Co to są wartości domyślne zabezpieczeń?What are security defaults?

13.05.2020
Czas czytania: 7 min

Zarządzanie zabezpieczeniami może być trudne z typowymi atakami związanymi z tożsamościami, takimi jak rozpylanie, odtwarzanie i wyłudzanie informacji.Managing security can be difficult with common identity-related attacks like password spray, replay, and phishing becoming more and more popular. Ustawienia domyślne zabezpieczeń ułatwiają ochronę organizacji przed atakami ze wstępnie skonfigurowanymi ustawieniami zabezpieczeń:Security defaults make it easier to help protect your organization from these attacks with preconfigured security settings:

Wymaganie, aby wszyscy użytkownicy rejestrowali się w usłudze Azure Multi-Factor Authentication.Requiring all users to register for Azure Multi-Factor Authentication.
Wymaganie od administratorów wykonywania uwierzytelniania wieloskładnikowego.Requiring administrators to perform multi-factor authentication.
Blokowanie starszych protokołów uwierzytelniania.Blocking legacy authentication protocols.
Wymaganie od użytkowników uwierzytelniania wieloskładnikowego w razie potrzeby.Requiring users to perform multi-factor authentication when necessary.
Ochrona uprzywilejowanych działań, takich jak dostęp do Azure Portal.Protecting privileged activities like access to the Azure portal.

Zrzut ekranu przedstawiający Azure Portal z przełącznikiem umożliwiającym włączenie ustawień domyślnych zabezpieczeń

Więcej informacji o tym, dlaczego są udostępniane wartości domyślne zabezpieczeń, można znaleźć w wpisie w blogu Alex Weinert, wprowadzając wartości domyślne zabezpieczeń.More details on why security defaults are being made available can be found in Alex Weinert's blog post, Introducing security defaults.

DostępnośćAvailability

Firma Microsoft udostępnia wartości domyślne zabezpieczeń dla wszystkich użytkowników.Microsoft is making security defaults available to everyone. Celem jest zapewnienie, że wszystkie organizacje mają podstawowy poziom zabezpieczeń włączony bez dodatkowych kosztów.The goal is to ensure that all organizations have a basic level of security enabled at no extra cost. Ustawienia domyślne zabezpieczeń są włączane w Azure Portal.You turn on security defaults in the Azure portal. Jeśli dzierżawa została utworzona w dniu 22 października 2019 lub później, możliwe, że wartości domyślne zabezpieczeń są już włączone w dzierżawie.If your tenant was created on or after October 22, 2019, it is possible security defaults are already enabled in your tenant. W celu ochrony wszystkich naszych użytkowników domyślnie są wdrażane wszystkie nowo utworzone dzierżawy.In an effort to protect all of our users, security defaults is being rolled out to all new tenants created.

Dla kogo jest?Who's it for?

Jeśli jesteś organizacją, która chce zwiększyć stan bezpieczeństwa, ale nie wiesz, jak i gdzie zacząć, domyślnie są używane zabezpieczenia.If you are an organization that wants to increase your security posture but you don't know how or where to start, security defaults are for you.
Jeśli jesteś organizacją korzystającą z bezpłatnej usługi Azure Active Directory Licencjonowanie, domyślne ustawienia zabezpieczeń są dla Ciebie odpowiednie.If you are an organization utilizing the free tier of Azure Active Directory licensing, security defaults are for you.

Kto powinien korzystać z dostępu warunkowego?Who should use Conditional Access?

Jeśli jesteś organizacją, która korzysta obecnie z zasad dostępu warunkowego, aby zapewnić sygnały ze sobą, aby podejmować decyzje i wymuszać zasady organizacyjne, domyślne ustawienia zabezpieczeń prawdopodobnie nie są odpowiednie.If you are an organization currently using Conditional Access policies to bring signals together, to make decisions, and enforce organizational policies, security defaults are probably not right for you.
Jeśli jesteś organizacją z licencjami na Azure Active Directory — wersja Premium, domyślne ustawienia zabezpieczeń prawdopodobnie nie są odpowiednie.If you are an organization with Azure Active Directory Premium licenses, security defaults are probably not right for you.
Jeśli organizacja ma złożone wymagania dotyczące zabezpieczeń, należy wziąć pod uwagę dostęp warunkowy.If your organization has complex security requirements you should consider Conditional Access.

Wymuszone zasadyPolicies enforced

Ujednolicona Rejestracja Multi-Factor AuthenticationUnified Multi-Factor Authentication registration

Wszyscy użytkownicy w dzierżawie muszą zarejestrować się w celu korzystania z uwierzytelniania wieloskładnikowego (MFA) w formie Multi-Factor Authentication platformy Azure.All users in your tenant must register for multi-factor authentication (MFA) in the form of the Azure Multi-Factor Authentication. Użytkownicy mają 14 dni na rejestrację w usłudze Azure Multi-Factor Authentication przy użyciu aplikacji Microsoft Authenticator.Users have 14 days to register for Azure Multi-Factor Authentication by using the Microsoft Authenticator app. Po upływie 14 dni użytkownik nie będzie mógł się zalogować, dopóki Rejestracja nie zostanie zakończona.After the 14 days have passed, the user won't be able to sign in until registration is completed. 14-dniowy okres użytkownika rozpoczyna się po pierwszym pomyślnym zalogowaniu interakcyjnym po włączeniu ustawień domyślnych zabezpieczeń.A user's 14-day period begins after their first successful interactive sign-in after enabling security defaults.

Ochrona administratorówProtecting administrators

Użytkownicy z uprzywilejowanym dostępem mają zwiększony dostęp do Twojego środowiska.Users with privileged access have increased access to your environment. Ze względu na moc tych kont należy traktować je z uwzględnieniem specjalnych zaopieki.Due to the power these accounts have, you should treat them with special care. Jedną z typowych metod ulepszania ochrony uprzywilejowanych kont jest wymaganie, aby w celu zalogowania się była silniejsza weryfikacja konta.One common method to improve the protection of privileged accounts is to require a stronger form of account verification for sign-in. W usłudze Azure AD możesz uzyskać silniejszą weryfikację konta, wymagając uwierzytelniania wieloskładnikowego.In Azure AD, you can get a stronger account verification by requiring multi-factor authentication.

Po zakończeniu rejestracji w usłudze Azure Multi-Factor Authentication, następujące dziewięć ról administratora usługi Azure AD będzie wymagane do przeprowadzenia dodatkowego uwierzytelniania przy każdym logowaniu:After registration with Azure Multi-Factor Authentication is finished, the following nine Azure AD administrator roles will be required to perform additional authentication every time they sign in:

Administrator globalnyGlobal administrator
Administrator programu SharePointSharePoint administrator
Administrator programu ExchangeExchange administrator
Administrator dostępu warunkowegoConditional Access administrator
Administrator zabezpieczeńSecurity administrator
Administrator pomocy technicznejHelpdesk administrator
Administrator rozliczeńBilling administrator
Administrator użytkownikówUser administrator
Administrator uwierzytelnianiaAuthentication administrator

Ochrona wszystkich użytkownikówProtecting all users

Chcemy myśleć, że konta administratorów są jedynymi kontami, które wymagają dodatkowych warstw uwierzytelniania.We tend to think that administrator accounts are the only accounts that need extra layers of authentication. Administratorzy mają szeroki dostęp do poufnych informacji i mogą wprowadzać zmiany w ustawieniach całej subskrypcji.Administrators have broad access to sensitive information and can make changes to subscription-wide settings. Jednak osoby atakujące często kierują użytkowników końcowych.But attackers frequently target end users.

Gdy Ci osoby atakujące uzyskali dostęp, mogą zażądać dostępu do informacji uprzywilejowanych w imieniu właściciela oryginalnego konta.After these attackers gain access, they can request access to privileged information on behalf of the original account holder. Mogą nawet pobrać cały katalog, aby przeprowadzić atak wyłudzania informacji w całej organizacji.They can even download the entire directory to perform a phishing attack on your whole organization.

Jedną z częstych metod ulepszania ochrony dla wszystkich użytkowników jest wymaganie silniejszej formy weryfikacji konta, takiej jak Multi-Factor Authentication, dla wszystkich.One common method to improve protection for all users is to require a stronger form of account verification, such as Multi-Factor Authentication, for everyone. Po zakończeniu Multi-Factor Authentication rejestracji użytkownicy będą monitowani o dodatkowe uwierzytelnianie w razie potrzeby.After users complete Multi-Factor Authentication registration, they'll be prompted for additional authentication whenever necessary. Ta funkcja chroni wszystkie aplikacje zarejestrowane w usłudze Azure AD, w tym aplikacje SaaS.This functionality protects all applications registered with Azure AD including SaaS applications.

Blokowanie starszego uwierzytelnianiaBlocking legacy authentication

Aby zapewnić użytkownikom łatwy dostęp do aplikacji w chmurze, usługa Azure AD obsługuje różne protokoły uwierzytelniania, w tym starsze uwierzytelnianie.To give your users easy access to your cloud apps, Azure AD supports a variety of authentication protocols, including legacy authentication. Starsza wersja uwierzytelniania to termin, który odwołuje się do żądania uwierzytelnienia wykonanego przez:Legacy authentication is a term that refers to an authentication request made by:

Klienci, którzy nie korzystają z nowoczesnego uwierzytelniania (na przykład klienta pakietu Office 2010).Clients that don't use modern authentication (for example, an Office 2010 client).
Każdy klient korzystający ze starszych protokołów poczty, takich jak IMAP, SMTP lub POP3.Any client that uses older mail protocols such as IMAP, SMTP, or POP3.

Dzisiaj większość nieżądanych prób logowania pochodzi ze starszego uwierzytelniania.Today, the majority of compromising sign-in attempts come from legacy authentication. Starsza wersja uwierzytelniania nie obsługuje Multi-Factor Authentication.Legacy authentication does not support Multi-Factor Authentication. Nawet jeśli masz zasady Multi-Factor Authentication włączone w katalogu, osoba atakująca może się uwierzytelnić przy użyciu starszego protokołu i Multi-Factor Authentication obejścia.Even if you have a Multi-Factor Authentication policy enabled on your directory, an attacker can authenticate by using an older protocol and bypass Multi-Factor Authentication.

Po włączeniu wartości domyślnych zabezpieczeń w dzierżawie zostaną zablokowane wszystkie żądania uwierzytelnienia podejmowane przez starszy protokół.After security defaults are enabled in your tenant, all authentication requests made by an older protocol will be blocked. Domyślne ustawienia zabezpieczeń są blokowane Exchange Active Sync uwierzytelniania podstawowego.Security defaults blocks Exchange Active Sync basic authentication.

Ostrzeżenie

Przed włączeniem ustawień domyślnych zabezpieczeń upewnij się, że administratorzy nie używają starszych protokołów uwierzytelniania.Before you enable security defaults, make sure your administrators aren't using older authentication protocols. Aby uzyskać więcej informacji, zobacz jak przenieść się z starszego uwierzytelniania.For more information, see How to move away from legacy authentication.

Jak skonfigurować urządzenie lub aplikację wielofunkcyjną do wysyłania wiadomości e-mail przy użyciu pakietu Office 365 i Microsoft 365How to set up a multifunction device or application to send email using Office 365 and Microsoft 365

Ochrona uprzywilejowanych akcjiProtecting privileged actions

Organizacje korzystają z różnych usług platformy Azure zarządzanych za pomocą interfejsu API Azure Resource Manager, w tym:Organizations use a variety of Azure services managed through the Azure Resource Manager API, including:

Azure PortalAzure portal
Azure PowerShellAzure PowerShell
Interfejs wiersza polecenia platformy AzureAzure CLI

Używanie Azure Resource Manager do zarządzania usługami to wysoce uprzywilejowana akcja.Using Azure Resource Manager to manage your services is a highly privileged action. Azure Resource Manager mogą zmieniać konfiguracje dla całej dzierżawy, takie jak ustawienia usługi i rozliczenia subskrypcji.Azure Resource Manager can alter tenant-wide configurations, such as service settings and subscription billing. Uwierzytelnianie wieloskładnikowe jest podatne na różne ataki, takie jak phishing i rozpylanie haseł.Single-factor authentication is vulnerable to a variety of attacks like phishing and password spray.

Ważne jest, aby zweryfikować tożsamość użytkowników, którzy chcą uzyskać dostęp do Azure Resource Manager i konfiguracji aktualizacji.It's important to verify the identity of users who want to access Azure Resource Manager and update configurations. Tożsamość należy zweryfikować, wymagając dodatkowego uwierzytelniania przed zezwoleniem na dostęp.You verify their identity by requiring additional authentication before you allow access.

Po włączeniu wartości domyślnych zabezpieczeń w dzierżawie każdy użytkownik, który uzyskuje dostęp do Azure Portal, Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, będzie musiał wykonać dodatkowe uwierzytelnianie.After you enable security defaults in your tenant, any user who's accessing the Azure portal, Azure PowerShell, or the Azure CLI will need to complete additional authentication. Te zasady mają zastosowanie do wszystkich użytkowników, którzy uzyskują dostęp do Azure Resource Manager, niezależnie od tego, czy są oni administratorem czy użytkownikiem.This policy applies to all users who are accessing Azure Resource Manager, whether they're an administrator or a user.

Uwaga

Dzierżawy usługi Exchange Online w wersji pre-2017 są domyślnie wyłączone.Pre-2017 Exchange Online tenants have modern authentication disabled by default. Aby uniknąć możliwości pętli logowania podczas uwierzytelniania za pomocą tych dzierżawców, należy włączyć nowoczesne uwierzytelnianie.In order to avoid the possibility of a login loop while authenticating through these tenants, you must enable modern authentication.

Uwaga

Konto synchronizacji Azure AD Connect jest wykluczone z domyślnych ustawień zabezpieczeń i nie zostanie wyświetlony monit o zarejestrowanie się w usłudze lub przeprowadzenie uwierzytelniania wieloskładnikowego.The Azure AD Connect synchronization account is excluded from security defaults and will not be prompted to register for or perform multi-factor authentication. Organizacje nie powinny używać tego konta do innych celów.Organizations should not be using this account for other purposes.

Zagadnienia dotyczące wdrażaniaDeployment considerations

Poniższe zagadnienia dodatkowe są związane z wdrażaniem ustawień domyślnych zabezpieczeń.The following additional considerations are related to deployment of security defaults.

Metody uwierzytelnianiaAuthentication methods

Te bezpłatne wartości domyślne zabezpieczeń umożliwiają rejestrację i korzystanie z platformy Azure Multi-Factor Authentication przy użyciu tylko aplikacji Microsoft Authenticator przy użyciu powiadomień.These free security defaults allow registration and use of Azure Multi-Factor Authentication using only the Microsoft Authenticator app using notifications. Dostęp warunkowy umożliwia korzystanie z dowolnej metody uwierzytelniania, która ma zostać włączona przez administratora.Conditional Access allows the use of any authentication method the administrator chooses to enable.

Metody uwierzytelniania
MetodaMethod	Domyślne ustawienia zabezpieczeńSecurity defaults	Dostęp warunkowyConditional Access
Powiadomienie za poorednictwem aplikacji mobilnejNotification through mobile app	XX	XX
Kod weryfikacyjny z aplikacji mobilnej lub tokenu sprzętowegoVerification code from mobile app or hardware token	X * X*	XX
Wiadomość SMS na telefonText message to phone		XX
Wywołanie telefonuCall to phone		XX
Hasła aplikacjiApp passwords		X * * X**

* * Użytkownicy mogą używać kodów weryfikacyjnych z aplikacji Microsoft Authenticator, ale mogą się rejestrować tylko przy użyciu opcji powiadomień.** Users may use verification codes from the Microsoft Authenticator app but can only register using the notification option.
Hasła aplikacji są dostępne tylko w ramach usługi MFA dla poszczególnych użytkowników ze starszymi scenariuszami uwierzytelniania tylko wtedy, gdy są włączone przez administratorów.*** App passwords are only available in per-user MFA with legacy authentication scenarios only if enabled by administrators.

Stan wyłączonej usługi MFADisabled MFA status

Jeśli Twoja organizacja jest poprzednim użytkownikiem opartym na systemie Azure Multi-Factor Authentication na poziomie użytkownika, nie musisz otrzymywać alertów, aby nie wyświetlać użytkowników w stanie włączony lub wymuszany , Jeśli zobaczysz stronę stanu usługi uwierzytelniania wieloskładnikowego.If your organization is a previous user of per-user based Azure Multi-Factor Authentication, do not be alarmed to not see users in an Enabled or Enforced status if you look at the Multi-Factor Auth status page. Wyłączone to odpowiedni stan dla użytkowników korzystających z domyślnych ustawień zabezpieczeń lub opartych na dostępie warunkowym Multi-Factor Authentication platformy Azure.Disabled is the appropriate status for users who are using security defaults or Conditional Access based Azure Multi-Factor Authentication.

Dostęp warunkowyConditional Access

Za pomocą dostępu warunkowego można skonfigurować zasady podobne do domyślnych ustawień zabezpieczeń, ale z większą szczegółowością, w tym wykluczeniami użytkowników, które nie są dostępne w domyślnych ustawieniach zabezpieczeń.You can use Conditional Access to configure policies similar to security defaults, but with more granularity including user exclusions, which are not available in security defaults. Jeśli używasz dostępu warunkowego i w środowisku włączono zasady dostępu warunkowego, nie będą dostępne żadne ustawienia domyślne zabezpieczeń.If you're using Conditional Access and have Conditional Access policies enabled in your environment, security defaults won't be available to you. Jeśli masz licencję, która zapewnia dostęp warunkowy, ale nie masz włączonych zasad dostępu warunkowego w danym środowisku, możesz użyć domyślnych ustawień zabezpieczeń do momentu włączenia zasad dostępu warunkowego.If you have a license that provides Conditional Access but don't have any Conditional Access policies enabled in your environment, you are welcome to use security defaults until you enable Conditional Access policies. Więcej informacji na temat licencjonowania usługi Azure AD można znaleźć na stronie cennika usługi Azure AD.More information about Azure AD licensing can be found on the Azure AD pricing page.

Komunikat ostrzegawczy, który może mieć wartości domyślne zabezpieczeń lub dostęp warunkowy nie zarówno

Poniżej przedstawiono przewodnik krok po kroku dotyczący sposobu konfigurowania równoważnych zasad przy użyciu dostępu warunkowego dla tych zasad włączonych przez domyślne ustawienia zabezpieczeń:Here are step-by-step guides on how you can use Conditional Access to configure equivalent policies to those policies enabled by security defaults:

Wymaganie uwierzytelniania wieloskładnikowego dla administratorówRequire MFA for administrators
Wymaganie uwierzytelniania wieloskładnikowego do zarządzania platformą AzureRequire MFA for Azure management
Blokowanie starszego uwierzytelnianiaBlock legacy authentication
Wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkownikówRequire MFA for all users
Wymagaj rejestracji w usłudze Azure MFA — wymaga Azure AD Identity Protection części Azure AD — wersja Premium P2.Require Azure MFA registration - Requires Azure AD Identity Protection part of Azure AD Premium P2.

Włączanie ustawień domyślnych zabezpieczeńEnabling security defaults

Aby włączyć domyślne ustawienia zabezpieczeń w katalogu:To enable security defaults in your directory:

Zaloguj się do Azure Portal   jako administrator zabezpieczeń, administrator dostępu warunkowego lub Administrator globalny.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
Przejdź do Azure Active Directory   >  Właściwości.Browse to Azure Active Directory > Properties.
Wybierz pozycję Zarządzaj ustawieniami domyślnymi zabezpieczeń.Select Manage security defaults.
Ustaw opcję Włącz ustawienia domyślne zabezpieczeń na wartość tak.Set the Enable security defaults toggle to Yes.
Wybierz pozycję Zapisz.Select Save.

Wyłączanie ustawień domyślnych zabezpieczeńDisabling security defaults

Organizacje, które zdecydują się zaimplementować zasady dostępu warunkowego, które zastępują domyślne ustawienia zabezpieczeń, muszą wyłączyć ustawienia domyślne zabezpieczeń.Organizations that choose to implement Conditional Access policies that replace security defaults must disable security defaults.

Komunikat ostrzegawczy Wyłącz ustawienia domyślne zabezpieczeń, aby włączyć dostęp warunkowy

Aby wyłączyć domyślne ustawienia zabezpieczeń w katalogu:To disable security defaults in your directory:

Zaloguj się do Azure Portal   jako administrator zabezpieczeń, administrator dostępu warunkowego lub Administrator globalny.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
Przejdź do Azure Active Directory   >  Właściwości.Browse to Azure Active Directory > Properties.
Wybierz pozycję Zarządzaj ustawieniami domyślnymi zabezpieczeń.Select Manage security defaults.
Ustaw opcję Włącz ustawienia domyślne zabezpieczeń na wartość nie.Set the Enable security defaults toggle to No.
Wybierz pozycję Zapisz.Select Save.

Następne krokiNext steps

Typowe zasady dostępu warunkowegoCommon Conditional Access policies