Plan zur schnellen Modernisierung der Sicherheit

Dieser Plan zur schnellen Modernisierung unterstützt Sie bei der schnellen Einführung der von Microsoft empfohlenen Strategie für privilegierten Zugriff.

Diese Roadmap baut auf den technischen Steuerungsmöglichkeiten auf, die in der Anleitung zur Bereitstellung des privilegierten Zugriffs festgelegt sind. Führen Sie diese Schritte durch, und konfigurieren Sie dann die Kontrollfunktionen für Ihre Organisation anhand der Schritte in diesem Plan zur schnellen Modernisierung.

Zusammenfassung des privilegierten Zugriffs im Plan zur schnellen Modernisierung

Hinweis

Viele dieser Schritte werden eine „Altsystem/Neusystem“-Dynamik haben, da Sicherheitsrisiken in Organisationen oft dadurch entstehen, dass Konten bereits bereitgestellt oder konfiguriert worden sind. Diese Roadmap hat die Priorität, zuerst die Ansammlung neuer Sicherheitsrisiken zu vermeiden und später die restlichen, bereits angesammelten Punkte zu bereinigen.

Beim Durchlaufen der Roadmap können Sie die Microsoft-Sicherheitsbewertung nutzen, um viele Punkte auf dem Weg nachzuverfolgen und im Laufe der Zeit mit anderen in ähnlichen Organisationen zu vergleichen. Weitere Informationen zur Microsoft-Sicherheitsbewertung finden Sie im Artikel Übersicht über die Microsoft-Sicherheitsbewertung.

Jeder Punkt in diesem Plan zur schnellen Modernisierung ist als Initiative strukturiert, die anhand eines Formats nachverfolgt und verwaltet wird, das auf der Methodik der Zielsetzungen und Schlüsselergebnisse aufbaut. Zu jedem Punkt wird untersucht, was, warum, von wem und wie gemessen werden soll. Einige Punkte erfordern Änderungen an den Prozessen und den Kenntnissen/Fertigkeiten von Mitarbeitern, während andere einfachere technologische Änderungen bedeuten. An vielen dieser Initiativen werden Mitglieder außerhalb der herkömmlichen IT-Abteilung beteiligt sein, die in die Entscheidungsfindung und Umsetzung dieser Änderungen einbezogen werden sollten, um sicherzustellen, dass sie erfolgreich in Ihrer Organisation übernommen werden.

Es ist entscheidend, als Organisation zusammenzuarbeiten, Partnerschaften zu bilden und auch die Personen aufzuklären, die bislang nicht an diesem Prozess beteiligt waren. Es ist ferner wichtig, sich die Zustimmung der gesamten Organisation zu verschaffen und weiter zu sichern, denn ohne sie scheitern viele Projekte.

Trennen und Verwalten privilegierter Konten

Konten für den Notfallzugriff

  • Aufgabe: Stellen Sie sicher, dass Sie in einer Notfallsituation nicht versehentlich aus Ihrer Azure Active Directory-Organisation (Azure AD) ausgesperrt werden.
  • Grund: Konten für den Notfallzugriff werden nur selten benötigt und richten im Falle einer Kompromittierung großen Schaden in der Organisation an. Ihre Verfügbarkeit für die Organisation ist jedoch auch für die wenigen Szenarien, in denen sie benötigt werden, von entscheidender Bedeutung. Stellen Sie sicher, dass Sie einen Plan für die Aufrechterhaltung des Zugriffs haben, der sowohl erwartete als auch unerwartete Ereignisse berücksichtigt.
  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Vorgehensweise: Befolgen Sie die Anleitung unter Verwalten von Konten für den Notfallzugriff in Azure AD.
  • Messen der wichtigsten Ergebnisse:
    • Eingerichtet Der Prozess für den Notfallzugriff wurde basierend auf Microsoft-Leitlinien entwickelt, die die Anforderungen der Organisation erfüllen.
    • Geprüft Der Notfallzugriff wurde innerhalb der letzten 90 Tage überprüft und getestet.

Aktivieren von Azure AD Privileged Identity Management

  • Aufgabe: Verwenden Sie Azure AD Privileged Identity Management (PIM) in Ihrer Azure AD-Produktionsumgebung, um privilegierte Konten zu ermitteln und zu schützen.
  • Grund: Privileged Identity Management bietet eine zeit- und genehmigungsbasierte Rollenaktivierung, um die Risiken durch übermäßige, unnötige oder missbrauchte Zugriffsberechtigungen für wichtige Ressourcen zu verringern.
  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Vorgehensweise: Stellen Sie Azure Active Directory Privileged Identity Management gemäß dem Leitfaden im Artikel Bereitstellen von Azure AD Privileged Identity Management (PIM) bereit, und konfigurieren Sie die Lösung.
  • Messen der wichtigsten Ergebnisse: Alle in Frage kommenden Rollen mit privilegiertem Zugriff nutzen Azure AD Privileged Identity Management.

Ermitteln und Kategorisieren privilegierter Konten (Azure AD)

  • Aufgabe: Ermitteln Sie alle Rollen und Gruppen mit hohen geschäftlichen Auswirkungen, die eine privilegierte Sicherheitsstufe benötigen (sofort oder im Laufe der Zeit). Diese Administratoren erfordern Sparatekonten in einem späteren Schritt privilegierte Zugriffsverwaltung.

  • Grund: Dieser Schritt ist erforderlich, um die Anzahl der Personen zu ermitteln und zu minimieren, die separate Konten und einen privilegierten Zugriffsschutz benötigen.

  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • How: Nach dem Aktivieren von Azure AD Privileged Identity Management können Sie die Benutzer anzeigen, die sich mindestens in den folgenden Azure AD-Rollen befinden, basierend auf Den Risikorichtlinien Ihrer Organisationen:

    • Globaler Administrator
    • Administrator für privilegierte Rollen
    • Exchange-Administrator
    • SharePoint-Administrator

    Eine Liste mit allen Administratorrollen finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory.

    Entfernen Sie alle Konten, die in diesen Rollen nicht mehr benötigt werden. Kategorisieren Sie anschließend die restlichen Konten, die Administratorrollen zugewiesen sind:

    • Wird administrativen Benutzern zugewiesen, aber auch für nicht administrative Produktivitätszwecke verwendet, z. B. zum Lesen und Beantworten von E-Mail.
    • Ist Administratoren zugewiesen und wird nur für Verwaltungszwecke verwendet
    • Für mehrere Benutzer freigegeben
    • Für Notfallzugriffs-Szenarios
    • Für automatisierte Skripts
    • Für externe Benutzer

Wenn in Ihrer Organisation Azure AD Privileged Identity Management nicht verwendet wird, können Sie die PowerShell-API nutzen. Beginnen Sie außerdem mit der Rolle „Globaler Administrator“, weil ein globaler Administrator für alle Clouddienste, die Ihre Organisation abonniert hat, über die gleichen Berechtigungen verfügt. Diese Berechtigungen werden unabhängig vom Ort der Zuweisung (Microsoft 365 Admin Center, Azure-Portal oder Azure AD-Modul für Microsoft PowerShell) erteilt.

  • Messen der wichtigsten Ergebnisse: Die Überprüfung und Ermittlung von Rollen mit privilegiertem Zugriff wurde innerhalb der letzten 90 Tage abgeschlossen.

Separate Konten (lokale AD-Konten)

  • Aufgabe: Schützen lokaler privilegierter Administratorkonten, falls noch nicht geschehen. Diese Phase umfasst Folgendes:

    • Erstellen separater Administratorkonten für Benutzer, die lokale Verwaltungsaufgaben durchführen müssen
    • Bereitstellen von Privileged Access Workstations (PAW) für Active Directory-Administratoren
    • Erstellen einmaliger lokaler Administratorkennwörter für Workstations und Server
  • Grund: Härtung der Konten, die für administrative Aufgaben verwendet werden. Für die Administratorkonten sollte E-Mail deaktiviert sein, und es sollten keine persönlichen Microsoft-Konten erlaubt sein.

  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Vorgehensweise: Alle Mitarbeiter, die über Administratorrechte verfügen dürfen, müssen über separate Konten für administrative Aufgaben verfügen, die nicht mit ihren Benutzerkonten identisch sind. Geben Sie diese Konten nicht für andere Benutzer frei.

    • Standardbenutzerkonten: Erteilen Sie Standardbenutzerrechte für standardmäßige Benutzeraufgaben, z. B. für E-Mail-, Webbrowsing- und Branchenanwendungen. Diesen Konten werden keine Administratorrechte erteilt.
    • Administratorkonten: Separate Konten für Mitarbeiter, denen die entsprechenden Administratorrechte zugewiesen werden.
  • Messen der wichtigsten Ergebnisse: Alle lokalen privilegierten Benutzer verfügen über separate dedizierte Konten.

Microsoft Defender for Identity

  • Aufgabe: Microsoft Defender for Identity kombiniert lokale Signale mit in der Cloud gewonnenen Erkenntnissen, um Ereignisse in einem vereinfachten Format zu überwachen, zu schützen und zu untersuchen. Dadurch können Ihre Sicherheitsteams komplexe Angriffe auf Ihre Identitätsinfrastruktur erkennen und haben folgenden Möglichkeiten:

    • Überwachung von Benutzern, Entitätsverhalten und -aktivitäten mit lernbasierter Analyse
    • Schutz von in Active Directory gespeicherten Benutzeridentitäten und Anmeldeinformationen
    • Identifikation und Untersuchung verdächtiger Benutzeraktivitäten und erweiterter Angriffe in der gesamten Kill Chain
    • Bereitstellung eindeutiger Informationen zu einem Incident in einer einfachen Zeitachse zur schnellen Selektierung
  • Grund: Moderne Angreifer können über lange Zeiträume unentdeckt bleiben. Viele Bedrohungen sind ohne ein zusammenhängendes Bild Ihrer gesamten Identitätsumgebung nur schwer auszumachen.

  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Vorgehensweise: Stellen Sie Microsoft Defender for Identity bereit, aktivieren Sie die Lösung, und überprüfen Sie alle offenen Warnungen.

  • Messen wichtiger Ergebnisse: Alle offenen Warnungen wurden von den entsprechenden Teams überprüft und entschärft.

Verbessern der Umgebung zur Verwaltung von Anmeldeinformationen

Implementieren und Dokumentieren der Self-Service-Kennwortzurücksetzung und der kombinierten Registrierung von Sicherheitsinformationen

  • Aufgabe: Aktivieren und konfigurieren Sie die Self-Service-Kennwortzurücksetzung in Ihrer Organisation sowie die kombinierte Registrierung von Sicherheitsinformationen.
  • Grund: Benutzer können ihre eigenen Kennwörter zurücksetzen, nachdem sie sich registriert haben. Die Umgebung zur kombinierten Registrierung von Sicherheitsinformationen bietet eine bessere Benutzererfahrung, die die Registrierung für die mehrstufige Authentifizierung bei Azure AD und die Self-Service-Kennwortzurücksetzung ermöglicht. Wenn diese Tools zusammen eingesetzt werden, tragen sie zu niedrigeren Kosten für den Helpdesk und zufriedeneren Benutzern bei.
  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Vorgehensweise: Informationen zum Aktivieren und Bereitstellen der Self-Service-Kennwortzurücksetzung finden Sie im Artikel Planen der Bereitstellung einer Self-Service-Kennwortzurücksetzung (SSPR) von Azure Active Directory.
  • Messen der wichtigsten Ergebnisse: Die Self-Service-Kennwortzurücksetzung ist vollständig konfiguriert und für die Organisation verfügbar.

Schützen von Administratorkonten: Aktivieren und Anfordern der mehrstufigen Authentifizierung/Kennwortlos für privilegierte Azure AD-Benutzer

  • Aufgabe: Anfordern, dass alle privilegierten Konten in Azure AD eine sichere mehrstufige Authentifizierung verwenden

  • Grund: Schützen des Zugriffs auf Daten und Dienste in Microsoft 365.

  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Vorgehensweise: Aktivieren Sie die mehrstufige Authentifizierung (MFA) von Azure AD, und registrieren Sie alle anderen Administratorkonten von Einzelbenutzern mit hohen Privilegien außerhalb des Verbunds. Fordern Sie die mehrstufige Authentifizierung bei der Anmeldung von allen Einzelbenutzern an, die dauerhaft einer oder mehreren dieser Azure AD-Administratorrollen zugewiesen sind:

    • Globaler Administrator
    • Administrator für privilegierte Rollen
    • Exchange-Administrator
    • SharePoint-Administrator

    Fordern Sie von Administratoren die Verwendung kennwortloser Anmeldemethoden wie FIDO2-Sicherheitsschlüssel oder Windows Hello for Business in Verbindung mit eindeutigen, langen und komplexen Kennwörtern. Erzwingen Sie diese Änderung mittels eines Dokuments zu Organisationsrichtlinien.

Befolgen Sie die Anleitung in den folgenden Artikeln: Planen einer Bereitstellung von Azure AD Multi-Factor Authentication und Planen einer Bereitstellung mit kennwortloser Authentifizierung in Azure Active Directory.

  • Messen der wichtigsten Ergebnisse: Alle privilegierten Benutzer verwenden zu 100 % eine kennwortlose Authentifizierung oder sichere Form der mehrstufigen Authentifizierung für alle Anmeldungen. Eine Beschreibung der mehrstufigen Authentifizierung finden Sie unter Konten für privilegierten Zugriff.

Blockieren von Legacyauthentifizierungsprotokollen für privilegierte Benutzerkonten

  • Aufgabe: Blockieren Sie Legacyauthentifizierungsprotokolle für privilegierte Benutzerkonten.

  • Grund: Organisationen sollten diese Legacyauthentifizierungsprotokolle blockieren, da bei ihnen die mehrstufige Authentifizierung nicht erzwungen werden kann. Wenn Legacyauthentifizierungsprotokolle aktiviert bleiben, kann dadurch ein Einstiegspunkt für Angreifer geschaffen werden. Einige Legacyanwendungen stützen sich möglicherweise auf diese Protokolle, und Organisationen haben die Möglichkeit, spezifische Ausnahmen für bestimmte Konten einzurichten. Diese Ausnahmen sollten nachverfolgt und zusätzliche Überwachungskontrollen implementiert werden.

  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.

  • Vorgehensweise: Befolgen Sie zum Blockieren von Legacyauthentifizierungsprotokollen in Ihrer Organisation die Anweisungen im Artikel Gewusst wie: Blockieren der Legacyauthentifizierung bei Azure AD mit bedingtem Zugriff.

  • Messen der wichtigsten Ergebnisse:

    • Legacyprotokolle blockiert: Alle Legacyprotokolle werden für alle Benutzer blockiert, bei autorisierten Ausnahmen.
    • Ausnahmen werden alle 90 Tage überprüft und laufen binnen einen Jahres dauerhaft ab. Anwendungsbesitzer müssen alle Ausnahmen binnen einen Jahres nach der ersten Ausnahmegenehmigung aufheben.
  • Aufgabe: Deaktivieren der Einwilligung von Endbenutzern zu Azure AD-Anwendungen.

Hinweis

Diese Änderung erfordert eine Zentralisierung des Entscheidungsprozesses in den Sicherheits- und Identitätsverwaltungsteams Ihrer Organisation.

Beseitigen von Konto- und Anmelderisiken

  • Aufgabe: Aktivieren Sie Azure AD Identity Protection, und beseitigen Sie alle gefundenen Risiken.
  • Grund: Riskantes Benutzer- und Anmeldeverhalten kann eine Quelle für Angriffe auf Ihre Organisation sein.
  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Vorgehensweise: Erstellen Sie einen Prozess zur Überwachung und Verwaltung von Benutzer- und Anmelderisiken. Entscheiden Sie, ob Sie die Behebung mithilfe der mehrstufigen Authentifizierung von Azure AD und Self-Service-Kennwortzurücksetzung automatisieren oder blockieren und einen Eingriff des Administrators verlangen. Befolgen Sie die Leitlinien im Artikel Anleitung: Konfigurieren und Aktivieren von Risikorichtlinien.
  • Messen der wichtigsten Ergebnisse: Die Organisation weist keine unberücksichtigten Benutzer und Anmelderisiken auf.

Hinweis

Richtlinien für bedingten Zugriff sind erforderlich, um das Entstehen neuer Anmelderisiken zu verhindern. Weitere Informationen finden Sie im Abschnitt „Bedingter Zugriff“ von Bereitstellung des privilegierten Zugriffs.

Erste Bereitstellung von Administratorarbeitsstationen

  • Was: Privilegierte Konten wie globale Administratoren verfügen über dedizierte Arbeitsstationen zum Ausführen von Administrativen Aufgaben.
  • Grund: Geräte, auf denen privilegierte Administratoraufgaben ausgeführt werden, sind ein Ziel von Angreifern. Die Absicherung nicht nur des Kontos, sondern auch dieser Ressourcen ist entscheidend für die Verkleinerung Ihrer Angriffsfläche. Diese Trennung schränkt die Anfälligkeit für gängige Angriffe ein, die auf produktivitätsbezogene Aufgaben wie E-Mail und Surfen im Internet abzielen.
  • Leitung: Diese Initiative wird in der Regel von den Abteilungen Identitäts- und Schlüsselverwaltung und/oder Sicherheitsarchitektur geleitet.
  • Vorgehensweise: Die erstmalige Bereitstellung muss auf der Ebene „Enterprise“ erfolgen, wie in diesem Artikel Bereitstellung des privilegierten Zugriffs beschrieben.
  • Messen der wichtigsten Ergebnisse: Jedes privilegierte Konto verfügt über eine dedizierte Arbeitsstation, auf der vertrauliche Aufgaben ausgeführt werden können.

Hinweis

Mit diesem Schritt wird schnell eine Sicherheitsbasis geschaffen, die so schnell wie möglich auf die Ebenen „Spezialisiert“ und „Privilegiert“ erhöht werden muss.

Nächste Schritte