Plan zur schnellen Modernisierung der Sicherheit

Dieser Plan zur schnellen Modernisierung unterstützt Sie bei der schnellen Einführung der von Microsoft empfohlenen Strategie für privilegierten Zugriff.

Diese Roadmap baut auf den technischen Steuerungsmöglichkeiten auf, die in der Anleitung zur Bereitstellung des privilegierten Zugriffs festgelegt sind. Führen Sie diese Schritte durch, und konfigurieren Sie dann die Kontrollfunktionen für Ihre Organisation anhand der Schritte in diesem Plan zur schnellen Modernisierung.

Privileged access RAMP summary

Hinweis

Viele dieser Schritte werden eine „Altsystem/Neusystem“-Dynamik haben, da Sicherheitsrisiken in Organisationen oft dadurch entstehen, dass Konten bereits bereitgestellt oder konfiguriert worden sind. Diese Roadmap hat die Priorität, zuerst die Ansammlung neuer Sicherheitsrisiken zu vermeiden und später die restlichen, bereits angesammelten Punkte zu bereinigen.

Beim Durchlaufen der Roadmap können Sie die Microsoft-Sicherheitsbewertung nutzen, um viele Punkte auf dem Weg nachzuverfolgen und im Laufe der Zeit mit anderen in ähnlichen Organisationen zu vergleichen. Weitere Informationen zur Microsoft-Sicherheitsbewertung finden Sie im Artikel Übersicht über die Microsoft-Sicherheitsbewertung.

Jeder Punkt in diesem Plan zur schnellen Modernisierung ist als Initiative strukturiert, die anhand eines Formats nachverfolgt und verwaltet wird, das auf der Methodik der Zielsetzungen und Schlüsselergebnisse aufbaut. Zu jedem Punkt wird untersucht, was, warum, von wem und wie gemessen werden soll. Einige Punkte erfordern Änderungen an den Prozessen und den Kenntnissen/Fertigkeiten von Mitarbeitern, während andere einfachere technologische Änderungen bedeuten. An vielen dieser Initiativen werden Mitglieder außerhalb der herkömmlichen IT-Abteilung beteiligt sein, die in die Entscheidungsfindung und Umsetzung dieser Änderungen einbezogen werden sollten, um sicherzustellen, dass sie erfolgreich in Ihrer Organisation übernommen werden.

Es ist entscheidend, als Organisation zusammenzuarbeiten, Partnerschaften zu bilden und auch die Personen aufzuklären, die bislang nicht an diesem Prozess beteiligt waren. Es ist ferner wichtig, sich die Zustimmung der gesamten Organisation zu verschaffen und weiter zu sichern, denn ohne sie scheitern viele Projekte.

Trennen und Verwalten privilegierter Konten

Konten für den Notfallzugriff

  • Was: Stellen Sie sicher, dass Sie in einer Notsituation nicht versehentlich aus Ihrer Microsoft Entra Organisation ausgesperrt werden.
  • Grund: Konten für den Notfallzugriff werden nur selten benötigt und richten im Falle einer Kompromittierung großen Schaden in der Organisation an. Ihre Verfügbarkeit für die Organisation ist jedoch auch für die wenigen Szenarien, in denen sie benötigt werden, von entscheidender Bedeutung. Stellen Sie sicher, dass Sie einen Plan für die Aufrechterhaltung des Zugriffs haben, der sowohl erwartete als auch unerwartete Ereignisse berücksichtigt.
  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Wie: Befolgen Sie die Richtlinien unter Verwalten von Notzugangskonten in Microsoft Entra ID.
  • Messen der wichtigsten Ergebnisse:
    • Eingerichtet Der Prozess für den Notfallzugriff wurde basierend auf Microsoft-Leitlinien entwickelt, die die Anforderungen der Organisation erfüllen.
    • Geprüft Der Notfallzugriff wurde innerhalb der letzten 90 Tage überprüft und getestet.

Aktivieren Sie Microsoft Entra Privileged Identity Management

  • Was: Verwenden Sie Microsoft Entra Privileged Identity Management (PIM) in Ihrer Microsoft Entra-Produktionsumgebung, um privilegierte Konten zu erkennen und zu sichern.
  • Grund: Privileged Identity Management bietet eine zeit- und genehmigungsbasierte Rollenaktivierung, um die Risiken durch übermäßige, unnötige oder missbrauchte Zugriffsberechtigungen für wichtige Ressourcen zu verringern.
  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Wie: Bereitstellen und Konfigurieren von Microsoft Entra Privileged Identity Management anhand der Richtlinien im Artikel Bereitstellen von Microsoft Entra Privileged Identity Management (PIM).
  • Messung der wichtigsten Ergebnisse: 100 % der anwendbaren Rollen mit Berechtigungen verwenden Microsoft Entra PIM

Identifizierung und Kategorisierung von Konten mit Berechtigungen (Microsoft Entra ID)

  • Aufgabe: Ermitteln Sie alle Rollen und Gruppen mit hohen geschäftlichen Auswirkungen, die eine privilegierte Sicherheitsstufe benötigen (sofort oder im Laufe der Zeit). Diese Administrator*innen benötigen in einem späteren Schritt, Verwaltung des privilegierten Zugriffs, gesonderte Konten.

  • Grund: Dieser Schritt ist erforderlich, um die Anzahl der Personen zu ermitteln und zu minimieren, die separate Konten und einen privilegierten Zugriffsschutz benötigen.

  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Wie: Nachdem Sie Microsoft Entra Privileged Identity Management aktiviert haben, sehen Sie sich die Benutzer an, die mindestens die folgenden Microsoft Entra-Rollen innehaben, basierend auf den Risikorichtlinien Ihres Unternehmens:

    • Globaler Administrator
    • Administrator für privilegierte Rollen
    • Exchange-Administrator
    • SharePoint-Administrator

    Eine vollständige Liste der Administratorrollen finden Sie unter Berechtigungen für die Administratorrolle in Microsoft Entra ID.

    Entfernen Sie alle Konten, die in diesen Rollen nicht mehr benötigt werden. Kategorisieren Sie anschließend die restlichen Konten, die Administratorrollen zugewiesen sind:

    • Wird administrativen Benutzern zugewiesen, aber auch für nicht administrative Produktivitätszwecke verwendet, z. B. zum Lesen und Beantworten von E-Mail.
    • Ist Administratoren zugewiesen und wird nur für Verwaltungszwecke verwendet
    • Für mehrere Benutzer freigegeben
    • Für Notfallzugriffs-Szenarios
    • Für automatisierte Skripts
    • Für externe Benutzer

Wenn in Ihrer Organisation Microsoft Entra Privileged Identity Management nicht verwendet wird, können Sie die PowerShell-API nutzen. Beginnen Sie außerdem mit der Rolle „Globaler Administrator“, weil ein globaler Administrator für alle Clouddienste, die Ihre Organisation abonniert hat, über die gleichen Berechtigungen verfügt. Diese Berechtigungen werden unabhängig vom Ort der Zuweisung (Microsoft 365 Admin Center, Azure-Portal oder Azure AD-Modul für Microsoft PowerShell) erteilt.

  • Messen der wichtigsten Ergebnisse: Die Überprüfung und Ermittlung von Rollen mit privilegiertem Zugriff wurde innerhalb der letzten 90 Tage abgeschlossen.

Separate Konten (lokale AD-Konten)

  • Aufgabe: Schützen lokaler privilegierter Administratorkonten, falls noch nicht geschehen. Diese Phase umfasst Folgendes:

    • Erstellen separater Administratorkonten für Benutzer, die lokale Verwaltungsaufgaben durchführen müssen
    • Bereitstellen von Privileged Access Workstations (PAW) für Active Directory-Administratoren
    • Erstellen einmaliger lokaler Administratorkennwörter für Workstations und Server
  • Grund: Härtung der Konten, die für administrative Aufgaben verwendet werden. Für die Administratorkonten sollte E-Mail deaktiviert sein, und es sollten keine persönlichen Microsoft-Konten erlaubt sein.

  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Vorgehensweise: Alle Mitarbeiter, die über Administratorrechte verfügen dürfen, müssen über separate Konten für administrative Aufgaben verfügen, die nicht mit ihren Benutzerkonten identisch sind. Geben Sie diese Konten nicht für andere Benutzer frei.

    • Standardbenutzerkonten: Erteilen Sie Standardbenutzerrechte für standardmäßige Benutzeraufgaben, z. B. für E-Mail-, Webbrowsing- und Branchenanwendungen. Diesen Konten werden keine Administratorrechte erteilt.
    • Administratorkonten: Separate Konten für Mitarbeiter, denen die entsprechenden Administratorrechte zugewiesen werden.
  • Messen der wichtigsten Ergebnisse: Alle lokalen privilegierten Benutzer verfügen über separate dedizierte Konten.

Microsoft Defender for Identity

  • Aufgabe: Microsoft Defender for Identity kombiniert lokale Signale mit in der Cloud gewonnenen Erkenntnissen, um Ereignisse in einem vereinfachten Format zu überwachen, zu schützen und zu untersuchen. Dadurch können Ihre Sicherheitsteams komplexe Angriffe auf Ihre Identitätsinfrastruktur erkennen und haben folgenden Möglichkeiten:

    • Überwachung von Benutzern, Entitätsverhalten und -aktivitäten mit lernbasierter Analyse
    • Schutz von in Active Directory gespeicherten Benutzeridentitäten und Anmeldeinformationen
    • Identifikation und Untersuchung verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten Kill Chain
    • Bereitstellung eindeutiger Informationen zu einem Incident in einer einfachen Zeitachse zur schnellen Selektierung
  • Grund: Moderne Angreifer können über lange Zeiträume unentdeckt bleiben. Viele Bedrohungen sind ohne ein zusammenhängendes Bild Ihrer gesamten Identitätsumgebung nur schwer auszumachen.

  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Vorgehensweise: Stellen Sie Microsoft Defender for Identity bereit, aktivieren Sie die Lösung, und überprüfen Sie alle offenen Warnungen.

  • Messen wichtiger Ergebnisse: Alle offenen Warnungen wurden von den entsprechenden Teams überprüft und entschärft.

Verbessern der Umgebung zur Verwaltung von Anmeldeinformationen

Implementieren und Dokumentieren der Self-Service-Kennwortzurücksetzung und der kombinierten Registrierung von Sicherheitsinformationen

  • Aufgabe: Aktivieren und konfigurieren Sie die Self-Service-Kennwortzurücksetzung in Ihrer Organisation sowie die kombinierte Registrierung von Sicherheitsinformationen.
  • Grund: Benutzer können ihre eigenen Kennwörter zurücksetzen, nachdem sie sich registriert haben. Die kombinierte Sicherheitsinformationsregistrierung bietet eine bessere Benutzererfahrung und ermöglicht die Registrierung für die Microsoft Entra-Multifaktor-Authentifizierung und das Zurücksetzen von Passwörtern per Self-Service. Wenn diese Tools zusammen eingesetzt werden, tragen sie zu niedrigeren Kosten für den Helpdesk und zufriedeneren Benutzern bei.
  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Wie: Um SSPR zu aktivieren und bereitzustellen, lesen Sie den Artikel Planung der Bereitstellung von Microsoft Entra zum Zurücksetzen von Kennwörtern per Self-Service.
  • Messen der wichtigsten Ergebnisse: Die Self-Service-Kennwortzurücksetzung ist vollständig konfiguriert und für die Organisation verfügbar.

Schutz von Administratorkonten – Aktivierung und Anforderung von MFA / Passwortlos für Benutzer mit Microsoft Entra ID Berechtigung

  • Was: Alle berechtigten Konten in Microsoft Entra ID müssen eine starke mehrstufige Authentifizierung verwenden.

  • Grund: Schützen des Zugriffs auf Daten und Dienste in Microsoft 365.

  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Wie: Aktivierung der Multifaktor-Authentifizierung (MFA) von Microsoft Entra und Registrierung aller anderen hoch berechtigten, nicht föderierten Administratorkonten für einzelne Benutzer. Verlangt eine Multifaktor-Authentifizierung bei der Anmeldung für alle Benutzer, die dauerhaft einer oder mehreren der Microsoft Entra-Administratorrollen zugewiesen sind:

    • Globaler Administrator
    • Administrator für privilegierte Rollen
    • Exchange-Administrator
    • SharePoint-Administrator

    Fordern Sie von Administratoren die Verwendung kennwortloser Anmeldemethoden wie FIDO2-Sicherheitsschlüssel oder Windows Hello for Business in Verbindung mit eindeutigen, langen und komplexen Kennwörtern. Erzwingen Sie diese Änderung mittels eines Dokuments zu Organisationsrichtlinien.

Folgen Sie den Richtlinien in den folgenden Artikeln: Planung einer Bereitstellung der Microsoft Entra-Multifaktor-Authentifizierung und Planung einer Bereitstellung der kennwortlosen Authentifizierung in Microsoft Entra ID.

  • Messung der wichtigsten Ergebnisse: 100 % der berechtigten Benutzer verwenden eine passwortlose Authentifizierung oder eine starke Form der Multifaktor-Authentifizierung für alle Anmeldungen. Siehe Berechtigte Zugriffskonten für eine Beschreibung der mehrstufigen Authentifizierung

Blockieren von Legacyauthentifizierungsprotokollen für privilegierte Benutzerkonten

  • Aufgabe: Blockieren Sie Legacyauthentifizierungsprotokolle für privilegierte Benutzerkonten.

  • Warum: Unternehmen sollten diese Legacy-Authentifizierungsprotokolle blockieren, da die Multifaktor-Authentifizierung gegen sie nicht durchgesetzt werden kann. Wenn Legacyauthentifizierungsprotokolle aktiviert bleiben, kann dadurch ein Einstiegspunkt für Angreifer geschaffen werden. Einige Legacyanwendungen stützen sich möglicherweise auf diese Protokolle, und Organisationen haben die Möglichkeit, spezifische Ausnahmen für bestimmte Konten einzurichten. Diese Ausnahmen sollten nachverfolgt und zusätzliche Überwachungskontrollen implementiert werden.

  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Wie: Um Legacy-Authentifizierungsprotokolle in Ihrem Unternehmen zu blockieren, befolgen Sie die Richtlinien in dem Artikel So geht's: Blockieren der Legacy-Authentifizierung für Microsoft Entra ID mit Conditional Access.

  • Messen der wichtigsten Ergebnisse:

    • Legacyprotokolle blockiert: Alle Legacyprotokolle werden für alle Benutzer blockiert, bei autorisierten Ausnahmen.
    • Ausnahmen werden alle 90 Tage überprüft und laufen binnen einen Jahres dauerhaft ab. Anwendungsbesitzer müssen alle Ausnahmen binnen einen Jahres nach der ersten Ausnahmegenehmigung aufheben.
  • Was: Deaktivierung der Zustimmung des Endbenutzers zu Microsoft Entra-Anwendungen.

Hinweis

Diese Änderung erfordert eine Zentralisierung des Entscheidungsprozesses in den Sicherheits- und Identitätsverwaltungsteams Ihrer Organisation.

Beseitigen von Konto- und Anmelderisiken

  • Was: Aktivierung des Microsoft Entra ID-Schutzes und Bereinigung aller gefundenen Risiken.
  • Grund: Riskantes Benutzer- und Anmeldeverhalten kann eine Quelle für Angriffe auf Ihre Organisation sein.
  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Vorgehensweise: Erstellen Sie einen Prozess zur Überwachung und Verwaltung von Benutzer- und Anmelderisiken. Entscheiden Sie, ob Sie die Abhilfemaßnahmen mit Hilfe der Microsoft Entra Mehrfaktor-Authentifizierung und SSPR automatisieren oder blockieren und den Eingriff des Administrators verlangen. folgen Sie den Richtlinien in diesem Artikel Gewusst wie: Risikorichtlinien konfigurieren und aktivieren.
  • Messen der wichtigsten Ergebnisse: Die Organisation weist keine unberücksichtigten Benutzer und Anmelderisiken auf.

Hinweis

Richtlinien für bedingten Zugriff sind erforderlich, um das Entstehen neuer Anmelderisiken zu verhindern. Weitere Informationen finden Sie im Abschnitt „Bedingter Zugriff“ von Bereitstellung des privilegierten Zugriffs.

Erste Bereitstellung von Administratorarbeitsstationen

  • Aufgabe: Privilegierte Konten wie „Globaler Administrator“ verfügen über dedizierte Arbeitsstationen zum Ausführen administrativer Aufgaben.
  • Grund: Geräte, auf denen privilegierte Administratoraufgaben ausgeführt werden, sind ein Ziel von Angreifern. Die Absicherung nicht nur des Kontos, sondern auch dieser Ressourcen ist entscheidend für die Verkleinerung Ihrer Angriffsfläche. Diese Trennung schränkt die Anfälligkeit für gängige Angriffe ein, die auf produktivitätsbezogene Aufgaben wie E-Mail und Surfen im Internet abzielen.
  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Vorgehensweise: Die erstmalige Bereitstellung muss auf der Ebene „Enterprise“ erfolgen, wie in diesem Artikel Bereitstellung des privilegierten Zugriffs beschrieben.
  • Messen der wichtigsten Ergebnisse: Jedes privilegierte Konto verfügt über eine dedizierte Arbeitsstation, auf der vertrauliche Aufgaben ausgeführt werden können.

Hinweis

Mit diesem Schritt wird schnell eine Sicherheitsbasis geschaffen, die so schnell wie möglich auf die Ebenen „Spezialisiert“ und „Privilegiert“ erhöht werden muss.

Nächste Schritte