Entdecken Sie Tools und Technologien, die für die Zugriffssteuerung in von Microsoft 365 verwendet werden
Microsoft 365 verwendet eine Vielzahl von Tools und Technologien, um die Sicherheit von Serviceteamkonten zu gewährleisten. In dieser Lerneinheit befassen wir uns mit einigen dieser Tools, um die Grundlage für die Diskussion zu schaffen, wie Microsoft das Prinzip Zero Standing Access (ZSA, kein ständiger Zugriff) erzwingt.
Identity Management Tool (IDM)
Microsoft 365 verwendet ein Kontoverwaltungssystem namens "Identity Management Tool" (IDM), um Serviceteamkonten über ihren Lebenszyklus hinweg nachzuverfolgen. IDM verfolgt automatisch den Status aller Serviceteamkonten nach, von der ersten Kontoanforderung über die Berechtigungsprüfung bis zur Genehmigung, Erstellung, Änderung und Deaktivierung, wenn das Konto nicht mehr benötigt wird.
Bevor ein neues Serviceteamkonto erstellt werden kann, stellt IDM sicher, dass alle entsprechenden Anspruchsvoraussetzungen erfüllt sind. Diese Voraussetzungen umfassen Personalscreening, Schulungen im Bereich Sicherheit und Datenschutz sowie entsprechende Genehmigungen durch die verantwortlichen Personen. Außerdem benachrichtigt IDM die verantwortlichen Personen, wenn Kontoänderungen angefordert werden, damit sie diese ggf. genehmigen. Wenn ein Mitarbeiter Filiale wechselt, das Unternehmen verlässt oder eine erforderliche Schulung nicht abschließt, hebt IDM den Zugriff auf sein Serviceteamkonto automatisch auf und benachrichtigt die verantwortliche Person.
Automatisierung stellt das Herzstück der Bereitstellung von Sicherheit im großen Maßstab dar. Der Großteil der Kontenverwaltung wird durch IDM automatisiert. IDM deaktiviert Serviceteamkonten automatisch nach nicht mehr als 90 Tagen Inaktivität. Zudem werden Serviceteamkonten, die das Limit für Anmeldeversuche überschreiten, automatisch gesperrt. Serviceteamkonten werden während ihres gesamten Lebenszyklus automatisch überwacht. Eine Ausnahme bilden die manuellen Zugriffsüberprüfungen. Wo sie stattfinden, werden sie von den Microsoft 365-Serviceteams mindestens vierteljährlich durchgeführt.
Rollenbasierte Zugriffssteuerung (RBAC)
Microsoft 365-Serviceteams verwenden Role-Based Access Control (RBAC), die von Active Directory (AD) und Microsoft Entra ID erzwungen wird. Mitarbeiter des Serviceteams fordern den Zugang zu erforderlichen Rollen vorbehaltlich der Genehmigung durch die verantwortlichen Personen an. Nach der Genehmigung werden sie Sicherheitsgruppen zugeordnet basierend auf ihren Rollen für den Systemsupport.
Die Zugriffsstufe von Serviceteamkonten wird nach dem Prinzip der niedrigsten erforderlichen Berechtigung verwaltet. RBAC schränkt die Zugriffsstufe von Serviceteamkonten auf nur den Zugriff ein, der benötigt wird, um erforderliche Aufgaben in Umgebungen auszuführen, die ihrer Rolle entsprechen. RBAC trägt außerdem zur Durchsetzung der Aufgabenteilung bei, indem Serviceteamkonten auf Rollen beschränkt werden, die ihren aktuellen Zuständigkeiten entsprechen.
Remotezugriff
Die Microsoft 365-Systemkomponenten sind in Rechenzentren untergebracht, die von den Betriebsteams geographisch getrennt sind. Mitarbeiter von Rechenzentren haben physischen Zugriff, jedoch keinen logischen Zugriff auf die Microsoft 365-Umgebung. Mitarbeiter des Serviceteams hingegen haben logischen Zugriff, jedoch keinen physischen Zugriff. Dies hat zur Folge, dass die Mitarbeiter des Serviceteams die Umgebung über Remotezugriff verwalten. Alle genehmigten Aktivitäten sind für die Ausführung über Remotezugriff auf die Microsoft 365-Umgebung autorisiert. Mitarbeiter des Serviceteams, die für Supportdienste für Microsoft 365 Remotezugriff benötigen, erhalten diesen nur nach Genehmigung durch einen autorisierten Verantwortlichen. Für den Remotezugriff wird ausschließlich FIPS 140-2-kompatibles TLS für sichere Remoteverbindungen verwendet.
Arbeitsstationen mit sicherem Zugriff (SAWs)
Microsoft 365 gibt Arbeitsstationen mit sicherem Zugriff (SAWs) an Techniker des Serviceteams aus, die Support für Microsoft 365-Produktionsumgebungen leisten. SAWs bieten erhöhte Sicherheit, indem sie die Angriffsfläche der Geräte reduzieren, die Techniker zur Durchführung von administrativen Aktionen beim Support von Microsoft 365-Diensten verwenden.
Bei den SAWs von Microsoft handelt es sich um speziell entworfene und gefertigte Laptops mit zusätzlichen Schutzfunktionen gegen Hard- und Softwarebedrohungen. Microsoft kooperiert für die Herstellung von SAWs direkt mit vertrauenswürdigen Anbietern, um die Lieferkette zu verkürzen und damit die Sicherheit von SAW-Hardware zu gewährleisten. Durch abgesicherte Betriebssysteme mit absichtlich eingeschränkter Funktionalität werden häufige Angriffsvektoren abgeschwächt oder eliminiert. Saw-Härtungsmethoden umfassen das Deaktivieren des Schreibens auf USB-Laufwerke, das Erzwingen der strengen Zulassungsliste für Anwendungen, das Entfernen von Produktivitätssammlungen und E-Mail-Zugriffen, das Einschränken des Internetbrows, das Erzwingen der Verwendung eines gehärteten Browsers, das Weiterleiten von Datenverkehr über einen Proxyfilter und das Erzwingen von Inaktivitätssperren von Bildschirmschonern über Gruppenrichtlinien.
Microsoft 365-Systeme für die Zugriffskontrolle überprüfen automatisch die Integrität der SAW eines Technikers zum Zeitpunkt des Zugriffs und verweigern Verbindungen über nicht konforme SAWs. Geräteintegritätsprüfungen ergänzen andere Zugriffskontrollen wie IP-Einschränkungen, IPsec-Richtlinien und die Überprüfung der Benutzeridentität durch die mehrstufige Authentifizierung. Die Nutzung von SAWs wird strengstens überwacht und protokolliert, um jegliche unberechtigte Nutzung zu erkennen und zu verhindern. Nicht konforme Geräte werden automatisch deaktiviert.
Mehrstufige Authentifizierung (MFA)
Microsoft 365 erfordert für alle Serviceteamkonten die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA). MFA erhöht die Kontosicherheit, da mehrere Formen des Verifizierung – oder Faktoren – erforderlich sind, um die Identität eines Technikers bei der Anmeldung am System zu belegen. Die Arten von Faktoren, die für die MFA verwendet werden können, sind in drei Kategorien unterteilt:
- Etwas, das Sie wissen: ein Kennwort, eine Antwort auf eine Sicherheitsfrage oder eine persönliche Identifikationsnummer (PIN)
- Etwas, das Sie haben: ein Sicherheitstoken-Generator oder eine App auf einem Mobilgerät, die eine Benachrichtigung empfängt
- Etwas, das Sie auszeichnet: ein biometrisches Element wie z. B. ein Fingerabdruck oder ein Gesichtsscan
Microsoft 365 erfordert mindestens zwei Faktoren für die MFA. Die Verwendung der MFA erhöht die Sicherheit von Microsoft 365 durch die Reduzierung der Auswirkungen bei Offenlegung/Gefährdung von Anmeldeinformationen. In Microsoft 365 muss sich ein Angreifer, der das Kennwort eines Benutzers kompromittiert, auch Zugriff auf dessen Sicherheitstoken-Generator haben, um sich vollständig authentifizieren zu können. Die Authentifizierung mit nur einem Faktor reicht für den Zugriff auf Microsoft 365 nicht. Potenzielle Angreifer werden ausgesperrt und dem Benutzer wird ausreichend Zeit zum Ändern des kompromittierten Kennworts gegeben.