Planen von Sicherheitsstandards
Die Aufrechterhaltung der Sicherheit kann schwierig sein, da gängige identitätsbezogene Angriffe, z. B. Kennwortspray, Replay und Phishing, immer zahlreicher und beliebter werden. Sicherheitsstandards bieten sichere Standardeinstellungen, die von Microsoft im Auftrag von Organisationen verwaltet werden, um die Sicherheit von Kunden zu gewährleisten, bis Organisationen zum Verwalten der eigenen Identitätssicherheit bereit sind. Sicherheitsstandards enthalten vorkonfigurierte Sicherheitseinstellungen wie beispielsweise die folgenden:
Alle Benutzer müssen sich für die Multifaktor-Authentifizierung registrieren.
Festlegen, dass Administratoren mehrstufige Authentifizierung durchführen müssen.
Blockieren älterer Authentifizierungsprotokolle.
Festlegen, dass Benutzer bei Bedarf mehrstufige Authentifizierung durchführen müssen.
Schützen privilegierter Aktivitäten Zugriff auf das Azure-Portal.
Verfügbarkeit
Microsoft-Sicherheitsstandards stehen jedem zur Verfügung. Das Ziel ist sicherzustellen, dass in allen Organisationen eine Standardsicherheitsebene ohne zusätzliche Kosten aktiviert ist. Sie aktivieren die Sicherheitsstandards im Azure-Portal. Wenn Ihr Mandant am oder nach dem 22. Oktober 2019 erstellt wurde, ist es möglich, dass in Ihrem Mandanten bereits Sicherheitsstandards aktiviert sind. Um alle Benutzer zu schützen, werden Sicherheitsstandards bei allen neu erstellten Mandanten eingeführt.
Für wen eignet sich diese Funktion?
| Wer sollte Sicherheitsstandards verwenden? | Wer sollte Sicherheitsstandards nicht verwenden? |
|---|---|
| Organisationen, die ihren Sicherheitsstatus erhöhen möchten, aber nicht wissen, wie oder wo sie beginnen sollen | Organisationen, die derzeit Richtlinien für bedingten Zugriff verwendet, um Signale zusammenzustellen, Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen |
| Organisationen, die die kostenlose Stufe der Microsoft Entra ID-Lizenzierung verwenden | Organisationen mit Microsoft Entra ID Premium-Lizenzen |
| Organisationen mit komplexen Sicherheitsanforderungen, die den Einsatz von bedingtem Zugriff rechtfertigen |
Erzwungene Richtlinien
Einheitliche Registrierung für die mehrstufige Authentifizierung
Alle Benutzer in Ihrem Mandanten müssen sich für die mehrstufige Authentifizierung in Form der Multi-Faktor-Authentifizierung (MFA) registrieren. Benutzer haben 14 Tage Zeit, sich über die Microsoft Authenticator-App für die Multi-Faktor-Authentifizierung in Microsoft Entra ID zu registrieren. Nach Ablauf der 14 Tage kann sich der Benutzer erst nach erfolgter Registrierung anmelden. Die 14-tägige Frist eines Benutzers beginnt nach seiner ersten erfolgreichen interaktiven Anmeldung nach Aktivierung der Sicherheitsstandards.
Schützen von Administratoren
Benutzer mit privilegiertem Zugriff besitzen erweiterten Zugriff auf Ihre Umgebung. Aufgrund der weitreichenden Befugnisse, die diese Konten haben, sollten Sie sie mit Bedacht verwalten. Eine gängige Methode zur Verbesserung des Schutzes von privilegierten Konten ist eine strengere Form der Kontoüberprüfung für die Anmeldung. In Microsoft Entra ID können Sie eine striktere Kontoüberprüfung erreichen, indem Sie die Multi-Faktor-Authentifizierung verlangen.
Nach Abschluss der MFA-Registrierung ist für die folgenden 9 Microsoft Entra-Administratorrollen bei jeder Anmeldung eine zusätzliche Authentifizierung erforderlich:
- Globaler Administrator
- SharePoint-Administrator
- Exchange-Administrator
- Administrator für den bedingten Zugriff
- Sicherheitsadministrator
- Helpdeskadministrator
- Abrechnungsadministrator
- Benutzeradministrator
- Authentifizierungsadministrator
Schützen aller Benutzer
Wir gehen häufig davon aus, dass nur Administratorkonten durch eine mehrstufige Authentifizierung geschützt werden müssen. Administratoren haben umfassenden Zugriff auf vertrauliche Informationen und können Änderungen an abonnementweiten Einstellungen vornehmen. Angriffe richten sich jedoch häufig gegen Endbenutzer.
Nachdem die Angreifer Zugang erhalten haben, können sie im Namen des ursprünglichen Kontoinhabers Zugriff auf privilegierten Informationen anfordern. Sie können sogar das gesamte Verzeichnis herunterladen, um einen Phishing-Angriff auf Ihr gesamtes Unternehmen durchzuführen.
Eine gängige Methode zur Verbesserung des Schutzes für alle Benutzer besteht in einer strengeren Kontoüberprüfung, beispielsweise durch eine mehrstufige Authentifizierung (MFA). Nachdem die Benutzer die MFA-Registrierung abgeschlossen haben, werden sie bei Bedarf zu einer zusätzlichen Authentifizierung aufgefordert. Diese Funktion schützt alle Anwendungen, die bei Microsoft Entra ID registriert sind (einschließlich SaaS-Anwendungen).
Blockieren der Legacyauthentifizierung
Um Ihren Benutzern den einfachen Zugriff auf Ihre Cloud-Apps zu ermöglichen, unterstützt Microsoft Entra ID eine Vielzahl von Authentifizierungsprotokollen – einschließlich der Legacyauthentifizierung. Die Legacyauthentifizierung ist eine Authentifizierungsanforderung von:
- Clients, die keine moderne Authentifizierung verwenden (z. B. ein Office 2010-Client) Die moderne Authentifizierung umfasst Clients, die Protokolle implementieren (z. B. OAuth 2.0), um Features wie die mehrstufige Authentifizierung und Smartcards zu unterstützen. Die Legacyauthentifizierung unterstützt in der Regel nur weniger sichere Mechanismen, z. B. Kennwörter.
- Client, der E-Mail-Protokolle wie IMAP, SMTP oder POP3 verwendet.
Der Großteil aller gefährdenden Anmeldeversuche erfolgt über Legacyauthentifizierungen. Die Legacyauthentifizierung unterstützt keine mehrstufige Authentifizierung. Selbst wenn Sie in Ihrem Verzeichnis eine MFA-Richtlinie aktiviert haben, kann sich ein Angreifer mit einem älteren Protokoll authentifizieren und die mehrstufige Authentifizierung umgehen.
Nach Aktivierung der Sicherheitsstandards in Ihrem Mandanten werden alle Authentifizierungsanforderungen blockiert, die über ein Legacyprotokoll an einen beliebigen Mandanten gerichtet werden. Durch die Sicherheitsstandards ist die Standardauthentifizierung für Exchange Active Sync blockiert.