Konfigurieren von Microsoft Entra für Zero Trust: Schützen von Mandanten und Isolieren von Produktionssystemen

Wenn Sie Ihren Mandanten schützen und Produktionssysteme isolieren, geht es darum, Mandantengrenzen festzulegen und Ihre Produktionssysteme von Test- und Vorproduktionsumgebungen isoliert zu halten. Seitliche Bewegungen waren ein kritisches Anliegen von der Secure Future Initiative.

Sogar kleinere Organisationen können ihre Umgebungen schützen, indem sie strengere Gastzugriffsrichtlinien implementieren und einschränken, wer Mandanten erstellen kann. Größere Organisationen, die mehrere Umgebungen verwalten, sollten Maßnahmen ergreifen, um nicht autorisierte Mandantenausbreitung und laterale Bewegungen innerhalb des Netzwerks zu verhindern. Alle Organisationen können von diesen Überprüfungen profitieren, um die Angriffsfläche durch nicht verwaltete Mieten zu reduzieren.

Sicherheitsempfehlungen für Zero Trust

Berechtigungen zum Erstellen neuer Mandanten sind auf die Rolle "Mandantenersteller" beschränkt.

Ein Bedrohungsakteur oder ein gut beabsichtigter, aber nicht formatierter Mitarbeiter kann einen neuen Microsoft Entra-Mandanten erstellen, wenn keine Einschränkungen vorhanden sind. Standardmäßig wird dem Benutzer, der einen Mandanten erstellt, automatisch die Rolle des globalen Administrators zugewiesen. Ohne ordnungsgemäße Kontrollen fraktiert diese Aktion den Identitätsperimeter, indem ein Mandant außerhalb der Governance und Sichtbarkeit der Organisation erstellt wird. Dies führt zu Risiken, obwohl eine Schattenidentitätsplattform, die für tokenausstellung, Markenwechsel, Zustimmungsphishing oder persistente Staginginfrastruktur ausgenutzt werden kann. Da der rogue-Mandant möglicherweise nicht an die Administrativen oder Überwachungsebenen des Unternehmens angebunden ist, sind herkömmliche Abwehrmaßnahmen blind für die Erstellung, Aktivität und potenziellen Missbrauch.

Wartungsaktion

Aktivieren Sie die Einstellung zum Einschränken von Nicht-Administratorbenutzern beim Erstellen der Mandanteneinstellung. Weisen Sie benutzern, die die Möglichkeit zum Erstellen von Mandanten benötigen, ihnen die Rolle "Mandantenersteller" zu. Sie können auch Mandantenerstellungsereignisse in den Microsoft Entra-Überwachungsprotokollen überprüfen.

• Einschränken der Standardberechtigungen von Mitgliedsbenutzern
• Zuweisen der Rolle "Mandantersteller"
• Überprüfen Sie Mandantenerstellungsereignisse. Suchen Sie nach OperationName=="Create Company", Category == "DirectoryManagement".

Geschützte Aktionen sind für Verwaltungsaufgaben mit hohem Einfluss aktiviert.

Bedrohungsakteure, die privilegierten Zugriff auf einen Mandanten erhalten, können Identitäts-, Zugriffs- und Sicherheitskonfigurationen bearbeiten. Diese Art von Angriff kann zu einer umgebungsweiten Kompromittierung und einem Verlust der Kontrolle über Organisationsressourcen führen. Ergreifen Sie Maßnahmen, um Verwaltungsaufgaben mit hohem Einfluss zu schützen, die mit Richtlinien für bedingten Zugriff, mandantenübergreifenden Zugriffseinstellungen, endgültigen Löschungen und Netzwerkspeicherorten verbunden sind, die für die Aufrechterhaltung der Sicherheit von entscheidender Bedeutung sind.

Mit geschützten Aktionen können Administratoren diese Aufgaben mit zusätzlichen Sicherheitskontrollen schützen, z. B. sicherere Authentifizierungsmethoden (kennwortlose MFA oder Phishing-beständige MFA), die Verwendung von Privileged Access Workstation (PAW)-Geräten oder kürzeren Sitzungstimeouts.

Wartungsaktion

• Hinzufügen, Testen oder Entfernen geschützter Aktionen in der Microsoft Entra-ID

Aktivieren Sie geschützte Aktionen, um die Erstellung und Änderung von Richtlinien für bedingten Zugriff zu schützen.

Bedrohungsakteure, die privilegierten Zugriff auf einen Mandanten erhalten, können Richtlinien für bedingten Zugriff bearbeiten, kritische Sicherheitskontrollen potenziell deaktivieren und dauerhafte Zugriffe oder laterale Bewegungen ermöglichen. Diese Art von Angriff kann zu einer umgebungsweiten Kompromittierung führen, indem Authentifizierungs- und Autorisierungsbarrieren umgangen werden.

Mit geschützten Aktionen können Administratoren die Erstellung und Änderung der Richtlinie für bedingten Zugriff mit zusätzlichen Sicherheitskontrollen sichern, z. B. stärkere Authentifizierungsmethoden (kennwortlose MFA oder Phishing-beständige MFA), die Verwendung von Paw-Geräten (Privileged Access Workstation) oder kürzere Sitzungstimeouts.

Wartungsaktion

• Hinzufügen, Testen oder Entfernen geschützter Aktionen in der Microsoft Entra-ID

Der Gastzugriff ist auf genehmigte Mandanten beschränkt.

Durch das Einschränken des Gastzugriffs auf eine bekannte und genehmigte Liste von Mandanten kann verhindert werden, dass Bedrohungsakteure den uneingeschränkten Gastzugriff ausnutzen, um ersten Zugriff über kompromittierte externe Konten herzustellen oder Konten in nicht vertrauenswürdigen Mandanten zu erstellen. Bedrohungsakteure, die zugriff über eine uneingeschränkte Domäne erhalten, können interne Ressourcen, Benutzer und Anwendungen ermitteln, um zusätzliche Angriffe auszuführen.

Organisationen sollten eine Bestandsaufnahme machen und eine Zulassungsliste oder eine Blockliste konfigurieren, um B2B-Zusammenarbeitseinladungen von bestimmten Organisationen zu kontrollieren. Ohne diese Kontrollen können Bedrohungsakteure Social Engineering-Techniken verwenden, um Einladungen von legitimen internen Benutzern zu erhalten.

Wartungsaktion

• Erfahren Sie, wie Sie eine Liste genehmigter Domänen einrichten.

Gästen werden keine Privilegierten Verzeichnisrollen zugewiesen.

Wenn Gastbenutzern verzeichnisrollen wie globaler Administrator oder Administrator für privilegierte Rollen zugewiesen sind, erstellen Organisationen erhebliche Sicherheitsrisiken, die Bedrohungsakteure für den ersten Zugriff über kompromittierte externe Konten oder Geschäftspartnerumgebungen nutzen können. Da Gastbenutzer aus externen Organisationen stammen, ohne direkte Kontrolle über Sicherheitsrichtlinien zu haben, können Bedrohungsakteure, die diese externen Identitäten kompromittieren, privilegierten Zugriff auf den Microsoft Entra-Mandanten der Zielorganisation erhalten.

Wenn Bedrohungsakteure Zugriff über kompromittierte Gastkonten mit erhöhten Berechtigungen erhalten, können sie ihre eigenen Berechtigungen eskalieren, um andere Backdoor-Konten zu erstellen, Sicherheitsrichtlinien zu ändern oder sich selbst permanente Rollen innerhalb der Organisation zuzuweisen. Die kompromittierten privilegierten Gastkonten ermöglichen Es Bedrohungsakteuren, Persistenz herzustellen und dann alle Änderungen vorzunehmen, die sie benötigen, um unerkannt zu bleiben. Sie können beispielsweise reine Cloudkonten erstellen, Richtlinien für den bedingten Zugriff umgehen, die auf interne Benutzer angewendet werden, und den Zugriff verwalten, auch nachdem die Private Organisation des Gasts die Kompromittierung erkannt hat. Bedrohungsakteure können dann laterale Bewegungen mithilfe von Administratorrechten durchführen, um auf vertrauliche Ressourcen zuzugreifen, Überwachungseinstellungen zu ändern oder die Sicherheitsüberwachung für den gesamten Mandanten zu deaktivieren. Bedrohungsakteure können eine vollständige Kompromittierung der Identitätsinfrastruktur der Organisation erreichen und gleichzeitig plausible Verleugnbarkeit über den Ursprung des externen Gastkontos gewährleisten.

Wartungsaktion

• Entfernen von Gastbenutzern aus privilegierten Rollen

Gäste können keine anderen Gäste einladen

Externe Benutzerkonten werden häufig verwendet, um Zugriff auf Geschäftspartner zu gewähren, die zu Organisationen gehören, die eine Geschäftsbeziehung mit Ihrem Unternehmen haben. Wenn diese Konten in ihrer Organisation kompromittiert werden, können Angreifer die gültigen Anmeldeinformationen verwenden, um anfänglichen Zugriff auf Ihre Umgebung zu erhalten, wobei herkömmliche Abwehrmaßnahmen aufgrund ihrer Legitimität häufig umgangen werden.

Wenn externe Benutzer andere externe Benutzer integrieren können, erhöht sich das Risiko eines nicht autorisierten Zugriffs. Wenn ein Angreifer das Konto eines externen Benutzers kompromittiert, kann er es verwenden, um weitere externe Konten zu erstellen, seine Zugriffspunkte zu multiplizieren und das Erkennen des Angriffs erschweren.

Wartungsaktion

• Einschränken, wer Gäste zu nur Benutzern einladen kann, die bestimmten Administratorrollen

Gäste haben eingeschränkten Zugriff auf Verzeichnisobjekte

Externe Benutzerkonten werden häufig verwendet, um Zugriff auf Geschäftspartner zu gewähren, die zu Organisationen gehören, die eine Geschäftsbeziehung mit Ihrem Unternehmen haben. Wenn diese Konten in ihrer Organisation kompromittiert werden, können Angreifer die gültigen Anmeldeinformationen verwenden, um anfänglichen Zugriff auf Ihre Umgebung zu erhalten, wobei herkömmliche Abwehrmaßnahmen aufgrund ihrer Legitimität häufig umgangen werden.

Externe Konten mit Berechtigungen zum Lesen von Verzeichnisobjektberechtigungen bieten Angreifern bei Kompromittierung umfassenderen anfänglichen Zugriff. Diese Konten ermöglichen Es Angreifern, zusätzliche Informationen aus dem Verzeichnis zur Aufklärung zu sammeln.

Wartungsaktion

• Einschränken des Gastzugriffs auf eigene Verzeichnisobjekte

Die App-Instanz-Eigenschaftssperre ist für alle mehrinstanzenfähige Anwendungen konfiguriert.

Die App-Instanzeigenschaftssperre verhindert Änderungen an vertraulichen Eigenschaften einer mehrinstanzenfähigen Anwendung, nachdem die Anwendung in einem anderen Mandanten bereitgestellt wurde. Ohne Eine Sperre können kritische Eigenschaften wie Anwendungsanmeldeinformationen böswillig oder unbeabsichtigt geändert werden, wodurch Unterbrechungen, erhöhtes Risiko, nicht autorisierter Zugriff oder Berechtigungseskalationen verursacht werden.

Wartungsaktion Aktivieren Sie die Eigenschaftensperre der App-Instanz für alle mehrinstanzenfähigen Anwendungen, und geben Sie die zu sperrenden Eigenschaften an.

• Konfigurieren einer App-Instanzsperre

Gäste haben keine langen Anmeldesitzungen

Gastkonten mit erweiterten Anmeldesitzungen erhöhen den Risikooberflächenbereich, den Bedrohungsakteure ausnutzen können. Wenn Gastsitzungen über die erforderlichen Zeitrahmen hinaus bestehen, versuchen Bedrohungsakteure häufig, über Anmeldeinformationen, Kennwort-Spraying oder Social Engineering-Angriffe zugriff zu erhalten. Sobald sie Zugriff erhalten, können sie nicht autorisierten Zugriff für längere Zeiträume ohne erneute Authentifizierungsaufforderungen beibehalten. Diese kompromittierten und erweiterten Sitzungen:

• Lassen Sie nicht autorisierten Zugriff auf Microsoft Entra-Artefakte zu, sodass Bedrohungsakteure vertrauliche Ressourcen identifizieren und Organisationsstrukturen zuordnen können.
• Zulassen, dass Bedrohungsakteure im Netzwerk beibehalten werden, indem sie legitime Authentifizierungstoken verwenden, wodurch die Erkennung schwieriger wird, da die Aktivität als typisches Benutzerverhalten angezeigt wird.
• Bietet Bedrohungsakteuren ein längeres Zeitfenster, um Berechtigungen durch Techniken wie den Zugriff auf freigegebene Ressourcen, das Ermitteln weiterer Anmeldeinformationen oder das Ausnutzen von Vertrauensstellungen zwischen Systemen zu eskalieren.

Ohne ordnungsgemäße Sitzungskontrollen können Bedrohungsakteure laterale Bewegungen über die Infrastruktur der Organisation hinweg erreichen, auf kritische Daten und Systeme zugreifen, die weit über den beabsichtigten Zugriffsbereich des ursprünglichen Gastkontos hinausgehen.

Wartungsaktion

• Konfigurieren Sie adaptive Richtlinien für die Sitzungsdauer , sodass Anmeldehäufigkeitsrichtlinien kürzere Liveanmeldungssitzungen haben.

Der Gastzugriff ist durch sichere Authentifizierungsmethoden geschützt.

Externe Benutzerkonten werden häufig verwendet, um Zugriff auf Geschäftspartner zu gewähren, die zu Organisationen gehören, die eine Geschäftsbeziehung mit Ihrer Organisation haben. Wenn diese Konten in ihrer Organisation kompromittiert werden, können Angreifer die gültigen Anmeldeinformationen verwenden, um anfänglichen Zugriff auf Ihre Umgebung zu erhalten, wobei herkömmliche Abwehrmaßnahmen aufgrund ihrer Legitimität häufig umgangen werden.

Angreifer erhalten möglicherweise Zugriff mit externen Benutzerkonten, wenn die mehrstufige Authentifizierung (Multifactor Authentication, MFA) nicht universell erzwungen wird oder wenn Ausnahmen vorhanden sind. Sie können auch Zugriff erhalten, indem sie die Schwachstellen schwächerer MFA-Methoden wie SMS und Telefonanrufe mit Social Engineering-Techniken wie SIM-Swapping oder Phishing nutzen, um die Authentifizierungscodes abzufangen.

Sobald ein Angreifer Zugriff auf ein Konto ohne MFA oder eine Sitzung mit schwachen MFA-Methoden erhält, kann er versuchen, MFA-Einstellungen (z. B. das Registrieren von kontrollierten Methoden des Angreifers) zu bearbeiten, um Persistenz zu schaffen, um weitere Angriffe basierend auf den Berechtigungen der kompromittierten Konten zu planen und auszuführen.

Wartungsaktion

• Stellen Sie eine Richtlinie für bedingten Zugriff bereit, um die Authentifizierungsstärke für Gäste zu erzwingen.
• Für Organisationen mit einer engeren Geschäftsbeziehung und überprüfung ihrer MFA-Praktiken sollten Sie die Bereitstellung mandantenübergreifender Zugriffseinstellungen in Betracht ziehen, um den MFA-Anspruch zu akzeptieren.
  • Konfigurieren von Mandantenübergreifenden Zugriffseinstellungen für B2B-Zusammenarbeit

Die Self-Service-Registrierung des Gasts über den Benutzerablauf ist deaktiviert.

Wenn die Self-Service-Registrierung des Gasts aktiviert ist, können Bedrohungsakteure ihn nutzen, um nicht autorisierten Zugriff zu schaffen, indem legitime Gastkonten erstellt werden, ohne dass autorisiertes Personal eine Genehmigung erforderlich ist. Diese Konten können auf bestimmte Dienste angewendet werden, um die Erkennung zu reduzieren und einladungsbasierte Steuerelemente effektiv zu umgehen, die die Legitimität externer Benutzer überprüfen.

Nach der Erstellung bieten selbst bereitgestellte Gastkonten beständigen Zugriff auf Organisationsressourcen und Anwendungen. Bedrohungsakteure können sie verwenden, um Aufklärungsaktivitäten durchzuführen, interne Systeme zuzuordnen, vertrauliche Datenrepositorys zu identifizieren und weitere Angriffsvektoren zu planen. Diese Persistenz ermöglicht es Angreifern, den Zugriff über Neustarts, Anmeldeinformationenänderungen und andere Unterbrechungen hinweg aufrechtzuerhalten, während das Gastkonto selbst eine scheinbar legitime Identität bietet, die die Sicherheitsüberwachung umgehen kann, die sich auf externe Bedrohungen konzentriert.

Darüber hinaus können kompromittierte Gastidentitäten verwendet werden, um die Persistenz von Anmeldeinformationen einzurichten und berechtigungen potenziell zu eskalieren. Angreifer können Vertrauensstellungen zwischen Gastkonten und internen Ressourcen ausnutzen oder das Gastkonto als Staging-Boden für laterale Bewegungen zu privilegierteren Organisationsressourcen verwenden.

Wartungsaktion

• Konfigurieren der Self-Service-Registrierung von Gasten mit der externen Microsoft Entra-ID

Einstellungen für den mandantenübergreifenden ausgehenden Zugriff sind konfiguriert.

Das Zulassen einer uneingeschränkten externen Zusammenarbeit mit nicht überprüften Organisationen kann den Risikobereich des Mandanten erhöhen, da Gastkonten zugelassen werden, die möglicherweise nicht über ordnungsgemäße Sicherheitskontrollen verfügen. Bedrohungsakteure können versuchen, Zugriff zu erhalten, indem Identitäten in diesen lose geregelten externen Mandanten gefährdet werden. Sobald der Gastzugriff gewährt wurde, können sie legitime Wege für die Zusammenarbeit verwenden, um Ressourcen in Ihrem Mandanten infiltrieren und versuchen, vertrauliche Informationen zu erhalten. Bedrohungsakteure können auch falsch konfigurierte Berechtigungen zum Eskalieren von Berechtigungen ausnutzen und verschiedene Arten von Angriffen ausprobieren.

Ohne die Sicherheit von Organisationen zu überprüfen, mit denen Sie zusammenarbeiten, können schädliche externe Konten nicht erkannt, vertrauliche Daten exfiltrieren und schädliche Nutzlasten einfügen. Diese Art von Exposition kann die Kontrolle der Organisation schwächen und mandantenübergreifende Angriffe aktivieren, die herkömmliche Umkreisabwehr umgehen und sowohl die Datenintegrität als auch die operative Resilienz untergraben. Mandantenübergreifende Einstellungen für ausgehenden Zugriff in Microsoft Entra bieten die Möglichkeit, die Zusammenarbeit mit unbekannten Organisationen standardmäßig zu blockieren, wodurch die Angriffsfläche reduziert wird.

Wartungsaktion

• Übersicht über den mandantenübergreifenden Zugriff
• Konfigurieren von mandantenübergreifenden Zugriffseinstellungen
• Ändern der Einstellungen für ausgehenden Zugriff

Gäste besitzen keine Apps im Mandanten

Ohne Einschränkungen zu verhindern, dass Gastbenutzer Anwendungen registrieren und besitzen, können Bedrohungsakteure externe Benutzerkonten ausnutzen, um dauerhaften Backdoor-Zugriff auf Organisationsressourcen durch Anwendungsregistrierungen einzurichten, die herkömmliche Sicherheitsüberwachung umgehen könnten. Wenn Gastbenutzer anwendungen besitzen, können kompromittierte Gastkonten verwendet werden, um Gastanwendungen zu nutzen, die möglicherweise über umfassende Berechtigungen verfügen. Diese Sicherheitsanfälligkeit ermöglicht es Bedrohungsakteuren, den Zugriff auf vertrauliche Organisationsdaten wie E-Mails, Dateien und Benutzerinformationen ohne die gleiche Überprüfung auf interne Benutzeranwendungen anzufordern.

Dieser Angriffsvektor ist gefährlich, da gasteigene Anwendungen so konfiguriert werden können, dass berechtigungen mit hohen Berechtigungen angefordert werden und, sobald die Zustimmung erteilt wurde, Bedrohungsakteuren legitime OAuth-Token zur Verfügung stellen. Darüber hinaus können Gastanwendungen als Befehls- und Steuerungsinfrastruktur dienen, sodass Bedrohungsakteure auch nach der Erkennung und Behebung des kompromittierten Gastkontos Zugriff erhalten können. Anwendungsanmeldeinformationen und Berechtigungen können unabhängig vom ursprünglichen Gastbenutzerkonto beibehalten werden, sodass Bedrohungsakteure Zugriff behalten können. Gasteigene Anwendungen erschweren auch die Sicherheitsüberwachungs- und Governance-Bemühungen, da Organisationen möglicherweise eingeschränkte Einblicke in den Zweck und den Sicherheitsstatus von Anwendungen haben, die von externen Benutzern registriert wurden. Diese versteckten Schwächen im Anwendungslebenszyklus-Management erschweren es, den tatsächlichen Umfang des Datenzugriffs zu bewerten, der nicht von Microsoft stammenden Entitäten durch scheinbar legitime Anwendungsregistrierungen gewährt wird.

Wartungsaktion

• Entfernen Sie Gastbenutzer als Besitzer von Anwendungen und Dienstprinzipalen, und implementieren Sie Steuerelemente, um zukünftige Besitzer von Gastbenutzeranwendungen zu verhindern.
• Einschränken der Zugriffsberechtigungen für Gastbenutzer

Alle Gäste haben einen Sponsor

Das Einladen externer Gäste ist für die Zusammenarbeit in der Organisation von Vorteil. Wenn jedoch kein zugewiesener interner Sponsor für jeden Gast vorhanden ist, werden diese Konten möglicherweise ohne eindeutige Verantwortlichkeit im Verzeichnis gespeichert. Diese Aufsicht schafft ein Risiko: Bedrohungsakteure könnten potenziell ein nicht verwendetes oder nicht überwachtes Gastkonto kompromittieren und dann einen anfänglichen Fuß im Mandanten einrichten. Sobald der Zugriff als scheinbar "legitimer" Benutzer gewährt wurde, kann ein Angreifer barrierefreie Ressourcen erkunden und eine Berechtigungseskalation versuchen, die letztendlich vertrauliche Informationen oder kritische Systeme verfügbar machen könnte. Ein nicht überwachtes Gastkonto kann daher der Vektor für nicht autorisierten Datenzugriff oder eine erhebliche Sicherheitsverletzung werden. Eine typische Angriffssequenz kann das folgende Muster verwenden, das alle unter dem Deckmantel eines standardmäßigen externen Mitarbeiters erreicht wurden:

1. Anfänglicher Zugriff durch kompromittierte Gastanmeldeinformationen
2. Persistenz aufgrund mangelnder Aufsicht.
3. Weitere Eskalation oder laterale Bewegung, wenn das Gastkonto Über Gruppenmitgliedschaften oder erhöhte Berechtigungen verfügt.
4. Ausführung bösartiger Ziele.

Die Mandatierung, dass jedem Gastkonto ein Sponsor zugewiesen wird, mindert dieses Risiko direkt. Eine solche Anforderung stellt sicher, dass jeder externe Benutzer mit einer verantwortlichen internen Partei verknüpft ist, die erwartet wird, dass er regelmäßig überwacht und nachweist, dass der laufende Zugriff des Gasts erforderlich ist. Das Sponsorfeature innerhalb der Microsoft Entra-ID unterstützt die Verantwortlichkeit, indem der Eingeladene nachverfolgt und die Verbreitung von "verwaisten" Gastkonten verhindert wird. Wenn ein Sponsor den Lebenszyklus des Gastkontos verwaltet, z. B. das Entfernen des Zugriffs beim Abschluss der Zusammenarbeit, wird die Möglichkeit für Bedrohungsakteure, vernachlässigte Konten auszunutzen, erheblich reduziert. Diese bewährte Methode entspricht den Leitlinien von Microsoft, um Unterstützung für Geschäftsgäste als Teil einer effektiven Governancestrategie für den Gastzugriff zu verlangen. Es schlägt ein Gleichgewicht zwischen der Aktivierung der Zusammenarbeit und der Durchsetzung der Sicherheit, da sichergestellt wird, dass die Anwesenheit und Berechtigungen jedes Gastbenutzers unter laufender interner Aufsicht bleiben.

Wartungsaktion

• Weisen Sie für jeden Gastbenutzer, der keinen Sponsor hat, einen Sponsor in der Microsoft Entra-ID zu.
  • Hinzufügen eines Sponsors zu einem Gastbenutzer im Microsoft Entra Admin Center
  • Hinzufügen eines Sponsors zu einem Gastbenutzer mithilfe von Microsoft Graph

Inaktive Gastidentitäten werden deaktiviert oder aus dem Mandanten entfernt.

Wenn Gastidentitäten aktiv bleiben, aber für längere Zeiträume nicht verwendet werden, können Bedrohungsakteure diese ruhenden Konten als Eintragsvektoren in der Organisation ausnutzen. Inaktive Gastkonten stellen eine signifikante Angriffsfläche dar, da sie häufig permanente Zugriffsberechtigungen für Ressourcen, Anwendungen und Daten beibehalten, während sie von Sicherheitsteams nicht überwacht werden. Bedrohungsakteure zielen häufig auf diese Konten durch Füllung von Anmeldeinformationen, Kennwortsprühen oder durch Kompromittierung der Heimorganisation des Gasts ab, um lateralen Zugriff zu erhalten. Sobald ein inaktives Gastkonto kompromittiert wurde, können Angreifer vorhandene Zugriffserteilungen nutzen:

• Lateral innerhalb des Mandanten wechseln
• Eskalieren von Berechtigungen über Gruppenmitgliedschaften oder Anwendungsberechtigungen
• Einrichten von Persistenz durch Techniken wie das Erstellen weiterer Dienstprinzipale oder Ändern vorhandener Berechtigungen

Die längere Ruhezeit dieser Konten bietet Angreifern eine längere Verweilzeit, um aufklärungsfähige Daten durchzuführen, vertrauliche Daten zu exfiltrieren und Backdoors ohne Erkennung einzurichten, da Organisationen in der Regel die Überwachungsbemühungen auf aktive interne Benutzer statt auf externe Gastkonten konzentrieren.

Wartungsaktion

• Überwachen und Bereinigen veralteter Gastkonten

Alle Berechtigungsverwaltungsrichtlinien weisen ein Ablaufdatum auf

Berechtigungsverwaltungsrichtlinien ohne Ablaufdaten erstellen beständigen Zugriff, den Bedrohungsakteure ausnutzen können. Wenn Benutzerzuweisungen keine Zeitgrenzen haben, erhalten kompromittierte Anmeldeinformationen unbegrenzten Zugriff, sodass Angreifer Persistenz herstellen, Berechtigungen über zusätzliche Zugriffspakete eskalieren und langfristige schädliche Aktivitäten durchführen können, während sie nicht erkannt werden.

Wartungsaktion

• Konfigurieren von Ablaufeinstellungen für Zugriffspakete

Alle Richtlinien zur Berechtigungsverwaltung, die für externe Benutzer gelten, erfordern verknüpfte Organisationen.

Zugriffspakete, die so konfiguriert sind, dass "Alle Benutzer" anstelle bestimmter verbundener Organisationen verwendet werden können, setzen Ihre Organisation einem unkontrollierten externen Zugriff aus. Bedrohungsakteure können dies ausnutzen, indem sie Zugriff über kompromittierte externe Konten von nicht autorisierten Organisationen anfordern und das Prinzip der geringsten Rechte umgehen. Dies ermöglicht den ersten Zugriff, die Erkundung, die Erhöhung von Berechtigungen und laterale Bewegungen in Ihrer Umgebung.

Wartungsaktion

• Definieren vertrauenswürdiger Organisationen als verbundene Organisationen
• Konfigurieren von Zugriffspaketen, um nur bestimmte verbundene Organisationen zuzulassen

Alle Berechtigungsverwaltungspakete, die für Gäste gelten, verfügen über Ablauf- oder Zugriffsüberprüfungen, die in ihren Zuweisungsrichtlinien konfiguriert sind.

Zugriffspakete für Gastbenutzer ohne Ablaufdatum oder Zugriffsüberprüfungen ermöglichen unbegrenzten Zugriff auf Organisationsressourcen. Kompromittierte oder veraltete Gastkonten ermöglichen Es Bedrohungsakteuren, dauerhaften, nicht erkannten Zugriff auf laterale Bewegungen, Berechtigungseskalation und Datenexfiltration aufrechtzuerhalten. Ohne regelmäßige Überprüfung können Organisationen nicht erkennen, wann sich Geschäftsbeziehungen ändern oder wenn der Gastzugriff nicht mehr benötigt wird.

Wartungsaktion

• Konfigurieren von Lebenszykluseinstellungen
• Konfigurieren von Zugriffsüberprüfungen

Verwalten der lokalen Administratoren auf in Microsoft Entra eingebundenen Geräten

Wenn lokale Administratoren auf mit Microsoft Entra verbundenen Geräten nicht ordnungsgemäß verwaltet werden, können Bedrohungsakteure mit kompromittierten Anmeldeinformationen Geräteübernahmeangriffe ausführen, indem Organisationsadministratoren entfernt und die Verbindung des Geräts mit Microsoft Entra deaktiviert wird. Dieser Mangel an Kontrolle führt zu einem vollständigen Verlust der Organisatorischen Kontrolle und zum Erstellen verwaister Ressourcen, die nicht verwaltet oder wiederhergestellt werden können.

Wartungsaktion

• Verwalten der lokalen Administratoren auf in Microsoft Entra eingebundenen Geräten

Benutzer, die keine Administratoren sind, daran hindern, die BitLocker-Schlüssel für ihre eigenen Geräte wiederherzustellen

Wenn Nicht-Administratorbenutzer auf ihre eigenen BitLocker-Schlüssel zugreifen können, erhalten Bedrohungsakteure, die Benutzeranmeldeinformationen kompromittieren, direkten Zugriff auf Verschlüsselungsschlüssel, ohne dass eine Berechtigungseskalation erforderlich ist. Sobald Angreifer BitLocker-Schlüssel erhalten, können sie vertrauliche Daten entschlüsseln, die auf dem Gerät gespeichert sind, einschließlich zwischengespeicherter Anmeldeinformationen, lokaler Datenbanken und vertraulicher Dateien.

Ohne ordnungsgemäße Einschränkungen bietet ein einzelnes kompromittiertes Benutzerkonto sofortigen Zugriff auf alle verschlüsselten Daten auf diesem Gerät, wodurch der primäre Sicherheitsvorteil der Datenträgerverschlüsselung negiert und ein Pfad für laterale Bewegungen erstellt wird.

Wartungsaktion

• Benutzer, die keine Administratoren sind, daran hindern, die BitLocker-Schlüssel für ihre eigenen Geräte wiederherzustellen