulemus peaks olema järgmine.

  • Ainsad kasutajakontod teie tellimuses, millel on üldadministraatori roll, on uued sihtotstarbelised üldadministraatorikontod. Selle kontrollimiseks käivitage Windows PowerShelli Windows Azure’i Active Directory mooduli käsuviibaaknas järgmine PowerShelli käsk:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Kõigile muudele igapäevastele kasutajakontodele, mille kaudu te tellimust haldate, peaksid olema määratud kasutaja töökohustustele vastavad administraatorirollid.

Sellest hetkest alates tuleb teil sihtotstarbeliste üldadministraatorikontodega sisse logida ainult selliste toimingute tegemiseks, mis nõuavad üldadministraatori õigusi. Kõigi muude Office 365 haldustoimingute tegemiseks tuleb kasutajakontodele määrata muud administraatorirollid.

Märkus. : Jah, see nõuab täiendavaid toiminguid – peate oma igapäevaselt kasutajakontolt välja logima ja seejärel sihtotstarbelise üldadministraatorikontoga sisse logima. Kuid seda on vaja teha üksnes mõnikord, kui tegemist ootab mõni üldadministraatori õigusi nõudev toiming. Võtke arvesse, et Office 365 tellimuse taastamine pärast üldadministraatorikonto kaudu toimunud rünnakut nõuab palju rohkem aega ja vaeva.

2. toiming: konfigureerige oma sihtotstarbeliste Office 365 üldadministraatorikontode jaoks mitmikautentimine ja kasutage tugevaimat teisese autentimise varianti

Üldadministraatori kontode mitmikautentimise (MFA) korral ei piisa üksnes konto nime ja parooli teadmisest. Office 365 toetab järgmisi kinnitusviise:

  • telefonikõne

  • juhugenereeritud pääsukood

  • kiipkaart (virtuaalne või füüsiline)

  • biomeetriline seade

Kui töötate väikeettevõttes, kus kasutatakse üksnes pilvkeskkonnas talletatud kasutajakontoid (pilveidentiteedi mudel), tehke viivitamatult järgmist, et konfigureerida mitmikautentimine kas telefonikõne või tekstsõnumina nutitelefoni saadetava kontrollkoodi abil.

  1. Lubage mitmikautentimine.

  2. Häälestage Office 365 jaoks kaheastmeline kinnitamine, et konfigureerida iga sihtotstarbelise üldadministraatorikonto jaoks kinnitusviisina kas telefonikõne või tekstsõnum.

Kui töötate suuremas asutuses, kus kasutatakse Office 365 sünkroonitud või liitidentiteedimudeleid, on teie jaoks saadaval rohkem kinnitusviise. Kui teil on tugevama teisese autentimisviisi jaoks vajalik turbetaristu juba paigas, tehke viivitamatult järgmist.

  1. Lubage mitmikautentimine.

  2. Häälestage Office 365 jaoks kaheastmeline kinnitamine, et konfigureerida iga sihtotstarbelise üldadministraatorikonto jaoks asjakohane kinnitusviis.

Kui soovitud tugevama kinnitusviisi jaoks vajalikku turbetaristut pole paigas ja seda ei saa Office 365 MFA jaoks kasutada, on soovitatav konfigureerida sihtotstarbeliste üldadministraatorikontode jaoks mitmikautentimine ajutise turbemeetmena viivitamatult kas telefonikõne või tekstsõnumiga nutitelefoni saadetava kinnituskoodi abil. Ärge jätke oma sihtotstarbelisi üldadministraatorikontosid ilma mitmikautentimise pakutava täiendava kaitseta.

Lisateavet leiate artiklist Office 365 juurutustes mitmikautentimise rakendamise plaanimine.

Office 365 teenustega mitmikautentimise ja PowerShelli abil ühenduse loomiseks lugege seda artiklit.

3: toiming: lubage ja konfigureerige Office 365 pilvrakenduste turbeteenus, et hoida üldadministraatorikontode tegevustel silma peal ja kahtlasevõitu toiminguid kohe märgata

Office 365 pilvrakenduste turbeteenus võimaldab teil luua poliitikaid, mis teavitavad teid tellimuses toimuvast kahtlasest käitumisest. Pilvrakenduste turbeteenus on vaikimisi kaasatud Office 365 E5 lepingusse, ent see on saadaval ka omaette teenusena. Kui teil näiteks pole Office 365 E5 lepingut, saate osta pilvrakenduste turbeteenuse üksiklitsentse nende kasutajakontode jaoks, millele on määratud üldadministraatori, turbeadministraatori või nõuetele vastavuse administraatori roll.

Kui teil on pilvrakenduste turbeteenus oma Office 365 tellimuses olemas, tehke viivitamatult järgmist.

  1. Logige Office 365 portaali sisse kontoga, millele on määratud turbeadministraatori või nõuetele vastavuse administraatori roll.

  2. Lülitage Office 365 pilvrakenduste turbeteenus sisse.

  3. Looge anomaaliatuvastuspoliitikad, mis saadavad teile meili, kui administraatoriõigusi nõudvates haldustegevustes on tuvastatud anomaalseid mustreid.

Kasutajakontole turbeadministraatori rolli lisamiseks looge ühendus Office 365 PowerShelliga, kasutades selleks oma sihtotstarbelist üldadministraatorikontot ja mitmikautentimist, sisestage kasutajakonto täiskasutajanimi (UPN) ja seejärel käivitage järgmised käsud:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Nõuetele vastavuse administraatorirolli lisamiseks kasutajakontole sisestage kasutajakonto täiskasutajanimi ja seejärel käivitage järgmised käsud:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Täiendav kaitse üldadministraatori kontode jaoks

Kui toimingud 1–3 on tehtud, kasutage järgmisi täiendavaid meetodeid tagamaks, et teie üldadministraatori konto ja konfiguratsioon, mida selle jaoks kasutate, oleksid võimalikult turvalised.

Eelisjuurdepääsuga tööjaam (PAW)

Kasutage PAW-d tagamaks, et väga konfidentsiaalsete ülesannete täitmine toimuks võimalikult turvaliselt. PAW on spetsiaalne arvuti, mida kasutatakse ainult tundliku konfiguratsiooniga ülesannete jaoks, nt Office 365 konfiguratsiooni jaoks, mis nõuab üldadministraatori kontot. Kuna seda arvutit ei kasutata igapäevaselt Interneti sirvimiseks ega meilide lugemiseks, on see internetipõhiste rünnakute ja ohtude eest paremini kaitstud.

PAW häälestamise juhised leiate aadressilt http://aka.ms/cyberpaw.

Azure AD Privileged Identity Management (PIM)

Selmet määrata üldadministraatori kontodele jäädavalt üldadministraatori roll, saate kasutada Azure AD PIM-i, et lubada üldadministraatori rolli määramine nõudmisel just sel ajal, kui seda on vaja.

Teisisõnu pole teie üldadministraatori kontodel jäädavalt üldadministraatori rolli, vaid need on sobivate õigustega administraatorid. Üldadministraatori roll on passiivne seni, kuni keegi seda vajab. Seejärel tuleb läbida aktiveerimisprotsess, et lisada eelnevalt määratletud ajaks üldadministraatori roll üldadministraatori kontole. Vastava aja möödudes eemaldab PIM üldadministraatori kontolt üldadministraatori rolli.

PIM-i ja selle protsessi kasutamine vähendab märkimisväärselt aega, mil teie üldadministraatori kontod on rünnakutele ja pahatahtlikele kasutajatele haavatavad.

Lisateavet leiate artiklist Azure AD Privileged Identity Managementi konfigureerimine.

Märkus. : PIM on saadaval teenusega Azure Active Directory Premium P2, mis kuulub komplekti Enterprise Mobility + Security (EMS) E5. Võite üldadministraatori kontode jaoks osta ka üksikud litsentsid.

Turbeteabe ja sündmuste halduse (SIEM) tarkvara Office 365 logimise jaoks

SIEM-tarkvara ja server, kus see töötab, analüüsivad reaalajas rakenduste ning võrgu riistvara loodud turbeteatisi ja -sündmusi. Selleks et lubada SIEM-serveril Office 365 turbeteatised ja -sündmused oma analüüsi- ning aruandlusfunktsioonide hulka lisada, integreerige SIEM-süsteemi järgmised üksused.

Järgmine toiming

Lugege artiklit Office 365 head turbetavad.

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liituge Office Insideri programmiga

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×