Plan zur schnellen Modernisierung der Sicherheit

Dieser Plan zur schnellen Modernisierung unterstützt Sie bei der schnellen Einführung der von Microsoft empfohlenen Strategie für privilegierten Zugriff.

Diese Roadmap baut auf den technischen Steuerungsmöglichkeiten auf, die in der Anleitung zur Bereitstellung des privilegierten Zugriffs festgelegt sind. Führen Sie diese Schritte durch, und konfigurieren Sie dann die Kontrollfunktionen für Ihre Organisation anhand der Schritte in diesem Plan zur schnellen Modernisierung.

Hinweis

Viele dieser Schritte werden eine „Altsystem/Neusystem“-Dynamik haben, da Sicherheitsrisiken in Organisationen oft dadurch entstehen, dass Konten bereits bereitgestellt oder konfiguriert worden sind. Diese Roadmap hat die Priorität, zuerst die Ansammlung neuer Sicherheitsrisiken zu vermeiden und später die restlichen, bereits angesammelten Punkte zu bereinigen.

Beim Durchlaufen der Roadmap können Sie die Microsoft-Sicherheitsbewertung nutzen, um viele Punkte auf dem Weg nachzuverfolgen und im Laufe der Zeit mit anderen in ähnlichen Organisationen zu vergleichen. Weitere Informationen zur Microsoft-Sicherheitsbewertung finden Sie im Artikel Übersicht über die Microsoft-Sicherheitsbewertung.

Jeder Punkt in diesem Plan zur schnellen Modernisierung ist als Initiative strukturiert, die anhand eines Formats nachverfolgt und verwaltet wird, das auf der Methodik der Zielsetzungen und Schlüsselergebnisse aufbaut. Zu jedem Punkt wird untersucht, was, warum, von wem und wie gemessen werden soll. Einige Punkte erfordern Änderungen an den Prozessen und den Kenntnissen/Fertigkeiten von Mitarbeitern, während andere einfachere technologische Änderungen bedeuten. An vielen dieser Initiativen werden Mitglieder außerhalb der herkömmlichen IT-Abteilung beteiligt sein, die in die Entscheidungsfindung und Umsetzung dieser Änderungen einbezogen werden sollten, um sicherzustellen, dass sie erfolgreich in Ihrer Organisation übernommen werden.

Es ist entscheidend, als Organisation zusammenzuarbeiten, Partnerschaften zu bilden und auch die Personen aufzuklären, die bislang nicht an diesem Prozess beteiligt waren. Es ist ferner wichtig, sich die Zustimmung der gesamten Organisation zu verschaffen und weiter zu sichern, denn ohne sie scheitern viele Projekte.

Trennen und Verwalten privilegierter Konten

Konten für den Notfallzugriff

• Aufgabe: Stellen Sie sicher, dass Sie in einer Notfallsituation nicht versehentlich aus Ihrer Azure Active Directory-Organisation (Azure AD) ausgesperrt werden.
• Grund: Konten für den Notfallzugriff werden nur selten benötigt und richten im Falle einer Kompromittierung großen Schaden in der Organisation an. Ihre Verfügbarkeit für die Organisation ist jedoch auch für die wenigen Szenarien, in denen sie benötigt werden, von entscheidender Bedeutung. Stellen Sie sicher, dass Sie einen Plan für die Aufrechterhaltung des Zugriffs haben, der sowohl erwartete als auch unerwartete Ereignisse berücksichtigt.
• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Die für Richtlinien und Standards zuständigen Teams dokumentieren klare Anforderungen und Standards.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren etwaige Änderungen.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.
• Vorgehensweise: Befolgen Sie die Anleitung unter Verwalten von Konten für den Notfallzugriff in Azure AD.
• Messen der wichtigsten Ergebnisse:
  • Eingerichtet Der Prozess für den Notfallzugriff wurde basierend auf Microsoft-Leitlinien entwickelt, die die Anforderungen der Organisation erfüllen.
  • Geprüft Der Notfallzugriff wurde innerhalb der letzten 90 Tage überprüft und getestet.

Aktivieren von Azure AD Privileged Identity Management

• Aufgabe: Verwenden Sie Azure AD Privileged Identity Management (PIM) in Ihrer Azure AD-Produktionsumgebung, um privilegierte Konten zu ermitteln und zu schützen.
• Grund: Privileged Identity Management bietet eine zeit- und genehmigungsbasierte Rollenaktivierung, um die Risiken durch übermäßige, unnötige oder missbrauchte Zugriffsberechtigungen für wichtige Ressourcen zu verringern.
• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Die für Richtlinien und Standards zuständigen Teams dokumentieren (basierend auf diesem Leitfaden) klare Anforderungen und Standards.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren etwaige Änderungen.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.
• Vorgehensweise: Stellen Sie Azure Active Directory Privileged Identity Management gemäß dem Leitfaden im Artikel Bereitstellen von Azure AD Privileged Identity Management (PIM) bereit, und konfigurieren Sie die Lösung.
• Messen der wichtigsten Ergebnisse: Alle in Frage kommenden Rollen mit privilegiertem Zugriff nutzen Azure AD Privileged Identity Management.

Ermitteln und Kategorisieren privilegierter Konten (Azure AD)

• Aufgabe: Ermitteln Sie alle Rollen und Gruppen mit hohen geschäftlichen Auswirkungen, die eine privilegierte Sicherheitsstufe benötigen (sofort oder im Laufe der Zeit). Für diese Administratoren ist in einem späteren Schritt die Verwaltung des privilegierten Zugriffs erforderlich.

• Grund: Dieser Schritt ist erforderlich, um die Anzahl der Personen zu ermitteln und zu minimieren, die separate Konten und einen privilegierten Zugriffsschutz benötigen.

• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Die für Richtlinien und Standards zuständigen Teams dokumentieren (basierend auf diesem Leitfaden) klare Anforderungen und Standards.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren etwaige Änderungen.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.

• Vorgehensweise: Nachdem Sie Azure AD Privileged Identity Management aktiviert haben, können Sie die Benutzer mit den folgenden Azure AD-Rollen basierend auf den Risikorichtlinien Ihrer Organisation mindestens anzeigen:

  • Globaler Administrator
  • Administrator für privilegierte Rollen
  • Exchange-Administrator
  • SharePoint-Administrator

  Eine Liste mit allen Administratorrollen finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory.

  Entfernen Sie alle Konten, die in diesen Rollen nicht mehr benötigt werden. Kategorisieren Sie anschließend die restlichen Konten, die Administratorrollen zugewiesen sind:

  • Wird administrativen Benutzern zugewiesen, aber auch für nicht administrative Produktivitätszwecke verwendet, z. B. zum Lesen und Beantworten von E-Mail.
  • Ist Administratoren zugewiesen und wird nur für Verwaltungszwecke verwendet
  • Für mehrere Benutzer freigegeben
  • Für Notfallzugriffs-Szenarios
  • Für automatisierte Skripts
  • Für externe Benutzer

Wenn in Ihrer Organisation Azure AD Privileged Identity Management nicht verwendet wird, können Sie die PowerShell-API nutzen. Beginnen Sie außerdem mit der Rolle „Globaler Administrator“, weil ein globaler Administrator für alle Clouddienste, die Ihre Organisation abonniert hat, über die gleichen Berechtigungen verfügt. Diese Berechtigungen werden unabhängig vom Ort der Zuweisung (Microsoft 365 Admin Center, Azure-Portal oder Azure AD-Modul für Microsoft PowerShell) erteilt.

• Messen der wichtigsten Ergebnisse: Die Überprüfung und Ermittlung von Rollen mit privilegiertem Zugriff wurde innerhalb der letzten 90 Tage abgeschlossen.

Separate Konten (lokale AD-Konten)

• Aufgabe: Schützen lokaler privilegierter Administratorkonten, falls noch nicht geschehen. Diese Phase umfasst Folgendes:

  • Erstellen separater Administratorkonten für Benutzer, die lokale Verwaltungsaufgaben durchführen müssen
  • Bereitstellen von Privileged Access Workstations (PAW) für Active Directory-Administratoren
  • Erstellen einmaliger lokaler Administratorkennwörter für Workstations und Server

• Grund: Härtung der Konten, die für administrative Aufgaben verwendet werden. Für die Administratorkonten sollte E-Mail deaktiviert sein, und es sollten keine persönlichen Microsoft-Konten erlaubt sein.

• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Die für Richtlinien und Standards zuständigen Teams dokumentieren (basierend auf diesem Leitfaden) klare Anforderungen und Standards.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren etwaige Änderungen.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.

• Vorgehensweise: Alle Mitarbeiter, die über Administratorrechte verfügen dürfen, müssen über separate Konten für administrative Aufgaben verfügen, die nicht mit ihren Benutzerkonten identisch sind. Geben Sie diese Konten nicht für andere Benutzer frei.

  • Standardbenutzerkonten: Erteilen Sie Standardbenutzerrechte für standardmäßige Benutzeraufgaben, z. B. für E-Mail-, Webbrowsing- und Branchenanwendungen. Diesen Konten werden keine Administratorrechte erteilt.
  • Administratorkonten: Separate Konten für Mitarbeiter, denen die entsprechenden Administratorrechte zugewiesen werden.

• Messen der wichtigsten Ergebnisse: Alle lokalen privilegierten Benutzer verfügen über separate dedizierte Konten.

Microsoft Defender for Identity

• Aufgabe: Microsoft Defender for Identity kombiniert lokale Signale mit in der Cloud gewonnenen Erkenntnissen, um Ereignisse in einem vereinfachten Format zu überwachen, zu schützen und zu untersuchen. Dadurch können Ihre Sicherheitsteams komplexe Angriffe auf Ihre Identitätsinfrastruktur erkennen und haben folgenden Möglichkeiten:

  • Überwachung von Benutzern, Entitätsverhalten und -aktivitäten mit lernbasierter Analyse
  • Schutz von in Active Directory gespeicherten Benutzeridentitäten und Anmeldeinformationen
  • Identifikation und Untersuchung verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten Kill Chain
  • Bereitstellung eindeutiger Informationen zu einem Incident in einer einfachen Zeitachse zur schnellen Selektierung

• Grund: Moderne Angreifer können über lange Zeiträume unentdeckt bleiben. Viele Bedrohungen sind ohne ein zusammenhängendes Bild Ihrer gesamten Identitätsumgebung nur schwer auszumachen.

• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Die für Richtlinien und Standards zuständigen Teams dokumentieren (basierend auf diesem Leitfaden) klare Anforderungen und Standards.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren etwaige Änderungen.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.

• Vorgehensweise: Stellen Sie Microsoft Defender for Identity bereit, aktivieren Sie die Lösung, und überprüfen Sie alle offenen Warnungen.

• Messen wichtiger Ergebnisse: Alle offenen Warnungen wurden von den entsprechenden Teams überprüft und entschärft.

Verbessern der Umgebung zur Verwaltung von Anmeldeinformationen

Implementieren und Dokumentieren der Self-Service-Kennwortzurücksetzung und der kombinierten Registrierung von Sicherheitsinformationen

• Aufgabe: Aktivieren und konfigurieren Sie die Self-Service-Kennwortzurücksetzung in Ihrer Organisation sowie die kombinierte Registrierung von Sicherheitsinformationen.
• Grund: Benutzer können ihre eigenen Kennwörter zurücksetzen, nachdem sie sich registriert haben. Die Umgebung zur kombinierten Registrierung von Sicherheitsinformationen bietet eine bessere Benutzererfahrung, die die Registrierung für die mehrstufige Authentifizierung bei Azure AD und die Self-Service-Kennwortzurücksetzung ermöglicht. Wenn diese Tools zusammen eingesetzt werden, tragen sie zu niedrigeren Kosten für den Helpdesk und zufriedeneren Benutzern bei.
• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Die für Richtlinien und Standards zuständigen Teams dokumentieren (basierend auf diesem Leitfaden) klare Anforderungen und Standards.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren etwaige Änderungen.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.
    • Zentraler IT-Betrieb Helpdeskprozesse wurden geändert, Mitarbeiter entsprechend geschult.
• Vorgehensweise: Informationen zum Aktivieren und Bereitstellen der Self-Service-Kennwortzurücksetzung finden Sie im Artikel Planen der Bereitstellung einer Self-Service-Kennwortzurücksetzung (SSPR) von Azure Active Directory.
• Messen der wichtigsten Ergebnisse: Die Self-Service-Kennwortzurücksetzung ist vollständig konfiguriert und für die Organisation verfügbar.

Schützen von Administratorkonten: Aktivieren und Anfordern der mehrstufigen Authentifizierung/Kennwortlos für privilegierte Azure AD-Benutzer

• Aufgabe: Anfordern, dass alle privilegierten Konten in Azure AD eine sichere mehrstufige Authentifizierung verwenden

• Grund: Schützen des Zugriffs auf Daten und Dienste in Microsoft 365.

• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Die für Richtlinien und Standards zuständigen Teams dokumentieren (basierend auf diesem Leitfaden) klare Anforderungen und Standards.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren etwaige Änderungen.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.
    • Zentraler IT-Betrieb Helpdeskprozesse wurden geändert, Mitarbeiter entsprechend geschult.
    • Zentraler IT-Betrieb Prozesse für Dienstbesitzer wurden geändert, Mitarbeiter entsprechend geschult.

• Vorgehensweise: Aktivieren Sie die mehrstufige Authentifizierung (MFA) von Azure AD, und registrieren Sie alle anderen Administratorkonten von Einzelbenutzern mit hohen Privilegien außerhalb des Verbunds. Fordern Sie die mehrstufige Authentifizierung bei der Anmeldung von allen Einzelbenutzern an, die dauerhaft einer oder mehreren dieser Azure AD-Administratorrollen zugewiesen sind:

  • Globaler Administrator
  • Administrator für privilegierte Rollen
  • Exchange-Administrator
  • SharePoint-Administrator

  Fordern Sie von Administratoren die Verwendung kennwortloser Anmeldemethoden wie FIDO2-Sicherheitsschlüssel oder Windows Hello for Business in Verbindung mit eindeutigen, langen und komplexen Kennwörtern. Erzwingen Sie diese Änderung mittels eines Dokuments zu Organisationsrichtlinien.

Befolgen Sie die Anleitung in den folgenden Artikeln: Planen einer Bereitstellung von Azure AD Multi-Factor Authentication und Planen einer Bereitstellung mit kennwortloser Authentifizierung in Azure Active Directory.

• Messen der wichtigsten Ergebnisse: Alle privilegierten Benutzer verwenden zu 100 % eine kennwortlose Authentifizierung oder sichere Form der mehrstufigen Authentifizierung für alle Anmeldungen. Eine Beschreibung der mehrstufigen Authentifizierung finden Sie unter Konten für privilegierten Zugriff.

Blockieren von Legacyauthentifizierungsprotokollen für privilegierte Benutzerkonten

• Aufgabe: Blockieren Sie Legacyauthentifizierungsprotokolle für privilegierte Benutzerkonten.

• Grund: Organisationen sollten diese Legacyauthentifizierungsprotokolle blockieren, da bei ihnen die mehrstufige Authentifizierung nicht erzwungen werden kann. Wenn Legacyauthentifizierungsprotokolle aktiviert bleiben, kann dadurch ein Einstiegspunkt für Angreifer geschaffen werden. Einige Legacyanwendungen stützen sich möglicherweise auf diese Protokolle, und Organisationen haben die Möglichkeit, spezifische Ausnahmen für bestimmte Konten einzurichten. Diese Ausnahmen sollten nachverfolgt und zusätzliche Überwachungskontrollen implementiert werden.

• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Richtlinien und Standards: Das Team formuliert klare Anforderungen.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren die Richtlinie.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.

• Vorgehensweise: Befolgen Sie zum Blockieren von Legacyauthentifizierungsprotokollen in Ihrer Organisation die Anweisungen im Artikel Gewusst wie: Blockieren der Legacyauthentifizierung bei Azure AD mit bedingtem Zugriff.

• Messen der wichtigsten Ergebnisse:

  • Legacyprotokolle blockiert: Alle Legacyprotokolle werden für alle Benutzer blockiert, bei autorisierten Ausnahmen.
  • Ausnahmen werden alle 90 Tage überprüft und laufen binnen einen Jahres dauerhaft ab. Anwendungsbesitzer müssen alle Ausnahmen binnen einen Jahres nach der ersten Ausnahmegenehmigung aufheben.

Anwendungseinwilligungsprozess

• Aufgabe: Deaktivieren der Einwilligung von Endbenutzern zu Azure AD-Anwendungen.

Hinweis

Diese Änderung erfordert eine Zentralisierung des Entscheidungsprozesses in den Sicherheits- und Identitätsverwaltungsteams Ihrer Organisation.

• Grund: Benutzer können unbeabsichtigt ein Risiko für die Organisation schaffen, indem sie ihre Einwilligung für eine Anwendung erteilen, die böswillig auf Unternehmensdaten zugreifen kann.
• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Die für Richtlinien und Standards zuständigen Teams dokumentieren (basierend auf diesem Leitfaden) klare Anforderungen und Standards.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren etwaige Änderungen.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.
    • Zentraler IT-Betrieb Helpdeskprozesse wurden geändert, Mitarbeiter entsprechend geschult.
    • Zentraler IT-Betrieb Prozesse für Dienstbesitzer wurden geändert, Mitarbeiter entsprechend geschult.
• Vorgehensweise: Richten Sie einen zentralen Einwilligungsprozess ein, um eine zentrale Transparenz und Kontrolle über die Anwendungen zu erhalten, die Zugriff auf Daten haben, indem Sie die Anleitung in diesem Artikel befolgen, Verwalten der Einwilligung zu Anwendungen und Auswerten von Einwilligungsanforderungen.
• Messen der wichtigsten Ergebnisse: Endbenutzer können nicht in den Azure AD-Anwendungszugriff einwilligen.

Beseitigen von Konto- und Anmelderisiken

• Aufgabe: Aktivieren Sie Azure AD Identity Protection, und beseitigen Sie alle gefundenen Risiken.
• Grund: Riskantes Benutzer- und Anmeldeverhalten kann eine Quelle für Angriffe auf Ihre Organisation sein.
• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Die für Richtlinien und Standards zuständigen Teams dokumentieren (basierend auf diesem Leitfaden) klare Anforderungen und Standards.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren etwaige Änderungen.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.
    • Zentraler IT-Betrieb: Helpdeskprozesse für zugehörige Supportanrufe wurden geändert, Mitarbeiter entsprechend geschult.
• Vorgehensweise: Erstellen Sie einen Prozess zur Überwachung und Verwaltung von Benutzer- und Anmelderisiken. Entscheiden Sie, ob Sie die Behebung mithilfe der mehrstufigen Authentifizierung von Azure AD und Self-Service-Kennwortzurücksetzung automatisieren oder blockieren und einen Eingriff des Administrators verlangen. Befolgen Sie die Leitlinien im Artikel Anleitung: Konfigurieren und Aktivieren von Risikorichtlinien.
• Messen der wichtigsten Ergebnisse: Die Organisation weist keine unberücksichtigten Benutzer und Anmelderisiken auf.

Hinweis

Richtlinien für bedingten Zugriff sind erforderlich, um das Entstehen neuer Anmelderisiken zu verhindern. Weitere Informationen finden Sie im Abschnitt „Bedingter Zugriff“ von Bereitstellung des privilegierten Zugriffs.

Erste Bereitstellung von Administratorarbeitsstationen

• Was: Privilegierte Konten wie globale Administratoren verfügen über dedizierte Arbeitsstationen zum Ausführen von Verwaltungsaufgaben.
• Grund: Geräte, auf denen privilegierte Administratoraufgaben ausgeführt werden, sind ein Ziel von Angreifern. Die Absicherung nicht nur des Kontos, sondern auch dieser Ressourcen ist entscheidend für die Verkleinerung Ihrer Angriffsfläche. Diese Trennung schränkt die Anfälligkeit für gängige Angriffe ein, die auf produktivitätsbezogene Aufgaben wie E-Mail und Surfen im Internet abzielen.
• Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Förderung: Diese Initiative wird in der Regel vom CISO, CIO oder vom Director of Identity gefördert.
  • Ausführung: Diese Initiative ist eine gemeinsame Anstrengung der folgenden Beteiligten:
    • Die für Richtlinien und Standards zuständigen Teams dokumentieren (basierend auf diesem Leitfaden) klare Anforderungen und Standards.
    • Identitäts- und Schlüsselverwaltung oder zentrale IT-Abteilung implementieren etwaige Änderungen.
    • Die Sicherheitskonformitätsverwaltung überwacht die Einhaltung.
    • Zentraler IT-Betrieb Helpdeskprozesse wurden geändert, Mitarbeiter entsprechend geschult.
    • Zentraler IT-Betrieb Prozesse für Dienstbesitzer wurden geändert, Mitarbeiter entsprechend geschult.
• Vorgehensweise: Die erstmalige Bereitstellung muss auf der Ebene „Enterprise“ erfolgen, wie in diesem Artikel Bereitstellung des privilegierten Zugriffs beschrieben.
• Messen der wichtigsten Ergebnisse: Jedes privilegierte Konto verfügt über eine dedizierte Arbeitsstation, auf der vertrauliche Aufgaben ausgeführt werden können.

Hinweis

Mit diesem Schritt wird schnell eine Sicherheitsbasis geschaffen, die so schnell wie möglich auf die Ebenen „Spezialisiert“ und „Privilegiert“ erhöht werden muss.

Nächste Schritte

• Überblick über die Absicherung des privilegierten Zugriffs
• Strategie für den privilegierten Zugriff
• Messbare Erfolge
• Sicherheitsstufen
• Konten mit privilegiertem Zugriff
• Vermittler
• Schnittstellen
• Geräte mit privilegiertem Zugriff
• Unternehmenszugriffsmodell