Fünf Schritte zum Sichern Ihrer Identitätsinfrastruktur

Wenn Sie dieses Dokument lesen, ist Ihnen bereits bewusst, welchen Stellenwert das Thema Sicherheit innehat. Sie sind wahrscheinlich bereits für die Sicherheit Ihrer Organisation verantwortlich. Wenn Sie andere Personen davon überzeugen müssen, wie wichtig Sicherheit ist, geben Sie ihnen die letzte Ausgabe des Microsoft Digital Defense-Berichts zu lesen.

Dieses Dokument unterstützt Sie dabei, mithilfe der Funktionen von Azure Active Directory die Sicherheit in Ihrer Organisation zu verbessern. Es enthält eine Checkliste mit fünf Schritten, mit denen Sie den Schutz Ihrer Organisation vor Cyberangriffen verbessern können.

Diese Checkliste erläutert folgende Aspekte und hilft Ihnen dabei, empfohlene wichtige Aktionen zum Schutz Ihrer Organisation sofort auszuführen:

  • Verstärken Sie Ihre Anmeldeinformationen.
  • Verringern Sie die Angriffsfläche.
  • Automatisieren Sie die Reaktion auf Bedrohungen.
  • Nutzen Sie Cloud Intelligence.
  • Aktivieren Sie den Self-Service für Endbenutzer.

Hinweis

Viele der Empfehlungen in diesem Dokumentation gelten nur für Anwendungen, die zur Verwendung von Azure Active Directory als Identitätsanbieter konfiguriert sind. Durch Konfigurieren der Apps für das einmalige Anmelden profitieren Sie von folgenden Vorteilen: Richtlinien für Anmeldeinformationen, Bedrohungsermittlung, Überwachung, Protokollierung sowie weiteren Features. Grundlage all dieser Empfehlungen ist die Azure AD-Anwendungsverwaltung.

Die Empfehlungen in diesem Dokument beziehen sich auf die Identity Secure Score, eine automatisierte Bewertung der Identitätssicherheitskonfiguration Ihres Azure AD-Mandanten. Organisationen können über die Seite „Identity Secure Score“ im Azure AD-Portal Lücken in ihrer aktuellen Sicherheitskonfiguration aufdecken, um sicherzustellen, dass sie die aktuellen Best Practices zur Sicherheit von Microsoft befolgen. Durch die Implementierung der einzelnen Empfehlungen auf der Seite „Secure Score“ erhöht sich Ihre Bewertung. Zudem können Sie Ihren Fortschritt nachverfolgen und Ihre Implementierung mit denen anderer Organisationen von ähnlicher Größe vergleichen.

Fenster im Azure-Portal: Identitätssicherheitsbewertung und einige Empfehlungen

Hinweis

Einige der hier empfohlenen Funktionen sind für alle Kunden verfügbar, während andere ein Azure AD Premium-Abonnement erfordern. Weitere Informationen finden Sie unter Azure Active Directory (AD) – Preise und Prüfliste für die Azure AD-Bereitstellung.

Vorbereitungen Schützen privilegierter Konten mit MFA

Bevor Sie damit beginnen, diese Checkliste durchzuarbeiten, stellen Sie sicher, dass Ihre Organisation nicht bereits gefährdet ist, bevor Sie mit der Checkliste fertig sind. In Azure Active Directory werden täglich 50 Millionen Kennwortangriffe beobachtet, aber nur 20 % der Benutzer und 30 % der globalen Administratoren verwenden starke Authentifizierungen wie die Multi-Faktor-Authentifizierung (Multi-Factor Authentication, MFA). Diese Statistiken basieren auf Daten von August 2021. In Azure AD bilden Benutzer mit privilegierten Rollen, z. B. Administratoren, die Quelle von Vertrauensstellungen zum Erstellen und Verwalten der restlichen Umgebung. Implementieren Sie die folgenden Verfahren, um die Auswirkungen einer Gefährdung zu minimieren.

Angreifer, die Kontrolle über privilegierte Konten erhalten, können enormen Schaden anrichten. Daher ist es ausgesprochen wichtig, vor dem Fortfahren diese Konten zu schützen. Verwenden Sie die Azure AD-Sicherheitsstandards oder den bedingten Zugriff, um die Azure AD Multi-Factor Authentication (Multi-Faktor-Authentifizierung, MFA) für alle Administratoren in Ihrer Organisation zu aktivieren und zu erzwingen. Dies ist entscheidend.

Alles fertig? Dann beginnen wir mit der Checkliste.

Schritt 1: Verstärken Sie Ihre Anmeldeinformationen.

Obwohl andere Arten von Angriffen einschließlich Phishing von Einwilligungen und Angriffe auf nicht menschliche Identitäten hervortreten, spielen kennwortbasierte Angriffe auf Benutzeridentitäten immer noch die größte Rolle bei der Kompromittierung der Identität. Gut vorbereitete Spear-Phishing- und Kennwortspraykampagnen von Angreifern werden weiterhin erfolgreich gegen Organisationen eingesetzt, die noch keine Multi-Faktor-Authentifizierung (Multi-Factor Authentication, MFA) oder andere Schutzmaßnahmen gegen diese gängige Taktik implementiert haben.

Als Organisation müssen Sie sicherstellen, dass Ihre Identitäten überall mit MFA überprüft und geschützt werden. Im Jahr 2020 wurde Phishing im FBI IC3 Report als häufigster Verbrechenstyp in Opferbeschwerden identifiziert. Die Anzahl der Berichte hat sich im Vergleich zum Vorjahr verdoppelt. Phishing stellt sowohl für Unternehmen als auch für Einzelpersonen eine erhebliche Bedrohung dar, und Phishing von Anmeldeinformationen wurde im letzten Jahr bei vielen der schädlichsten Angriffe verwendet. Mit der mehrstufige Authentifizierung (MFA, Multi-Factor Authentication) von Azure Active Directory (Azure AD) wird der Zugriff auf Daten und Anwendungen durch die Bereitstellung einer zweiten Form der Authentifizierung geschützt. Organisationen können die Multi-Faktor-Authentifizierung mit dem bedingten Zugriff aktivieren, um die Lösung ihren jeweiligen Anforderungen anzupassen. Schauen Sie in diesen Bereitstellungsleitfaden, um zu erfahren, wie Sie Azure AD MFA planen, implementieren und bereitstellen können.

Sicherstellen, dass Ihre Organisation eine starke Authentifizierung verwendet

Die allgemeine Ebene der Identitätssicherheit können Sie mit den Azure AD-Sicherheitsstandards mit nur einem Klick aktivieren. Sicherheitsstandards erzwingen Azure AD MFA für alle Benutzer in einem Mandanten und blockieren mandantenweite Anmeldungen über ältere Protokolle.

Wenn Ihre Organisation über Azure AD P1- oder P2-Lizenzen verfügt, können Sie auch die Arbeitsmappe Erkenntnisse und Berichterstellung zum bedingten Zugriff verwenden, um Lücken in Ihrer Konfiguration und Abdeckung zu finden. Anhand dieser Empfehlungen können Sie diese Lücke einfach schließen, indem Sie eine Richtlinie mithilfe der neuen Vorlagen für bedingten Zugriff erstellen. Vorlagen für bedingten Zugriff bieten eine einfache Methode zum Bereitstellen neuer Richtlinien, die mit den von Microsoft empfohlenen bewährten Methoden in Einklang stehen. So können Sie mühelos allgemeine Richtlinien zum Schutz Ihrer Identitäten und Geräte bereitstellen.

Schluss mit herkömmlichen Komplexitätsanforderungen und Ablaufregeln – sperren Sie stattdessen angriffsanfällige Kennwörter.

Viele Organisationen verwenden herkömmliche Regeln für Komplexität und Kennwortablauf. Forschungsergebnisse von Microsoft zeigen und der NIST-Leitfaden bestätigt, dass diese Richtlinien Benutzer dazu veranlassen, Kennwörter auszuwählen, die verhältnismäßig einfach zu erraten sind. Sie sollten Azure AD-Kennwortschutz verwenden, ein dynamisches Feature auf der Basis gesperrter Kennwörter, das anhand aktuellen Angreiferverhaltens verhindert, dass Benutzer Kennwörter festlegen, die leicht erraten werden können. Diese Funktion ist immer aktiviert, wenn Benutzer in der Cloud erstellt werden, steht ab sofort auch für Hybridorganisationen bei der Bereitstellung des Kennwortschutzes für Azure AD für Windows Server Active Directory zur Verfügung. Darüber sollten Sie Ablaufrichtlinien entfernen. Die Kennwortänderung bietet keine Schutzvorteile, da Cyberkriminelle fast immer Anmeldeinformationen verwenden, sobald sie sie kompromittiert haben. Informationen zum Festlegen der Kennwortablaufrichtlinie für Ihre Organisation finden Sie im folgenden Artikel.

Schutz vor kompromittierten Anmeldeinformationen und Verstärken der Ausfallsicherung

Die einfachste und empfohlene Methode zum Aktivieren von Cloudauthentifizierung für lokale Verzeichnisobjekte in Azure AD stellt das Aktivieren der Kennworthashsynchronisierung (Password Hash Synchronization, PHS) dar. Wenn Ihre Organisation eine Hybrididentitätslösung mit Pass-Through-Authentifizierung oder Verbundauthentifizierung verwendet, sollten Sie aus den beiden folgenden Gründen die Kennworthashsynchronisierung aktivieren:

  • Der Artikel Was ist Identity Protection? zu Benutzern mit gefährdeten Anmeldeinformationen in Azure AD warnt vor Benutzername-Kennwort-Paaren, die öffentlich verfügbar gemacht wurden. Eine schier unglaubliche Menge an Kennwörtern wird über drei Wege kompromittiert: Phishing, Schadsoftware und die Wiederverwendung von Kennwörtern auf Drittanbieterwebsites, die später gehackt werden. Microsoft findet eine Vielzahl dieser kompromittierten Anmeldeinformationen und teilt Ihnen in diesem Bericht mit, wenn sie Anmeldeinformationen in Ihrer Organisation entsprechen, aber nur, wenn Sie die Kennworthashsynchronisierung aktivieren oder über Cloudidentitäten verfügen.
  • Wenn ein lokales System beispielsweise aufgrund eines Ransomware-Angriffs ausfällt, können Sie zur Cloudauthentifizierung mit Kennworthashsynchronisierung wechseln. Diese Backupmethode für die Authentifizierung ermöglicht, weiterhin auf Apps zuzugreifen, die für die Authentifizierung mit Azure Active Directory konfiguriert sind, beispielsweise Microsoft 365. In diesem Fall müssen IT-Mitarbeiter nicht auf Schatten-IT oder persönliche E-Mail-Konten zurückgreifen, um bis zur Behebung des lokalen Ausfalls Daten freizugeben.

Kennwörter werden nie im Klartext gespeichert oder mit einem umkehrbaren Algorithmus in Azure AD verschlüsselt. Weitere Informationen zum eigentlichen Prozess der Kennworthashsynchronisierung finden Sie unter Ausführliche Beschreibung der Funktionsweise der Kennworthashsynchronisierung.

Implementieren der intelligenten AD FS-Extranetsperre

Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder sich mithilfe von Brute-Force-Methoden Zugang zu verschaffen. Smart Lockout kann Anmeldungen gültiger Benutzer erkennen und anders behandeln als Anmeldungen von Angreifern und anderen unbekannten Quellen. Angreifer werden ausgesperrt, während Ihre Benutzer weiterhin auf ihre Konten zugreifen und produktiv arbeiten können. Organisationen, die Anwendungen für die direkte Authentifizierung in Azure AD konfigurieren, profitieren von der intelligenten Kennwortsperrung von Azure AD. Verbundbereitstellungen mit AD FS 2016 und AD FS 2019 können mit AD FS Extranet Lockout und Extranet Smart Lockout ähnliche Vorteile bieten.

Schritt 2: Verringern Sie die Angriffsfläche.

Angesichts des Ausmaßes an Schaden, den gehackte Kennwörter anrichten, ist es von entscheidender Bedeutung, die Angriffsfläche in Ihrer Organisation so klein wie möglich zu halten. Deaktivieren der Verwendung älterer, weniger sicherer Protokolle, Einschränken der Zugriffseinstiegspunkte, Wechseln zur Cloudauthentifizierung, stärkere Kontrolle des Administratorzugriffs auf Ressourcen und Umsetzung von Zero Trust-Sicherheitsprinzipien.

Verwenden der Cloudauthentifizierung

Anmeldeinformationen stellen einen primären Angriffsvektor dar. Die Vorgehensweisen in diesem Blog können die Angriffsfläche reduzieren, indem Sie die Cloudauthentifizierung verwenden, MFA bereitstellen und kennwortlose Authentifizierungsmethoden verwenden. Sie können kennwortlose Methoden wie Windows Hello for Business und Anmeldung per Telefon mit der Microsoft Authenticator-App oder FIDO bereitstellen.

Blockieren älterer Authentifizierungsmethoden

Apps, die eigene, veraltete Methoden zur Authentifizierung bei Azure AD und zum Zugriff auf Unternehmensdaten verwenden, stellen für Organisationen ebenfalls ein Risiko dar. POP3-, IMAP4- oder SMTP-Clients sind einige Beispiele für Apps, die ältere Authentifizierungsmethoden verwenden. Solche Apps authentifizieren sich im Namen des Benutzers und hindern Azure AD daran, moderne Sicherheitsauswertungen durchzuführen. Moderne Authentifizierungsmethoden dagegen senken das Sicherheitsrisiko, weil sie die mehrstufige Authentifizierung und den bedingten Zugriff unterstützen.

Folgende Aktionen sind empfehlenswert:

  1. Entdecken Sie die Legacyauthentifizierung in Ihrer Organisation mit Azure AD-Anmeldeprotokollen und Log Analytics-Arbeitsmappen.
  2. Richten Sie SharePoint Online und Exchange Online für moderne Authentifizierungsverfahren ein.
  3. Wenn Sie über Azure AD Premium-Lizenzen verfügen, verwenden Sie Richtlinien für bedingten Zugriff, um die Legacyauthentifizierung zu blockieren. Verwenden Sie Azure AD-Sicherheitsstandards für den kostenlosen Azure AD-Tarif.
  4. Blockieren Sie ältere Authentifizierungsmethoden, wenn Sie AD FS verwenden.
  5. Blockieren Sie die Legacyauthentifizierung mit Exchange Server 2019.
  6. Deaktivieren Sie die Legacyauthentifizierung in Exchange Online.

Weitere Informationen finden Sie im Artikel Blockieren der Legacyauthentifizierung.

Blockieren von ungültigen Authentifizierungseinstiegspunkten

Nach dem Prinzip der expliziten Verifizierung müssen Sie die Auswirkungen gehackter Benutzeranmeldeinformationen begrenzen, sobald die Sicherheitsverletzung aufgetreten ist. Berücksichtigen Sie für jede App in Ihrer Umgebung die gültigen Anwendungsfälle: Welche Gruppen, welche Netzwerke, welche Geräte und welche weiteren Elemente sind autorisiert? Blockieren Sie anschließend den Rest. Mit dem bedingten Zugriff von Azure AD können Sie bestimmte Bedingungen definieren und so steuern, wie autorisierte Benutzer auf ihre Apps und Ressourcen zugreifen.

Weitere Informationen zur Verwendung des bedingten Zugriffs für Ihre Cloud-Apps und Benutzeraktionen finden Sie unter Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext.

Überprüfen und Steuern von Administratorrollen

Eine weitere Zero Trust-Säule ist, dass Sie die Wahrscheinlichkeit reduzieren müssen, dass ein gehacktes Konto mit einer privilegierten Rolle ausgeführt werden kann. Diese Kontrolle kann erreicht werden, indem einer Identität die geringste Berechtigung zugewiesen wird. Wenn Azure AD-Rollen neu für Sie sind, hilft Ihnen dieser Artikel, Azure AD-Rollen zu verstehen.

Privilegierte Rollen in Azure AD sollten nur Cloudkonten sein, um sie von lokalen Umgebungen zu isolieren, und verwenden Sie keine lokalen Kennworttresore zum Speichern der Anmeldeinformationen.

Implementieren von Privilege Access Management

Privileged Identity Management (PIM) bietet eine zeit- und genehmigungsbasierte Rollenaktivierung, damit die Risiken in Verbindung mit übermäßigen, unnötigen oder missbräuchlich verwendeten Zugriffsberechtigungen für wichtige Ressourcen verringert werden können. Diese Ressourcen umfassen Ressourcen in Azure Active Directory (Azure AD), Azure und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune.

Azure AD Privileged Identity Management (PIM) unterstützt Sie dabei, folgende Aktionen auszuführen, um Kontoberechtigungen so weit wie möglich einzuschränken:

  • Identifizieren und verwalten Sie Benutzer, denen Administratorrollen zugewiesen sind.
  • Ermitteln Sie nicht verwendete Rollen oder Rollen mit übermäßigen Berechtigungen, die Sie entfernen sollten.
  • Richten Sie Regeln ein, die sicherstellen, dass privilegierte Rollen durch mehrstufige Authentifizierung geschützt sind.
  • Richten Sie Regeln ein, die sicherstellen, dass privilegierte Rollen nur so lange gewährt werden, wie zum Ausführen der entsprechenden Aufgabe erforderlich ist.

Aktivieren Sie Azure AD PIM, sehen Sie sich die Benutzer an, denen Administratorrollen zugewiesen sind, und entfernen Sie nicht benötigte Konten in diesen Rollen. Ändern Sie die Berechtigungen für die verbleibenden privilegierten Benutzer von „dauerhaft“ zu „berechtigt“. Zum Schluss richten Sie geeignete Richtlinien ein, um sicherzustellen, dass Benutzer mit der erforderlichen Änderungssteuerung sicher auf diese privilegierten Rollen zugreifen können, wenn es erforderlich ist.

Den integrierten und benutzerdefinierten Rollen in Azure AD liegen ähnliche Konzepte zugrunde wie dem rollenbasierten Zugriffssteuerungssystem für Azure-Ressourcen (Azure-Rollen). Die beiden rollenbasierten Zugriffssteuerungssysteme unterscheiden sich wie folgt:

  • Azure AD-Rollen dienen zum Steuern des Zugriffs auf Azure AD-Ressourcen wie Benutzer, Gruppen und Anwendungen unter Verwendung der Microsoft Graph-API.
  • Azure-Rollen dienen zum Steuern des Zugriffs auf Azure-Ressourcen wie virtuelle Computer oder Speicher unter Verwendung der Azure-Ressourcenverwaltung.

Beide Systeme enthalten ähnlich verwendete Rollendefinitionen und Rollenzuweisungen. Azure AD-Rollenberechtigungen können allerdings nicht in benutzerdefinierten Azure-Rollen verwendet werden (und umgekehrt). Wenn Sie den Prozess für die Bereitstellung privilegierter Konten einrichten, befolgen Sie die bewährten Methoden zum Einrichten von mindestens zwei Notfallkonten, um sicherzustellen, dass Sie weiterhin Zugriff auf Azure AD haben, falls Sie sich selbst ausgesperrt haben.

Weitere Informationen finden Sie in den Artikeln Planen einer Bereitstellung von Privileged Identity Management und Sichern des privilegierten Zugriffs.

Es ist wichtig, dass Sie die verschiedenen Einwilligungserfahrungen für Azure AD-Anwendungen, die Arten von Berechtigungen und Zustimmungen sowie ihre Auswirkungen auf den Sicherheitsstatus ihrer Organisation kennen. Zwar können Benutzer durch die Möglichkeit, eine Zustimmung selbst zu erteilen, mühelos nützliche Anwendungen erwerben, die in Microsoft 365, Azure und andere Dienste integriert werden können, dies kann jedoch bei nachlässiger Nutzung und Überwachung ein Risiko darstellen.

Microsoft empfiehlt Ihnen, die Möglichkeiten zur Benutzereinwilligung einzuschränken, damit Endbenutzer ihre Einwilligung nur für Apps von überprüften Herausgebern und nur für von Ihnen ausgewählte Berechtigungen erteilen können. Wenn die Endbenutzereinwilligung eingeschränkt ist, werden zuvor erteilte Einwilligungen nach wie vor berücksichtigt, alle zukünftigen Einwilligungsvorgänge müssen jedoch von einem Administrator ausgeführt werden. Bei einer Einschränkung können Benutzer die Administratoreinwilligung über einen integrierten Workflow zum Anfordern der Administratoreinwilligung oder über Ihre eigenen Supportprozesse anfordern. Bevor Sie die Endbenutzereinwilligung deaktivieren, lesen Sie unsere Empfehlungen für die Planung dieser Änderung in Ihrer Organisation. Ziehen Sie für Anwendungen, auf die Sie allen Benutzern Zugriff gewähren möchten, in Betracht, die Zustimmung im Namen aller Benutzer zu erteilen und dadurch sicherzustellen, dass Benutzer, die noch nicht einzeln zugestimmt haben, auf die App zugreifen können. Wenn Sie nicht möchten, dass diese Anwendungen allen Benutzern in allen Szenarien zur Verfügung stehen, verwenden Sie Anwendungszuweisung und bedingten Zugriff, um den Benutzerzugriff auf bestimmte Apps zu beschränken.

Stellen Sie sicher, dass Benutzer eine Administratorgenehmigung für neue Anwendungen anfordern können, um die Spannungen zu vermeiden und den Supportaufwand zu minimieren sowie Benutzer daran zu hindern, sich bei Anwendungen mit Nicht Azure AD-Anmeldeinformationen anzumelden. Sobald Zustimmungsvorgänge reguliert werden, sollten Administratoren die App und die erteilten Berechtigungen regelmäßig überprüfen.

Weitere Informationen finden Sie im Artikel Azure Active Directory-Zustimmungsframework.

Schritt 3: Automatisieren Sie die Reaktion auf Bedrohungen.

Azure Active Directory verfügt über eine Vielzahl von Funktionen, die Angriffe automatisch abfangen, sodass zwischen Erkennung und Reaktion keinerlei Zeit vergeht. Sie können Kosten und Risiken verringern, indem Sie den Zeitraum verkürzen, in dem sich Angreifer in Ihrer Umgebung einnisten können. Im Folgenden finden Sie die konkreten Schritte, die Sie ausführen sollten.

Weitere Informationen finden Sie im Artikel Konfigurieren und Aktivieren von Risikorichtlinien.

Implementieren einer Richtlinie zum Anmelderisiko

Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Authentifizierungsanforderung vom Identitätsbesitzer nicht autorisiert wurde. Sie können eine risikobasierte Richtlinie für die Anmeldung implementieren, indem Sie Ihren Richtlinien für bedingten Zugriff eine Anmelderisikobedingung hinzufügen, die die Risikostufe für einen bestimmten Benutzer oder eine bestimmte Gruppe auswertet. Basierend auf der Risikostufe (hoch/mittel/niedrig) kann eine Richtlinie konfiguriert werden, die den Zugriff blockiert oder die mehrstufige Authentifizierung erzwingt. Sie sollten für Anmeldevorgänge mit der Risikostufe „mittel“ oder höher die Multi-Faktor-Authentifizierung erzwingen.

Richtlinie für bedingten Zugriff, die MFA für Anmeldungen mit mittlerem und hohem Risiko voraussetzt

Implementieren einer Benutzerrisiko-Sicherheitsrichtlinie

Das Benutzerrisiko bezeichnet die Wahrscheinlichkeit, dass die Identität eines Benutzers gefährdet ist, und wird anhand der Benutzerrisikoerkennungen berechnet, die der Identität eines Benutzers zugeordnet sind. Sie können eine Richtlinie auf Benutzerrisikobasis implementieren, indem Sie Ihren Richtlinien für bedingten Zugriff eine Benutzerrisikobedingung hinzufügen, die die Risikostufe für einen bestimmten Benutzer auswertet. Basierend auf den Risikostufen „Niedrig“, „Mittel“ oder „Hoch“ kann eine Richtlinie so konfiguriert werden, dass sie den Zugriff blockiert oder eine sichere Kennwortänderung über die mehrstufige Authentifizierung erfordert. Microsoft empfiehlt, bei Benutzern mit hohem Risiko eine sichere Kennwortänderung anzufordern.

Richtlinie für bedingten Zugriff, die eine Kennwortänderung für Benutzer mit hohem Risiko voraussetzt

In der Benutzerrisikoerkennung ist eine Überprüfung enthalten, ob die Anmeldeinformationen des Benutzers mit Anmeldeinformationen übereinstimmen, die von Cyberkriminellen kompromittiert wurden. Zur optimalen Funktion muss die Kennworthashsynchronisierung mit Azure AD Connect-Synchronisierung implementiert werden.

Integrieren von Microsoft 365 Defender in Azure AD Identity Protection

Damit Identity Protection die bestmögliche Risikoerkennung durchführen kann, muss die Anwendung so viele Signale wie möglich empfangen. Daher ist es wichtig, die gesamte Suite von Microsoft 365 Defender-Diensten zu integrieren:

  • Microsoft Defender für den Endpunkt
  • Microsoft Defender für Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps

Weitere Informationen zu Microsoft Threat Protection und zur Wichtigkeit der Integration verschiedener Domänen finden Sie im folgenden kurzen Video.

Einrichten von Überwachung und Warnung

Das Überwachen Ihrer Protokolle ist wichtig, um verdächtiges Verhalten zu erkennen. Die Azure-Portal bietet mehrere Möglichkeiten, Azure AD-Protokolle in andere Tools wie Microsoft Sentinel, Azure Monitor und andere SIEM-Tools zu integrieren. Weitere Informationen finden Sie unter Datenquellen.

Schritt 4: Nutzen Sie Cloud Intelligence.

Die Überwachung und Protokollierung von sicherheitsbezogenen Ereignissen und die entsprechenden Warnungen sind grundlegende Komponenten einer effektiven Schutzstrategie. Sicherheitsprotokolle und Berichte bieten eine elektronische Aufzeichnung verdächtiger Aktivitäten und helfen Ihnen bei der Erkennung von Mustern, die auf versuchte oder erfolgreiche externe Eindringversuche in das Netzwerk und auf interne Angriffe hinweisen können. Sie können im Rahmen der Überwachung entsprechende Benutzeraktivitäten überwachen, die Einhaltung gesetzlicher Bestimmungen dokumentieren, forensische Analysen durchführen und vieles mehr. Warnungen benachrichtigen Sie bei Sicherheitsereignissen. Stellen Sie sicher, dass Sie über eine Protokollaufbewahrungsrichtlinie für Ihre Anmeldeprotokolle und Überwachungsprotokolle für Azure AD verfügen, indem Sie in Azure Monitor oder ein SIEM-Tool exportieren.

Überwachen von Azure AD

Die Dienste und Features von Microsoft Azure bieten Ihnen konfigurierbare Optionen für die Überwachung und Protokollierung der Sicherheit, damit Sie Lücken in Ihren Sicherheitsrichtlinien und -mechanismen identifizieren und schließen können, um Sicherheitsverletzungen zu vermeiden. Sie können die Azure-Protokollierung und -Überwachung sowie Berichte zu Überwachungsaktivitäten im Azure Active Directory-Portal verwenden. Weitere Informationen zum Überwachen von Benutzerkonten, privilegierten Konten, Apps und Geräten finden Sie in Azure Active Directory: Leitfaden zu Sicherheitsvorgängen.

Überwachen von Azure AD Connect Health in hybriden Umgebungen

Unter Überwachen von AD FS mithilfe von Azure AD Connect Health finden Sie umfassende Einblicke in mögliche Probleme und die Sichtbarkeit von Angriffen auf Ihre AD FS-Infrastruktur. Sie können jetzt ADFS-Anmeldungen anzeigen, um ihre Überwachung eingehender zu gestalten. Azure AD Connect Health bietet Warnungen mit detaillierten Informationen, Lösungsschritten und Links zur entsprechenden Dokumentation sowie Nutzungsanalysen für verschiedene Metriken zum Authentifizierungsdatenverkehr, Funktionen für die Leistungsüberwachung und Berichte. Verwenden Sie die Berichtsarbeitsmappe zu riskanten IP-Adressen, um die Norm für Ihre Umgebung und die Warnung beim Auftreten einer Änderung zu identifizieren. Die gesamte Hybridinfrastruktur sollte als Ressource der Ebene 0 überwacht werden. Eine ausführliche Anleitung zur Überwachung dieser Ressourcen finden Sie unter Sicherheitsvorgänge für die Infrastruktur.

Überwachen von Azure AD Identity Protection-Ereignissen

Azure AD Identity Protection bietet zwei wichtige Berichte, die Sie täglich überwachen sollten:

  1. Berichte zu riskanten Anmeldungen behandeln Benutzeranmeldeaktivitäten, denen Sie nachgehen sollten, weil die Anmeldung möglicherweise nicht durch den rechtmäßigen Besitzer erfolgt ist.
  2. In Berichten zu riskanten Benutzern werden Benutzerkonten ermittelt, die möglicherweise kompromittiert sind. Dies kann etwa Ereignisse betreffen, bei denen offengelegte Anmeldeinformationen erkannt wurden oder bei denen sich der Benutzer von verschiedenen Standorten aus angemeldet hat, bei denen ein Ortswechsel durch einen Benutzer unmöglich erscheint.

Übersichtsdiagramme der Aktivität in Identity Protection im Azure-Portal

Überwachen von Apps und Berechtigungen, denen zugestimmt wurde

Benutzer können zu einer gefährdeten Website oder App weitergeleitet werden, die Zugriff auf ihre Profilinformationen und Benutzerdaten (z. B. die E-Mail-Adresse) erlangt. Ein böswilliger Akteur kann mithilfe der Berechtigungen, denen zugestimmt wurde, Postfachdaten verschlüsseln und ein Lösegeld für die Herausgabe der Postfachdaten fordern. Administratoren sollten die Berechtigungen, die Benutzern gewährt werden, überprüfen und überwachen. Zusätzlich zum Überwachen der von Benutzern erteilten Berechtigungen können Sie risikobehaftete oder unerwünschte OAuth-Anwendungen in Premium-Umgebungen suchen.

Schritt 5: Aktivieren des Self-Service für Endbenutzer

Ein wichtiges Ziel ist es, Sicherheit und Produktivität sorgfältig gegeneinander abzuwägen. Wenn Sie mit der Einstellung an die Sache herangehen, dass Sie eine Grundlage für die Sicherheit schaffen, können Sie Reibungsverluste in Ihrem Unternehmen beseitigen, indem Sie Ihre Benutzer in die Lage versetzen, wachsam zu bleiben und gleichzeitig Ihre Betriebskosten zu senken.

Implementieren der Self-Service-Kennwortzurücksetzung

Die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) von Azure AD bietet für IT-Administratoren eine einfache Methode, Benutzern das Zurücksetzen oder Entsperren ihrer Kennwörter oder Konten zu ermöglichen, ohne dass das Helpdesk oder ein Administrator eingreifen muss. Das System verfügt über eine ausführliche Berichterstellung, mit der die Kennwortzurücksetzung durch Benutzer nachverfolgt wird, sowie über eine Benachrichtigungsfunktion, mit der Sie über eine fehlerhafte oder missbräuchliche Nutzung informiert werden.

Implementieren von Self-Service-Gruppen und Anwendungszugriff

In Azure AD kann Benutzern ohne Administratorrechte die Möglichkeit eingeräumt werden, den Zugriff auf Ressourcen mithilfe von Sicherheitsgruppen, Microsoft 365-Gruppen, Anwendungsrollen und Zugriffspaketkatalogen zu verwalten. Über die Self-Service-Gruppenverwaltung können Gruppenbesitzer ihre eigenen Gruppen verwalten, ohne dass ihnen eine Administratorrolle zugewiesen sein muss. Benutzer können auch Microsoft 365-Gruppen erstellen und verwalten, ohne dass Administratoren ihre Anforderungen verarbeiten müssen. Nicht verwendete Gruppen laufen automatisch ab. Ferner ermöglicht die Azure AD-Berechtigungsverwaltung die Delegierung und Sichtbarkeit durch umfassende Workflows für Zugriffsanforderungen und durch automatischen Ablauf. Sie können an Benutzer ohne Administratorrechte die Möglichkeit delegieren, ihre eigenen Zugriffspakete für Gruppen, Teams, Anwendungen und SharePoint Online-Websites in ihrem Besitz zu konfigurieren. Dazu verwenden Sie benutzerdefinierte Richtlinien für Benutzer, die den Zugriff genehmigen müssen, darunter die Konfiguration von Managern von Mitarbeitern und Sponsoren von Geschäftspartnern als genehmigende Personen.

Implementieren von Azure AD-Zugriffsüberprüfungen

Mit Azure AD-Zugriffsüberprüfungen können Sie Zugriffspakete und Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und die Zuweisungen privilegierter Rollen verwalten, um einen Sicherheitsstandard einzurichten. Mit der regelmäßigen Überwachung durch die Benutzer selbst, durch Ressourcenbesitzer und durch andere Prüfer wird sichergestellt, dass Benutzer den Zugriff nicht über längere Zeiträume beibehalten, wenn sie ihn nicht mehr benötigen.

Implementieren der automatischen Benutzerbereitstellung

Die Bereitstellung und die Aufhebung der Bereitstellung sind die Prozesse, mit denen die Einheitlichkeit (Konsistenz) digitaler Identitäten für mehrere Systeme sichergestellt wird. Diese Prozesse werden häufig im Rahmen des Identity Lifecycle Management genutzt.

Bei der Bereitstellung geht es um die Erstellung einer Identität in einem Zielsystem basierend auf bestimmten Bedingungen. Bei der Aufhebung der Bereitstellung wird die Identität aus dem Zielsystem entfernt, wenn die Bedingungen nicht mehr erfüllt sind. Die Synchronisierung ist der Prozess, mit dem das bereitgestellte Objekt auf dem aktuellen Stand gehalten wird, damit das Quell- und das Zielobjekt gleich sind.

Azure AD verfügt derzeit über drei Bereiche für die automatisierte Bereitstellung. Sie lauten wie folgt:

Erfahren Sie mehr: Was ist die Bereitstellung mit Azure Active Directory?

Zusammenfassung

Bei sicheren Identitätsinfrastrukturen gilt es eine Vielzahl von Aspekten zu berücksichtigen, aber mit den fünf Schritten dieser Checkliste können Sie schnell eine sicherere Infrastruktur erzielen:

  • Verstärken Sie Ihre Anmeldeinformationen.
  • Verringern Sie die Angriffsfläche.
  • Automatisieren Sie die Reaktion auf Bedrohungen.
  • Nutzen Sie Cloud Intelligence.
  • Aktivieren Sie den Self-Service für Endbenutzer.

Wir freuen uns, dass Sie die Sicherheit so ernst nehmen, und hoffen, dass Sie mithilfe des vorliegenden Dokuments den Sicherheitsstatus Ihrer Organisation stärken können.

Nächste Schritte

Wenn Sie weitere Unterstützung bei der Planung und Umsetzung der Empfehlungen benötigen, sehen Sie sich die Azure AD-Projektbereitstellungspläne an.

Wenn Sie sicher sind, dass alle diese Schritte abgeschlossen sind, verwenden Sie den Identity Secure Score von Microsoft, der die neuesten bewährten Methoden und aktuellen Sicherheitsbedrohungen enthält.