Schützen des privilegierten Zugriffs für hybride und Cloudbereitstellungen in Microsoft Entra ID

Die Sicherheit der Geschäftsressourcen hängt von der Integrität der privilegierten Konten ab, mit denen Ihre IT-Systeme verwaltet werden. Cyberkriminelle sehen es beim Diebstahl von Anmeldeinformationen besonders auf Administratorkonten und andere privilegierte Zugriffsmöglichkeiten ab, um Zugriff auf sensible Daten zu erhalten.

Bei Clouddiensten sind Cloud-Dienstanbieter und Kunde gemeinsam verantwortlich für Prävention und Reaktion. Weitere Informationen zu den neuesten Bedrohungen von Endpunkten und Cloud finden Sie unter Informieren Sie sich über die aktuellen Angriffe auf Endpunkte und auf die Cloud . Dieser Artikel kann Ihnen helfen, eine Roadmap zum Schließen der Lücken zwischen Ihren aktuellen Plänen und dem hier beschriebenen Leitfaden zu entwickeln.

Hinweis

Microsoft sieht sich in der Pflicht, den Ansprüchen von Vertrauen, Transparenz, Einhaltung von Standards und Einhaltung behördlicher Bestimmungen in höchstem Maße gerecht zu werden. Mehr darüber, wie das globale Incidentreaktionsteam von Microsoft die Auswirkungen von Angriffen auf Clouddienste abschwächt, und wie die Sicherheit in Businessprodukte und Clouddienste von Microsoft integriert ist, erfahren Sie unter Sicherheit, und mehr über Complianceziele von Microsoft unter Compliance.

Bisher haben sich Unternehmen bezüglich der Organisationssicherheit auf die Ein- und Ausstiegspunkte eines Netzwerks als Sicherheitsbereich konzentriert. Mit SaaS-Apps und persönlichen Geräten im Internet hat dieser Ansatz jedoch an Wirksamkeit verloren. In Microsoft Entra ID wird der Netzwerksicherheitsbereich durch eine Authentifizierung in der Identitätsschicht Ihrer Organisation ersetzt. Für Steuerung und Kontrolle sind Benutzer zuständig, die privilegierten Administratorrollen zugewiesen sind. Deren Zugriff muss geschützt werden, und zwar unabhängig davon, ob es sich um eine lokale, hybride oder Cloudumgebung handelt.

Das Sichern des privilegierten Zugriffs erfordert Änderungen an folgenden Elementen:

  • Prozessen, Verwaltungsmethoden und Wissensmanagement
  • technischen Komponenten wie z.B. Maßnahmen zu Hostverteidigung, Kontenschutz und Identitätsverwaltung

Sichern Sie Ihren privilegierten Zugriff auf eine Art und Weise, die in den von Ihnen bevorzugten Microsoft-Diensten verwaltet und gemeldet wird. Wenn Sie über lokale Administratorkonten verfügen, beachten Sie unter Schützen des privilegierten Zugriffs den Leitfaden für den lokalen und hybriden privilegierten Zugriff in Active Directory.

Hinweis

Die Anleitung in diesem Artikel bezieht sich in erster Linie auf Features der Microsoft Entra ID, die in Microsoft Entra ID P1 und P2 enthalten sind. Microsoft Entra ID P2 ist in der EMS E5-Suite und der Microsoft 365 E5-Suite enthalten. In diesem Leitfaden wird davon ausgegangen, dass Ihre Organisation bereits Microsoft Entra ID P2-Lizenzen für Ihre Benutzer erworben hat. Wenn Sie nicht über diese Lizenzen verfügen, gilt möglicherweise ein Teil dieses Leitfadens nicht für Ihre Organisation. Darüber hinaus bedeutet in diesem Artikel der Begriff „Globaler Administrator“ das Gleiche wie „Unternehmensadministrator“ oder „Mandantenadministrator“.

Entwickeln einer Roadmap

Microsoft empfiehlt Ihnen, eine Roadmap zum Schützen des privilegierten Zugriffs gegenüber Cyberangreifern zu entwickeln und zu befolgen. Sie können Ihre Roadmap jederzeit den bestehenden Funktionen und spezifischen Anforderungen in Ihrer Organisation anpassen. Jede Phase der Roadmap sollte den Aufwand und Probleme erhöhen, die Angreifern beim Angriff auf den privilegierten Zugriff auf Ihre lokalen, Cloud- und Hybridressourcen entstehen. Microsoft empfiehlt die folgenden vier Roadmap-Phasen. Planen Sie zuerst die effektivsten und schnellsten Implementierungen. Dieser Artikel, der auf der Erfahrung von Microsoft mit Cyberangriffen und der Implementierung entsprechender Reaktionen basiert, kann dabei als Leitfaden dienen. Die Zeitpläne für diese Roadmap sind ungefähre Werte.

Stages of the roadmap with time lines

  • Phase 1 (24 bis 48 Stunden): Wichtige Dinge, die umgehend erledigt werden sollten

  • Phase 2 (2 bis 4 Wochen): Gegenmaßnahmen für die gängigsten Angriffsstrategien

  • Phase 3 (1 bis 3 Monate): Schaffung von Transparenz und uneingeschränkter Kontrolle über Administratoraktivitäten

  • Phase 4 (sechs Monate und später): Fortsetzung des Aufbaus von Verteidigungsmaßnahmen zur weiteren Härtung Ihrer Sicherheitsplattform

Dieses Roadmapframework folgt dem Konzept, die Verwendung von Microsoft-Technologien zu maximieren, die Sie möglicherweise bereits bereitgestellt haben. Erwägen Sie, alle Sicherheitstools von anderen Anbietern einzubinden, die Sie schon bereitgestellt haben oder bereitstellen möchten.

Phase 1: Wichtige Dinge, die zuerst anstehen

Stage 1 Critical items to do first

Phase 1 der Roadmap konzentriert sich auf wichtige Aufgaben, die schnell und einfach zu implementieren sind. Sie sollten diese wenigen Elemente sofort innerhalb der ersten 24 bis 48 Stunden ausführen, um ein Basisniveau von geschütztem privilegiertem Zugriff sicherzustellen. Diese Phase der Roadmap für geschützten privilegierten Zugriff umfasst die folgenden Aktionen:

Allgemeine Vorbereitung

Verwenden von Microsoft Entra Privileged Identity Management

Es wird empfohlen, dass Sie mit der Verwendung von Microsoft Entra Privileged Identity Management (PIM) in Ihrer Microsoft Entra-Produktionsumgebung beginnen. Bei Verwendung von PIM erhalten Sie bei Änderungen an privilegierten Zugriffsrollen eine Benachrichtigung per E-Mail. Benachrichtigungen stellen ein Frühwarnsystem dar, wenn zusätzliche Benutzer zu Rollen mit hohen Zugriffsrechten hinzugefügt werden.

Microsoft Entra Privileged Identity Management ist in Microsoft Entra ID P2 oder EMS E5 enthalten. Um den Zugriff auf lokale und in der Cloud verfügbare Anwendungen und Ressourcen besser zu schützen, registrieren Sie sich für die kostenlose 90-Tage-Testversion von Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management und Microsoft Entra ID Protection überwachen Sicherheitsaktivitäten mithilfe von Microsoft Entra ID-Berichterstellung, -Überwachung und -Warnungen.

Nachdem Sie mit der Verwendung von Microsoft Entra Privileged Identity Management begonnen haben:

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

  2. Um die Verzeichnisse zu wechseln, in denen Sie Privileged Identity Management verwenden möchten, wählen Sie in der oberen rechten Ecke des Microsoft Entra Admin Center Ihren Benutzernamen aus.

  3. Navigieren Sie zu Identity Governance>Privileged Identity Management.

Stellen Sie sicher, dass der Person in Ihrer Organisation, die PIM zum ersten Mal verwendet, automatisch die Rollen Sicherheitsadministrator und Administrator für privilegierte Rollen zugewiesen werden. Nur Administratoren für privilegierte Rollen können die Microsoft Entra-Verzeichnisrollenzuweisungen von Benutzern verwalten. Der PIM-Sicherheitsassistent führt Sie durch die anfängliche Erkennungs- und Zuweisungsumgebung. Sie können den Assistenten zu diesem Zeitpunkt ohne weitere Änderungen beenden.

Identifizieren und Kategorisieren von Konten in stark privilegierten Rollen

Nachdem Sie mit der Verwendung von Microsoft Entra Privileged Identity Management begonnen haben, zeigen Sie die Benutzer an, die die folgenden Microsoft Entra-Rollen haben:

  • Globaler Administrator
  • Administrator für privilegierte Rollen
  • Exchange-Administrator
  • SharePoint-Administrator

Wenn in Ihrer Organisation Microsoft Entra Privileged Identity Management nicht verwendet wird, können Sie Microsoft Graph PowerShell nutzen. Beginnen Sie mit der Rolle „Globaler Administrator“, weil ein globaler Administrator für alle Clouddienste, die Ihre Organisation abonniert hat, über die gleichen Berechtigungen verfügt. Diese Berechtigungen werden unabhängig vom Ort der Zuweisung (Microsoft 365 Admin Center, Microsoft Entra Admin Center oder Microsoft Graph PowerShell) erteilt.

Entfernen Sie alle Konten, die in diesen Rollen nicht mehr benötigt werden. Kategorisieren Sie anschließend die restlichen Konten, die Administratorrollen zugewiesen sind:

  • Ist zwar Administratoren zugewiesen, wird aber auch für nicht administrative Zwecke (z. B. persönliche E-Mail) verwendet
  • Ist Administratoren zugewiesen und wird nur für Verwaltungszwecke verwendet
  • Für mehrere Benutzer freigegeben
  • Für Notfallzugriffs-Szenarios
  • Für automatisierte Skripts
  • Für externe Benutzer

Definieren Sie mindestens zwei Notfallzugriffs-Konten

Es kann sein, dass ein Benutzer versehentlich aus seiner Rolle ausgesperrt wird. Wenn beispielsweise ein lokaler Verbundidentitätsanbieter nicht verfügbar ist, können sich Benutzer nicht anmelden oder ein vorhandenes Administratorkonto aktivieren. Sie können Vorbereitungen für eine unbeabsichtigte Situation ohne Zugriffsmöglichkeit treffen, indem Sie mindestens zwei Notfallzugriffskonten speichern.

Notfallzugriffskonten helfen Ihnen, den privilegierten Zugriff innerhalb einer Microsoft Entra-Organisation einzuschränken. Diese Konten verfügen über hohe Zugriffsrechte und sind keinen bestimmten Einzelpersonen zugewiesen. Notfallzugriffskonten sind auf Notfallsituationen oder Szenarien beschränkt, in denen normale Administratorkonten nicht verwendet werden können. Stellen Sie sicher, dass Sie die Nutzung des Notfallkontos kontrollieren und auf die unbedingt erforderliche Zeit beschränken.

Bewerten Sie die Konten, denen die Rolle „Globaler Administrator“ zugewiesen ist oder die dafür berechtigt sind. Wenn Ihnen über die Domäne „*.onmicrosoft.com“ (für den Notfallzugriff) keine reinen Cloudkonten angezeigt werden, erstellen Sie diese. Weitere Informationen finden Sie unter Verwalten von Administratorkonten für den Notfallzugriff in Microsoft Entra ID.

Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA), und registrieren Sie alle anderen nicht verbundenen Einzelbenutzer-Administratorkonten mit hohen Privilegien.

Legen Sie Microsoft Entra-Multi-Faktor-Authentifizierung bei der Anmeldung für alle Benutzer als erforderlich fest, die dauerhaft einzelnen oder mehreren Microsoft Entra-Administratorrollen zugewiesen sind: globaler Administrator, Administrator für privilegierte Rollen, Exchange-Administrator und SharePoint-Administrator. Verwenden Sie die Anleitung zum Erzwingen der Multi-Faktor-Authentifizierung für Ihre Administratoren, und stellen Sie sicher, dass sich alle diese Benutzer unter https://aka.ms/mfasetup registriert haben. Weitere Informationen finden Sie in Schritt 2 und 3 des Handbuchs Schutz von Benutzer- und Gerätezugriff.

Phase 2: Gegenmaßnahmen für gängige Angriffsstrategien

Stage 2 Mitigate frequently used attacks

Phase 2 der Roadmap konzentriert sich auf die Abwehr besonders häufig verwendeter Angriffstechniken zum Diebstahl und Missbrauch von Anmeldeinformationen und kann in etwa zwei bis vier Wochen implementiert werden. Diese Phase der Roadmap für geschützten privilegierten Zugriff umfasst die folgenden Aktionen.

Allgemeine Vorbereitung

Durchführen einer Inventur der Dienste, Besitzer und Administratoren

Mit der Zunahme von BYOD- (Bring Your Own Device) und Homeoffice-Richtlinien sowie zunehmender WLAN-Konnektivität ist es wichtig zu überwachen, wer eine Verbindung mit Ihrem Netzwerk herstellt. Mit einer Sicherheitsüberprüfung können Geräte, Anwendungen und Programme in Ihrem Netzwerk angezeigt werden, die von Ihrer Organisation nicht unterstützt werden und ein hohes Risiko darstellen. Weitere Informationen finden Sie unter Azure-Sicherheitsverwaltung und -Überwachung. Stellen Sie sicher, dass alle folgenden Aufgaben in Ihrem Inventurprozess enthalten sind.

  • Identifizieren Sie die Benutzer mit Administratorrollen und die Dienste, über die sie verwalten können.

  • Verwenden Sie Microsoft Entra PIM, um herauszufinden, welche Benutzer in Ihrer Organisation Administratorzugriff auf Microsoft Entra ID haben.

  • Neben den in Microsoft Entra ID definierten Rollen enthält Microsoft 365 eine Reihe von Administratorrollen, die Sie Benutzern in Ihrer Organisation zuweisen können. Jede Administratorrolle ist allgemeinen Geschäftsfunktionen zugeordnet und erteilt Personen in Ihrer Organisation Berechtigungen zum Ausführen bestimmter Aufgaben im Microsoft 365 Admin Center. Im Microsoft 365 Admin Center können Sie herausfinden, welche Benutzer in Ihrer Organisation Administratorzugriff auf Microsoft 365 haben, einschließlich über Rollen, die nicht in Microsoft Entra ID verwaltet werden. Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Microsoft 365 und Bewährte Methoden für die Sicherheit von Office 365.

  • Machen Sie in Diensten, auf die sich Ihre Organisation verlässt (z. B. Azure, Intune oder Dynamics 365), eine Bestandsaufnahme.

  • Stellen Sie sicher, dass für Ihre Konten, die zu Verwaltungszwecken verwendet werden, Folgendes gilt:

    • Den Konten sind geschäftliche E-Mail-Adressen zugeordnet
    • Sie haben sich für Microsoft Entra-Multi-Faktor-Authentifizierung registriert oder verwenden MFA lokal.
  • Fragen Sie Benutzer nach der geschäftlichen Begründung für den Administratorzugriff.

  • Entfernen Sie den Administratorzugriff für Personen und Dienste, die diesen nicht benötigen.

Identifizieren von Microsoft-Konten in Administratorrollen, die auf Arbeits- oder Schulkonten umgestellt werden müssen

Wenn Ihre ursprünglichen globalen Administratoren die vorhandenen Anmeldeinformationen für ihr Microsoft-Konto wiederverwenden, die sie bei der ersten Verwendung von Microsoft Entra ID benutzt haben, ersetzen Sie die Microsoft-Konten durch einzelne cloudbasierte oder synchronisierte Konten.

Sicherstellen der Verwendung von separaten Benutzerkonten und E-Mail-Weiterleitung für globale Administratorkonten

Persönliche E-Mail-Konten werden regelmäßig von Cyberkriminellen ausgespäht und stellen ein Risiko dar. Daher sind persönliche E-Mail-Adressen für globale Administratorkonten nicht akzeptabel. Um Internetrisiken von Administratorrechten zu separieren, erstellen Sie dedizierte Konten für jeden Benutzer mit Administratorrechten.

  • Stellen Sie sicher, dass Sie separate Konten für Benutzer erstellen, die Aufgaben eines globalen Administrators ausführen.
  • Stellen Sie sicher, dass Ihre globalen Administratoren nicht versehentlich mit ihren Administratorkonten E-Mails öffnen oder Programme ausführen.
  • Achten Sie darauf, dass die E-Mail dieser Konten an ein Arbeitspostfach weitergeleitet wird.
  • Bei Konten von globalen Administratoren (und anderen privilegierten Gruppen) sollte es sich um reine Cloudkonten ohne Verbindungen mit der lokalen Active Directory-Instanz handeln.

Sicherstellen, dass die Kennwörter von Administratorkonten kürzlich geändert wurden

Stellen Sie sicher, dass alle Benutzer sich mindestens einmal in den letzten 90 Tagen bei ihren Administratorkonten angemeldet und ihre Kennwörter geändert haben. Vergewissern Sie sich außerdem, dass alle freigegebenen Konten kürzlich die Änderung der Kennwörter veranlasst haben.

Aktivieren der Kennworthashsynchronisierung

Microsoft Entra Connect synchronisiert einen Hash eines Benutzerkennworthashs aus dem lokalen Active Directory mit einer cloudbasierten Microsoft Entra-Organisation. Wenn Sie einen Verbund mit Active Directory Federation Services (AD FS) verwenden, können Sie die Kennworthashsynchronisierung als Sicherungsmaßnahme nutzen. Diese Sicherung kann nützlich sein, wenn Ihre lokalen Active Directory- oder AD FS-Server vorübergehend nicht verfügbar sind.

Die Kennworthashsynchronisierung ermöglicht Benutzern, sich bei einem Dienst mit dem gleichen Kennwort anzumelden, das sie zur Anmeldung bei Ihrer lokalen Active Directory-Instanz verwenden. Die Kennworthashsynchronisierung ermöglicht Azure AD Identity Protection die Erkennung kompromittierter Anmeldeinformationen, indem sie Kennworthashs mit Kennwörtern vergleicht, die bekanntermaßen kompromittiert sind. Weitere Informationen finden Sie unter Implementieren der Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung.

Anfordern der Multi-Factor Authentication für Benutzer mit privilegierten Rollen und hoher Gefährdung

Microsoft Entra ID empfiehlt, dass Sie die Multi-Faktor-Authentifizierung für alle Ihre Benutzer erforderlich machen. Achten Sie darauf, die Benutzer zu berücksichtigen, bei denen die Kompromittierung ihres Kontos erhebliche Auswirkungen haben würde (z. B. Mitarbeiter der Finanzabteilung). MFA reduziert das Risiko eines Angriffs mithilfe eines kompromittierten Kennworts.

Aktivieren Sie:

Wenn Sie Windows Hello for Business verwenden, kann die MFA-Anforderung durch Verwendung der Windows Hello-Anmeldebenutzeroberfläche erfüllt werden. Weitere Informationen finden Sie unter Windows Hello.

Konfigurieren von Identity Protection

Microsoft Entra ID Protection ist ein algorithmusbasiertes Überwachungs- und Berichterstattungstool zum Erkennen von potenziellen Sicherheitsrisiken, die Auswirkungen auf die Identitäten in Ihrer Organisation haben können. Sie können automatische Antworten auf diese erkannten verdächtigen Aktivitäten konfigurieren und entsprechende Maßnahmen zu deren Behebung ergreifen. Weitere Informationen finden Sie unter Microsoft Entra ID Protection.

Abrufen Ihres Microsoft 365 Secure Score (bei Verwendung von Microsoft 365)

Secure Score prüft Ihre Einstellungen und Aktivitäten für Microsoft 365-Dienste und vergleicht diese mit einer von Microsoft aufgestellten Baseline. Das Ergebnis sagt aus, in welchem Maß Sie bewährte Sicherheitsmethoden befolgen. Jeder Benutzer, der über Administratorberechtigungen für ein Microsoft 365 Business Standard- oder Enterprise-Abonnement verfügt, kann über https://security.microsoft.com/securescore auf Secure Score zugreifen.

Überprüfen der Microsoft 365-Sicherheit und -Konformität (bei Verwendung von Microsoft 365)

Im Plan für Sicherheit und Compliance wird der Ansatz für die Konfiguration von Office 365 und die Aktivierung von anderen EMS-Funktionen für Office 365-Kunden behandelt. Lesen Sie dann die Schritte 3 bis 6 zum Zugriffsschutz für Daten und Dienste in Microsoft 365 und das Handbuch zum Überwachen von Sicherheit und Compliance in Microsoft 365.

Konfigurieren der Microsoft 365-Aktivitätsüberwachung (bei Verwendung von Microsoft 365)

Überwachen Sie Ihre Organisation im Hinblick auf Benutzer, die Microsoft 365 zum Identifizieren von Mitarbeitern verwenden, die über ein Administratorkonto verfügen, aber möglicherweise keinen Zugriff auf Microsoft 365 benötigen, da sie sich nicht bei diesen Portalen anmelden. Weitere Informationen finden Sie unter Aktivitätsberichte im Microsoft 365 Admin Center.

Einrichten von Notfallreaktionsplan-Besitzern

Das Einrichten einer Funktion für eine erfolgreiche Reaktion auf Vorfälle setzt eine umfangreiche Planung und erhebliche Ressourcen voraus. Sie müssen ständig Cyberangriffe überwachen und Prioritäten für die Behandlung von Vorfällen festlegen. Sammeln, analysieren und melden Sie Vorfallsdaten, um Beziehungen aufzubauen und für die Kommunikation mit anderen internen Gruppen und Planbesitzern zu sorgen. Weitere Informationen finden Sie unter Microsoft Security Response Center.

Schützen von lokalen privilegierten Administratorkonten, falls noch nicht geschehen

Wenn Ihre Microsoft Entra-Organisation mit einem lokalen Active Directory synchronisiert wird, orientieren Sie sich an dem Leitfaden in Schützen des privilegierten Zugriffs: Diese Phase umfasst Folgendes:

  • Erstellen separater Administratorkonten für Benutzer, die lokale Verwaltungsaufgaben durchführen müssen
  • Bereitstellen von Privileged Access Workstations (PAW) für Active Directory-Administratoren
  • Erstellen eindeutiger lokaler Administratorkennwörter für Workstations und Server

Zusätzliche Schritte für Organisationen, die den Zugriff auf Azure verwalten

Durchführen einer Abonnementinventur

Verwenden Sie Enterprise-Portal und Azure-Portal, um die Abonnements in Ihrer Organisation zu identifizieren, die Produktionsanwendungen hosten.

Entfernen von Microsoft-Konten aus Administratorrollen

Microsoft-Konten aus anderen Programmen wie Xbox, Live und Outlook sollten nicht als Administratorkonten für die Abonnements Ihrer Organisation verwendet werden. Entfernen Sie den Administratorstatus von allen Microsoft-Konten, und ersetzen Sie sie durch Microsoft Entra ID-Geschäfts-, Schul- oder Unikonten (z. B. chris@contoso.com). Greifen Sie bei der Administration auf Konten zurück, die in Microsoft Entra ID und nicht in anderen Diensten authentifiziert sind.

Überwachen der Azure-Aktivität

Das Azure-Aktivitätsprotokoll zeigt den Verlauf der Ereignisse auf Abonnementebene in Azure an. Darüber hinaus enthält es Informationen darüber, welche Ressourcen von welcher Person zu einem bestimmten Zeitpunkt erstellt, aktualisiert und gelöscht wurden, und wann diese Ereignisse auftraten. Weitere Informationen finden Sie unter Überwachen und Empfangen von Benachrichtigungen zu wichtigen Aktionen im Azure-Abonnement.

Zusätzliche Schritte für Organisationen, die den Zugriff auf andere Cloud-Apps über Microsoft Entra ID verwalten

Konfigurieren von Richtlinien für bedingten Zugriff

Bereiten Sie Richtlinien für bedingten Zugriff für lokale und Cloud-gehostete Anwendungen vor. Wenn Sie über mit dem Arbeitsbereich verknüpfte persönliche Geräte von Benutzern verfügen, erhalten Sie weitere Informationen unter Einrichten des lokalen bedingten Zugriffs mithilfe der Microsoft Entra-Geräteregistrierung.

Phase 3: Kontrolle der Administratoraktivitäten

Stage 3: take control of administrator activity

Phase 3 baut auf den Maßnahmen aus Phase 2 auf und sollte innerhalb von ca. 1 bis 3 Monaten implementiert werden. Diese Phase der Roadmap für geschützten privilegierten Zugriff umfasst die folgenden Komponenten.

Allgemeine Vorbereitung

Durchführen einer Zugriffsüberprüfung von Benutzern in Administratorrollen

Mehr Unternehmensbenutzer erhalten privilegierten Zugriff über Clouddienste, was zu einem nicht verwalteten Zugriff führen kann. Benutzer können heutzutage globale Administratoren für Microsoft 365 oder Azure-Abonnementadministratoren werden oder Administratorzugriff auf virtuelle Computer oder über SaaS-Apps haben.

Ihre Organisation sollte dafür sorgen, dass alle Mitarbeiter normale geschäftliche Transaktionen als nicht privilegierte Benutzer ausführen und ihnen Administratorrechte nur bei Bedarf gewähren. Führen Sie Zugriffsüberprüfungen durch, um die Benutzer zu identifizieren und zu validieren, die zum Aktivieren von Administratorrechten berechtigt sind.

Wir empfehlen Folgendes:

  1. Bestimmen Sie, welche BenutzerMicrosoft Entra-Administratoren sind, aktivieren Sie bedarfsorientierten und Just-in-Time-Administratorzugriff sowie rollenbasierte Sicherheitssteuerungen.
  2. Konvertieren Sie Benutzer, für deren Berechtigung zum privilegierten Administratorzugriff es keinen triftigen Grund gibt, in eine andere Rolle (wenn keine geeignete Rolle vorhanden ist, entfernen Sie sie).

Fortsetzen der Einführung einer sichereren Authentifizierung für alle Benutzer

Fordern Sie besonders gefährdete Benutzer auf, eine moderne, starke Authentifizierung wie Microsoft Entra-MFA oder Windows Hello zu verwenden. Zu den besonders gefährdeten Benutzern zählen zum Beispiel:

  • Führungskräfte auf Vorstandsebene
  • Hochrangige Manager
  • Wichtige IT- und Sicherheitsmitarbeiter

Verwenden dedizierter Arbeitsstationen für die Verwaltung von Microsoft Entra ID

Angreifer haben es möglicherweise auf privilegierte Konten abgesehen, um Integrität und Authentizität von Daten zu zerstören. Sie verwenden häufig bösartigen Code, der die Programmlogik ändert oder den Administrator bei der Eingabe von Anmeldeinformationen ausspioniert. Privileged Access Workstations (PAWs) bieten für sensible Aufgaben ein dediziertes Betriebssystem, das vor Internetangriffen und Bedrohungsüberträgern geschützt ist. Die Trennung dieser sensiblen Aufgaben und Konten von den täglich genutzten Arbeitsstationen und Geräten sorgt für hohen Schutz vor folgenden Risiken:

  • Phishingangriffe
  • Sicherheitsrisiken in Anwendungen und beim Betriebssystem
  • Angriffe durch Identitätswechsel
  • Angriffe zum Diebstahl von Anmeldeinformationen wie Protokollierung von Tastaturanschlägen, Pass-the-Hash und Pass-the-Ticket

Durch die Bereitstellung von Privileged Access Workstations können Sie das Risiko reduzieren, dass Administratoren ihre Anmeldeinformationen in einer Desktopumgebung eingeben, die nicht speziell gesichert ist. Weitere Informationen finden Sie unter Privileged Access Workstations.

Lesen der Empfehlungen des National Institute of Standards and Technology zur Abwicklung von Vorfällen

Das National Institute of Standards and Technology (NIST) bietet Richtlinien für den Umgang mit Incidents, insbesondere für die Analyse incidentbezogener Daten und die Bestimmung der richtigen Reaktion auf jeden Incident. Weitere Informationen finden Sie unter The (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2) (Handbuch zur Behandlung von Computersicherheitsvorfällen).

Implementieren von Privileged Identity Management (PIM) für JIT in zusätzlichen Administratorrollen

Verwenden Sie für Microsoft Entra ID die Funktion Microsoft Entra Privileged Identity Management. Die zeitlich begrenzte Aktivierung von privilegierten Rollen ermöglicht Ihnen Folgendes:

  • Aktivieren von Administratorrechten zum Ausführen einer bestimmten Aufgabe

  • Erzwingen der mehrstufigen Authentifizierung während der Aktivierung

  • Verwenden von Warnungen, um Administratoren über Out-of-band-Änderungen zu informieren

  • Benutzern ermöglichen, den privilegierten Zugriff für eine vorkonfigurierte Zeitspanne beizubehalten

  • Erlauben Sie Sicherheitsadministratoren die Durchführung folgender Aktivitäten:

    • Erkennen aller Identitäten mit hohen Zugriffsrechten
    • Anzeigen von Überwachungsberichten
    • Erstellen von Zugriffsüberprüfungen zum Identifizieren aller Benutzer, die zum Aktivieren von Administratorrechten berechtigt sind

Wenn Sie Microsoft Entra Privileged Identity Management bereits verwenden, passen Sie die Zeitrahmen für zeitgebundene Berechtigungen nach Bedarf an (z. B. Wartungsfenster).

Ermitteln der Gefährdung durch kennwortbasierte Anmeldeprotokolle (bei Verwendung von Exchange Online)

Wir empfehlen, jeden potenziellen Benutzer zu identifizieren, bei dem die Kompromittierung der Anmeldeinformationen katastrophale Folgen für die Organisation haben kann. Etablieren Sie für diese Benutzer strenge Authentifizierungsanforderungen, und verwenden Sie den bedingten Zugriff von Microsoft Entra, um zu verhindern, dass sie sich mit ihrem Benutzernamen und Kennwort bei ihrer E-Mail-Anwendung anmelden. Sie können die Legacyauthentifizierung mit bedingtem Zugriff und die Basisauthentifizierung über Exchange Online blockieren.

Durchführen einer Rollenbewertung für Microsoft 365-Rollen (bei Verwendung von Microsoft 365)

Bewerten Sie, ob alle Administratorenbenutzer die richtigen Rollen besitzen (löschen Sie Rollen anhand dieser Bewertung, und weisen Sie sie neu zu).

Machen Sie sich mit dem in Microsoft 365 verwendeten Ansatz zum Sicherheitsincidentmanagement vertraut, und vergleichen Sie ihn mit Ihrer eigenen Organisation.

Sie können diesen Bericht aus dem Sicherheitsincidentmanagement in Microsoft 365 herunterladen.

Fortsetzen des Schützens von lokalen privilegierten Administratorkonten

Wenn Ihre Microsoft Entra ID mit einem lokalen Active Directory verbunden ist, befolgen Sie den Leitfaden in Schützen des privilegierten Zugriffs: Phase 2. In dieser Phase führen Sie folgende Aktionen aus:

  • Bereitstellen von Privileged Access Workstations für alle Administratoren
  • Anfordern von MFA
  • Verwenden von JEA (Just Enough Admin) für die Wartung von Domänencontrollern, um die Angriffsfläche der Domänen zu minimieren
  • Bereitstellen von Advanced Threat Analytics für die Angriffserkennung

Zusätzliche Schritte für Organisationen, die den Zugriff auf Azure verwalten

Einrichten der integrierten Überwachung

Microsoft Defender für Cloud:

  • Bietet eine integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements
  • Hilft bei der Erkennung von Bedrohungen, die sonst möglicherweise unbemerkt bleiben
  • Funktioniert mit einer großen Palette von Sicherheitslösungen

Inventarisieren Ihrer privilegierten Konten auf gehosteten virtuellen Computern

In der Regel müssen Sie Benutzern keine uneingeschränkten Berechtigungen für Ihre sämtlichen Azure-Abonnements oder -Ressourcen erteilen. Verwenden Sie Microsoft Entra-Administratorrollen, um nur den Zugriff zu gewähren, den die Benutzer zum Ausführen ihrer Aufgaben benötigen. Mit Microsoft Entra-Administratorrollen können Sie einem Administrator nur die Verwaltung virtueller Computer in einem Abonnement gestatten, während ein anderer im gleichen Abonnement SQL-Datenbanken verwalten kann. Weitere Informationen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung in Azure?.

Implementieren von PIM für Microsoft Entra-Administratorrollen

Verwenden Sie Privileged Identity Management mit Microsoft Entra-Administratorrollen zum Verwalten, Steuern und Überwachen des Zugriffs auf Azure-Ressourcen. PIM bietet Schutz durch Herabsetzen der Gefährdungszeit für Berechtigungen und bietet mithilfe von Berichten und Warnungen einen größeren Einblick in die Verwendung dieser Berechtigungen. Weitere Informationen finden Sie unter Was ist Microsoft Entra Privileged Identity Management?.

Verwenden von Azure-Protokollintegrationen zum Senden von relevanten Azure-Protokollen an Ihre SIEM-Systeme

Mit der Azure-Protokollintegration können Sie nicht aufbereitete Protokolle von Ihren Azure-Ressourcen in die vorhandenen SIEM-Systeme (Security Information and Event Management) Ihrer Organisation integrieren. Mit der Azure-Protokollintegration erfassen Sie Windows-Ereignisse aus Protokollen der Windows-Ereignisanzeige und Azure-Ressourcen aus folgenden Quellen:

  • Azure-Aktivitätsprotokolle
  • Microsoft Defender für Cloud-Warnungen
  • Azure-Ressourcenprotokolle

Zusätzliche Schritte für Organisationen, die den Zugriff auf andere Cloud-Apps über Microsoft Entra ID verwalten

Implementieren der Benutzerbereitstellung für verbundene Apps

Microsoft Entra ID bietet Ihnen die Möglichkeit, das Erstellen und Pflegen von Benutzeridentitäten in Cloud-Apps wie Dropbox, Salesforce und ServiceNow zu automatisieren. Weitere Informationen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzern für SaaS-Anwendungen mit Microsoft Entra ID.

Integrieren von Information Protection

Mit Microsoft Defender für Cloud-Apps können Sie Dateien untersuchen und Richtlinien auf Grundlage von Klassifizierungsbezeichnungen von Azure Information Protection festlegen, sodass Sie einen größeren Einblick in Ihre Daten in der Cloud gewinnen und sie besser unter Kontrolle haben. Überprüfen und klassifizieren Sie Dateien in der Cloud und wenden Sie Azure Information Protection-Bezeichnungen an. Weitere Informationen finden Sie unter Integration mit Azure Information Protection.

Konfigurieren des bedingten Zugriffs

Konfigurieren Sie den bedingten Zugriff basierend auf einer Gruppen-, Standort- und Anwendungsvertraulichkeit für SaaS-Apps und verbundene Microsoft Entra-Apps.

Überwachen der Aktivität in verbundenen Cloud-Apps

Wir empfehlen die Verwendung von Microsoft Defender für Cloud-Apps, um sicherzustellen, dass der Benutzerzugriff auch in verbundenen Anwendungen geschützt ist. Diese Funktion schützt den Zugriff Ihres Unternehmens auf Cloud-Apps, sichert Ihre Administratorkonten und bietet folgende Möglichkeiten:

  • Erweitern des Einblicks in Cloud-Apps und der Kontrollmöglichkeiten
  • Erstellen von Richtlinien für Zugriff, Aktivitäten und Datenfreigabe
  • Automatisches Identifizieren von riskanten Aktivitäten, nicht normalem Verhalten und Bedrohungen
  • Verhindern von Datenlecks
  • Minimieren von Risiken, automatische Prävention und Durchsetzung von Richtlinien

Der SIEM-Agent von Defender für Cloud-Apps integriert Defender für Cloud-Apps in Ihren SIEM-Server, um zentralisierte Überwachung von Microsoft 365-Warnungen und Aktivitäten zu ermöglichen. Er wird auf dem Server ausgeführt, bezieht Warnungen und Aktivitäten aus Defender für Cloud-Apps und streamt sie an den SIEM-Server. Weitere Informationen finden Sie unter SIEM-Integration.

Phase 4: Weiterer Aufbau von Schutzmaßnahmen

Stage 4: adopt an active security posture

Phase 4 der Roadmap sollte nach 6 Monaten oder später implementiert werden. Vervollständigen Sie die Roadmap, um den Schutz des privilegierten Zugriffs vor den heute bekannten Angriffen zu erhöhen. In Hinblick auf zukünftige Sicherheitsbedrohungen empfehlen wir, die Sicherheit als fortwährenden Prozess zu betrachten, um die entsprechenden Gelder aufzubringen und die Erfolgsrate der Angriffe auf Ihre Umgebung zu reduzieren.

Das Sichern des privilegierten Zugriffs ist wichtig, um Sicherheitsgarantien für Ihre geschäftlichen Ressourcen zu etablieren. Diese Maßnahme sollte jedoch Teil eines umfassenden Sicherheitsprogramms sein, das für permanente Sicherheitsgarantien sorgt. Dieses Programm sollte sich u.a. auf folgende Elemente beziehen:

  • Richtlinie
  • Operationen (Operations)
  • Informationssicherheit
  • Server
  • Anwendungen
  • Computer
  • Geräte
  • Cloud-Fabric

Für die Verwaltung von Konten für den privilegierten Zugriff empfehlen wir die folgenden Methoden:

  • Stellen Sie sicher, dass Administratoren ihre Routineaufgaben als Benutzer ohne Privilegien ausführen.
  • Gewähren Sie privilegierten Zugriff nur bei Bedarf, und entziehen sie ihn danach (Just-in-Time)
  • Speichern Sie Aktivitätsüberwachungsprotokolle im Zusammenhang mit privilegierten Konten

Weitere Informationen zum Erstellen einer vollständigen Sicherheitsroadmap finden Sie unter Ressourcen zur Cloud-IT-Architektur von Microsoft. Um Unterstützung bei der Implementierung der einzelnen Phasen Ihrer Roadmap durch Microsoft-Dienste zu erhalten, wenden Sie sich an Ihren Microsoft-Vertriebsbeauftragten, oder lesen Sie Erstellen von wichtigen Schutzmaßnahmen vor Cyberangriffen zum Schutz Ihres Unternehmens.

Diese letzte laufende Phase der Roadmap für geschützten privilegierten Zugriff umfasst die folgenden Komponenten.

Allgemeine Vorbereitung

Überprüfen von Administratorrollen in Microsoft Entra ID

Ermitteln Sie, ob die derzeit integrierten Microsoft Entra-Administratorrollen noch auf dem neuesten Stand sind, und sorgen Sie dafür, dass die Benutzer nur den tatsächlich erforderlichen Rollen zugewiesen sind. Mit Microsoft Entra ID können Sie separate Administratoren für unterschiedliche Funktionen zuweisen. Weitere Informationen finden Sie unter Integrierte Rollen in Microsoft Entra.

Überprüfen von Benutzern, die in Microsoft Entra eingebundene Geräte verwalten

Weitere Informationen finden Sie unter So konfigurieren Sie in Microsoft Entra eingebundene Hybridgeräte.

Überprüfen der Mitglieder integrierter Administratorrollen in Microsoft 365

Überspringen Sie diesen Schritt, wenn Sie Microsoft 365 nicht verwenden.

Validieren des Notfallreaktionsplans

Um Ihren Plan zu verbessern, empfiehlt Microsoft, dass Sie regelmäßig überprüfen, ob Ihr Plan wie erwartet funktioniert:

  • Prüfen Sie Ihre vorhandene Roadmap auf Lücken
  • Ziehen Sie Bilanz, und überarbeiten Sie entweder vorhandene bewährte Methoden oder definieren Sie neue Methoden
  • Stellen Sie sicher, dass Ihr aktualisierter Notfallreaktionsplan und Ihre bewährten Methoden in der gesamten Organisation verbreitet werden

Zusätzliche Schritte für Organisationen, die den Zugriff auf Azure verwalten

Bestimmen Sie, ob Sie den Besitz eines Azure-Abonnements auf ein anderes Konto übertragen müssen.

Was bei einem Notfall zu tun ist

Accounts for emergency break glass access

  1. Versorgen Sie Führungskräfte und Sicherheitsbeauftragte mit Informationen zu dem Vorfall.

  2. Überprüfen Sie Ihr Angriffs-Playbook.

  3. Greifen Sie auf Ihre Benutzername-/Kennwortkombination für das Notfallkonto zu, um sich bei Microsoft Entra ID anzumelden.

  4. Bitten Sie Microsoft um Hilfe, indem Sie eine Azure-Supportanfrage öffnen.

  5. Sehen Sie sich die Microsoft Entra-Anmeldeberichte an. Zwischen dem Auftreten eines Ereignisses und seiner Einbeziehung in den Bericht kann eine gewisse Zeit verstreichen.

  6. Wenn Sie in einer Hybridumgebung arbeiten und Ihre lokale Verbundinfrastruktur und Ihr AD FS-Server nicht verfügbar sind, können Sie vorübergehend von der Verbundauthentifizierung zur Kennworthashsynchronisierung wechseln. Dadurch erfolgt ein Wechsel vom Domänenverbund zurück zur verwalteten Authentifizierung, bis der AD FS-Server wieder verfügbar ist.

  7. Überwachen Sie E-Mail für privilegierte Konten.

  8. Stellen Sie sicher, dass Sie Sicherungen der relevanten Protokolle für potenzielle forensische und rechtliche Untersuchungen speichern.

Weitere Informationen zur Behandlung von Sicherheitsvorfällen durch Microsoft Office 365 finden Sie unter Sicherheitsvorfallmanagement in Microsoft Office 365.

Häufig gestellte Fragen: Antworten zum Sichern des privilegierten Zugriffs

F: Wie gehe ich vor, wenn ich noch keine Komponenten für den sicheren Zugriff implementiert habe?

Antwort: Definieren Sie mindestens zwei Notfallkonten, weisen Sie Ihren privilegierten Administratorkonten MFA zu, und trennen Sie Benutzerkonten von globalen Administratorkonten.

F: Welches Problem muss nach einer Sicherheitsverletzung zuerst behandelt werden?

Antwort: Stellen Sie sicher, dass Sie für Personen mit hohem Gefährdungspotenzial die sicherste Authentifizierung anfordern.

F: Was geschieht, wenn unsere privilegierten Administratoren deaktiviert wurden?

Antwort: Erstellen Sie ein globales Administratorkonto, das immer auf dem neuesten Stand gehalten wird.

F: Was geschieht, wenn nur noch ein einziger globaler Administrator vorhanden ist, dieser aber nicht erreicht werden kann?

Antwort: Verwenden Sie eines Ihrer Notfallkonten, um umgehend privilegierten Zugriff zu erhalten.

F: Wie kann ich Administratoren in meiner Organisation schützen?

Antwort: Achten Sie darauf, dass Administratoren ihre täglichen Routineaufgaben stets als Standardbenutzer ohne Privilegien ausführen.

F: Welche Methoden haben sich für das Erstellen von Administratorkonten in Microsoft Entra ID bewährt?

Antwort: Reservieren Sie privilegierten Zugriff für bestimmte Administratoraufgaben.

F: Welche Tools stehen zur Reduzierung des dauerhaften Administratorzugriffs zur Verfügung?

Antwort: Privileged Identity Management (PIM) und Microsoft Entra-Administratorrollen.

F: Welche Position bezieht Microsoft hinsichtlich der Synchronisierung von Administratorkonten mit Microsoft Entra ID?

Antwort: Administratorkonten auf Ebene 0 werden nur für lokale AD-Konten verwendet. Diese Konten werden in der Regel nicht mit Microsoft Entra ID in der Cloud synchronisiert. Zu den Administratorkonten auf Ebene 0 gehören Konten, Gruppen und andere Ressourcen, die direkt oder indirekt administrative Kontrolle über die lokale Active Directory-Gesamtstruktur, über Domänen oder Domänencontroller und Ressourcen ausüben.

F: Wie halten wir Administratoren davon ab, zufälligen Administratorzugriff im Portal zuzuweisen?

Antwort: Verwenden Sie nicht privilegierte Konten für alle Benutzer und die meisten Administratoren. Beginnen Sie damit, die Anforderungen der Organisation zu erfassen, um zu bestimmen, welchen einzelnen Administratorkonten Privilegien erteilt werden sollen. Achten Sie auch auf neu erstellte Benutzer mit Administratorrechten.

Nächste Schritte

Andere Microsoft Online Services

  • Microsoft Intune-Sicherheit – Intune bietet cloudbasierte Verwaltungsfunktionen für mobile Geräte, mobile Anwendungen und PCs.

  • Microsoft Dynamics 365 – Dynamics 365 ist die cloudbasierte Lösung von Microsoft, die Funktionen für Kundenbeziehungsmanagement (Customer Relationship Management, CRM) und Enterprise Resource Planning (ERP) vereinheitlicht.