Freigeben über

Fünf Schritte zum Sichern Ihrer Identitätsinfrastruktur

Wenn Sie dieses Dokument lesen, ist Ihnen bereits bewusst, welchen Stellenwert das Thema Sicherheit innehat. Sie sind wahrscheinlich bereits für die Sicherheit Ihrer Organisation verantwortlich. Wenn Sie andere von der Bedeutung der Sicherheit überzeugen müssen, empfehlen Sie ihnen, den neuesten Microsoft Digital Defense Report zu lesen.

Dieses Dokument hilft Ihnen, mithilfe der Funktionen von Microsoft Entra ID einen sichereren Stand zu erhalten, indem Sie eine Prüfliste in fünf Schritten verwenden, um den Schutz Ihrer Organisation vor Cyberangriffen zu verbessern.

Diese Checkliste erläutert folgende Aspekte und hilft Ihnen dabei, empfohlene wichtige Aktionen zum Schutz Ihrer Organisation sofort auszuführen:

  • Stärken Sie Ihre Zugangsdaten.
  • Verringern Sie die Angriffsfläche.
  • Automatisieren Sie die Reaktion auf Bedrohungen.
  • Nutzen Sie Cloud Intelligence.
  • Aktivieren Sie den Self-Service für Endbenutzer.

Hinweis

Viele der Empfehlungen in diesem Dokument gelten nur für Anwendungen, die für die Verwendung von Microsoft Entra ID als Identitätsanbieter konfiguriert sind. Das Konfigurieren von Apps für das Einmalige Anmelden stellt sicher, dass die Vorteile von Anmelderichtlinien, Bedrohungserkennung, Überprüfung, Protokollierung und anderen Features zu diesen Anwendungen hinzugefügt werden. Microsoft Entra Application Management ist die Grundlage, auf der all diese Empfehlungen basieren.

Die Empfehlungen in diesem Dokument sind an der Identity Secure Score ausgerichtet, einer automatisierten Bewertung der Identitätssicherheitskonfiguration Ihres Microsoft Entra Mandanten. Organisationen können die Seite "Identitätssicherheitsbewertung" in der Microsoft Entra Admin Center verwenden, um Lücken in ihrer aktuellen Sicherheitskonfiguration zu finden, um sicherzustellen, dass sie den aktuellen Microsoft bewährten Methoden für die Sicherheit folgen. Durch die Implementierung der einzelnen Empfehlungen auf der Seite „Secure Score“ erhöht sich Ihre Bewertung. Zudem können Sie Ihren Fortschritt nachverfolgen und Ihre Implementierung mit denen anderer Organisationen von ähnlicher Größe vergleichen.

Azure-Portal-Fenster mit Identity Secure Score und einigen Empfehlungen.

Hinweis

Einige der hier empfohlenen Funktionen sind für alle Kunden verfügbar, während andere ein Microsoft Entra ID P1- oder P2-Abonnement benötigen. Bitte überprüfen Sie die Microsoft Entra Preisgestaltung und die Microsoft Entra Bereitstellungs-Checkliste für weitere Informationen.

Bevor Sie beginnen: Schützen Sie privilegierte Konten mit MFA

Bevor Sie diese Checkliste durchgehen, stellen Sie sicher, dass Sie nicht während des Lesens kompromittiert werden. In Microsoft Entra beobachten wir täglich 50 Millionen Kennwortangriffe, aber nur ein Bruchteil der Benutzer und Administratoren verwenden starke Authentifizierungen wie die mehrstufige Authentifizierung (MFA). Diese Statistiken basieren auf Daten von August 2021. In Microsoft Entra ID sind Benutzer, die über privilegierte Rollen verfügen, z. B. Administratoren, der Vertrauensanker, auf dem der Rest der Umgebung aufgebaut und verwaltet wird. Implementieren Sie die folgenden Maßnahmen, um die Auswirkungen einer Kompromittierung zu minimieren.

Angreifer, die Kontrolle über privilegierte Konten erhalten, können enormen Schaden anrichten. Daher ist es ausgesprochen wichtig, vor dem Fortfahren diese Konten zu schützen. Aktivieren und erfordern Microsoft Entra mehrstufige Authentifizierung (MFA) für alle Administratoren in Ihrer Organisation mit Microsoft Entra Security Defaults oder Conditional Access. Dies ist entscheidend.

Alles fertig? Dann beginnen wir mit der Checkliste.

Schritt 1: Stärken Sie Ihre Zugangsdaten

Obwohl andere Arten von Angriffen einschließlich Phishing von Einwilligungen und Angriffe auf nicht menschliche Identitäten hervortreten, spielen kennwortbasierte Angriffe auf Benutzeridentitäten immer noch die größte Rolle bei der Kompromittierung der Identität. Die bewährten Spear-Phishing- und Passwort-Spray-Kampagnen von Angreifern sind weiterhin erfolgreich gegen Unternehmen, die noch keine Multifaktor-Authentifizierung (MFA) oder andere Schutzmaßnahmen gegen diese gängige Taktik eingeführt haben.

Als Organisation müssen Sie sicherstellen, dass Ihre Identitäten überall mit MFA überprüft und geschützt werden. Im Jahr 2020 identifizierte der Bericht des Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3) Phishing als die häufigste Kriminalitätsart, die Opfer beklagt haben. Die Anzahl der Berichte hat sich im Vergleich zum Vorjahr verdoppelt. Phishing stellt sowohl für Unternehmen als auch für Einzelpersonen eine erhebliche Bedrohung dar, und Phishing von Anmeldeinformationen wurde im letzten Jahr bei vielen der schädlichsten Angriffe verwendet. Microsoft Entra mehrstufige Authentifizierung (Multifactor Authentication, MFA) trägt dazu bei, den Zugriff auf Daten und Anwendungen zu schützen und eine weitere Sicherheitsebene mithilfe einer zweiten Authentifizierungsform bereitzustellen. Organisationen können die mehrstufige Authentifizierung mit dem bedingten Zugriff aktivieren, um die Lösung an ihre jeweiligen Anforderungen anzupassen. Schauen Sie sich dieses Bereitstellungshandbuch an, um zu sehen, wie Sie die Microsoft Entra Multifaktor-Authentifizierung planen, implementieren und bereitstellen können.

Sicherstellen, dass Ihre Organisation eine starke Authentifizierung verwendet

Um die grundlegende Ebene der Identitätssicherheit auf einfache Weise zu aktivieren, können Sie die Einauswahlaktivierung mit Microsoft Entra Sicherheitsstandardeinstellungen verwenden. Sicherheitsstandards erzwingen Microsoft Entra Multifaktor-Authentifizierung für alle Benutzer in einem Mandanten und blockiert Anmeldungen durch veraltete Protokolle mandantenweit.

Wenn Ihre Organisation über Microsoft Entra ID P1- oder P2-Lizenzen verfügt, können Sie auch die Conditional Access Insights and Reporting workbook verwenden, um Lücken in Ihrer Konfiguration und Abdeckung zu ermitteln. Anhand dieser Empfehlungen können Sie diese Lücke einfach schließen, indem Sie eine Richtlinie mithilfe der neuen Vorlagen für bedingten Zugriff erstellen. Conditional Access templates sind darauf ausgelegt, eine einfache Methode zum Bereitstellen neuer Richtlinien bereitzustellen, die Microsoft empfohlenen best-Methoden entsprechen, sodass es einfach ist, allgemeine Richtlinien zum Schutz Ihrer Identitäten und Geräte bereitzustellen.

Schluss mit herkömmlichen Komplexitätsanforderungen und Ablaufregeln – sperren Sie stattdessen angriffsanfällige Kennwörter.

Viele Organisationen verwenden traditionelle Regeln für Passwortkomplexität und Passwortablauf. Die Forschung von Microsoft zeigt, dass die National Institute of Standards and Technology (NIST) Special Publication 800-63B Digital Identity Guidelines angeben, dass diese Richtlinien Benutzern die Auswahl von Kennwörtern erleichtern, die einfacher zu erraten sind. Es wird empfohlen, Microsoft Entra Kennwortschutz ein dynamisches Feature für gesperrtes Kennwort zu verwenden, das das aktuelle Verhalten des Angreifers verwendet, um zu verhindern, dass Benutzer Kennwörter festlegen, die leicht erraten werden können. Diese Funktion ist immer aktiviert, wenn Benutzer in der Cloud erstellt werden, aber jetzt auch für Hybridorganisationen verfügbar sind, wenn sie Microsoft Entra Kennwortschutz für Windows Server Active Directory bereitstellen. Darüber hinaus empfehlen wir, Ablaufrichtlinien zu entfernen. Die Kennwortänderung bietet keine Schutzvorteile, da Cyberkriminelle fast immer Anmeldeinformationen verwenden, sobald sie sie kompromittiert haben. Informationen zum Festlegen der Kennwortablaufrichtlinie für Ihre Organisation finden Sie im folgenden Artikel.

Schutz vor kompromittierten Anmeldeinformationen und Verstärken der Ausfallsicherung

Die einfachste und empfohlene Methode zum Aktivieren der Cloudauthentifizierung für lokale Verzeichnisobjekte in Microsoft Entra ID besteht darin, password-Hashsynchronisierung (PHS) zu aktivieren. Wenn Ihre Organisation eine Hybrididentitätslösung mit Pass-Through-Authentifizierung oder Verbundauthentifizierung verwendet, sollten Sie aus den beiden folgenden Gründen die Kennworthashsynchronisierung aktivieren:

  • Die Bericht über Benutzer mit durchgesickerten Anmeldedaten in Microsoft Entra ID warnt vor öffentlich zugänglichen Benutzernamen- und Kennwortpaaren. Eine schier unglaubliche Menge an Kennwörtern wird über drei Wege kompromittiert: Phishing, Schadsoftware und die Wiederverwendung von Kennwörtern auf Drittanbieterwebsites, die später gehackt werden. Microsoft findet viele dieser durchleckten Anmeldeinformationen und teilt Ihnen in diesem Bericht mit, ob sie Anmeldeinformationen in Ihrer Organisation entsprechen – aber nur, wenn Sie password-Hashsynchronisierung aktivieren oder cloudgeschützte Identitäten haben.
  • Wenn ein lokaler Ausfall auftritt, wie ein Ransomware-Angriff, können Sie auf die Cloudauthentifizierung umstellen, indem Sie die Kennworthash-Synchronisation nutzen. Mit dieser Backup-Authentifizierungsmethode können Sie weiterhin auf Apps zugreifen, die für die Authentifizierung mit Microsoft Entra ID konfiguriert sind, einschließlich Microsoft 365. In diesem Fall müssen IT-Mitarbeiter nicht auf Schatten-IT oder persönliche E-Mail-Konten zurückgreifen, um bis zur Behebung des lokalen Ausfalls Daten freizugeben.

Kennwörter werden niemals in Klartext gespeichert oder mit einem umkehrbaren Algorithmus in Microsoft Entra ID verschlüsselt. Weitere Informationen zum eigentlichen Prozess der Kennworthashsynchronisierung finden Sie unter Ausführliche Beschreibung der Funktionsweise der Kennworthashsynchronisierung.

Implementieren der intelligenten AD FS-Extranetsperre

Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder sich mithilfe von Brute-Force-Methoden Zugang zu verschaffen. Smart Lockout kann Anmeldungen gültiger Benutzer erkennen und anders behandeln als Anmeldungen von Angreifern und anderen unbekannten Quellen. Angreifer werden ausgesperrt, während Ihre Benutzer weiterhin auf ihre Konten zugreifen und produktiv arbeiten können. Organisationen, die Anwendungen so konfigurieren, dass sie sich direkt bei Microsoft Entra ID authentifizieren können, profitieren von der intelligenten Sperre von Microsoft Entra. Verbundbereitstellungen mit AD FS 2016 und AD FS 2019 können mit AD FS Extranet Lockout und Extranet Smart Lockout ähnliche Vorteile bieten.

Schritt 2: Verringern Ihrer Angriffsfläche

Angesichts des Ausmaßes an Schaden, den gehackte Kennwörter anrichten, ist es von entscheidender Bedeutung, die Angriffsfläche in Ihrer Organisation so klein wie möglich zu halten. Deaktivieren Sie die Verwendung älterer, weniger sicherer Protokolle, beschränken Sie Einstiegspunkte für den Zugriff, wechseln Sie zur Cloudauthentifizierung, üben Sie eine bedeutendere Kontrolle des administrativen Zugriffs auf Ressourcen aus, und nutzen Sie Zero Trust Sicherheitsprinzipien.

Verwenden der Cloudauthentifizierung

Anmeldeinformationen stellen einen primären Angriffsvektor dar. Die Vorgehensweisen in diesem Blog können die Angriffsfläche reduzieren, indem Sie die Cloudauthentifizierung verwenden, MFA bereitstellen und kennwortlose Authentifizierungsmethoden verwenden. Sie können kennwortlose Methoden wie Windows Hello for Business, Telefonanmeldung mit der Microsoft Authenticator App oder FIDO bereitstellen.

Blockieren älterer Authentifizierungsmethoden

Apps, die ihre eigenen älteren Methoden verwenden, um sich mit Microsoft Entra ID zu authentifizieren und auf Unternehmensdaten zuzugreifen, stellen ein weiteres Risiko für Organisationen dar. POP3-, IMAP4- oder SMTP-Clients sind einige Beispiele für Apps, die ältere Authentifizierungsmethoden verwenden. Legacyauthentifizierungs-Apps authentifizieren sich im Namen des Benutzers und verhindern, dass Microsoft Entra ID erweiterte Sicherheitsbewertungen durchführen. Die Alternative, die moderne Authentifizierung, wird Ihr Sicherheitsrisiko verringern, da sie die Multifaktor-Authentifizierung und den bedingten Zugriff unterstützt.

Folgende Aktionen sind empfehlenswert:

  1. Entdecken Sie die Legacy-Authentifizierung in Ihrer Organisation mithilfe von Microsoft Entra-Anmeldeprotokollen und Log-Analytics-Arbeitsmappen.
  2. Richten Sie SharePoint Online und Exchange Online ein, um moderne Authentifizierung zu verwenden.
  3. Wenn Sie über Microsoft Entra ID P1- oder P2-Lizenzen verfügen, verwenden Sie Richtlinien für bedingten Zugriff, um die Legacyauthentifizierung zu blockieren. Verwenden Sie für Microsoft Entra ID Stufe "Kostenlos" Microsoft Entra Sicherheitsstandardwerte.
  4. Blockieren Sie ältere Authentifizierungsmethoden, wenn Sie AD FS verwenden.
  5. Blockieren der älteren Authentifizierung mit Exchange Server 2019.
  6. Deaktivieren Sie die Legacyauthentifizierung in Exchange Online.

Weitere Informationen finden Sie im Artikel Blocking legacy authentication protocols in Microsoft Entra ID.

Blockieren von ungültigen Authentifizierungseinstiegspunkten

Nach dem Prinzip der expliziten Verifizierung müssen Sie die Auswirkungen gehackter Benutzeranmeldeinformationen begrenzen, sobald die Sicherheitsverletzung aufgetreten ist. Berücksichtigen Sie für jede App in Ihrer Umgebung die gültigen Anwendungsfälle: Welche Gruppen, welche Netzwerke, welche Geräte und welche weiteren Elemente sind autorisiert? Blockieren Sie anschließend den Rest. Mit Microsoft Entra Conditional Access können Sie steuern, wie autorisierte Benutzer basierend auf bestimmten von Ihnen definierten Bedingungen auf ihre Apps und Ressourcen zugreifen.

Weitere Informationen zur Verwendung des bedingten Zugriffs für Ihre Cloud-Apps und Benutzeraktionen finden Sie unter Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext.

Überprüfen und Verwalten von Administratorrollen

Eine weitere Zero Trust Säule ist die Notwendigkeit, die Wahrscheinlichkeit zu minimieren, dass ein kompromittiertes Konto mit einer privilegierten Rolle arbeiten kann. Diese Kontrolle kann erreicht werden, indem einer Identität die geringste Berechtigung zugewiesen wird. Wenn Sie noch nicht mit Microsoft Entra Rollen vertraut sind, hilft Ihnen dieser Artikel, Microsoft Entra Rollen zu verstehen.

Privilegierte Rollen in Microsoft Entra ID sollten nur Cloudkonten sein, um sie von lokalen Umgebungen zu isolieren und keine lokalen Kennworttresor zum Speichern der Anmeldeinformationen zu verwenden.

Implementieren von Privilege Access Management

Privileged Identity Management (PIM) bietet eine zeitbasierte und genehmigungsbasierte Rollenaktivierung, um die Risiken übermäßiger, unnötiger oder missbrauchter Zugriffsberechtigungen für wichtige Ressourcen zu minimieren. Zu diesen Ressourcen gehören Ressourcen in Microsoft Entra ID, Azure und anderen Microsoft Onlinediensten wie Microsoft 365 oder Microsoft Intune.

Microsoft Entra Privileged Identity Management (PIM) hilft Ihnen, Kontoberechtigungen zu minimieren, indem es Sie dabei unterstützt:

  • Identifizieren und verwalten Sie Benutzer, denen Administratorrollen zugewiesen sind.
  • Ermitteln Sie nicht verwendete Rollen oder Rollen mit übermäßigen Berechtigungen, die Sie entfernen sollten.
  • Legen Sie Regeln fest, um sicherzustellen, dass privilegierte Rollen durch eine Multifaktor-Authentifizierung geschützt sind.
  • Richten Sie Regeln ein, die sicherstellen, dass privilegierte Rollen nur so lange gewährt werden, wie zum Ausführen der entsprechenden Aufgabe erforderlich ist.

Aktivieren Sie Microsoft Entra PIM, und zeigen Sie dann die Benutzer an, denen Administratorrollen zugewiesen sind, und entfernen Sie unnötige Konten in diesen Rollen. Ändern Sie die Berechtigungen für die verbleibenden privilegierten Benutzer von „dauerhaft“ zu „berechtigt“. Zum Schluss richten Sie geeignete Richtlinien ein, um sicherzustellen, dass Benutzer mit der erforderlichen Änderungssteuerung sicher auf diese privilegierten Rollen zugreifen können, wenn es erforderlich ist.

Microsoft Entra eingebaute und benutzerdefinierte Rollen arbeiten mit Konzepten, die den rollenbasierten Zugriffssteuerungssystemen für Azure-Ressourcen (Azure-Rollen) ähneln. Die beiden rollenbasierten Zugriffssteuerungssysteme unterscheiden sich wie folgt:

  • Microsoft Entra Rollen steuern den Zugriff auf Microsoft Entra Ressourcen wie Benutzer, Gruppen und Anwendungen mithilfe der Microsoft Graph-API
  • Azure Rollen steuern den Zugriff auf Azure Ressourcen wie virtuelle Computer oder Speicher mithilfe von Azure Ressourcenverwaltung

Beide Systeme enthalten ähnlich verwendete Rollendefinitionen und Rollenzuweisungen. Microsoft Entra Rollenberechtigungen können jedoch nicht in Azure benutzerdefinierten Rollen verwendet werden und umgekehrt. Befolgen Sie im Rahmen der Bereitstellung Ihres privilegierten Kontoprozesses die bewährte Methode, um mindestens zwei Notfallkonten zu erstellen, um sicherzustellen, dass Sie weiterhin Zugriff auf Microsoft Entra ID haben, wenn Sie sich selbst sperren.

Weitere Informationen finden Sie im Artikel Planen einer Privileged Identity Management Bereitstellung und Sichern des privilegierten Zugriffs.

Es ist wichtig, die verschiedenen Microsoft Entra Anwendungszustimmungserfahrungen, die Arten von Berechtigungen und Zustimmungen sowie ihre Auswirkungen auf den Sicherheitsstatus Ihrer Organisation zu verstehen. Es ist zwar von Vorteil, dass Benutzer selbstständig ihre Zustimmung geben können, um auf einfache Weise nützliche Anwendungen zu erwerben, die in Microsoft 365, Azure und andere Dienste integriert sind, doch kann dies ein Risiko darstellen, wenn es nicht sorgfältig verwendet und überwacht wird.

Microsoft empfiehlt, die Zustimmung des Benutzers einzuschränken, um die Zustimmung des Endbenutzers nur für Apps von bestätigten Herausgebern und nur für von Ihnen ausgewählte Berechtigungen zuzulassen. Wenn die Endbenutzereinwilligung eingeschränkt ist, werden zuvor erteilte Einwilligungen nach wie vor berücksichtigt, alle zukünftigen Einwilligungsvorgänge müssen jedoch von einem Administrator ausgeführt werden. Für bestimmte Fälle können Benutzer die Administratorzustimmung über einen integrierten Workflow zur Administratorzustimmungsanforderung oder über Ihre eigenen Supportprozesse anfordern. Bevor Sie die Endbenutzereinwilligung deaktivieren, lesen Sie unsere Empfehlungen für die Planung dieser Änderung in Ihrer Organisation. Ziehen Sie für Anwendungen, auf die Sie allen Benutzern Zugriff gewähren möchten, in Betracht, die Zustimmung im Namen aller Benutzer zu erteilen und dadurch sicherzustellen, dass Benutzer, die noch nicht einzeln zugestimmt haben, auf die App zugreifen können. Wenn Sie nicht möchten, dass diese Anwendungen allen Benutzern in allen Szenarien zur Verfügung stehen, verwenden Sie Anwendungszuweisung und bedingten Zugriff, um den Benutzerzugriff auf bestimmte Apps zu beschränken.

Stellen Sie sicher, dass Benutzer die Administratorgenehmigung für neue Anwendungen anfordern können, um die Benutzerreibung zu verringern, das Supportvolumen zu minimieren und benutzer daran zu hindern, sich für Anwendungen mit nicht Microsoft Entra Anmeldeinformationen anzumelden. Sobald Zustimmungsvorgänge reguliert werden, sollten Administratoren die App und die erteilten Berechtigungen regelmäßig überprüfen.

Weitere Informationen finden Sie im Artikel Microsoft Entra Consent Framework.

Schritt 3: Automatisieren der Reaktionen auf Bedrohungen

Microsoft Entra ID verfügt über viele Funktionen, die Angriffe automatisch abfangen, um die Latenz zwischen Erkennung und Reaktion zu entfernen. Sie können Kosten und Risiken verringern, indem Sie den Zeitraum verkürzen, in dem sich Angreifer in Ihrer Umgebung einnisten können. Im Folgenden finden Sie die konkreten Schritte, die Sie ausführen sollten.

Weitere Informationen finden Sie im Artikel Konfigurieren und Aktivieren von Risikorichtlinien.

Implementieren einer Richtlinie zum Anmelderisiko

Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Authentifizierungsanforderung vom Identitätsbesitzer nicht autorisiert wurde. Sie können eine risikobasierte Richtlinie für die Anmeldung implementieren, indem Sie Ihren Richtlinien für bedingten Zugriff eine Anmelderisikobedingung hinzufügen, die die Risikostufe für einen bestimmten Benutzer oder eine bestimmte Gruppe auswertet. Je nach Risikostufe (hoch/mittel/niedrig) kann eine Richtlinie so konfiguriert werden, dass sie den Zugriff sperrt oder eine mehrstufige Authentifizierung erzwingt. Wir empfehlen, dass Sie bei risikoreichen Anmeldungen ab „Mittel“ eine Multifaktor-Authentifizierung erzwingen.

Richtlinie für bedingten Zugriff, die MFA für Anmeldungen mit mittlerem und hohem Risiko voraussetzt

Implementieren einer Benutzerrisiko-Sicherheitsrichtlinie

Das Benutzerrisiko bezeichnet die Wahrscheinlichkeit, dass die Identität eines Benutzers gefährdet ist, und wird anhand der Benutzerrisikoerkennungen berechnet, die der Identität eines Benutzers zugeordnet sind. Sie können eine Richtlinie auf Benutzerrisikobasis implementieren, indem Sie Ihren Richtlinien für bedingten Zugriff eine Benutzerrisikobedingung hinzufügen, die die Risikostufe für einen bestimmten Benutzer auswertet. Basierend auf den Risikostufen Niedrig, Mittel, Hoch kann eine Richtlinie so konfiguriert werden, dass der Zugriff gesperrt oder eine sichere Passwortänderung mit Hilfe der Multifaktor-Authentifizierung verlangt wird. Microsoft empfiehlt, eine sichere Kennwortänderung für Benutzer, die hohem Risiko ausgesetzt sind, zu verlangen.

Richtlinie für bedingten Zugriff, die eine Kennwortänderung für Benutzer mit hohem Risiko voraussetzt

In der Benutzerrisikoerkennung ist eine Überprüfung enthalten, ob die Anmeldeinformationen des Benutzers mit Anmeldeinformationen übereinstimmen, die von Cyberkriminellen kompromittiert wurden. Um optimal zu funktionieren, ist es wichtig, die Kennwort-Hash-Synchronisierung mit Microsoft Entra Connect Sync einzurichten.

Integrieren Sie Microsoft Defender XDR mit Microsoft Entra ID Protection

Damit Identity Protection die bestmögliche Risikoerkennung durchführen kann, muss die Anwendung so viele Signale wie möglich empfangen. Daher ist es wichtig, die komplette Suite von Microsoft Defender XDR Services zu integrieren:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender für Cloud-Apps

Erfahren Sie mehr über Microsoft Threat Protection und die Bedeutung der Integration verschiedener Domänen im folgenden kurzen Video.

Einrichten von Überwachung und Warnung

Das Überwachen Ihrer Protokolle ist wichtig, um verdächtiges Verhalten zu erkennen. Das Azure-Portal verfügt über verschiedene Möglichkeiten, Microsoft Entra Protokolle in andere Tools wie Microsoft Sentinel, Azure Monitor und andere SIEM-Tools zu integrieren. Weitere Informationen finden Sie im Microsoft Entra Sicherheitsbetriebshandbuch.

Schritt 4: Nutzen von Cloud Intelligence

Die Überwachung und Protokollierung von sicherheitsbezogenen Ereignissen und die entsprechenden Warnungen sind grundlegende Komponenten einer effektiven Schutzstrategie. Sicherheitsprotokolle und Berichte bieten eine elektronische Aufzeichnung verdächtiger Aktivitäten und helfen Ihnen bei der Erkennung von Mustern, die auf versuchte oder erfolgreiche externe Eindringversuche in das Netzwerk und auf interne Angriffe hinweisen können. Sie können im Rahmen der Überwachung entsprechende Benutzeraktivitäten überwachen, die Einhaltung gesetzlicher Bestimmungen dokumentieren, forensische Analysen durchführen und vieles mehr. Warnungen benachrichtigen Sie bei Sicherheitsereignissen. Stellen Sie sicher, dass eine Protokollaufbewahrungsrichtlinie für Ihre Anmeldeprotokolle und Überwachungsprotokolle für Microsoft Entra ID vorhanden ist, indem Sie in Azure Monitor oder ein SIEM-Tool exportieren.

Microsoft Entra ID überwachen

Microsoft Azure Dienste und Features bieten Ihnen konfigurierbare Sicherheitsüberwachungs- und Protokollierungsoptionen, um Lücken in Ihren Sicherheitsrichtlinien und -mechanismen zu erkennen und diese Lücken zu beheben, um Verstöße zu verhindern. Sie können die Azure-Protokollierung und -Überprüfung sowie Audit-Aktivitätsberichte im Microsoft Entra-Verwaltungszentrum nutzen. Weitere Informationen zum Überwachen von Benutzerkonten, privilegierten Konten, Apps und Geräten finden Sie im Handbuch Microsoft Entra Security Operations.

Überwachen Microsoft Entra Connect Health in Hybridumgebungen

Monitoring AD FS mit Microsoft Entra Connect Health bietet Ihnen einen besseren Einblick in potenzielle Probleme und die Sichtbarkeit von Angriffen auf Ihre AD FS-Infrastruktur. Sie können jetzt ADFS-Anmeldungen anzeigen, um ihre Überwachung eingehender zu gestalten. Microsoft Entra Connect Health liefert Warnungen mit Details, Lösungsschritten und Links zu verwandten Dokumentationen; Nutzungsanalysen für mehrere Metriken im Zusammenhang mit Authentifizierungsdatenverkehr; Leistungsüberwachung und Berichte. Verwenden Sie das Risky IP WorkBook für ADFS, das Ihnen dabei hilft, die typische Verhaltensweise in Ihrer Umgebung zu identifizieren und Sie bei Änderungen zu benachrichtigen. Die gesamte Hybridinfrastruktur sollte als Ressource der Ebene 0 überwacht werden. Eine ausführliche Anleitung zur Überwachung dieser Ressourcen finden Sie unter Sicherheitsvorgänge für die Infrastruktur.

Überwachen von Microsoft Entra ID Protection Ereignissen

Microsoft Entra ID Protection bietet zwei wichtige Berichte, die Sie täglich überwachen sollten:

  1. Berichte zu riskanten Anmeldungen zeigen Benutzeranmeldeaktivitäten auf, die Sie untersuchen sollten, um festzustellen, ob der rechtmäßige Besitzer die Anmeldung vorgenommen hat.
  2. In Berichten zu riskanten Benutzern werden Benutzerkonten aufgedeckt, die möglicherweise kompromittiert sind, beispielsweise durch erkannte offengelegte Anmeldeinformationen oder die Anmeldung von verschiedenen Standorten aus, was zu einem unmöglichen Reiseereignis führt.

Übersichtsdarstellungen der Aktivitäten im Identitätsschutz im Azure-Portal.

Überwachen von Apps und Berechtigungen, denen zugestimmt wurde

Benutzer können zu einer gefährdeten Website oder App weitergeleitet werden, die Zugriff auf ihre Profilinformationen und Benutzerdaten (z. B. die E-Mail-Adresse) erlangt. Ein böswilliger Akteur kann mithilfe der Berechtigungen, denen zugestimmt wurde, Postfachdaten verschlüsseln und ein Lösegeld für die Herausgabe der Postfachdaten fordern. Administratoren sollten die Berechtigungen, die Benutzern gewährt werden, überprüfen und überwachen. Zusätzlich zum Überwachen der von Benutzern erteilten Berechtigungen können Sie risikobehaftete oder unerwünschte OAuth-Anwendungen in Premium-Umgebungen suchen.

Schritt 5: Aktivieren von Self-Service-Funktionen für Endbenutzer*innen

So weit wie möglich sollte Sicherheit mit Produktivität in Einklang gebracht werden. Wenn Sie mit der Einstellung an die Sache herangehen, dass Sie eine Grundlage für die Sicherheit schaffen, können Sie Reibungsverluste in Ihrem Unternehmen beseitigen, indem Sie Ihre Benutzer in die Lage versetzen, wachsam zu bleiben und gleichzeitig Ihre Betriebskosten zu senken.

"Selbstbedienungs-Kennwortzurücksetzung implementieren"

Die Self-Service-Kennwortzurücksetzung (SSPR) von Microsoft Entra ID bietet IT-Administratoren eine einfache Möglichkeit, Benutzern das Zurücksetzen oder Entsperren ihrer Kennwörter oder Konten ohne die Hilfe des Helpdesks oder eines Administrators zu ermöglichen. Das System verfügt über eine ausführliche Berichterstellung, die die Kennwortänderungen der Benutzer nachverfolgt, und Benachrichtigungen, um Sie bei missbräuchlicher Nutzung zu informieren.

Implementieren von Self-Service-Gruppen und Anwendungszugriff

Microsoft Entra ID kann es Nichtadministratoren ermöglichen, den Zugriff auf Ressourcen mithilfe von Sicherheitsgruppen, Gruppen von Microsoft 365, Anwendungsrollen und Zugriffspaketkatalogen zu verwalten. Über die Self-Service-Gruppenverwaltung können Gruppenbesitzer ihre eigenen Gruppen verwalten, ohne dass ihnen eine Administratorrolle zugewiesen sein muss. Benutzer können auch Microsoft 365 Gruppen erstellen und verwalten, ohne sich auf Administratoren verlassen zu müssen, um ihre Anforderungen zu verarbeiten, und nicht verwendete Gruppen laufen automatisch ab. Microsoft Entra Berechtigungsverwaltung ermöglicht die Delegierung und Sichtbarkeit durch umfassende Workflows für Zugriffsanfragen und automatisches Ablaufmanagement. Sie können Nicht-Administratoren die Möglichkeit geben, ihre eigenen Zugriffspakete für Gruppen, Teams, Anwendungen und SharePoint Online-Websites, die sie besitzen, zu konfigurieren, mit benutzerdefinierten Richtlinien, die festlegen, wer den Zugriff genehmigen muss, einschließlich der Festlegung von betrieblichen Managern und Partnersponsoren als Genehmigende.

Implementieren Microsoft Entra Zugriffsüberprüfungen

Mit Microsoft Entra Zugriffsüberprüfungen können Sie Zugriffspaket- und Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und privilegierte Rollenzuweisungen verwalten, um sicherzustellen, dass Sie einen Sicherheitsstandard beibehalten. Mit der regelmäßigen Überwachung durch die Benutzer selbst, durch Ressourcenbesitzer und durch andere Prüfer wird sichergestellt, dass Benutzer den Zugriff nicht über längere Zeiträume beibehalten, wenn sie ihn nicht mehr benötigen.

Automatische Benutzerbereitstellung implementieren

Die Bereitstellung und die Aufhebung der Bereitstellung sind die Prozesse, mit denen die Einheitlichkeit (Konsistenz) digitaler Identitäten für mehrere Systeme sichergestellt wird. Diese Prozesse werden häufig im Rahmen des Identity Lifecycle Management genutzt.

Bei dem Bereitstellungsprozess geht es um die Erstellung einer Identität in einem Zielsystem basierend auf bestimmten Bedingungen. Die Entprovisionierung ist der Vorgang, bei dem die Identität aus dem Zielsystem entfernt wird, wenn die Bedingungen nicht mehr erfüllt sind. Die Synchronisierung ist der Prozess, mit dem das bereitgestellte Objekt auf dem aktuellen Stand gehalten wird, damit das Quell- und das Zielobjekt gleich sind.

Microsoft Entra ID bietet derzeit drei Bereiche der automatisierten Bereitstellung. Es sind:

  • Bereitstellung von einem externen nicht verzeichnisgesteuerten Datensatzsystem zum Microsoft Entra ID über HR-gesteuerte Bereitstellung
  • Bereitstellung von Microsoft Entra ID in Anwendungen über App-Bereitstellung
  • Bereitstellung zwischen Microsoft Entra ID und Active Directory-Domänendiensten über eine verzeichnisübergreifende Bereitstellung

Weitere Informationen finden Sie hier: Was ist die Bereitstellung mit Microsoft Entra ID?

Zusammenfassung

Bei sicheren Identitätsinfrastrukturen gilt es eine Vielzahl von Aspekten zu berücksichtigen, aber mit den fünf Schritten dieser Checkliste können Sie schnell eine sicherere Infrastruktur erzielen:

  • Stärken Sie Ihre Zugangsdaten.
  • Verringern Sie die Angriffsfläche.
  • Automatisieren Sie die Reaktion auf Bedrohungen.
  • Nutzen Sie Cloud Intelligence.
  • Aktivieren Sie den Self-Service für Endbenutzer.

Wir freuen uns, dass Sie die Sicherheit so ernst nehmen, und hoffen, dass Sie mithilfe des vorliegenden Dokuments den Sicherheitsstatus Ihrer Organisation stärken können.

Nächste Schritte

Wenn Sie Hilfe benötigen, um die Empfehlungen zu planen und bereitzustellen, lesen Sie die Microsoft Entra ID-Projektbereitstellungspläne um Hilfe zu erhalten.

Wenn Sie sicher sind, dass alle diese Schritte abgeschlossen sind, verwenden Sie Microsofts Identity Secure Score, die Sie mit den neuesten bewährten Methoden und Sicherheitsbedrohungen auf dem neuesten Stand hält.

  • Last updated on