Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel befassen wir uns mit einer Sammlung von bewährten Methoden für die Azure Identity Management- und Zugriffssteuerungssicherheit. Diese bewährten Methoden werden von unserer Erfahrung mit Microsoft Entra ID und den Erfahrungen von Kunden wie sich selbst abgeleitet.
Für jede bewährte Methode wird Folgendes beschrieben:
- Wobei es bei der bewährten Methode geht
- Warum Sie die bewährte Methode nutzen sollten
- Was die Folge sein könnte, wenn Sie die bewährte Methode nicht aktivieren
- Mögliche Alternativen zur bewährten Methode
- Wie Sie erfahren können, wie Sie die empfohlenen Vorgehensweisen aktivieren
Dieser Artikel zu bewährten Methoden zur Azure-Identitätsverwaltung und Zugriffssteuerung basiert auf einer Konsensmeinung und Azure-Plattformfunktionen und -Featuregruppen, wie sie zum Zeitpunkt des Schreibens dieses Artikels vorhanden sind.
Dieser Artikel soll einen allgemeinen Fahrplan für eine robustere Sicherheitslage nach der Bereitstellung bereitstellen, die von unserer Checkliste "5 Schritte zum Sichern Ihrer Identitätsinfrastruktur" geführt wird, die Sie durch einige unserer Kernfeatures und -dienste führt.
Meinungen und Technologien ändern sich im Laufe der Zeit, und dieser Artikel wird regelmäßig aktualisiert, um diese Änderungen widerzuspiegeln.
Zu den in diesem Artikel erörterten bewährten Methoden für Azure Identity Management und Zugriffssteuerung gehören:
- Identität als primären Sicherheitsperimeter behandeln
- Zentrale Identitätsverwaltung
- Verwalten von verbundenen Mandanten
- Einmaliges Anmelden aktivieren
- Aktivieren des bedingten Zugriffs
- Planen von Routinesicherheitsverbesserungen
- Kennwortverwaltung aktivieren
- Erzwingen der Multi-Faktor-Überprüfung für Benutzer
- Rollenbasierte Zugriffssteuerung verwenden
- Geringere Offenlegung privilegierter Konten
- Steuern von Standorten, an denen sich Ressourcen befinden
- Verwenden der Microsoft Entra-ID für die Speicherauthentifizierung
Identität als primären Sicherheitsperimeter behandeln
Viele betrachten Identität als die primäre Schutzbarriere für die Sicherheit. Dies ist eine Umstellung vom herkömmlichen Fokus auf die Netzwerksicherheit. Netzwerkperimeter werden immer poröser, und dieser Perimeterschutz kann nicht so effektiv sein wie vor der Verbreitung von BYOD-Geräten und Cloudanwendungen.
Microsoft Entra ID ist die Azure-Lösung für Identitäts- und Zugriffsverwaltung. Microsoft Entra ID ist ein mehrinstanzenbasierter, cloudbasierter Verzeichnis- und Identitätsverwaltungsdienst von Microsoft. Azure AD kombiniert grundlegende Verwaltungsdienste, Zugriffsverwaltung für Anwendungen und Identitätsgovernance in einer einzigen Lösung.
In den folgenden Abschnitten werden bewährte Methoden für Identitäts- und Zugriffssicherheit mithilfe der Microsoft Entra-ID aufgeführt.
Bewährte Methode: Center-Sicherheitskontrollen und -erkennungen rund um Benutzer- und Dienstidentitäten. Detail: Verwenden Sie Microsoft Entra-ID, um Steuerelemente und Identitäten zusammenzuleiten.
Zentrale Identitätsverwaltung
In einem Hybrididentitätsszenario wird empfohlen, Ihre lokalen und Cloudverzeichnisse zu integrieren. Die Integration ermöglicht Es Ihrem IT-Team, Konten von einem Standort aus zu verwalten, unabhängig davon, wo ein Konto erstellt wird. Die Integration hilft Ihren Benutzern auch, produktiver zu sein, indem eine gemeinsame Identität für den Zugriff auf Cloud- und lokale Ressourcen bereitgestellt wird.
Bewährte Methode: Einrichten einer einzelnen Microsoft Entra-Instanz. Konsistenz und eine einzige autoritative Quelle erhöhen klarheit und reduzieren Sicherheitsrisiken durch menschliche Fehler und Konfigurationskomplexität.
Detail: Festlegen eines einzelnen Microsoft Entra-Verzeichnisses als autoritative Quelle für Unternehmens- und Organisationskonten.
Bewährte Methode: Integrieren Sie Ihre lokalen Verzeichnisse in die Microsoft Entra-ID.
Detail: Verwenden Sie Microsoft Entra Connect , um Ihr lokales Verzeichnis mit Ihrem Cloudverzeichnis zu synchronisieren.
Hinweis
Es gibt Faktoren, die sich auf die Leistung von Microsoft Entra Connect auswirken. Stellen Sie sicher, dass Microsoft Entra Connect über genügend Kapazität verfügt, um zu verhindern, dass leistungsschwache Systeme die Sicherheit und Produktivität beeinträchtigen. Große oder komplexe Organisationen (Organisationen, die mehr als 100.000 Objekte bereitstellen) sollten den Empfehlungen folgen, um ihre Microsoft Entra Connect-Implementierung zu optimieren.
Bewährte Methode: Synchronisieren Sie keine Konten mit Microsoft Entra-ID, die über hohe Berechtigungen in Ihrer vorhandenen Active Directory-Instanz verfügen.
Detail: Ändern Sie nicht die Standardkonfiguration von Microsoft Entra Connect , die diese Konten herausfiltert. Diese Konfiguration verringert das Risiko, dass Angreifer von der Cloud zu lokalen Ressourcen pivotieren (was zu einem größeren Vorfall führen könnte).
Bewährte Methode: Aktivieren Sie die Kennwort-Hashsynchronisierung.
Detail: Die Kennwort-Hashsynchronisierung ist ein Feature zum Synchronisieren von Kennworthashes von Benutzenden aus einer lokalen Active Directory-Instanz in eine cloudbasierte Microsoft Entra-Instanz. Diese Synchronisierung schützt davor, dass kompromittierte Anmeldeinformationen aus früheren Angriffen wiedergegeben werden.
Auch wenn Sie den Verbund mit Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) oder anderen Identitätsanbietern verwenden, können Sie die Kennwort-Hashsynchronisierung optional als eine Sicherung für den Fall einrichten, dass bei Ihren lokalen Servern ein Fehler auftritt oder sie vorübergehend nicht verfügbar sind. Mit dieser Synchronisierung können sich Benutzer mit demselben Kennwort beim Dienst anmelden, mit dem sie sich bei ihrer lokalen Active Directory-Instanz anmelden. Außerdem ermöglicht es Identity Protection, kompromittierte Anmeldeinformationen zu erkennen, indem synchronisierte Kennworthashes mit kennwörtern verglichen werden, die als kompromittiert bekannt sind, wenn ein Benutzer dieselbe E-Mail-Adresse und dasselbe Kennwort für andere Dienste verwendet hat, die nicht mit Microsoft Entra ID verbunden sind.
Weitere Informationen finden Sie unter Implementieren der Kennworthashsynchronisierung mit Microsoft Entra Connect Sync.
Bewährte Methode: Verwenden Sie für die neue Anwendungsentwicklung die Microsoft Entra-ID für die Authentifizierung.
Detail: Verwenden Sie die richtigen Funktionen, um die Authentifizierung zu unterstützen:
- Microsoft Entra-ID für Mitarbeiter
- Microsoft Entra B2B für Gastbenutzer und externe Partner
- Microsoft Entra External ID, um zu steuern, wie Kunden sich bei der Nutzung Ihrer Anwendungen registrieren, anmelden und ihre Profile verwalten.
Organisationen, die ihre lokale Identität nicht in ihre Cloudidentität integrieren, können mehr Aufwand beim Verwalten von Konten haben. Dieser Aufwand steigert die Wahrscheinlichkeit von Fehlern und Sicherheitsverletzungen.
Hinweis
Sie müssen auswählen, in welchen Verzeichnissen kritische Konten gespeichert werden sollen und ob die verwendete Administratorarbeitsstation von neuen Clouddiensten oder vorhandenen Prozessen verwaltet wird. Durch die Verwendung vorhandener Verwaltungs- und Identitätsbereitstellungsprozesse können einige Risiken verringert werden, aber auch das Risiko entstehen, dass ein Angreifer ein lokales Konto kompromittiert und in die Cloud pivotiert. Möglicherweise möchten Sie eine andere Strategie für unterschiedliche Rollen verwenden (z. B. IT-Administratoren und Business Unit-Administratoren). Sie haben zwei Möglichkeiten. Die erste Option besteht darin, Microsoft Entra-Konten zu erstellen, die nicht mit Ihrer lokalen Active Directory-Instanz synchronisiert werden. Verbinden Sie Ihre Administratorarbeitsstation mit der Microsoft Entra-ID, die Sie mithilfe von Microsoft Intune verwalten und aktualisieren können. Die zweite Option besteht darin, vorhandene Administratorkonten zu verwenden, indem sie mit Ihrer lokalen Active Directory-Instanz synchronisiert werden. Verwenden Sie vorhandene Arbeitsstationen in Ihrer Active Directory-Domäne für die Verwaltung und Sicherheit.
Verwalten von verbundenen Mandanten
Ihre Sicherheitsorganisation benötigt Sichtbarkeit, um risiken zu bewerten und zu bestimmen, ob die Richtlinien Ihrer Organisation und alle gesetzlichen Anforderungen eingehalten werden. Sie sollten sicherstellen, dass Ihre Sicherheitsorganisation Einblick in alle Abonnements hat, die mit Ihrer Produktionsumgebung und Ihrem Netzwerk verbunden sind (über Azure ExpressRoute oder Standort-zu-Standort-VPN). Ein globaler Administrator in Microsoft Entra-ID kann den Zugriff auf die Rolle "Benutzerzugriffsadministrator " erhöhen und alle Abonnements und verwalteten Gruppen anzeigen, die mit Ihrer Umgebung verbunden sind.
Erfahren Sie , wie Sie den Zugriff auf alle Azure-Abonnements und -Verwaltungsgruppen erhöhen können, um sicherzustellen, dass Sie und Ihre Sicherheitsgruppe alle Abonnements oder Verwaltungsgruppen anzeigen können, die mit Ihrer Umgebung verbunden sind. Sie sollten diesen erweiterten Zugriff entfernen, nachdem Sie Risiken bewertet haben.
Einmaliges Anmelden aktivieren
In einer mobilen, cloudbasierten Welt möchten Sie einmaliges Anmelden (Single Sign-On, SSO) für Geräte, Apps und Dienste von überall aus aktivieren, damit Ihre Benutzer überall und wann immer produktiv sein können. Wenn Sie über mehrere Zu verwaltende Identitätslösungen verfügen, wird dies nicht nur für die IT, sondern auch für Benutzer, die mehrere Kennwörter speichern müssen, ein Verwaltungsproblem.
Mit derselben Identitätslösung für alle Ihre Apps und Ressourcen können Sie SSO erreichen. Und Ihre Benutzer können denselben Satz von Anmeldeinformationen verwenden, um sich anzumelden und auf die benötigten Ressourcen zuzugreifen, unabhängig davon, ob sich die Ressourcen lokal oder in der Cloud befinden.
Bewährte Methode: Aktivieren von SSO.
Detail: Die Microsoft Entra-ID erweitert lokales Active Directory auf die Cloud. Benutzer können ihr primäres Geschäfts-, Schul- oder Unikonto für ihre in die Domäne eingebundenen Geräte, Unternehmensressourcen und alle Web- und SaaS-Anwendungen verwenden, die sie benötigen, um ihre Aufgaben zu erledigen. Benutzer müssen sich nicht mehr an mehrere Gruppen von Benutzernamen und Kennwörtern erinnern, und ihr Anwendungszugriff kann basierend auf ihren Organisationsgruppenmitgliedschaften und ihrem Status als Mitarbeiter automatisch bereitgestellt (oder aufgehoben) werden. Und Sie können diesen Zugriff für Katalog-Apps oder für Ihre eigenen lokalen Apps steuern, die Sie über den Microsoft Entra-Anwendungsproxy entwickelt und veröffentlicht haben.
Verwenden Sie SSO, um Benutzern den Zugriff auf ihre SaaS-Anwendungen basierend auf ihrem Geschäfts-, Schul- oder Unikonto in Microsoft Entra ID zu ermöglichen. Dies gilt nicht nur für Microsoft SaaS-Apps, sondern auch für andere Apps wie Google Apps und Salesforce. Sie können Ihre Anwendung so konfigurieren, dass Microsoft Entra ID als SAML-basierter Identitätsanbieter verwendet wird. Als Sicherheitskontrolle stellt die Microsoft Entra-ID kein Token aus, das es Benutzern ermöglicht, sich bei der Anwendung anzumelden, es sei denn, sie wurden über die Microsoft Entra-ID Zugriff gewährt. Sie können den Zugriff direkt oder über eine Gruppe gewähren, in der Benutzer Mitglied sind.
Organisationen, die keine gemeinsame Identität schaffen, um SSO für ihre Benutzer und Anwendungen einzurichten, sind stärker gefährdet in Szenarien, in denen Benutzer über mehrere Kennwörter verfügen. Diese Szenarien erhöhen die Wahrscheinlichkeit, dass Benutzer Kennwörter wiederverwenden oder schwache Kennwörter verwenden.
Aktivieren des bedingten Zugriffs
Benutzer können über eine Vielzahl von Geräten und Apps von praktisch überall aus auf die Ressourcen Ihrer Organisation zugreifen. Als IT-Administrator möchten Sie sicherstellen, dass diese Geräte Ihren Standards für Sicherheit und Konformität entsprechen. Sich nur darauf zu konzentrieren, wer auf eine Ressource zugreifen kann, ist nicht mehr ausreichend.
Um das Gleichgewicht zwischen Sicherheit und Produktivität zu bewahren, müssen Sie bei der Entscheidung über die Zugriffssteuerung berücksichtigen, auf welche Weise auf eine Ressource zugegriffen wird. Mit dem bedingten Zugriff von Microsoft Entra können Sie diese Anforderung umsetzen. Mit dem bedingten Zugriff können Sie basierend auf bestimmten Bedingungen für den Zugriff auf Ihre Cloud-Apps automatisierte Entscheidungen hinsichtlich der Zugriffssteuerung treffen.
Bewährte Methode: Verwalten und steuern Sie den Zugriff auf Unternehmensressourcen.
Detail: Konfigurieren sie allgemeine Richtlinien für bedingten Zugriff von Microsoft Entra basierend auf einer Gruppe, einem Standort und einer Anwendungsempfindlichkeit für SaaS-Apps und mit Microsoft Entra ID verbundene Apps.
Bewährte Methode: Blockieren Sie ältere Authentifizierungsprotokolle.
Detail: Angreifer nutzen tagtäglich Schwachstellen in älteren Protokollen aus, insbesondere für Kennwort-Spray-Angriffe. Konfigurieren Sie bedingten Zugriff, um Legacyprotokolle zu blockieren.
Planen von Routinesicherheitsverbesserungen
Sicherheit entwickelt sich ständig weiter, und es ist wichtig, eine Möglichkeit zu schaffen, in Ihr Cloud- und Identitätsverwaltungsframework regelmäßig Fortschritte zu zeigen und neue Ansätze zur Sicherung Ihrer Umgebung zu entdecken.
Die Identitätssicherheitsbewertung ist eine Reihe empfohlener Sicherheitskontrollen, die Microsoft veröffentlicht, um Ihnen eine numerische Bewertung bereitzustellen, um Ihren Sicherheitsstatus objektiv zu messen und zukünftige Sicherheitsverbesserungen zu planen. Sie können Ihre Bewertung auch im Vergleich zu denen in anderen Branchen sowie Ihren eigenen Trends im Laufe der Zeit anzeigen.
Bewährte Methode: Planen Sie routinebasierte Sicherheitsüberprüfungen und Verbesserungen basierend auf bewährten Methoden in Ihrer Branche.
Detail: Verwenden Sie das Feature "Identitätssicherheitsbewertung", um Ihre Verbesserungen im Laufe der Zeit zu bewerten.
Kennwortverwaltung aktivieren
Wenn Sie über mehrere Mandanten verfügen oder Benutzern das Zurücksetzen ihrer eigenen Kennwörter ermöglichen möchten, ist es wichtig, dass Sie geeignete Sicherheitsrichtlinien verwenden, um Missbrauch zu verhindern.
Bewährte Praxis: Richten Sie die Self-Service-Kennwortzurücksetzung (SSPR) für Ihre Benutzer ein.
Detail: Verwenden Sie die Self-Service-Kennwortzurücksetzungsfunktion von Microsoft Entra ID.
Bewährte Methode: Überwachen Sie, wie oder ob SSPR tatsächlich verwendet wird.
Detail: Überwachen Sie die Benutzer, die sich mit dem Microsoft Entra ID Password Reset Registration Activity-Bericht registrieren. Die Berichterstellungsfunktion von Microsoft Entra ID hilft Ihnen bei der Beantwortung von Fragen mit Hilfe von vorgefertigten Berichten. Wenn Sie eine ordnungsgemäße Lizenz haben, können Sie auch benutzerdefinierte Abfragen erstellen.
Bewährte Methode: Erweitern von cloudbasierten Kennwortrichtlinien auf Ihre lokale Infrastruktur.
Detail: Verbessern Sie Kennwortrichtlinien in Ihrer Organisation, indem Sie dieselben Überprüfungen auf lokale Kennwortänderungen durchführen, wie Sie es bei cloudbasierten Kennwortänderungen tun. Installieren Sie den Microsoft Entra-Kennwortschutz für lokale Windows Server Active Directory-Agents, um gesperrte Kennwortlisten auf Ihre vorhandene Infrastruktur zu erweitern. Benutzer und Administratoren, die lokale Kennwörter ändern, festlegen oder zurücksetzen, müssen die gleiche Kennwortrichtlinie wie reine Cloudbenutzer einhalten.
Erzwingen der Multi-Faktor-Überprüfung für Benutzer
Sie sollten die zweistufige Überprüfung für alle Benutzer fordern. Dies schließt Administratoren und andere Personen in Ihrer Organisation ein, bei denen die Gefährdung ihrer Konten einen besonders schädlichen Einfluss haben kann (z.B. Finanzchefs).
Es gibt mehrere Optionen, um eine zweistufige Überprüfung zu erzwingen. Die beste Option für Sie hängt von Ihren Zielen, der Microsoft Entra Edition, die Sie ausführen, und Ihrem Lizenzierungsprogramm ab. Bestimmen Sie mithilfe des Artikels Vorgehensweise zum Erzwingen einer zweistufigen Überprüfung für einen Benutzer die beste Option für Sie. Weitere Informationen zu Lizenzen und Preisen finden Sie auf den Microsoft Entra-ID - und Microsoft Entra-Preisseiten für die mehrstufige Authentifizierung .
Im Folgenden werden Optionen und Vorteile der zweistufigen Überprüfung beschrieben:
Option 1: Aktivieren von MFA für alle Benutzer und Anmeldemethoden mit Microsoft Entra Security Defaults
Vorteil: Mit dieser Option können Sie MFA für alle Benutzer in Ihrer Umgebung mit einer strengen Richtlinie einfach und schnell erzwingen:
- Abfragen von Administratorkonten und administrativen Anmeldemechanismen
- Erzwingen von MFA über Microsoft Authenticator für alle Benutzer
- Einschränken älterer Authentifizierungsprotokolle.
Diese Methode ist für alle Lizenzierungsstufen verfügbar, kann jedoch nicht mit vorhandenen Richtlinien für den bedingten Zugriff kombiniert werden. Weitere Informationen finden Sie unter Microsoft Entra-Sicherheitsstandards
Option 2: Aktivieren der Multi-Faktor-Authentifizierung durch Ändern des Benutzerstatus.
Vorteil: Dies ist die herkömmliche Methode, die zweistufige Überprüfung zu anzufordern. Es funktioniert sowohl mit der Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud als auch mit dem Azure MFA-Server. Bei dieser Methode müssen sich Benutzer jedes Mal, wenn sie sich anmelden, die zweistufige Überprüfung durchführen. Die Richtlinien für bedingten Zugriff werden außer Kraft gesetzt.
Um festzulegen, wo die Multi-Faktor-Authentifizierung aktiviert werden muss, lesen Sie Welche Version der Microsoft Entra-Multi-Faktor-Authentifizierung ist für meine Organisation geeignet?.
Option 3: Aktivieren der Multi--Faktor-Authentifizierung mit einer Richtlinie für bedingten Zugriff.
Vorteil: Mit dieser Option können Sie die zweistufige Überprüfung unter bestimmten Bedingungen mithilfe des bedingten Zugriffs anfordern. Bestimmte Bedingungen können sein: Benutzeranmeldung von verschiedenen Standorten, nicht vertrauenswürdige Geräte oder Anwendungen, die Sie als risikoreich betrachten. Durch Definieren von bestimmten Bedingungen, in denen Sie die zweistufige Überprüfung erfordern, können Sie die konstante Aufforderung Ihrer Benutzer vermeiden, die eine unangenehme Benutzererfahrung sein kann.
Dies ist die flexibelste Möglichkeit, die zweistufige Überprüfung für Ihre Benutzer zu aktivieren. Das Aktivieren einer Richtlinie für bedingten Zugriff funktioniert nur für die Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud und ist ein Premium-Feature von Microsoft Entra ID. Weitere Informationen zu dieser Methode finden Sie unter Bereitstellen von cloudbasierter Microsoft Entra-Multi-Faktor-Authentifizierung.
Option 4: Aktivieren Sie die Multi-Faktor-Authentifizierung mit Richtlinien für den bedingten Zugriff durch Auswertung von risikobasierten Richtlinien für den bedingten Zugriff.
Vorteil: Diese Option ermöglicht Ihnen Folgendes:
- Erkennen sie potenzielle Sicherheitsrisiken, die sich auf die Identitäten Ihrer Organisation auswirken.
- Konfigurieren Sie automatisierte Antworten auf erkannte verdächtige Aktionen, die sich auf die Identitäten Ihrer Organisation beziehen.
- Untersuchen verdächtiger Vorfälle und Ergreifen entsprechender Maßnahmen zu deren Behebung.
Diese Methode verwendet die Risikobewertung von Microsoft Entra ID-Schutz, um die Notwendigkeit der zweistufigen Überprüfung auf Basis des Benutzer- und Anmelderisikos für alle Cloudanwendungen zu bestimmen. Diese Methode erfordert die Microsoft Entra ID P2-Lizenzierung. Weitere Informationen zu dieser Methode finden Sie unter Microsoft Entra ID-Schutz.
Hinweis
Die Option 2, Aktivierung der Multi-Faktor-Authentifizierung durch Ändern des Benutzerstatus, setzt die Richtlinien für den bedingten Zugriff außer Kraft. Da die Optionen 3 und 4 Richtlinien für bedingten Zugriff verwenden, können Sie Option 2 nicht zusammen mit ihnen verwenden.
Organisationen, die keinen zusätzlichen Identitätsschutzebenen hinzufügen, z. B. die Überprüfung in zwei Schritten, sind anfälliger für den Diebstahl von Anmeldeinformationen. Ein Angriff mit gestohlenen Anmeldeinformationen kann zum Kompromittieren der Daten führen.
Rollenbasierte Zugriffssteuerung verwenden
Die Zugriffsverwaltung für Cloudressourcen ist für jede Organisation, die die Cloud verwendet, von entscheidender Bedeutung. Mit der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) können Sie verwalten, welche Benutzer Zugriff auf Azure-Ressourcen haben, welche Aktionen die Benutzer für diese Ressourcen ausführen können und auf welche Bereiche die Benutzer zugreifen können.
Das Entwerfen von Gruppen oder einzelnen Rollen, die für bestimmte Funktionen in Azure verantwortlich sind, trägt dazu bei, Verwirrung zu vermeiden, die zu menschlichen und automatisierungsrelevanten Fehlern führen können, die Sicherheitsrisiken erzeugen. Das Einschränken des Zugriffs basierend auf dem Prinzip der notwendigen Kenntnisnahme und dem Prinzip der geringsten Rechte ist für Organisationen unerlässlich, die Sicherheitsrichtlinien für den Datenzugriff erzwingen möchten.
Ihr Sicherheitsteam benötigt Einblicke in Ihre Azure-Ressourcen, um Risiken zu bewerten und zu beheben. Wenn das Sicherheitsteam über operative Verantwortlichkeiten verfügt, benötigen sie zusätzliche Berechtigungen, um ihre Aufgaben zu erledigen.
Sie können Azure RBAC verwenden, um Benutzern, Gruppen und Anwendungen Berechtigungen zu einem bestimmten Bereich zuzuweisen. Der Bereich einer Rollenzuweisung kann ein Abonnement, eine Ressourcengruppe oder eine einzelne Ressource sein.
Bewährte Methode: Trennen Sie Aufgaben innerhalb Ihres Teams, und gewähren Sie nur den Zugriff auf Benutzer, die sie für ihre Aufgaben benötigen. Statt allen uneingeschränkten Berechtigungen in Ihrem Azure-Abonnement oder Ihren Ressourcen zu gewähren, dürfen Sie nur bestimmte Aktionen in einem bestimmten Bereich zulassen.
Detail: Verwenden Sie in Azure integrierte Rollen , um Benutzern Berechtigungen zuzuweisen.
Hinweis
Bestimmte Berechtigungen schaffen unerwünschte Komplexität und Verwirrung, die sich zu einer veralteten Konfiguration entwickeln, die schwierig zu beheben ist, ohne die Sorge, etwas kaputt zu machen. Vermeiden Sie ressourcenspezifische Berechtigungen. Verwenden Sie stattdessen Verwaltungsgruppen für unternehmensweite Berechtigungen und Ressourcengruppen für Berechtigungen innerhalb von Abonnements. Vermeiden Sie benutzerspezifische Berechtigungen. Weisen Sie stattdessen Gruppen in Microsoft Entra ID Zugriffsberechtigungen zu.
Bewährte Methode: Gewähren Sie Sicherheitsteams mit Azure-Zuständigkeiten Zugriff, um Azure-Ressourcen anzuzeigen, damit sie Risiken bewerten und beheben können.
Detail: Gewähren Sie Sicherheitsteams die Azure-RBAC-Security Reader-Rolle. Sie können die Stammverwaltungsgruppe oder die Segmentverwaltungsgruppe je nach Zuständigkeitsbereich verwenden:
- Stammverwaltungsgruppe für Teams, die für alle Unternehmensressourcen verantwortlich sind
- Segmentverwaltungsgruppe für Teams mit eingeschränktem Umfang (häufig aufgrund gesetzlicher oder anderer Organisationsgrenzen)
Bewährte Methode: Erteilen Sie den entsprechenden Berechtigungen für Sicherheitsteams, die direkte operative Verantwortlichkeiten haben.
Detail: Überprüfen Sie die integrierten Azure-Rollen für die entsprechende Rollenzuweisung. Wenn die integrierten Rollen nicht den spezifischen Anforderungen Ihrer Organisation entsprechen, können Sie benutzerdefinierte Azure-Rollen erstellen. Wie bei integrierten Rollen können Sie Benutzern, Gruppen und Dienstprinzipalen benutzerdefinierte Rollen bei Abonnement-, Ressourcengruppen- und Ressourcenbereichen zuweisen.
Bewährte Methoden: Gewähren Sie Microsoft Defender für Cloud Zugriff auf Sicherheitsrollen, die sie benötigen. Defender für Cloud ermöglicht Es Sicherheitsteams, Risiken schnell zu identifizieren und zu beheben.
Detail: Fügen Sie Sicherheitsteams mit diesen Anforderungen zur Azure RBAC-Sicherheitsadministratorrolle hinzu, damit sie Sicherheitsrichtlinien anzeigen, Sicherheitszustände anzeigen, Sicherheitsrichtlinien bearbeiten, Warnungen und Empfehlungen anzeigen sowie Warnungen und Empfehlungen schließen können. Dazu können Sie je nach Umfang der Zuständigkeiten die Stammverwaltungsgruppe oder die Segmentverwaltungsgruppe verwenden.
Organisationen, die die Datenzugriffskontrolle nicht mithilfe von Funktionen wie Azure RBAC erzwingen, bieten möglicherweise mehr Berechtigungen als erforderlich für ihre Benutzer. Dies kann zu Einer Datenkompromittierung führen, indem Benutzer auf Datentypen (z. B. hohe geschäftliche Auswirkungen) zugreifen können, die sie nicht haben sollten.
Geringere Offenlegung privilegierter Konten
Das Schützen des privilegierten Zugriffs ist ein wichtiger erster Schritt zum Schutz von Geschäftsressourcen. Halten Sie die Anzahl von Personen mit Zugriff auf sichere Informationen oder Ressourcen möglichst gering, da sich so das Risiko verringert, dass ein böswilliger Benutzer Zugriff darauf erhält, oder ein autorisierter Benutzer versehentlich eine sensible Ressource kompromittiert.
Mit privilegierten Konten werden IT-Systeme verwaltet. Cyberkriminelle versuchen diese Konten anzugreifen, um Zugriff auf die Daten und Systeme eines Unternehmens zu erhalten. Zum Schutz des privilegierten Zugriffs empfiehlt es sich, Konten und Systeme zu isolieren, um sie vor dem Zugriff durch böswillige Benutzer zu schützen.
Wir empfehlen, dass Sie eine Roadmap entwickeln und befolgen, um privilegierten Zugriff gegen Cyber-Angreifer zu sichern. Informationen zum Erstellen einer detaillierten Roadmap zum Sichern von Identitäten und Zugriffen, die in Microsoft Entra ID, Microsoft Azure, Microsoft 365 und anderen Clouddiensten verwaltet oder gemeldet werden, überprüfen Sie unter Sichern des privilegierten Zugriffs für Hybrid- und Cloudbereitstellungen in Microsoft Entra ID.
Im Folgenden werden die bewährten Methoden zusammengefasst, die in der Sicherung des privilegierten Zugriffs für Hybrid- und Cloudbereitstellungen in Microsoft Entra ID zu finden sind:
Bewährte Methode: Verwalten, steuern und überwachen Sie den Zugriff auf privilegierte Konten.
Detail: Aktivieren Sie Microsoft Entra Privileged Identity Management. Nach der Aktivierung von Privileged Identity Management erhalten Sie Benachrichtigungs-E-Mails zu Rollenänderungen bei privilegiertem Zugriff. Diese Benachrichtigungen enthalten frühzeitige Warnungen, wenn zusätzliche Benutzer in Ihrem Verzeichnis zu rollen mit hohen Rechten hinzugefügt werden.
Bewährte Methode: Stellen Sie sicher, dass alle wichtigen Administratorkonten verwaltete Microsoft Entra-Konten sind. Detail: Entfernen Sie alle Consumer-Konten aus wichtigen Administratorrollen (z.B. Microsoft-Konten wie „hotmail.com“, „live.com“ und „outlook.com“).
Bewährte Methode: Stellen Sie sicher, dass alle wichtigen Administratorrollen ein separates Konto für administrative Aufgaben haben, um Phishing und andere Angriffe zu verhindern, bei denen Administratorrechte ausgenutzt werden.
Detail: Erstellen Sie ein separates Administratorkonto an, dem die erforderlichen Berechtigungen für administrative Aufgaben zugewiesen sind. Blockieren Sie die Verwendung dieser Administratorkonten für gängige Produktivitätstools wie Microsoft 365-E-Mail und willkürliches Browsen im Web.
Bewährte Methode: Identifizieren und kategorisieren Sie Konten in stark privilegierten Rollen.
Detail: Zeigen Sie nach dem Aktivieren von Microsoft Entra Privileged Identity Management die Benutzer an, welche die Rollen „globaler Administrator“, „Administrator für privilegierte Rollen“ und andere hoch privilegierte Rollen einnehmen. Entfernen Sie alle Konten, die nicht mehr in diesen Rollen benötigt werden, und kategorisieren Sie die restlichen Konten, die Administratorrollen zugewiesen sind:
- Wird einzelnen Benutzenden mit Administratorrechten zugewiesen, kann zu nicht administrativen Zwecken (z. B. persönliche E-Mail) verwendet werden.
- Einzeln Benutzern mit Administratorrechten zugewiesen und nur für Verwaltungszwecke vorgesehen
- Für mehrere Benutzer freigegeben
- Für Notfallzugriffs-Szenarios
- Für automatisierte Skripts
- Für externe Benutzer
Bewährte Methode: Implementieren Sie Just-in-Time-Zugriff (JIT) zur weiteren Reduzierung der Offenlegungszeit von Berechtigungen und Steigern Ihres Einblicks in die Verwendung privilegierter Konten.
Detail: Mit Microsoft Entra Privileged Identity Management können Sie:
- Beschränken der Nutzung von Benutzerberechtigungen auf JIT.
- Zuweisen von Rollen für eine verkürzte Dauer mit der Gewissheit, dass die Berechtigungen automatisch widerrufen werden.
Bewährte Methode: Definieren sie mindestens zwei Notfallzugriffskonten.
Detail: Notfallzugriffskonten helfen Organisationen beim Einschränken des privilegierten Zugriffs in einer vorhandenen Microsoft Entra-Umgebung. Diese Konten sind hochprivilegiert und werden bestimmten Personen nicht zugewiesen. Notfallzugriffskonten sind auf Szenarien beschränkt, in denen normale Administrative Konten nicht verwendet werden können. Organisationen müssen die Nutzung des Notfallkontos auf die erforderliche Zeitspanne beschränken.
Bewerten Sie die Konten, die der globalen Administratorrolle zugewiesen oder berechtigt sind. Wenn keine reinen Cloudkonten mit der *.onmicrosoft.com-Domäne (vorgesehen für den Notfallzugriff) angezeigt werden, erstellen Sie sie. Weitere Informationen finden Sie unter Verwalten von Administrativen Konten für den Notfallzugriff in der Microsoft Entra-ID.
Bewährte Methode: Richten Sie einen Notfallprozess für Notfallsituationen ein.
Detail: Führen Sie die Schritte zum Sichern des privilegierten Zugriffs für Hybrid- und Cloudbereitstellungen in Microsoft Entra ID aus.
Bewährte Methode: Alle kritischen Administratorkonten müssen kennwortfrei (bevorzugt) sein oder eine mehrstufige Authentifizierung erfordern.
Detail: Verwenden Sie die Microsoft Authenticator-App , um sich bei jedem Microsoft Entra-Konto anzumelden, ohne ein Kennwort zu verwenden. Wie Windows Hello for Business verwendet microsoft Authenticator die schlüsselbasierte Authentifizierung, um benutzeranmeldeinformationen zu ermöglichen, die an ein Gerät gebunden sind und biometrische Authentifizierung oder eine PIN verwendet.
Erfordern der mehrstufigen Microsoft Entra-Authentifizierung bei der Anmeldung für alle einzelnen Benutzer, die dauerhaft einer oder mehreren der Microsoft Entra-Administratorrollen zugewiesen sind: globaler Administrator, Administrator für privilegierte Rollen, Exchange Online-Administrator und SharePoint Online-Administrator. Aktivieren Sie die mehrstufige Authentifizierung für Ihre Administratorkonten , und stellen Sie sicher, dass Benutzer des Administratorkontos registriert sind.
Bewährte Methode: Für kritische Administratorkonten verfügen Sie über eine Administratorarbeitsstation, auf der Produktionsaufgaben nicht zulässig sind (z. B. Browsen und E-Mails). Dadurch werden Ihre Administratorkonten vor Angriffsvektoren geschützt, die Browsen und E-Mails verwenden, und das Risiko eines schwerwiegenden Vorfalls erheblich verringern.
Detail: Verwenden Sie eine Administratorarbeitsstation. Wählen Sie eine Sicherheitsstufe der Arbeitsstation aus:
- Hochsichere Produktivitätsgeräte bieten erweiterte Sicherheit für das Browsen und andere Produktivitätsaufgaben.
- Privileged Access Workstations (PAWs) bieten ein dediziertes Betriebssystem, das vor Internetangriffen und Bedrohungsvektoren für sensible Aufgaben geschützt ist.
Bewährte Methode: Aufheben der Bereitstellung von Administratorkonten, wenn Mitarbeiter Ihre Organisation verlassen.
Detail: Haben Sie einen Prozess, der Administratorkonten deaktiviert oder löscht, wenn Mitarbeiter Ihre Organisation verlassen.
Bewährte Methode: Regelmäßiges Testen von Administratorkonten mithilfe aktueller Angriffstechniken.
Detail: Verwenden Sie den Microsoft 365 Attack Simulator oder ein Drittanbieterangebot, um realistische Angriffsszenarien in Ihrer Organisation auszuführen. Dies kann Ihnen helfen, anfällige Benutzer zu finden, bevor ein echter Angriff auftritt.
Bewährte Methode: Ergreifen Sie Schritte, um die am häufigsten verwendeten attackierten Techniken zu mindern.
Detail: Identifizieren von Microsoft-Konten in Administratorrollen, die auf Geschäfts- oder Schulkonten umgestellt werden müssen
Sicherstellen separater Benutzerkonten und E-Mail-Weiterleitung für globale Administratorkonten
Stellen Sie sicher, dass sich die Kennwörter von Verwaltungskonten kürzlich geändert haben
Aktivieren der Kennwort-Hashsynchronisierung
Erhalten Sie Ihre Microsoft 365 Secure Score, wenn Sie Microsoft 365 verwenden
Lesen Sie den Microsoft 365-Sicherheitsleitfaden (bei Verwendung von Microsoft 365)
Konfigurieren der Microsoft 365-Aktivitätsüberwachung (bei Verwendung von Microsoft 365)
Festlegen von Verantwortlichen für Vorfall-/Notfallreaktionspläne
Sichern privilegierter administrativer Konten vor Ort
Wenn Sie den privilegierten Zugriff nicht sichern, stellen Sie möglicherweise fest, dass Sie zu viele Benutzer in hoch privilegierten Rollen haben und anfälliger für Angriffe sind. Böswillige Akteure, einschließlich Cyber-Angreifern, zielen häufig auf Administratorkonten und andere Elemente des privilegierten Zugriffs ab, um Zugriff auf vertrauliche Daten und Systeme mithilfe des Diebstahls von Anmeldeinformationen zu erhalten.
Steuern der Speicherorte, an denen Ressourcen erstellt werden
Es ist sehr wichtig, dass Cloudbetreiber Aufgaben ausführen können, während sie daran gehindert werden, Konventionen zu unterbrechen, die zum Verwalten der Ressourcen Ihrer Organisation erforderlich sind. Organisationen, die die Speicherorte steuern möchten, an denen Ressourcen erstellt werden, sollten diese Speicherorte hart codieren.
Sie können Azure Resource Manager verwenden, um Sicherheitsrichtlinien zu erstellen, deren Definitionen die Aktionen oder Ressourcen beschreiben, die ausdrücklich verweigert werden. Sie weisen diese Richtliniendefinitionen dem gewünschten Bereich zu, z. B. dem Abonnement, der Ressourcengruppe oder einer einzelnen Ressource.
Hinweis
Sicherheitsrichtlinien sind nicht mit Azure RBAC identisch. Sie verwenden tatsächlich Azure RBAC, um Benutzer zum Erstellen dieser Ressourcen zu autorisieren.
Organisationen, die nicht steuern, wie Ressourcen erstellt werden, sind anfälliger für Benutzer, die den Dienst möglicherweise missbrauchen, indem sie mehr Ressourcen erstellen, als sie benötigen. Die Härtung des Ressourcenerstellungsprozesses ist ein wichtiger Schritt zum Sichern eines mehrinstanzenfähigen Szenarios.
Aktiv überwachen auf verdächtige Aktivitäten
Ein aktives Identitätsüberwachungssystem kann verdächtiges Verhalten schnell erkennen und eine Warnung zur weiteren Untersuchung auslösen. In der folgenden Tabelle sind die Microsoft Entra-Funktionen aufgeführt, mit denen Organisationen ihre Identitäten überwachen können:
Bewährte Methode: Verwenden Sie eine Methode, um Folgendes zu identifizieren:
- Versucht, sich anzumelden, ohne nachverfolgt zu werden.
- Brute-Force-Angriffe auf ein bestimmtes Konto.
- Versuche, sich von mehreren Standorten anzumelden.
- Anmeldungen von infizierten Geräten.
- Verdächtige IP-Adressen.
Detail: Verwenden Sie Microsoft Entra ID P1- oder P2-Anomalieberichte. Haben Sie Prozesse und Verfahren für IT-Administratoren eingerichtet, um diese Berichte täglich oder nach Bedarf auszuführen (in der Regel in einem Szenario für die Reaktion auf Vorfälle).
Bewährte Methode: Sie verfügen über ein aktives Überwachungssystem, das Sie über Risiken benachrichtigt und das Risikoniveau (hoch, mittel oder niedrig) an Ihre Geschäftlichen Anforderungen anpassen kann.
Detail: Verwenden Sie Microsoft Entra ID Protection, der die aktuellen Risiken auf ihrem eigenen Dashboard kennzeichnet und tägliche Zusammenfassungsbenachrichtigungen per E-Mail sendet. Um die Identitäten Ihrer Organisation zu schützen, können Sie risikobasierte Richtlinien konfigurieren, die automatisch auf erkannte Probleme reagieren, wenn ein bestimmtes Risikoniveau erreicht wird.
Organisationen, die ihre Identitätssysteme nicht aktiv überwachen, sind gefährdet, dass Benutzeranmeldeinformationen kompromittiert werden. Ohne Wissen, dass verdächtige Aktivitäten über diese Anmeldeinformationen stattfinden, können Organisationen diese Art von Bedrohung nicht mindern.
Verwenden der Microsoft Entra-ID für die Speicherauthentifizierung
Azure Storage unterstützt die Authentifizierung und Autorisierung mit Microsoft Entra-ID für Blob-Speicher und Warteschlangenspeicher. Mit der Microsoft Entra-Authentifizierung können Sie die rollenbasierte Azure-Zugriffssteuerung verwenden, um Benutzern, Gruppen und Anwendungen bestimmte Berechtigungen bis zum Bereich eines einzelnen BLOB-Containers oder einer einzelnen Warteschlange zu erteilen.
Es wird empfohlen, die Microsoft Entra-ID für die Authentifizierung des Speicherzugriffs zu verwenden.
Nächster Schritt
Weitere bewährte Methoden für die Sicherheit, die Sie beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure verwenden können, finden Sie unter Sicherheit in Azure: bewährte Methoden und Muster.