Microsoft Entra Kimliği, korumalı eylemler Kullanıcı hesaplarının yetkisiz sert silme işlemleriyle ilişkili riskleri azaltmak.
Koşullu erişim politikalarıyla entegre olan bu özellik, kullanıcıların yüksek etkili eylemler gerçekleştirmeden önce katı kimlik doğrulama gereksinimlerini karşılamasını isteyerek kritik idari görevlere ek bir güvenlik katmanı ekler.
Korunan eylemler, saldırganların izinlerden yararlandığı senaryolarda özellikle ilgilidir. User.DeleteRestore.All Kullanıcı hesaplarını geri dönüşüm kutusundan silmek ve kalıcı olarak kaldırmak için.
Tipik olarak, yumuşak silinmiş hesaplar 30 gün boyunca geri kazanılabilir kalır, ancak sert bir şekilde silindikten sonra geri dönülemez hale gelirler.
Bu tür hassas işlemleri koşullu erişim politikalarına bağlayarak, kuruluşlar FIDO2 tuşları veya passeyler kullanılarak kimlik avına dirençli çok faktörlü kimlik doğrulama (MFA) veya şifresiz kimlik doğrulama gibi gelişmiş kimlik doğrulama yöntemlerini uygulayabilir.
Korumalı eylemlerin uygulanması ve test edilmesi
Korumalı eylemleri etkinleştirmek için, yöneticiler önce bir kimlik doğrulama bağlamına bağlı bir koşullu erişim politikası oluşturmalıdır.
Örneğin, bir politika, bir kullanıcının korunan bir eylem gerçekleştirmesine izin vermeden önce uyumlu cihazların veya güçlü MFA’nın kullanımını zorunlu kılabilir.
Politika daha sonra belirli izinlerle bağlantılıdır, örneğin microsoft.directory/deletedItems/delete “Roller ve Yöneticiler” bölümü altındaki Entra Yönetici Merkezi aracılığıyla.
Araştırmaya göre, bu politikaların etkinliğini sağlamak için test çok önemlidir.
Örneğin, idari ayrıcalıklara sahip, ancak daha zayıf MFA yöntemleriyle (örneğin SMS tabanlı kimlik doğrulama) yapılandırılmış bir hesap, politikanın gereksinimlerini karşılamıyorsa korunan eylemleri yürütemez.
Bu kısıtlama, Microsoft Graph API’lerini veya PowerShell komutlarını kullanırken de geçerlidir. Remove-MgDirectoryDeletedItemtüm erişim noktalarının güvence altına alınmasını sağlamak.
Kiracı Güvenliğini Güçlendirme
Korunan eylemler, Entra ID’nin sıfır güven mimarisini ve en az ayrıcalık ilkesini vurgulayan daha geniş güvenlik çerçevesinin hayati bir bileşenidir.
Yüksek riskli operasyonlar için sıkı koşullar gerektirerek, kuruluşlar saldırı yüzeylerini önemli ölçüde azaltabilir.
Bununla birlikte, bu özelliği diğer en iyi uygulamalarla tamamlamak önemlidir:
- İdari görevleri izole etmek için ayrıcalıklı erişim iş istasyonlarının (PAWS) dağıtılması.
- Kazara kilitlemeleri önlemek için koşullu erişim politikalarından hariç tutulan acil durum hesaplarının korunması.
- Anomaliler için düzenli olarak denetim izinleri ve hesap yaşam döngüsü faaliyetlerini izleme.
Korunan eylemler, bir kiracı üzerinde tam kontrol sahibi olan saldırganları engelleyemezken, yıkıcı eylemler yürütme girişimlerini karmaşıklaştırarak kritik bir caydırıcı görevi görürler.
Bu katmanlı yaklaşım, bazı savunmaların ihlali olsa bile, saldırganların hassas sistemlerden ödün vermede ek engellerle karşılaşmasını sağlar.
Bu önlemleri benimseyerek, kuruluşlar entra kimlik ortamlarını kimlik tabanlı tehditlere karşı koruyabilir ve gelişen siber riskler karşısında operasyonel bütünlüğü koruyabilir.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free