Sicherheitsplan für schnelle Sicherheit

Dieser Plan für schnelles Umplanen (Ramp) hilft Ihnen dabei, schnell die empfohlene Zugriffsstrategie von Microsoft mit der bevorzugten Zugriffsrechten zu verwenden.

Diese Roadmap baut auf den technischen Steuerelementen auf, die im Bereitstellungsleitfade für den privilegierten Zugriff festgelegt sind. Führen Sie diese Schritte aus, und führen Sie dann die Schritte in dieser RAMP aus, um die Steuerelemente für Ihre Organisation zu konfigurieren.

Zusammenfassung der Ramp für privilegierten Zugriff

Hinweis

Viele dieser Schritte sind dynamisch in Grün/Braunfeld zu implementieren, da Organisationen häufig Sicherheitsrisiken in der Art und Weise haben, wie sie bereits Konten bereitgestellt oder konfiguriert haben. Dieser Plan priorisiert zuerst das Beenden der Anhäufung neuer Sicherheitsrisiken und bereinigt dann später die verbleibenden Elemente, die sich bereits angesammelt haben.

Während Sie die Roadmap weiter nutzen, können Sie Microsoft Secure Score nutzen, um viele Elemente im Laufe der Zeit zu verfolgen und zu vergleichen, die mit anderen Personen in ähnlichen Organisationen unterwegs sind. Weitere Informationen zu Microsoft Secure Score finden Sie im Artikel Übersicht über Secure Score.

Jedes Element in dieser RAMP ist als eine Initiative strukturiert, die mithilfe eines Formats nachverfolgt und verwaltet wird, das auf den Zielen und der Methode der wichtigsten Ergebnisse (Key Results, OKR) basiert. Jedes Element enthält was (Ziel), warum, wer, wie und wie zu messen ist (wichtige Ergebnisse). Einige Elemente erfordern Änderungen an Prozessen und Kenntnissen/Fähigkeiten der Mitarbeiter, während andere einfachere technische Änderungen sind. Viele dieser Initiativen umfassen Mitglieder außerhalb der traditionellen IT-Abteilung, die in die Entscheidungsfindung und Implementierung dieser Änderungen einbezogen werden sollten, um sicherzustellen, dass sie erfolgreich in Ihre Organisation integriert werden.

Es ist wichtig, als Organisation zusammen arbeiten, Partnerschaften zu erstellen und Personen zu informieren, die bisher nicht an diesem Prozess teilnehmen. Es ist wichtig, dass innerhalb der Organisation ein Buy-In erstellt und beibehalten wird, ohne dass viele Projekte fehlschlagen.

Separate und verwalten privilegierte Konten

Notfallzugriffskonten

  • Was:Stellen Sie sicher, dass Sie in einer Notfallsituation Azure Active Directory (Azure AD) Ihres Unternehmens nicht versehentlich ausgeschlossen werden.
  • Warum:Notfallzugriffskonten werden selten verwendet und für die Organisation in hohem Maße beschädigt, wenn sie gefährdet sind, aber ihre Verfügbarkeit für die Organisation ist auch für die wenigen Szenarien von entscheidender Bedeutung, wenn sie erforderlich sind. Stellen Sie sicher, dass Sie über einen Plan für die Kontinuität des Zugriffs verfügen, der sowohl erwartete als auch unerwartete Ereignisse aufnehmen kann.
  • Wer:Diese Initiative wird in der Regel von Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Wie:Folgen Sie den Anweisungen unter Verwalten von Notfallzugriffskonten in Azure AD.
  • Messen Sie wichtige Ergebnisse:
    • Etabliert Der Zugriff auf Notrufe wurde basierend auf den Anweisungen von Microsoft entwickelt, die den Anforderungen des Unternehmens entsprechen.
    • Verwaltet Der Notfallzugriff wurde innerhalb der letzten 90 Tage überprüft und getestet.

Aktivieren Azure AD Privileged Identity Management

Identifizieren und Kategorisieren privilegierter Konten (Azure AD)

  • Was:Identifizieren Sie alle Rollen und Gruppen mit hohen geschäftlichen Auswirkungen, die privilegierte Sicherheitsstufe erfordern (sofort oder im Laufe der Zeit). Weitere spezielle Rollen werden in späteren Phasen identifiziert.

  • Warum:Dieser Schritt ist erforderlich, um die Anzahl der Personen zu identifizieren und zu minimieren, für die separate Konten und privilegierter Zugriffsschutz erforderlich sind.

  • Wer:Diese Initiative wird in der Regel von Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Wie:Zeigen Sie nach Azure AD Privileged Identity Management aktivieren die Benutzer an, die den folgenden Rollen Azure AD sind:

    • Globaler Administrator
    • Privilegierter Rollenadministrator
    • Exchange Administrator
    • SharePoint Administrator

    Eine vollständige Liste der Administratorrollen finden Sie unter Administratorrollenberechtigungen in Azure Active Directory.

    Entfernen Sie alle Konten, die in diesen Rollen nicht mehr benötigt werden. Kategorisieren Sie anschließend die übrigen Konten, die Administratorrollen zugewiesen sind:

    • Verwaltungsbenutzern zugewiesen, aber auch zu Produktivitätszwecken verwendet, die nicht administrativen Zwecken dienen, z. B. zum Lesen und Beantworten von E-Mails.
    • Administrativen Benutzern zugewiesen und nur zu administrativen Zwecken verwendet
    • Für mehrere Benutzer freigegeben
    • Bei szenarien mit pauseglasem Notfallzugriff
    • Für automatisierte Skripts
    • Für externe Benutzer

Wenn Sie in Ihrer Organisation keine Azure AD Privileged Identity Management, können Sie die PowerShell-API verwenden. Beginnen Sie auch mit der Rolle "Globaler Administrator", da ein globaler Administrator über die gleichen Berechtigungen für alle Clouddienste verfügt, die Ihre Organisation abonniert hat. Diese Berechtigungen werden unabhängig davon erteilt, wo sie zugewiesen wurden: im Microsoft 365 Admin Center, im Azure-Portal oder im Azure AD-Modul für Microsoft PowerShell.

  • Messen Sie wichtige Ergebnisse: Die Überprüfung und Identifizierung von privilegierten Zugriffsrollen wurde innerhalb der letzten 90 Tage abgeschlossen.

Separate Konten (lokale AD-Konten)

  • Was:Sichern Sie lokale privilegierte Administratorkonten, sofern dies noch nicht geschehen ist. Diese Stufe umfasst:

    • Erstellen separater Administratorkonten für Benutzer, die lokale Verwaltungsaufgaben ausführen müssen
    • Bereitstellen von Arbeitsstationen mit privilegiertem Zugriff für Active Directory-Administratoren
    • Erstellen eindeutiger lokaler Administratorkennwörter für Arbeitsstationen und Server
  • Warum:Das Abarbeiten der Konten, die für Verwaltungsaufgaben verwendet werden. Für die Administratorkonten sollte E-Mail deaktiviert sein, und es sollten keine persönlichen Microsoft-Konten zulässig sein.

  • Wer:Diese Initiative wird in der Regel von Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Wie:Alle Mitarbeiter, die zum Besitz von Administratorrechten berechtigt sind, müssen separate Konten für Verwaltungsfunktionen besitzen, die sich von Benutzerkonten unterscheiden. Teilen Sie diese Konten nicht mit anderen Benutzern.

    • Standardbenutzerkonten: Gewährte Standardbenutzerberechtigungen für Standardbenutzeraufgaben wie E-Mail, Webbrowsen und die Verwendung von Business-Anwendungen. Diesen Konten werden keine Administratorrechte gewährt.
    • Administratorkonten – Trennen Sie Konten, die für Mitarbeiter erstellt wurden, denen die entsprechenden Administratorrechte zugewiesen sind.
  • Messen der wichtigsten Ergebnisse: 100 % der lokal berechtigten Benutzer verfügen über separate dedizierte Konten.

Microsoft Defender for Identity

  • Was:Microsoft Defender for Identity kombiniert lokale Signale mit Cloudeinblicken, um Ereignisse in einem vereinfachten Format zu überwachen, zu schützen und zu untersuchen, sodass Ihre Sicherheitsteams erweiterte Angriffe auf Ihre Identitätsinfrastruktur erkennen können, mit der Möglichkeit,

    • Überwachen von Benutzern, Entitätsverhalten und Aktivitäten mit lernbasierten Analysen
    • Schützen von Benutzeridentitäten und Anmeldeinformationen, die in Active Directory gespeichert sind
    • Erkennen und Untersuchen von verdächtigen Benutzeraktivitäten und erweiterten Angriffen in der gesamten Killkette
    • Bereitstellen von klaren Vorfallinformationen auf einer einfachen Zeitachse für schnelles Triage
  • Warum:Moderne Angreifer werden möglicherweise für längere Zeit nicht erkannt. Viele Bedrohungen sind ohne ein bildliches Bild Ihrer gesamten Identitätsumgebung schwer zu finden.

  • Wer:Diese Initiative wird in der Regel von Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Wie:Stellen Sie Microsoft Defender für Identitäten und aktivieren Sie es, und überprüfen Sie alle geöffneten Benachrichtigungen.

  • Messen der wichtigsten Ergebnisse:Alle offenen Benachrichtigungen wurden von den entsprechenden Teams überprüft und abgemildert.

Verbessern der Benutzererfahrung bei der Verwaltung von Anmeldeinformationen

Implementieren und Dokumentieren der Self-Service-Kennwortzurücksetzung und kombinierten Registrierung von Sicherheitsinformationen

  • Was:Aktivieren und konfigurieren Sie die Self-Service Password Reset (SSPR) in Ihrer Organisation, und aktivieren Sie die kombinierte Registrierung von Sicherheitsinformationen.
  • Warum:Benutzer können ihre eigenen Kennwörter nach der Registrierung zurücksetzen. Die kombinierte Benutzererfahrung bei der Registrierung von Sicherheitsinformationen bietet eine bessere Benutzererfahrung, die die Registrierung Azure AD mehrstufiger Authentifizierung und Self-Service-Kennwortzurücksetzung ermöglicht. Diese Tools tragen bei der gemeinsamen Verwendung zu geringeren Helpdeskkosten und zufriedeneren Benutzern bei.
  • Wer:Diese Initiative wird in der Regel von Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Sowird's: Informationen zum Aktivieren und Bereitstellen von SSPR finden Sie im Artikel Planen Azure Active Directory Bereitstellung einer Self-Service-Kennwortzurücksetzung.
  • Messen der wichtigsten Ergebnisse:Die Self-Service-Kennwortzurücksetzung ist vollständig konfiguriert und für die Organisation verfügbar.

Schützen von Administratorkonten – Aktivieren und Erfordern von MFA/Kennwortfrei für Azure AD Berechtigte Benutzer

  • Was:Für alle privilegierten Konten in Azure AD die Verwendung einer starken mehrstufigen Authentifizierung erforderlich

  • Warum:Zum Schutz des Zugriffs auf Daten und Dienste in Microsoft 365.

  • Wer:Diese Initiative wird in der Regel von Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Wie:Aktivieren sie Azure AD mehrstufige Authentifizierung (Multi-Factor Authentication, MFA), und registrieren Sie alle anderen Konten für Einzelbenutzer, die keine Partneradministratorkonten sind. Mehrstufige Authentifizierung bei der Anmeldung für alle einzelnen Benutzer erforderlich, denen dauerhaft eine oder mehrere der Azure AD Administratorrollen zugewiesen sind, wie:

    • Globaler Administrator
    • Privilegierter Rollenadministrator
    • Exchange Administrator
    • SharePoint Administrator

    Administratoren müssen kennwortlose Anmeldemethoden wie FIDO2-Sicherheitsschlüssel oder Windows Hello for Business in Verbindung mit eindeutigen, langen, komplexen Kennwörtern verwenden. Erzwingen Sie diese Änderung mit einem Organisationsrichtliniendokument.

Folgen Sie den Anleitungen in den folgenden Artikeln Planen einer mehrstufigen Authentifizierung Azure AD und Planen einer kennwortlosen Authentifizierungsbereitstellung in Azure Active Directory.

  • Messen Sie die wichtigsten Ergebnisse:100 % der privilegierten Benutzer verwenden eine kennwortlose Authentifizierung oder eine starke Form der mehrstufigen Authentifizierung für alle Anmeldungen. Beschreibung der mehrstufigen Authentifizierung finden Sie unter Privileged Access Accounts (Privilegierte Zugriffskonten).

Blockieren von Legacyauthentifizierungsprotokollen für privilegierte Benutzerkonten

  • Was:Die Verwendung des legacy-Authentifizierungsprotokolls für privilegierte Benutzerkonten blockieren.

  • Warum:Organisationen sollten diese Alten Authentifizierungsprotokolle blockieren, da die mehrstufige Authentifizierung nicht gegen sie erzwungen werden kann. Wenn ältere Authentifizierungsprotokolle aktiviert sind, können Sie einen Einstiegspunkt für Angreifer erstellen. Einige ältere Anwendungen verwenden möglicherweise diese Protokolle, und Organisationen haben die Möglichkeit, spezifische Ausnahmen für bestimmte Konten zu erstellen. Diese Ausnahmen sollten nachverfolgt und zusätzliche Überwachungssteuerelemente implementiert werden.

  • Wer:Diese Initiative wird in der Regel von Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Sowird's:Wenn Sie Protokolle für die legacy-Authentifizierung in Ihrer Organisation blockieren möchten, folgen Sie den Anleitungen im Artikel So wird's: Blockieren der Authentifizierung mit Azure AD bedingten Zugriff.

  • Messen Sie die wichtigsten Ergebnisse:

    • Alte Protokolle blockiert: Alle Legacyprotokolle werden für alle Benutzer blockiert, mit Ausnahme autorisierter Ausnahmen.
    • Ausnahmen werden alle 90 Tage überprüft und laufen dauerhaft innerhalb eines Jahres ab. Anwendungsbesitzer müssen alle Ausnahmen innerhalb von einem Jahr nach der ersten Ausnahmegenehmigung beheben.
  • Was:Deaktivieren Sie die Zustimmung des Endbenutzers Azure AD Anwendungen.

Hinweis

Diese Änderung erfordert eine Synchronisierung des Entscheidungsfindungsprozesses mit den Sicherheits- und Identitätsverwaltungsteams Ihrer Organisation.

  • Warum:Benutzer können versehentlich ein Unternehmensrisiko eingehen, indem sie die Zustimmung für eine App geben, die in böswilliger Absicht auf Unternehmensdaten zugreifen kann.
  • Wer:Diese Initiative wird in der Regel von Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Wie:Richten Sie einen zentralen Zustimmungsprozess ein, um die zentrale Sichtbarkeit und Kontrolle der Anwendungen auf lange Sicht auf Die Daten zu erhalten, indem Sie den Anweisungen im Artikel Verwalten der Zustimmung zu Anwendungen und Bewerten von Zustimmungsanforderungen folgen.
  • Messen der wichtigsten Ergebnisse:Endbenutzer sind nicht in der Lage, den Zugriff auf Azure AD zu erteilen

Bereinigen von Konto- und Anmelderisiken

  • Was:Aktivieren Azure AD den Identitätsschutz, und bereinigen Sie alle gefundenen Risiken.
  • Warum:Riskantes Benutzer- und Anmeldeverhalten können eine Quelle von Angriffen auf Ihre Organisation sein.
  • Wer:Diese Initiative wird in der Regel von Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • So:Erstellen Sie einen Prozess, der das Benutzer- und Anmelderisiko überwacht und verwaltet. Entscheiden Sie, ob Sie die Problembehebung mithilfe Azure AD mehrstufiger Authentifizierung und SSPR automatisieren oder blockieren und einen Administratoreingriff erfordern. Folgen Sie den Anweisungen im Artikel Konfigurieren und Aktivieren von Risikorichtlinien.
  • Messen der wichtigsten Ergebnisse:In der Organisation gibt es keine entsperrten Risiken für Benutzer und Anmeldungen.

Hinweis

Richtlinien für bedingten Zugriff sind erforderlich, um die Sperrung neuer Anmelderisiken zu blockieren. Weitere Informationen finden Sie im Abschnitt zur bedingten Zugriffsbereitstellung unter Bereitstellung des privilegierten Zugriffs.

Erste Bereitstellung von Arbeitsstationen für Administratoren

  • Was:Privilegierte Konten wie globale Administratoren verfügen über dedizierte Arbeitsstationen, von der aus Verwaltungsaufgaben ausgeführt werden können.
  • Warum:Geräte, auf denen privilegierte Verwaltungsaufgaben ausgeführt werden, sind Ziel von Angreifern. Die Sicherung nicht nur des Kontos, sondern dieser Ressourcen ist bei der Verringerung des Angriffsfläche von entscheidender Bedeutung. Diese Trennung beschränkt ihre Gefährdung auf häufige Angriffe, die auf produktivitätsbezogene Aufgaben wie E-Mail und Webbrowsen gerichtet sind.
  • Wer:Diese Initiative wird in der Regel von Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Wie:Die Erste Bereitstellung sollte auf der Enterprise Ebene sein, wie im Artikel Privilegierte Zugriffsbereitstellung beschrieben.
  • Messen der wichtigsten Ergebnisse:Jedes Konto mit den privilegierten Berechtigungen verfügt über eine dedizierte Arbeitsstation, von der aus vertrauliche Aufgaben ausgeführt werden können.

Hinweis

Mit diesem Schritt wird schnell ein Sicherheitsbasiswert festgelegt, und er muss so schnell wie möglich auf spezialisierte und privilegierte Ebenen erhöht werden.

Nächste Schritte