Bewährte Methoden der Microsoft-Sicherheit für Identitäts- und Zugriffsverwaltung

In der cloudbasierten Architektur bietet die Identität die Grundlage für einen hohen Prozentsatz an Sicherheitszusicherungen. Während ältere IT-Infrastrukturen oft stark auf Firewalls und Netzwerksicherheitslösungen an den ausgehenden Internetstellen zum Schutz vor externen Bedrohungen angewiesen waren, sind diese Kontrollen in Cloudarchitekturen, wo über Cloudanbieternetzwerke oder das Internet auf gemeinsame Dienste zugegriffen wird, weniger effektiv.

Es ist schwierig oder unmöglich, präzise Firewallregeln zu schreiben, wenn Sie nicht die Netzwerke kontrollieren, in denen diese Dienste gehostet werden, wo verschiedene Cloudressourcen dynamisch hoch- und runtergefahren werden, Cloudkunden eine Infrastruktur gemeinsam nutzen und Mitarbeiter und Benutzer erwarten, dass sie von überall auf Daten und Dienste zugreifen können. Um all diese Funktionen zu ermöglichen, müssen Sie den Zugriff auf der Grundlage von Identitätsauthentifizierung und Autorisierungskontrollen in den Clouddiensten verwalten, um Daten und Ressourcen zu schützen und zu entscheiden, welche Anfragen zulässig sein sollen.

Darüber hinaus bietet die Verwendung einer cloudbasierten Identitätslösung wie Azure Active Directory (Azure AD) zusätzliche Sicherheitsfunktionen, die ältere Identitätsdienste nicht bieten können, weil sie Bedrohungsanalyse durch ihre Sichtbarkeit auf eine große Anzahl von Zugriffsanforderungen und Bedrohungen bei vielen Kunden anwenden können.

Einzelnes Unternehmensverzeichnis

Bewährte Methode: Einrichten eines einzelnen Unternehmensverzeichnisses zum Verwalten von Identitäten von Vollzeitmitarbeitern und Unternehmensressourcen.

Eine einzige autoritative Quelle für Identitäten erhöht die Klarheit und Konsistenz für alle Rollen in IT und Sicherheit. Dies verringert das Sicherheitsrisiko von menschlichen Fehlern und Automatisierungsfehlern, die aus der Komplexität entstehen. Wenn Sie über eine einzige autoritative Quelle verfügen, können Teams, die Änderungen am Verzeichnis vornehmen müssen, dies an einem einzigen Ort vornehmen und sicher sein, dass ihre Änderungen überall wirksam werden.

Bestimmen Sie für Azure einen einzelnen Azure AD-Mandanten als autoritative Quelle für die Konten Ihrer Organisation.

Weitere Informationen finden Sie unter Was ist hybride Identität?

Synchronisierte Identitätssysteme

Bewährte Methode: Synchronisieren Ihrer Cloudidentität mit Ihren vorhandenen Identitätssystemen.

Die Konsistenz von Identitäten zwischen Cloud und lokalen Umgebungen verringert menschliche Fehler und daraus resultierende Sicherheitsrisiken. Teams, die Ressourcen in beiden Umgebungen verwalten, benötigen eine konsistente autoritative Quelle, um Sicherheitszusicherungen umsetzen zu können.

Synchronisieren Sie für Azure Azure AD mit Ihrer vorhandenen autoritativen lokalen Active Directory Domain Services (AD DS) mithilfe der Hybrididentität.

Dies ist auch für eine Office 365-Migration erforderlich, sodass es häufig bereits vor dem Beginn der Azure-Migration und von Entwicklungsprojekten erledigt wird.

Cloudanbieter-Identitätsquelle für Drittanbieter

Bewährte Methode: Verwenden Sie Cloudidentitätsdienste, um Konten von Benutzern zu hosten, die keine Mitarbeiter sind, z. B. Anbieter, Partner und Kunden, anstatt sie in Ihr lokales Verzeichnis aufzunehmen.

Dadurch wird das Risiko verringert, indem externen Entitäten die geeignete Zugriffsebene gewährt wird, anstatt die vollständigen Standardberechtigungen, die Vollzeitmitarbeiter erhalten. Dieser Ansatz der geringsten Rechte und eine klare Differenzierung zwischen externen Konten und Mitarbeitern des Unternehmens erleichtern es, Angriffe zu verhindern und zu erkennen, die von diesen Vektoren stammen. Darüber hinaus wird, weil die Verwaltung dieser Identitäten extern erfolgt, auch die Produktivität der Parteien erhöht, indem der Aufwand verringert wird, der von den Personalwesen- und IT-Teams gefordert wird.

Beispielsweise integrieren sich diese Funktionen nativ in dasselbe Azure AD-Identitäts- und -Berechtigungsmodell, das von Azure und Office 365 verwendet wird:

Weitere Informationen Sie in Azure AD-Verbund – Kompatibilitätsliste.

Kennwortlose oder mehrstufige Authentifizierung für Administratorkonten

Bewährte Methode: Alle Benutzer sollten konvertiert werden, sodass sie im Laufe der Zeit kennwortlose Authentifizierung oder mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden.

Die Details dieser Empfehlung befinden sich im Verwaltungsabschnitt kennwortlose oder mehrstufige Authentifizierung für Administratoren

Dieselbe Empfehlung gilt für alle Benutzer, sollte jedoch zuerst und am stärksten auf Konten mit Administratorrechten angewendet werden.

Sie können auch die Verwendung von Kennwörtern durch Anwendungen verringern, indem Sie verwaltete Identitäten verwenden, um den Zugriff auf Ressourcen in Azure zu gewähren.

Blockieren älterer Authentifizierungsmethoden

Bewährte Methode: Deaktivieren Sie unsichere Legacyprotokolle für Dienste mit Internetzugriff.

Legacyauthentifizierungsmethoden gehören zu den prominentesten Angriffsvektoren für in der Cloud gehostete Dienste. Legacyprotokolle, die vor der Existenz von mehrstufiger Authentifizierung erstellt wurden, unterstützen keine zusätzlichen Faktoren, die über Kennwörter hinausgehen, und sind daher primäre Ziele für Kennwort-Spray-, Wörterbuch- oder Brute-Force-Angriffe. Beispielsweise verwenden fast 100 % aller Kennwortspray-Angriffe auf Office 365-Kunden Legacyprotokolle. Außerdem fehlen in diesen älteren Protokollen häufig andere Angriffsgegenmaßnahmen, wie z. B. Kontosperrungen oder Backoff-Timer. Dienste, die in der Cloud von Microsoft ausgeführt werden und ältere Protokolle blockieren, haben eine Reduzierung von 66 % bei erfolgreichen Kontokompromittierungen beobachtet.

Konfigurieren Sie für Azure und andere Azure AD-basierte Konten den bedingten Zugriff, um ältere Protokolle zu blockieren.

Die Deaktivierung der Legacyauthentifizierung kann schwierig sein, da manche Benutzer möglicherweise nicht zu einer neuen Clientsoftware wechseln möchten, die moderne Authentifizierungsmethoden unterstützt. Die Umstellung von der Legacyauthentifizierung weg kann jedoch schrittweise erfolgen. Beginnen Sie mit der Verwendung von Metriken und Protokollierung Ihres Authentifizierungsanbieters, um zu bestimmen, wie viele Benutzer sich immer noch mit alten Clients authentifizieren. Als nächstes deaktivieren Sie alle veralteten Protokolle, die nicht mehr verwendet werden, und richten den bedingten Zugriff für alle Benutzer ein, die keine Legacyprotokolle verwenden. Schließlich sollten Sie den Benutzern zahlreiche Hinweise und Anleitungen bereitstellen, wie sie ein Upgrade durchführen können, bevor Sie die Legacyauthentifizierung für alle Benutzer in allen Diensten auf Protokollebene blockieren.

Keine lokalen Administratorkonten bei Cloudidentitätsanbietern

Bewährte Methode: Synchronisieren Sie Konten mit maximal privilegiertem Zugriff nicht auf lokale Ressourcen, wenn Sie Ihre Unternehmensidentitätssysteme mit Cloudverzeichnissen synchronisieren.

Dies verringert das Risiko, dass es ein Angreifer schafft, nach einer erfolgreichen Kompromittierung eines Cloudkontos die vollständige Kontrolle über lokale Ressourcen zu erlangen. Dies hilft dabei, die signifikante Zunahme des Umfangs eines solchen Vorfalls zu unterbinden.

Für Azure synchronisieren Sie keine Konten mit Azure AD, die über hohe Berechtigungen in Ihrem vorhandenen AD DS verfügen.

Dies bezieht sich auf die Anleitungen zu kritischen Auswirkungen von Kontoabhängigkeiten , die das inverse Risiko der Pivotierung von lokalen zu Cloudressourcen verringern.

Moderner Kennwortschutz

Bewährte Vorgehensweise: Stellen Sie moderne und effektive Schutzfunktionen für Konten bereit, die nicht kennwortlos (kennwortlose oder mehrstufige Authentifizierung für Administratoren) gehen können.

Legacyidentitätsanbieter überprüfen größtenteils nur, ob Kennwörter eine gute Mischung aus Zeichenarten und Mindestlänge aufweisen, wobei wir aber gelernt haben, dass diese Kontrollen in der Praxis zu Kennwörtern mit einer geringeren Entropie geführt haben, die sich leichter knacken ließen:

Heutzutage müssen Identitätslösungen in der Lage sein, auf die Arten von Angriffen zu reagieren, die es vor ein oder zwei Jahrzehnten noch nicht einmal gab, wie Kennwort-Sprays, Breach Replays (auch als „Credential Stuffing“ bezeichnet), wobei Benutzername/Kennwort-Paare aus Sicherheitsverletzungen anderer Sites getestet werden, sowie Man-in-the-Middle-Phishingangriffe. Cloudidentitätsanbieter sind eindeutig positioniert, um Schutz vor diesen Angriffen zu bieten. Da sie so große Mengen von Anmeldungen verarbeiten, können sie eine bessere Anomalieerkennung anwenden und eine Vielzahl von Datenquellen nutzen, um sowohl Unternehmen proaktiv zu benachrichtigen, wenn die Kennwörter ihrer Benutzer bei anderen Verstößen gefunden wurden, als auch um zu überprüfen, ob jede bereitgestellte Anmeldung legitim erscheint und nicht von einem unerwarteten oder bekannt böswilligen Host stammt.

Außerdem wird durch das Synchronisieren von Kennwörtern in die Cloud zur Unterstützung dieser Überprüfungen auch die Resilienz bei manchen Angriffen gestärkt. Kunden, die von (Not)Petya-Angriffen betroffen sind, konnten ihren Geschäftsbetrieb fortsetzen, wenn Kennworthashes mit Azure AD synchronisiert wurden (im Gegensatz zu nahezu gar keiner Kommunikation und keinen IT-Diensten für betroffenen Organisationen von Kunden, die ihre Kennwörter nicht synchronisiert hatten).

Aktivieren Sie für Azure moderne Schutzmechanismen in Azure AD mithilfe der folgenden Schritte:

  1. Implementieren der Kennworthashsynchronisierung mit der Azure AD Connect-Synchronisierung

  2. Wählen Sie aus, ob diese Probleme automatisch behoben oder basierend auf einem Bericht manuell behoben werden sollen:

    a. Automatische Erzwingung: Hochriskante Kennwörter automatisch mit bedingtem Zugriff korrigieren unter Nutzung der Risikobewertungen von Azure AD Identity Protection

    b. Bericht & Manuell beheben – Anzeigen von Berichten und manuellen Korrekturen von Konten

Verwenden Sie die API für Identity Protection-Risikoereignisse, um programmgesteuerten Zugriff auf Sicherheitserkennungen über Microsoft Graph zu erhalten.

Plattformübergreifende Verwaltung von Anmeldeinformationen

Bewährte Methode: Verwenden Sie einen einzelnen Identitätsanbieter zur Authentifizierung aller Plattformen (Windows, Linux und andere) und Clouddienste.

Ein einzelner Identitätsanbieter für alle Unternehmensressourcen vereinfacht die Verwaltung und Sicherheit, wodurch das Risiko minimiert wird, das Dinge übersehen werden oder menschliche Fehler eintreten. Das Bereitstellen mehrerer Identitätslösungen (oder einer unvollständigen Lösung) kann zu nicht erzwingbaren Kennwortrichtlinien, Kennwörtern, die nach einer Sicherheitsverletzung nicht zurückgesetzt werden, der Verbreitung von Kennwörtern (häufig unsicher gespeichert) und zu ehemaligen Mitarbeitern, die nach ihrem Ausscheiden Kennwörter behalten, führen.

Azure AD kann z. B. für die Authentifizierung verwendet werden:

Bedingter Zugriff für Benutzer mit Zero Trust

Bewährte Methode: Die Authentifizierung für alle Benutzer sollte die Messung und Erzwingung wichtiger Sicherheitsattribute zur Unterstützung einer Zero Trust-Strategie umfassen.

Die Details dieser Empfehlung finden Sie in allgemeinen Zero Trust Identitäts- und Gerätezugriffsrichtlinien. Dieselbe Empfehlung gilt für alle Benutzer, sollte jedoch zuerst auf Konten mit Administratorrechten angewendet werden.

Sie können auch die Verwendung von Kennwörtern durch Anwendungen verringern, indem Sie verwaltete Identitäten verwenden, um den Zugriff auf Ressourcen in Azure zu gewähren.

Simulieren von Angriffen

Bewährte Methode: Simulieren Sie zum Zweck der Schulung und Unterstützung von Ihren Benutzern regelmäßig Angriffe auf diese.

Menschen sind ein kritischer Teil Ihrer Verteidigung, sorgen Sie also dafür, dass diese Benutzer über das entsprechende Wissen verfügen und geeignete Vorgehensweisen zur Vermeidung und Abwehr von Angriffen kennen, wodurch sich das Gesamtrisiko für Ihre Organisation reduzieren lässt.

Sie können den Angriffssimulator in Microsoft Defender für Office 365 oder eine beliebige Anzahl von Angeboten von Drittanbietern verwenden.

Nächster Schritt

Überprüfen Sie die Funktionen für den Identitäts- und Gerätezugriff.

Weitere Informationen:

Zero Trust: Sicherheitsmodell und Framework

Microsoft-Dokumentation zur Sicherheit