Pianificare le impostazioni predefinite per la sicurezza

  • 2 minuti

La gestione della sicurezza può risultare difficile per via di attacchi comuni correlati alle identità, come password spraying, attacchi replay e phishing, che diventano sempre più diffusi. Le impostazioni predefinite per la sicurezza offrono impostazioni predefinite sicure che Microsoft gestisce per conto delle organizzazioni per garantire la sicurezza dei clienti finché le organizzazioni non sono pronte per gestire in modo continuativo la sicurezza delle identità. Le impostazioni predefinite per la sicurezza rappresentano impostazioni per la sicurezza preconfigurate, ad esempio:

  • Richiedere a tutti gli utenti di eseguire la registrazione per l'autenticazione a più fattori.

  • Richiedendo agli amministratori di eseguire l'autenticazione a più fattori.

  • Bloccando i protocolli di autenticazione legacy.

  • Richiedendo agli utenti di eseguire l'autenticazione a più fattori quando necessario.

  • Proteggendo attività con privilegi come l'accesso al portale di Azure.

    Screenshot dell'interfaccia di amministrazione di Microsoft Entra con l'opzione per abilitare le impostazioni di sicurezza predefinite.

Disponibilità

Le impostazioni predefinite per la sicurezza Microsoft sono disponibili a tutti. L'obiettivo consiste nel garantire che tutte le organizzazioni dispongano di un livello di sicurezza base abilitato senza costi aggiuntivi. Se il tenant è stato creato il 22 ottobre 2019 o dopo il 22 ottobre 2019, le impostazioni predefinite per la sicurezza potrebbero essere già abilitate. Per proteggere tutti gli utenti, le impostazioni predefinite per la sicurezza sono abilitate in tutti i nuovi tenant al momento della creazione.

Per abilitare o disabilitare le impostazioni predefinite di sicurezza, accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dell'accesso condizionale, quindi passare a Entra ID>Overview>Properties e selezionare Manage security defaults (Gestisci impostazioni predefinite di sicurezza).

A chi è rivolto?

Chi deve usare le impostazioni predefinite per la sicurezza? Chi non deve usare le impostazioni predefinite per la sicurezza?
Le organizzazioni che vogliono aumentare la propria postura di sicurezza ma non sanno come o da dove iniziare Le organizzazioni che attualmente usano criteri di accesso condizionale per riunire i segnali, prendere decisioni e imporre i criteri dell'organizzazione
Organizzazioni che usano il livello gratuito delle licenze Microsoft Entra ID Organizzazione con licenze Microsoft Entra ID Premium
Le organizzazioni con requisiti di sicurezza complessi che giustifichino l'uso dell'accesso condizionale

Politiche applicate

Registrazione per l'autenticazione a più fattori unificata

Tutti gli utenti nel tenant devono registrarsi per l'autenticazione a più fattori usando l'app Microsoft Authenticator. La registrazione è obbligatoria immediatamente. Non è previsto alcun periodo di tolleranza. Quando gli utenti accedono dopo l'abilitazione delle impostazioni predefinite per la sicurezza, viene richiesto di registrarsi prima di poter accedere a qualsiasi risorsa. Il prompt dell'autenticazione a più fattori utilizza la corrispondenza dei numeri, dove gli utenti immettono un numero visualizzato sullo schermo nell'app Microsoft Authenticator, il che aiuta a prevenire gli attacchi di affaticamento dovuto all'MFA.

Protezione degli amministratori

Gli utenti con accesso privilegiato spesso ampliano l'accesso all'ambiente. Considerate le facoltà di questi account, è consigliabile trattarli con particolare attenzione. Un metodo comune per migliorare la protezione degli account con privilegi consiste nel richiedere una forma di verifica degli account più avanzata per l'accesso. In Microsoft Entra ID è possibile richiedere l'autenticazione a più fattori per ottenere una verifica degli account più avanzata.

Al termine della registrazione con l'autenticazione a più fattori, sono necessari i ruoli di amministratore di Microsoft Entra seguenti per eseguire altre autenticazioni ogni volta che accedono:

  • Amministratore globale
  • Amministratore di applicazioni
  • Amministratore dell'autenticazione
  • Amministratore dei criteri di autenticazione
  • Amministratore fatturazione
  • Amministratore di applicazioni cloud
  • Amministratore accesso condizionale
  • Amministratore di Exchange
  • Amministratore supporto tecnico
  • Amministratore di Identity Governance
  • Amministratore delle password
  • Amministratore delle Autenticazioni Privilegiate
  • Amministratore di ruolo privilegiato
  • Amministratore della sicurezza
  • Amministratore SharePoint
  • Amministratore utenti

Protezione di tutti gli utenti

Si tende a pensare che gli account amministratore siano gli unici account che richiedono livelli aggiuntivi di autenticazione. Gli amministratori hanno accesso esteso alle informazioni sensibili e possono apportare modifiche alle impostazioni a livello di sottoscrizione. Ma gli utenti malintenzionati spesso hanno come obiettivo gli utenti finali.

Una volta che gli utenti malintenzionati ottengono l'accesso, possono richiedere l'accesso alle informazioni con privilegi per conto del titolare dell'account originale. Possono anche scaricare l'intera directory per eseguire un attacco di phishing all'intera organizzazione.

Un metodo comune per migliorare la protezione per tutti gli utenti è quello di richiedere una forma più avanzata di verifica dell'account, come l'autenticazione a più fattori, per tutti. Dopo che gli utenti completano la registrazione dell'autenticazione a più fattori, verrà richiesta l'autenticazione aggiuntiva ogni volta sia necessario. Questa funzionalità protegge tutte le applicazioni registrate con Microsoft Entra ID, incluse le applicazioni SaaS.

Bloccare l'autenticazione legacy

Per consentire agli utenti di accedere facilmente alle app cloud, Microsoft Entra ID supporta diversi protocolli di autenticazione, tra cui l'autenticazione legacy. L'autenticazione legacy è una richiesta di autenticazione effettuata da:

  • Client che non usano l'autenticazione moderna (ad esempio, un client Office 2010). L'autenticazione moderna comprende i client che implementano protocolli, ad esempio OAuth 2,0, per il supporto di funzionalità quali l'autenticazione a più fattori e le smart card. L'autenticazione legacy in genere supporta solo meccanismi meno sicuri come le password.
  • Client che usa protocolli di posta come IMAP, SMTP o POP3.

Oggi, la maggior parte dei tentativi di accesso compromettenti deriva dall'autenticazione legacy. L'autenticazione legacy non supporta l'autenticazione a più fattori. Anche se nella directory è abilitato un criterio di autenticazione a più fattori, un utente malintenzionato può eseguire l'autenticazione usando un protocollo precedente e ignorare l'autenticazione a più fattori.

Una volta abilitate le impostazioni predefinite per la sicurezza nel tenant, tutte le richieste di autenticazione effettuate da un protocollo precedente verranno bloccate. Le impostazioni predefinite per la sicurezza bloccano l'autenticazione di base Exchange Active Sync.