Schützen des privilegierten Zugriffs für hybride und Cloudbereitstellungen in Microsoft Entra ID
Die Sicherheit der Geschäftsressourcen hängt von der Integrität der privilegierten Konten ab, mit denen Ihre IT-Systeme verwaltet werden. Cyberkriminelle sehen es beim Diebstahl von Anmeldeinformationen besonders auf Administratorkonten und andere privilegierte Zugriffsmöglichkeiten ab, um Zugriff auf sensible Daten zu erhalten.
Bei Clouddiensten sind Cloud-Dienstanbieter und Kunde gemeinsam verantwortlich für Prävention und Reaktion. Weitere Informationen zu den neuesten Bedrohungen von Endpunkten und Cloud finden Sie unter Informieren Sie sich über die aktuellen Angriffe auf Endpunkte und auf die Cloud . Dieser Artikel kann Ihnen helfen, eine Roadmap zum Schließen der Lücken zwischen Ihren aktuellen Plänen und dem hier beschriebenen Leitfaden zu entwickeln.
Hinweis
Microsoft sieht sich in der Pflicht, den Ansprüchen von Vertrauen, Transparenz, Einhaltung von Standards und Einhaltung behördlicher Bestimmungen in höchstem Maße gerecht zu werden. Mehr darüber, wie das globale Incidentreaktionsteam von Microsoft die Auswirkungen von Angriffen auf Clouddienste abschwächt, und wie die Sicherheit in Businessprodukte und Clouddienste von Microsoft integriert ist, erfahren Sie unter Sicherheit, und mehr über Complianceziele von Microsoft unter Compliance.
Bisher haben sich Unternehmen bezüglich der Organisationssicherheit auf die Ein- und Ausstiegspunkte eines Netzwerks als Sicherheitsbereich konzentriert. Mit SaaS-Apps und persönlichen Geräten im Internet hat dieser Ansatz jedoch an Wirksamkeit verloren. In Microsoft Entra ID wird der Netzwerksicherheitsbereich durch eine Authentifizierung in der Identitätsschicht Ihrer Organisation ersetzt. Für Steuerung und Kontrolle sind Benutzer zuständig, die privilegierten Administratorrollen zugewiesen sind. Deren Zugriff muss geschützt werden, und zwar unabhängig davon, ob es sich um eine lokale, hybride oder Cloudumgebung handelt.
Das Sichern des privilegierten Zugriffs erfordert Änderungen an folgenden Elementen:
- Prozessen, Verwaltungsmethoden und Wissensmanagement
- technischen Komponenten wie z.B. Maßnahmen zu Hostverteidigung, Kontenschutz und Identitätsverwaltung
Sichern Sie Ihren privilegierten Zugriff auf eine Art und Weise, die in den von Ihnen bevorzugten Microsoft-Diensten verwaltet und gemeldet wird. Wenn Sie über lokale Administratorkonten verfügen, beachten Sie unter Schützen des privilegierten Zugriffs den Leitfaden für den lokalen und hybriden privilegierten Zugriff in Active Directory.
Hinweis
Die Anleitung in diesem Artikel bezieht sich in erster Linie auf Features der Microsoft Entra ID, die in Microsoft Entra ID P1 und P2 enthalten sind. Microsoft Entra ID P2 ist in der EMS E5-Suite und der Microsoft 365 E5-Suite enthalten. In diesem Leitfaden wird davon ausgegangen, dass Ihre Organisation bereits Microsoft Entra ID P2-Lizenzen für Ihre Benutzer erworben hat. Wenn Sie nicht über diese Lizenzen verfügen, gilt möglicherweise ein Teil dieses Leitfadens nicht für Ihre Organisation. Darüber hinaus bedeutet in diesem Artikel der Begriff „Globaler Administrator“ das Gleiche wie „Unternehmensadministrator“ oder „Mandantenadministrator“.
Entwickeln einer Roadmap
Microsoft empfiehlt Ihnen, eine Roadmap zum Schützen des privilegierten Zugriffs gegenüber Cyberangreifern zu entwickeln und zu befolgen. Sie können Ihre Roadmap jederzeit den bestehenden Funktionen und spezifischen Anforderungen in Ihrer Organisation anpassen. Jede Phase der Roadmap sollte den Aufwand und Probleme erhöhen, die Angreifern beim Angriff auf den privilegierten Zugriff auf Ihre lokalen, Cloud- und Hybridressourcen entstehen. Microsoft empfiehlt die folgenden vier Roadmap-Phasen. Planen Sie zuerst die effektivsten und schnellsten Implementierungen. Dieser Artikel, der auf der Erfahrung von Microsoft mit Cyberangriffen und der Implementierung entsprechender Reaktionen basiert, kann dabei als Leitfaden dienen. Die Zeitpläne für diese Roadmap sind ungefähre Werte.
Phase 1 (24 bis 48 Stunden): Wichtige Dinge, die umgehend erledigt werden sollten
Phase 2 (2 bis 4 Wochen): Gegenmaßnahmen für die gängigsten Angriffsstrategien
Phase 3 (1 bis 3 Monate): Schaffung von Transparenz und uneingeschränkter Kontrolle über Administratoraktivitäten
Phase 4 (sechs Monate und später): Fortsetzung des Aufbaus von Verteidigungsmaßnahmen zur weiteren Härtung Ihrer Sicherheitsplattform
Dieses Roadmapframework folgt dem Konzept, die Verwendung von Microsoft-Technologien zu maximieren, die Sie möglicherweise bereits bereitgestellt haben. Erwägen Sie, alle Sicherheitstools von anderen Anbietern einzubinden, die Sie schon bereitgestellt haben oder bereitstellen möchten.
Phase 1: Wichtige Dinge, die zuerst anstehen
Phase 1 der Roadmap konzentriert sich auf wichtige Aufgaben, die schnell und einfach zu implementieren sind. Sie sollten diese wenigen Elemente sofort innerhalb der ersten 24 bis 48 Stunden ausführen, um ein Basisniveau von geschütztem privilegiertem Zugriff sicherzustellen. Diese Phase der Roadmap für geschützten privilegierten Zugriff umfasst die folgenden Aktionen:
Allgemeine Vorbereitung
Verwenden von Microsoft Entra Privileged Identity Management
Es wird empfohlen, dass Sie mit der Verwendung von Microsoft Entra Privileged Identity Management (PIM) in Ihrer Microsoft Entra-Produktionsumgebung beginnen. Bei Verwendung von PIM erhalten Sie bei Änderungen an privilegierten Zugriffsrollen eine Benachrichtigung per E-Mail. Benachrichtigungen stellen ein Frühwarnsystem dar, wenn zusätzliche Benutzer zu Rollen mit hohen Zugriffsrechten hinzugefügt werden.
Microsoft Entra Privileged Identity Management ist in Microsoft Entra ID P2 oder EMS E5 enthalten. Um den Zugriff auf lokale und in der Cloud verfügbare Anwendungen und Ressourcen besser zu schützen, registrieren Sie sich für die kostenlose 90-Tage-Testversion von Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management und Microsoft Entra ID Protection überwachen Sicherheitsaktivitäten mithilfe von Microsoft Entra ID-Berichterstellung, -Überwachung und -Warnungen.
Nachdem Sie mit der Verwendung von Microsoft Entra Privileged Identity Management begonnen haben:
Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
Um die Verzeichnisse zu wechseln, in denen Sie Privileged Identity Management verwenden möchten, wählen Sie in der oberen rechten Ecke des Microsoft Entra Admin Center Ihren Benutzernamen aus.
Navigieren Sie zu Identity Governance>Privileged Identity Management.
Stellen Sie sicher, dass der Person in Ihrer Organisation, die PIM zum ersten Mal verwendet, automatisch die Rollen Sicherheitsadministrator und Administrator für privilegierte Rollen zugewiesen werden. Nur Administratoren für privilegierte Rollen können die Microsoft Entra-Verzeichnisrollenzuweisungen von Benutzern verwalten. Der PIM-Sicherheitsassistent führt Sie durch die anfängliche Erkennungs- und Zuweisungsumgebung. Sie können den Assistenten zu diesem Zeitpunkt ohne weitere Änderungen beenden.
Identifizieren und Kategorisieren von Konten in stark privilegierten Rollen
Nachdem Sie mit der Verwendung von Microsoft Entra Privileged Identity Management begonnen haben, zeigen Sie die Benutzer an, die die folgenden Microsoft Entra-Rollen haben:
- Globaler Administrator
- Administrator für privilegierte Rollen
- Exchange-Administrator
- SharePoint-Administrator
Wenn in Ihrer Organisation Microsoft Entra Privileged Identity Management nicht verwendet wird, können Sie Microsoft Graph PowerShell nutzen. Beginnen Sie mit der Rolle „Globaler Administrator“, weil ein globaler Administrator für alle Clouddienste, die Ihre Organisation abonniert hat, über die gleichen Berechtigungen verfügt. Diese Berechtigungen werden unabhängig vom Ort der Zuweisung (Microsoft 365 Admin Center, Microsoft Entra Admin Center oder Microsoft Graph PowerShell) erteilt.
Entfernen Sie alle Konten, die in diesen Rollen nicht mehr benötigt werden. Kategorisieren Sie anschließend die restlichen Konten, die Administratorrollen zugewiesen sind:
- Ist zwar Administratoren zugewiesen, wird aber auch für nicht administrative Zwecke (z. B. persönliche E-Mail) verwendet
- Ist Administratoren zugewiesen und wird nur für Verwaltungszwecke verwendet
- Für mehrere Benutzer freigegeben
- Für Notfallzugriffs-Szenarios
- Für automatisierte Skripts
- Für externe Benutzer
Definieren Sie mindestens zwei Notfallzugriffs-Konten
Microsoft empfiehlt Organisationen, zwei Nur-Cloud-Notfallzugriffskonten dauerhaft der Rolle Globaler Administrator zugewiesen zu haben. Diese Konten verfügen über hohe Zugriffsrechte und sind keinen bestimmten Einzelpersonen zugewiesen. Die Konten sind auf Notfall- oder Unterbrechungsglasszenarien beschränkt, in denen normale Konten nicht verwendet werden können oder alle anderen Administratoren versehentlich gesperrt sind. Diese Konten sollten nach den Empfehlungen für das Notfallzugriffskonto erstellt werden.
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA), und registrieren Sie alle anderen nicht verbundenen Einzelbenutzer-Administratorkonten mit hohen Privilegien.
Legen Sie Microsoft Entra-Multi-Faktor-Authentifizierung bei der Anmeldung für alle Benutzer als erforderlich fest, die dauerhaft einzelnen oder mehreren Microsoft Entra-Administratorrollen zugewiesen sind: globaler Administrator, Administrator für privilegierte Rollen, Exchange-Administrator und SharePoint-Administrator. Verwenden Sie die Anleitung zum Erzwingen der Multi-Faktor-Authentifizierung für Ihre Administratoren, und stellen Sie sicher, dass sich alle diese Benutzer unter https://aka.ms/mfasetup registriert haben. Weitere Informationen finden Sie in Schritt 2 und 3 des Handbuchs Schutz von Benutzer- und Gerätezugriff.
Phase 2: Gegenmaßnahmen für gängige Angriffsstrategien
Phase 2 der Roadmap konzentriert sich auf die Abwehr besonders häufig verwendeter Angriffstechniken zum Diebstahl und Missbrauch von Anmeldeinformationen und kann in etwa zwei bis vier Wochen implementiert werden. Diese Phase der Roadmap für geschützten privilegierten Zugriff umfasst die folgenden Aktionen.
Allgemeine Vorbereitung
Durchführen einer Inventur der Dienste, Besitzer und Administratoren
Mit der Zunahme von BYOD- (Bring Your Own Device) und Homeoffice-Richtlinien sowie zunehmender WLAN-Konnektivität ist es wichtig zu überwachen, wer eine Verbindung mit Ihrem Netzwerk herstellt. Mit einer Sicherheitsüberprüfung können Geräte, Anwendungen und Programme in Ihrem Netzwerk angezeigt werden, die von Ihrer Organisation nicht unterstützt werden und ein hohes Risiko darstellen. Weitere Informationen finden Sie unter Azure-Sicherheitsverwaltung und -Überwachung. Stellen Sie sicher, dass alle folgenden Aufgaben in Ihrem Inventurprozess enthalten sind.
Identifizieren Sie die Benutzer mit Administratorrollen und die Dienste, über die sie verwalten können.
Verwenden Sie Microsoft Entra PIM, um herauszufinden, welche Benutzer in Ihrer Organisation Administratorzugriff auf Microsoft Entra ID haben.
Neben den in Microsoft Entra ID definierten Rollen enthält Microsoft 365 eine Reihe von Administratorrollen, die Sie Benutzern in Ihrer Organisation zuweisen können. Jede Administratorrolle ist allgemeinen Geschäftsfunktionen zugeordnet und erteilt Personen in Ihrer Organisation Berechtigungen zum Ausführen bestimmter Aufgaben im Microsoft 365 Admin Center. Im Microsoft 365 Admin Center können Sie herausfinden, welche Benutzer in Ihrer Organisation Administratorzugriff auf Microsoft 365 haben, einschließlich über Rollen, die nicht in Microsoft Entra ID verwaltet werden. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Microsoft 365 und Bewährte Methoden für die Sicherheit von Office 365.
Machen Sie in Diensten, auf die sich Ihre Organisation verlässt (z. B. Azure, Intune oder Dynamics 365), eine Bestandsaufnahme.
Stellen Sie sicher, dass für Ihre Konten, die zu Verwaltungszwecken verwendet werden, Folgendes gilt:
- Den Konten sind geschäftliche E-Mail-Adressen zugeordnet
- Sie haben sich für Microsoft Entra-Multi-Faktor-Authentifizierung registriert oder verwenden MFA lokal.
Fragen Sie Benutzer nach der geschäftlichen Begründung für den Administratorzugriff.
Entfernen Sie den Administratorzugriff für Personen und Dienste, die diesen nicht benötigen.
Identifizieren von Microsoft-Konten in Administratorrollen, die auf Arbeits- oder Schulkonten umgestellt werden müssen
Wenn Ihre ursprünglichen globalen Administratoren die vorhandenen Anmeldeinformationen für ihr Microsoft-Konto wiederverwenden, die sie bei der ersten Verwendung von Microsoft Entra ID benutzt haben, ersetzen Sie die Microsoft-Konten durch einzelne cloudbasierte oder synchronisierte Konten.
Sicherstellen der Verwendung von separaten Benutzerkonten und E-Mail-Weiterleitung für globale Administratorkonten
Persönliche E-Mail-Konten werden regelmäßig von Cyberkriminellen ausgespäht und stellen ein Risiko dar. Daher sind persönliche E-Mail-Adressen für globale Administratorkonten nicht akzeptabel. Um Internetrisiken von Administratorrechten zu separieren, erstellen Sie dedizierte Konten für jeden Benutzer mit Administratorrechten.
- Stellen Sie sicher, dass Sie separate Konten für Benutzer erstellen, die Aufgaben eines globalen Administrators ausführen.
- Stellen Sie sicher, dass Ihre globalen Administratoren nicht versehentlich mit ihren Administratorkonten E-Mails öffnen oder Programme ausführen.
- Achten Sie darauf, dass die E-Mail dieser Konten an ein Arbeitspostfach weitergeleitet wird.
- Bei Konten von globalen Administratoren (und anderen privilegierten Gruppen) sollte es sich um reine Cloudkonten ohne Verbindungen mit der lokalen Active Directory-Instanz handeln.
Sicherstellen, dass die Kennwörter von Administratorkonten kürzlich geändert wurden
Stellen Sie sicher, dass alle Benutzer sich mindestens einmal in den letzten 90 Tagen bei ihren Administratorkonten angemeldet und ihre Kennwörter geändert haben. Vergewissern Sie sich außerdem, dass alle freigegebenen Konten kürzlich die Änderung der Kennwörter veranlasst haben.
Aktivieren der Kennworthashsynchronisierung
Microsoft Entra Connect synchronisiert einen Hash eines Benutzerkennworthashs aus dem lokalen Active Directory mit einer cloudbasierten Microsoft Entra-Organisation. Wenn Sie einen Verbund mit Active Directory Federation Services (AD FS) verwenden, können Sie die Kennworthashsynchronisierung als Sicherungsmaßnahme nutzen. Diese Sicherung kann nützlich sein, wenn Ihre lokalen Active Directory- oder AD FS-Server vorübergehend nicht verfügbar sind.
Die Kennworthashsynchronisierung ermöglicht Benutzern, sich bei einem Dienst mit dem gleichen Kennwort anzumelden, das sie zur Anmeldung bei Ihrer lokalen Active Directory-Instanz verwenden. Die Kennworthashsynchronisierung ermöglicht Microsoft Entra ID Protection die Erkennung kompromittierter Anmeldeinformationen, indem sie Kennworthashs mit Kennwörtern vergleicht, die bekanntermaßen kompromittiert sind. Weitere Informationen finden Sie unter Implementieren der Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung.
Anfordern der Multi-Factor Authentication für Benutzer mit privilegierten Rollen und hoher Gefährdung
Microsoft Entra ID empfiehlt, dass Sie die Multi-Faktor-Authentifizierung für alle Ihre Benutzer erforderlich machen. Achten Sie darauf, die Benutzer zu berücksichtigen, bei denen die Kompromittierung ihres Kontos erhebliche Auswirkungen haben würde (z. B. Mitarbeiter der Finanzabteilung). MFA reduziert das Risiko eines Angriffs mithilfe eines kompromittierten Kennworts.
Aktivieren Sie:
- Richtlinien für MFA mit bedingtem Zugriff für alle Benutzer in Ihrer Organisation.
Wenn Sie Windows Hello for Business verwenden, kann die MFA-Anforderung durch Verwendung der Windows Hello-Anmeldebenutzeroberfläche erfüllt werden. Weitere Informationen finden Sie unter Windows Hello.
Microsoft Entra ID Protection
Microsoft Entra ID Protection ist ein algorithmusbasiertes Überwachungs- und Berichterstattungstool zum Erkennen von potenziellen Sicherheitsrisiken, die Auswirkungen auf die Identitäten in Ihrer Organisation haben können. Sie können automatische Antworten auf diese erkannten verdächtigen Aktivitäten konfigurieren und entsprechende Maßnahmen zu deren Behebung ergreifen. Weitere Informationen finden Sie unter Microsoft Entra ID Protection.
Abrufen Ihres Microsoft 365 Secure Score (bei Verwendung von Microsoft 365)
Secure Score prüft Ihre Einstellungen und Aktivitäten für Microsoft 365-Dienste und vergleicht diese mit einer von Microsoft aufgestellten Baseline. Das Ergebnis sagt aus, in welchem Maß Sie bewährte Sicherheitsmethoden befolgen. Jeder Benutzer, der über Administratorberechtigungen für ein Microsoft 365 Business Standard- oder Enterprise-Abonnement verfügt, kann über https://security.microsoft.com/securescore
auf Secure Score zugreifen.
Überprüfen der Microsoft 365-Sicherheit und -Konformität (bei Verwendung von Microsoft 365)
Im Plan für Sicherheit und Compliance wird der Ansatz für die Konfiguration von Office 365 und die Aktivierung von anderen EMS-Funktionen für Office 365-Kunden behandelt. Lesen Sie dann die Schritte 3 bis 6 zum Zugriffsschutz für Daten und Dienste in Microsoft 365 und das Handbuch zum Überwachen von Sicherheit und Compliance in Microsoft 365.
Konfigurieren der Microsoft 365-Aktivitätsüberwachung (bei Verwendung von Microsoft 365)
Überwachen Sie Ihre Organisation im Hinblick auf Benutzer, die Microsoft 365 zum Identifizieren von Mitarbeitern verwenden, die über ein Administratorkonto verfügen, aber möglicherweise keinen Zugriff auf Microsoft 365 benötigen, da sie sich nicht bei diesen Portalen anmelden. Weitere Informationen finden Sie unter Aktivitätsberichte im Microsoft 365 Admin Center.
Einrichten von Notfallreaktionsplan-Besitzern
Das Einrichten einer Funktion für eine erfolgreiche Reaktion auf Vorfälle setzt eine umfangreiche Planung und erhebliche Ressourcen voraus. Sie müssen ständig Cyberangriffe überwachen und Prioritäten für die Behandlung von Vorfällen festlegen. Sammeln, analysieren und melden Sie Vorfallsdaten, um Beziehungen aufzubauen und für die Kommunikation mit anderen internen Gruppen und Planbesitzern zu sorgen. Weitere Informationen finden Sie unter Microsoft Security Response Center.
Schützen von lokalen privilegierten Administratorkonten, falls noch nicht geschehen
Wenn Ihre Microsoft Entra-Organisation mit einem lokalen Active Directory synchronisiert wird, orientieren Sie sich an dem Leitfaden in Schützen des privilegierten Zugriffs: Diese Phase umfasst Folgendes:
- Erstellen separater Administratorkonten für Benutzer, die lokale Verwaltungsaufgaben durchführen müssen
- Bereitstellen von Privileged Access Workstations (PAW) für Active Directory-Administratoren
- Erstellen eindeutiger lokaler Administratorkennwörter für Workstations und Server
Zusätzliche Schritte für Organisationen, die den Zugriff auf Azure verwalten
Durchführen einer Abonnementinventur
Verwenden Sie Enterprise-Portal und Azure-Portal, um die Abonnements in Ihrer Organisation zu identifizieren, die Produktionsanwendungen hosten.
Entfernen von Microsoft-Konten aus Administratorrollen
Microsoft-Konten aus anderen Programmen wie Xbox, Live und Outlook sollten nicht als Administratorkonten für die Abonnements Ihrer Organisation verwendet werden. Entfernen Sie den Administratorstatus von allen Microsoft-Konten, und ersetzen Sie sie durch Microsoft Entra ID-Geschäfts-, Schul- oder Unikonten (z. B. chris@contoso.com). Greifen Sie bei der Administration auf Konten zurück, die in Microsoft Entra ID und nicht in anderen Diensten authentifiziert sind.
Überwachen der Azure-Aktivität
Das Azure-Aktivitätsprotokoll zeigt den Verlauf der Ereignisse auf Abonnementebene in Azure an. Darüber hinaus enthält es Informationen darüber, welche Ressourcen von welcher Person zu einem bestimmten Zeitpunkt erstellt, aktualisiert und gelöscht wurden, und wann diese Ereignisse auftraten. Weitere Informationen finden Sie unter Überwachen und Empfangen von Benachrichtigungen zu wichtigen Aktionen im Azure-Abonnement.
Zusätzliche Schritte für Organisationen, die den Zugriff auf andere Cloud-Apps über Microsoft Entra ID verwalten
Konfigurieren von Richtlinien für bedingten Zugriff
Bereiten Sie Richtlinien für bedingten Zugriff für lokale und Cloud-gehostete Anwendungen vor. Wenn Sie über mit dem Arbeitsbereich verknüpfte persönliche Geräte von Benutzern verfügen, erhalten Sie weitere Informationen unter Einrichten des lokalen bedingten Zugriffs mithilfe der Microsoft Entra-Geräteregistrierung.
Phase 3: Kontrolle der Administratoraktivitäten
Phase 3 baut auf den Maßnahmen aus Phase 2 auf und sollte innerhalb von ca. 1 bis 3 Monaten implementiert werden. Diese Phase der Roadmap für geschützten privilegierten Zugriff umfasst die folgenden Komponenten.
Allgemeine Vorbereitung
Durchführen einer Zugriffsüberprüfung von Benutzern in Administratorrollen
Mehr Unternehmensbenutzer erhalten privilegierten Zugriff über Clouddienste, was zu einem nicht verwalteten Zugriff führen kann. Benutzer können heutzutage globale Administratoren für Microsoft 365 oder Azure-Abonnementadministratoren werden oder Administratorzugriff auf virtuelle Computer oder über SaaS-Apps haben.
Ihre Organisation sollte dafür sorgen, dass alle Mitarbeiter normale geschäftliche Transaktionen als nicht privilegierte Benutzer ausführen und ihnen Administratorrechte nur bei Bedarf gewähren. Führen Sie Zugriffsüberprüfungen durch, um die Benutzer zu identifizieren und zu validieren, die zum Aktivieren von Administratorrechten berechtigt sind.
Wir empfehlen Folgendes:
- Bestimmen Sie, welche BenutzerMicrosoft Entra-Administratoren sind, aktivieren Sie bedarfsorientierten und Just-in-Time-Administratorzugriff sowie rollenbasierte Sicherheitssteuerungen.
- Konvertieren Sie Benutzer, für deren Berechtigung zum privilegierten Administratorzugriff es keinen triftigen Grund gibt, in eine andere Rolle (wenn keine geeignete Rolle vorhanden ist, entfernen Sie sie).
Fortsetzen der Einführung einer sichereren Authentifizierung für alle Benutzer
Fordern Sie besonders gefährdete Benutzer auf, eine moderne, starke Authentifizierung wie Microsoft Entra-MFA oder Windows Hello zu verwenden. Zu den besonders gefährdeten Benutzern zählen zum Beispiel:
- Führungskräfte auf Vorstandsebene
- Hochrangige Manager
- Wichtige IT- und Sicherheitsmitarbeiter
Verwenden dedizierter Arbeitsstationen für die Verwaltung von Microsoft Entra ID
Angreifer haben es möglicherweise auf privilegierte Konten abgesehen, um Integrität und Authentizität von Daten zu zerstören. Sie verwenden häufig bösartigen Code, der die Programmlogik ändert oder den Administrator bei der Eingabe von Anmeldeinformationen ausspioniert. Privileged Access Workstations (PAWs) bieten für sensible Aufgaben ein dediziertes Betriebssystem, das vor Internetangriffen und Bedrohungsüberträgern geschützt ist. Die Trennung dieser sensiblen Aufgaben und Konten von den täglich genutzten Arbeitsstationen und Geräten sorgt für hohen Schutz vor folgenden Risiken:
- Phishingangriffe
- Sicherheitsrisiken in Anwendungen und beim Betriebssystem
- Angriffe durch Identitätswechsel
- Angriffe zum Diebstahl von Anmeldeinformationen wie Protokollierung von Tastaturanschlägen, Pass-the-Hash und Pass-the-Ticket
Durch die Bereitstellung von Privileged Access Workstations können Sie das Risiko reduzieren, dass Administratoren ihre Anmeldeinformationen in einer Desktopumgebung eingeben, die nicht speziell gesichert ist. Weitere Informationen finden Sie unter Privileged Access Workstations.
Lesen der Empfehlungen des National Institute of Standards and Technology zur Abwicklung von Vorfällen
Das National Institute of Standards and Technology (NIST) bietet Richtlinien für den Umgang mit Incidents, insbesondere für die Analyse incidentbezogener Daten und die Bestimmung der richtigen Reaktion auf jeden Incident. Weitere Informationen finden Sie unter The (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2) (Handbuch zur Behandlung von Computersicherheitsvorfällen).
Implementieren von Privileged Identity Management (PIM) für JIT in zusätzlichen Administratorrollen
Verwenden Sie für Microsoft Entra ID die Funktion Microsoft Entra Privileged Identity Management. Die zeitlich begrenzte Aktivierung von privilegierten Rollen ermöglicht Ihnen Folgendes:
Aktivieren von Administratorrechten zum Ausführen einer bestimmten Aufgabe
Erzwingen der mehrstufigen Authentifizierung während der Aktivierung
Verwenden von Warnungen, um Administratoren über Out-of-band-Änderungen zu informieren
Benutzern ermöglichen, den privilegierten Zugriff für eine vorkonfigurierte Zeitspanne beizubehalten
Erlauben Sie Sicherheitsadministratoren die Durchführung folgender Aktivitäten:
- Erkennen aller Identitäten mit hohen Zugriffsrechten
- Anzeigen von Überwachungsberichten
- Erstellen von Zugriffsüberprüfungen zum Identifizieren aller Benutzer, die zum Aktivieren von Administratorrechten berechtigt sind
Wenn Sie Microsoft Entra Privileged Identity Management bereits verwenden, passen Sie die Zeitrahmen für zeitgebundene Berechtigungen nach Bedarf an (z. B. Wartungsfenster).
Ermitteln der Gefährdung durch kennwortbasierte Anmeldeprotokolle (bei Verwendung von Exchange Online)
Wir empfehlen, jeden potenziellen Benutzer zu identifizieren, bei dem die Kompromittierung der Anmeldeinformationen katastrophale Folgen für die Organisation haben kann. Etablieren Sie für diese Benutzer strenge Authentifizierungsanforderungen, und verwenden Sie den bedingten Zugriff von Microsoft Entra, um zu verhindern, dass sie sich mit ihrem Benutzernamen und Kennwort bei ihrer E-Mail-Anwendung anmelden. Sie können die Legacyauthentifizierung mit bedingtem Zugriff und die Basisauthentifizierung über Exchange Online blockieren.
Durchführen einer Rollenbewertung für Microsoft 365-Rollen (bei Verwendung von Microsoft 365)
Bewerten Sie, ob alle Administratorenbenutzer die richtigen Rollen besitzen (löschen Sie Rollen anhand dieser Bewertung, und weisen Sie sie neu zu).
Machen Sie sich mit dem in Microsoft 365 verwendeten Ansatz zum Sicherheitsincidentmanagement vertraut, und vergleichen Sie ihn mit Ihrer eigenen Organisation.
Sie können diesen Bericht aus dem Sicherheitsincidentmanagement in Microsoft 365 herunterladen.
Fortsetzen des Schützens von lokalen privilegierten Administratorkonten
Wenn Ihre Microsoft Entra ID mit einem lokalen Active Directory verbunden ist, befolgen Sie den Leitfaden in Schützen des privilegierten Zugriffs: Phase 2. In dieser Phase führen Sie folgende Aktionen aus:
- Bereitstellen von Privileged Access Workstations für alle Administratoren
- Anfordern von MFA
- Verwenden von JEA (Just Enough Admin) für die Wartung von Domänencontrollern, um die Angriffsfläche der Domänen zu minimieren
- Bereitstellen von Advanced Threat Analytics für die Angriffserkennung
Zusätzliche Schritte für Organisationen, die den Zugriff auf Azure verwalten
Einrichten der integrierten Überwachung
- Bietet eine integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements
- Hilft bei der Erkennung von Bedrohungen, die sonst möglicherweise unbemerkt bleiben
- Funktioniert mit einer großen Palette von Sicherheitslösungen
Inventarisieren Ihrer privilegierten Konten auf gehosteten virtuellen Computern
In der Regel müssen Sie Benutzern keine uneingeschränkten Berechtigungen für Ihre sämtlichen Azure-Abonnements oder -Ressourcen erteilen. Verwenden Sie Microsoft Entra-Administratorrollen, um nur den Zugriff zu gewähren, den die Benutzer zum Ausführen ihrer Aufgaben benötigen. Mit Microsoft Entra-Administratorrollen können Sie einem Administrator nur die Verwaltung virtueller Computer in einem Abonnement gestatten, während ein anderer im gleichen Abonnement SQL-Datenbanken verwalten kann. Weitere Informationen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung in Azure?.
Implementieren von PIM für Microsoft Entra-Administratorrollen
Verwenden Sie Privileged Identity Management mit Microsoft Entra-Administratorrollen zum Verwalten, Steuern und Überwachen des Zugriffs auf Azure-Ressourcen. PIM bietet Schutz durch Herabsetzen der Gefährdungszeit für Berechtigungen und bietet mithilfe von Berichten und Warnungen einen größeren Einblick in die Verwendung dieser Berechtigungen. Weitere Informationen finden Sie unter Was ist Microsoft Entra Privileged Identity Management?.
Verwenden von Azure-Protokollintegrationen zum Senden von relevanten Azure-Protokollen an Ihre SIEM-Systeme
Mit der Azure-Protokollintegration können Sie nicht aufbereitete Protokolle von Ihren Azure-Ressourcen in die vorhandenen SIEM-Systeme (Security Information and Event Management) Ihrer Organisation integrieren. Mit der Azure-Protokollintegration erfassen Sie Windows-Ereignisse aus Protokollen der Windows-Ereignisanzeige und Azure-Ressourcen aus folgenden Quellen:
- Azure-Aktivitätsprotokolle
- Microsoft Defender für Cloud-Warnungen
- Azure-Ressourcenprotokolle
Zusätzliche Schritte für Organisationen, die den Zugriff auf andere Cloud-Apps über Microsoft Entra ID verwalten
Implementieren der Benutzerbereitstellung für verbundene Apps
Microsoft Entra ID bietet Ihnen die Möglichkeit, das Erstellen und Pflegen von Benutzeridentitäten in Cloud-Apps wie Dropbox, Salesforce und ServiceNow zu automatisieren. Weitere Informationen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzern für SaaS-Anwendungen mit Microsoft Entra ID.
Integrieren von Information Protection
Mit Microsoft Defender für Cloud-Apps können Sie Dateien untersuchen und Richtlinien auf Grundlage von Klassifizierungsbezeichnungen von Azure Information Protection festlegen, sodass Sie einen größeren Einblick in Ihre Daten in der Cloud gewinnen und sie besser unter Kontrolle haben. Überprüfen und klassifizieren Sie Dateien in der Cloud und wenden Sie Azure Information Protection-Bezeichnungen an. Weitere Informationen finden Sie unter Integration mit Azure Information Protection.
Konfigurieren des bedingten Zugriffs
Konfigurieren Sie den bedingten Zugriff basierend auf einer Gruppen-, Standort- und Anwendungsvertraulichkeit für SaaS-Apps und verbundene Microsoft Entra-Apps.
Überwachen der Aktivität in verbundenen Cloud-Apps
Wir empfehlen die Verwendung von Microsoft Defender für Cloud-Apps, um sicherzustellen, dass der Benutzerzugriff auch in verbundenen Anwendungen geschützt ist. Diese Funktion schützt den Zugriff Ihres Unternehmens auf Cloud-Apps, sichert Ihre Administratorkonten und bietet folgende Möglichkeiten:
- Erweitern des Einblicks in Cloud-Apps und der Kontrollmöglichkeiten
- Erstellen von Richtlinien für Zugriff, Aktivitäten und Datenfreigabe
- Automatisches Identifizieren von riskanten Aktivitäten, nicht normalem Verhalten und Bedrohungen
- Verhindern von Datenlecks
- Minimieren von Risiken, automatische Prävention und Durchsetzung von Richtlinien
Der SIEM-Agent von Defender für Cloud-Apps integriert Defender für Cloud-Apps in Ihren SIEM-Server, um zentralisierte Überwachung von Microsoft 365-Warnungen und Aktivitäten zu ermöglichen. Er wird auf dem Server ausgeführt, bezieht Warnungen und Aktivitäten aus Defender für Cloud-Apps und streamt sie an den SIEM-Server. Weitere Informationen finden Sie unter SIEM-Integration.
Phase 4: Weiterer Aufbau von Schutzmaßnahmen
Phase 4 der Roadmap sollte nach 6 Monaten oder später implementiert werden. Vervollständigen Sie die Roadmap, um den Schutz des privilegierten Zugriffs vor den heute bekannten Angriffen zu erhöhen. In Hinblick auf zukünftige Sicherheitsbedrohungen empfehlen wir, die Sicherheit als fortwährenden Prozess zu betrachten, um die entsprechenden Gelder aufzubringen und die Erfolgsrate der Angriffe auf Ihre Umgebung zu reduzieren.
Das Sichern des privilegierten Zugriffs ist wichtig, um Sicherheitsgarantien für Ihre geschäftlichen Ressourcen zu etablieren. Diese Maßnahme sollte jedoch Teil eines umfassenden Sicherheitsprogramms sein, das für permanente Sicherheitsgarantien sorgt. Dieses Programm sollte sich u.a. auf folgende Elemente beziehen:
- Richtlinie
- Operationen (Operations)
- Informationssicherheit
- Server
- Anwendungen
- Computer
- Geräte
- Cloud-Fabric
Für die Verwaltung von Konten für den privilegierten Zugriff empfehlen wir die folgenden Methoden:
- Stellen Sie sicher, dass Administratoren ihre Routineaufgaben als Benutzer ohne Privilegien ausführen.
- Gewähren Sie privilegierten Zugriff nur bei Bedarf, und entziehen sie ihn danach (Just-in-Time)
- Speichern Sie Aktivitätsüberwachungsprotokolle im Zusammenhang mit privilegierten Konten
Weitere Informationen zum Erstellen einer vollständigen Sicherheitsroadmap finden Sie unter Ressourcen zur Cloud-IT-Architektur von Microsoft. Um Unterstützung bei der Implementierung der einzelnen Phasen Ihrer Roadmap durch Microsoft-Dienste zu erhalten, wenden Sie sich an Ihren Microsoft-Vertriebsbeauftragten, oder lesen Sie Erstellen von wichtigen Schutzmaßnahmen vor Cyberangriffen zum Schutz Ihres Unternehmens.
Diese letzte laufende Phase der Roadmap für geschützten privilegierten Zugriff umfasst die folgenden Komponenten.
Allgemeine Vorbereitung
Überprüfen von Administratorrollen in Microsoft Entra ID
Ermitteln Sie, ob die derzeit integrierten Microsoft Entra-Administratorrollen noch auf dem neuesten Stand sind, und sorgen Sie dafür, dass die Benutzer nur den tatsächlich erforderlichen Rollen zugewiesen sind. Mit Microsoft Entra ID können Sie separate Administratoren für unterschiedliche Funktionen zuweisen. Weitere Informationen finden Sie unter Integrierte Rollen in Microsoft Entra.
Überprüfen von Benutzern, die in Microsoft Entra eingebundene Geräte verwalten
Weitere Informationen finden Sie unter So konfigurieren Sie in Microsoft Entra eingebundene Hybridgeräte.
Überprüfen der Mitglieder integrierter Administratorrollen in Microsoft 365
Überspringen Sie diesen Schritt, wenn Sie Microsoft 365 nicht verwenden.
Validieren des Notfallreaktionsplans
Um Ihren Plan zu verbessern, empfiehlt Microsoft, dass Sie regelmäßig überprüfen, ob Ihr Plan wie erwartet funktioniert:
- Prüfen Sie Ihre vorhandene Roadmap auf Lücken
- Ziehen Sie Bilanz, und überarbeiten Sie entweder vorhandene bewährte Methoden oder definieren Sie neue Methoden
- Stellen Sie sicher, dass Ihr aktualisierter Notfallreaktionsplan und Ihre bewährten Methoden in der gesamten Organisation verbreitet werden
Zusätzliche Schritte für Organisationen, die den Zugriff auf Azure verwalten
Bestimmen Sie, ob Sie den Besitz eines Azure-Abonnements auf ein anderes Konto übertragen müssen.
Was bei einem Notfall zu tun ist
Versorgen Sie Führungskräfte und Sicherheitsbeauftragte mit Informationen zu dem Vorfall.
Überprüfen Sie Ihr Angriffs-Playbook.
Greifen Sie auf Ihre Benutzername-/Kennwortkombination für das Notfallkonto zu, um sich bei Microsoft Entra ID anzumelden.
Bitten Sie Microsoft um Hilfe, indem Sie eine Azure-Supportanfrage öffnen.
Sehen Sie sich die Microsoft Entra-Anmeldeberichte an. Zwischen dem Auftreten eines Ereignisses und seiner Einbeziehung in den Bericht kann eine gewisse Zeit verstreichen.
Wenn Sie in einer Hybridumgebung arbeiten und Ihre lokale Verbundinfrastruktur und Ihr AD FS-Server nicht verfügbar sind, können Sie vorübergehend von der Verbundauthentifizierung zur Kennworthashsynchronisierung wechseln. Dadurch erfolgt ein Wechsel vom Domänenverbund zurück zur verwalteten Authentifizierung, bis der AD FS-Server wieder verfügbar ist.
Überwachen Sie E-Mail für privilegierte Konten.
Stellen Sie sicher, dass Sie Sicherungen der relevanten Protokolle für potenzielle forensische und rechtliche Untersuchungen speichern.
Weitere Informationen zur Behandlung von Sicherheitsvorfällen durch Microsoft Office 365 finden Sie unter Sicherheitsvorfallmanagement in Microsoft Office 365.
Häufig gestellte Fragen: Antworten zum Sichern des privilegierten Zugriffs
F: Wie gehe ich vor, wenn ich noch keine Komponenten für den sicheren Zugriff implementiert habe?
Antwort: Definieren Sie mindestens zwei Notfallkonten, weisen Sie Ihren privilegierten Administratorkonten MFA zu, und trennen Sie Benutzerkonten von globalen Administratorkonten.
F: Welches Problem muss nach einer Sicherheitsverletzung zuerst behandelt werden?
Antwort: Stellen Sie sicher, dass Sie für Personen mit hohem Gefährdungspotenzial die sicherste Authentifizierung anfordern.
F: Was geschieht, wenn unsere privilegierten Administratoren deaktiviert wurden?
Antwort: Erstellen Sie ein globales Administratorkonto, das immer auf dem neuesten Stand gehalten wird.
F: Was geschieht, wenn nur noch ein einziger globaler Administrator vorhanden ist, dieser aber nicht erreicht werden kann?
Antwort: Verwenden Sie eines Ihrer Notfallkonten, um umgehend privilegierten Zugriff zu erhalten.
F: Wie kann ich Administratoren in meiner Organisation schützen?
Antwort: Achten Sie darauf, dass Administratoren ihre täglichen Routineaufgaben stets als Standardbenutzer ohne Privilegien ausführen.
F: Welche Methoden haben sich für das Erstellen von Administratorkonten in Microsoft Entra ID bewährt?
Antwort: Reservieren Sie privilegierten Zugriff für bestimmte Administratoraufgaben.
F: Welche Tools stehen zur Reduzierung des dauerhaften Administratorzugriffs zur Verfügung?
Antwort: Privileged Identity Management (PIM) und Microsoft Entra-Administratorrollen.
F: Welche Position bezieht Microsoft hinsichtlich der Synchronisierung von Administratorkonten mit Microsoft Entra ID?
Antwort: Administratorkonten auf Ebene 0 werden nur für lokale AD-Konten verwendet. Diese Konten werden in der Regel nicht mit Microsoft Entra ID in der Cloud synchronisiert. Zu den Administratorkonten auf Ebene 0 gehören Konten, Gruppen und andere Ressourcen, die direkt oder indirekt administrative Kontrolle über die lokale Active Directory-Gesamtstruktur, über Domänen oder Domänencontroller und Ressourcen ausüben.
F: Wie halten wir Administratoren davon ab, zufälligen Administratorzugriff im Portal zuzuweisen?
Antwort: Verwenden Sie nicht privilegierte Konten für alle Benutzer und die meisten Administratoren. Beginnen Sie damit, die Anforderungen der Organisation zu erfassen, um zu bestimmen, welchen einzelnen Administratorkonten Privilegien erteilt werden sollen. Achten Sie auch auf neu erstellte Benutzer mit Administratorrechten.
Nächste Schritte
Microsoft Trust Center für Produktsicherheit – Sicherheitsfeatures von Cloudprodukten und -diensten von Microsoft
Microsoft-Complianceangebote – die umfassenden Complianceangebote von Microsoft für Clouddienste
Leitfaden zum Ausführen einer Risikobewertung – Verwalten von Sicherheits- und Complianceanforderungen für Clouddienste von Microsoft
Andere Microsoft Online Services
Microsoft Intune-Sicherheit – Intune bietet cloudbasierte Verwaltungsfunktionen für mobile Geräte, mobile Anwendungen und PCs.
Microsoft Dynamics 365 – Dynamics 365 ist die cloudbasierte Lösung von Microsoft, die Funktionen für Kundenbeziehungsmanagement (Customer Relationship Management, CRM) und Enterprise Resource Planning (ERP) vereinheitlicht.