:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Azure AD und Enhanced Security Admin Environment Active-Directory-Schutz: Zero-Trust & Rapid Modernization Plan
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/6c/646ccbe6c1853/microsoft.png "microsoft (Microsoft)")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Bisher hat Microsoft das Enhanced Security Admin Environment für die Maximierung der AD-Sicherheit empfohlen. Mittlerweile gilt das nicht. Zero-Trust, Privileged-Access-Strategy und der Rapid Modernization Plan sind für aktuelle Herausforderungen wesentlich besser geeignet.
Beim Einsatz von Active Directory in reinen On-Premises-Umgebungen war bisher der „Enhanced Security Admin Environment“-Ansatz der empfohlene Weg, die Sicherheit im Netzwerk zu gewährleisten. Dabei kamen Admin-Forest, Red Forests und Gehärtete Forests zum Einsatz.
Bei diesem Vorgang werden die einzelnen Server und Verwaltungs-Stationen in Tier-Modelle untergliedert. Wir haben diesen Ansatz, zusammen mit anderen Technologien für mehr Sicherheit in AD im Beitrag "Ist Ihr Active Directory auf Angriffe vorbereitet?" behandelt.
:quality(80)/p7i.vogel.de/wcms/9f/77/9f7794e1077c3711ddca911c9b9dc163/0112775165.jpeg "Privileged Access Management schützt Adminkonten in Azure AD vor Sicherheitsgefahren.")
:quality(80)/p7i.vogel.de/wcms/8f/d8/8fd8fc314234f4a2ea5e1e5550b3117d/0112775155.jpeg "Definieren und überwachen von Rollen für die Verwaltung in AD. Dafür ist ein Azure AD Premium P2 oder EMS E5-Abonnement notwendig.")
:quality(80)/p7i.vogel.de/wcms/7e/d8/7ed880c83a4f387fd87658f77ffd13c6/0112775158.jpeg "Privileged Access Workstations sind auch im Rahmen der modernen Privileged Access Strategy von Microsoft ein wichtiger Pfeiler für mehr Sicherheit.")
:quality(80)/p7i.vogel.de/wcms/8b/8c/8b8cea0863217c382c8b719b95cb2c0c/0112775157.jpeg "Azure AD Identity Protection benötigt ebenfalls ein Abonnement von Azure AD Premium P2 oder EMS E5 und ist wesentlicher Bestandteil der Privileged Access Strategy.")
Azure AD erfordert in Verbindung mit On-Premises-AD einen neuen Ansatz
Dieser Ansatz bietet immer noch genügend Sicherheit, wenn das Active Directory On-Premises zum Einsatz kommt, also keine Synchronisierung mit Azure AD im Einsatz ist. Sobald parallel zu AD auch Azure AD genutzt wird, reicht dieser klassische „Enhanced Security Admin Environment“-Ansatz nicht mehr aus. Microsoft empfiehlt stattdessen, auf Zero-Trust und eine Privileged Access Strategy zu setzen.
Die Umsetzung erfolgt mit dem Rapid Modernization Plan (RAMP). Dieser hilft dabei, hochsichere AD-Umgebungen auf einen neuen Stand zu bringen und AD-Umgebungen zu modernisieren, indem die Privileged Access Strategy zum Einsatz kommt. Der klassische Enhanced-Security-Admin-Environment-Ansatz wird dabei aufgelöst.
Mit Rapid Modernization Plan zur Privileged Access Strategy
Unabhängig davon, ob im Netzwerk Enhanced Security Admin Environment zum Einsatz kommt, oder noch keine Absicherung erfolgt, lässt sich durch den Rapid Modernization Plan die Privileged Access Strategy im Netzwerk umsetzen. Dabei schützt die Struktur das lokale Active Directory On-Premises genauso, wie die Benutzerkonten in Azure AD.
Für die Umsetzung muss explizit keine neue AD-Gesamtstruktur aufgebaut werden. Privileged Access Strategy sorgt dafür, dass bereits existierende AD-Umgebungen sicherer werden und Einfallstore für Cyberkriminelle geschlossen werden. Im Fokus steht dabei der Schutz vor Phishing und schlussendlich auch vor Ransomware oder anderer Cyberattacken.
RAMP und Privileged Access Strategy
Im Fokus von RAMP steht der Zero-Trust-Ansatz und die vollständige Umsetzung einer Privileged Access Strategy. Das System schützt dabei nicht nur AD und Azure AD, sondern auch kritische Geschäftsanwendungen, die sich dabei durchaus auch in anderen Cloud-Umgebungen befinden können. Ein wichtiger Faktor bei RAMP ist der kompromisslose Schutz von privilegierten Benutzerkonten, also Konten mit besonders hohen Rechten.
Notfallkonten beachten
Wichtig bei der Umsetzung ist es, dass sich Administratoren nicht versehentlich selbst von der Umgebung aussperren. Das ist vor allem in Cloud-Infrastrukturen mit Azure, Microsoft 365, AWS oder Google Cloud Platform (GCP) schnell passiert. Notfallkonten sind daher bei RAMP einer der ersten Punkte, die es abzuhaken gilt, bevor die Admin-Konten so stark abgesichert werden, dass Admins selbst nicht mehr auf die Umgebung gelangen. Wir haben die Vorgehensweise für Azure AD und Microsoft 365 dazu im Beitrag "Break Glass Account in Microsoft 365 – Notfallzugriff für Microsoft 365 einrichten" behandelt, inklusive Video zur Einrichtung.
Azure AD Privileged Identity Management und Azure AD Identity Protection
Um privilegierte Konten zu schützen, kommt in Azure AD Privileged Identity Management zum Einsatz. Diese Funktion wird in Azure AD aktiviert. Für die Verwendung ist ein Abonnement von Azure AD Premium P2 oder Enterprise Mobility + Security E5 notwendig. In diesem Zusammenhang kann es sinnvoll sein, parallel noch auf Just-in-Time zu setzen. Dabei erhalten die jeweiligen privilegierten Benutzerkonten nur so lang genau die Rechte, wie für die jeweilige Aufgabe notwendig ist. Danach entfernt das System die Rechte wieder vom Benutzerkonto.
Parallel dazu sieht RAMP den Einsatz von Azure AD Identity Protection vor. Dadurch lassen sich Probleme bezüglich der Sicherheit in Anmeldekonten erkennen. Die gefundenen Probleme sollten unverzüglich beseitigt werden.
Lokale Konten in Active Directory schützen
Da bei Privileged Access Strategy davon ausgegangen wird, dass On-Premises Active Directory zusammen mit Azure AD zum Einsatz kommt, muss noch die Absicherung der lokalen Konten erfolgen. Hier gibt es generell ähnliche Ansätze, wie bei Enhanced Security Admin Environment.
Für die Verwaltung der Umgebung dürfen nur speziell abgesicherte Arbeitsstationen zum Einsatz kommen. Die Privileged Access Workstations (PAW) dienen ausnahmslos der Verwaltung der Umgebung. Die Anmeldung an den PAW erfolgt wiederum nur mit Benutzerkonten, die explizit dafür erstellt wurden. Bei diesem Ansatz ist es besonders wichtig zu beachten, dass alle Benutzer, die über Adminrechte in der Umgebung verfügen sollen, mindestens zwei Benutzerkonten erhalten. Ein Benutzerkonto dient der Arbeit des Benutzers in der Umgebung, das zweite Konto dient ausschließlich der Verwaltung und darf auch nur auf Privileged Access Workstations zum Einsatz kommen. Dabei ist es zusätzlich wichtig, dass jeder Benutzer ein eigenes Admin-Konto erhält. Dieser Sicherheitsansatz sieht es keinesfalls vor, dass sich mehrere Admin-Benutzer ein gemeinsames Admin-Konto teilen.
Microsoft Defender for Identity schützt Azure AD und On-Premises-AD
Um die Identitäten in der Cloud und im lokalen AD zu schützen, kommt Microsoft Defender for Identity zum Einsatz. Der Dienst überwacht und schützt Benutzerkonten in Active Directory On-Premises und parallel dazu die privilegierten Konten in Azure AD.
Microsoft Defender for Identity ist dabei zentrales Element von RAMP und der Privileged Access Strategy. Der Dienst scannt laufend das Netzwerk und erkennt verdächtige Aktionen von privilegierten Benutzerkonten.
Multifaktor-Authentifizierung und kennwortloses Anmelden
Parallel dazu ist die Aktivierung von MFA sowie das kennwortlose Anmelden von Benutzerkonten ein wichtiger Faktor in RAMP und Privileged Access Strategy. Das schützt die Benutzerkonten mit Bordmitteln noch besser.
:quality(80)/p7i.vogel.de/wcms/75/a1/75a126f7409bcd380588ad6d1f6cda62/0112825909.jpeg "Zur Absicherung von Netzwerken sollte man erst dann über die Einführung von speziellen Security-Tools nachdenken, wenn alle Bordmittel ausgeschöpft und die Grundlagen priviligierter Benutzerkonten umgesetzt sind. (Bild: © deagreez - stock.adobe.com)")
Mehr Sicherheit im Netzwerk durch den Schutz privilegierter Konten
Privileged Access Strategy: So sichern Sie Active Directory ab
:quality(80)/p7i.vogel.de/wcms/f8/18/f81851912b98f8d7f29e39e90d56b939/0112931765.jpeg "Admins, die ihre Arbeitsstationen und Management-Arbeitsplätze gut abgesichert haben, haben auch gut lachen. (Bild: © deagreez - stock.adobe.com)")
Schutz von Active Directory gegen Cyberkriminelle
Sichere Admin-Arbeitsstationen für ein sicheres AD
:quality(80)/p7i.vogel.de/wcms/a4/34/a434eff95903ac0c8e73adece94070b8/0108722615.jpeg "PingCastle ist ein wertvolles Tool, um Sicherheitslücken in Active Directory zu erkennen und zu schließen. (Bild: PingCastle)")
Im Kampf gegen Tools wie Bloodhound, Mimikatz & Co.
Ist Ihr Active Directory auf Angriffe vorbereitet?
:quality(80)/p7i.vogel.de/wcms/08/1d/081d2782cd356aac3df6a3608252df2b/0109723025.jpeg "Konten für die Notfallanmeldung können auch bei Microsoft 365 schnell zum Retter in der Not werden. (Bild: alswart - stock.adobe.com - Microsoft)")
Video-Tipp: Break Glass Account in Microsoft 365
Notfallzugriff für Microsoft 365 einrichten
(ID:49650812)
:quality(80)/p7i.vogel.de/wcms/27/c8/27c894a6b735f36217026e68d68b4a32/0112931765.jpeg "Admins, die ihre Arbeitsstationen und Management-Arbeitsplätze gut abgesichert haben, haben auch gut lachen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/14/a5/14a5a8f9760d919d39a2332bb2ce9f95/0112825909.jpeg "Zur Absicherung von Netzwerken sollte man erst dann über die Einführung von speziellen Security-Tools nachdenken, wenn alle Bordmittel ausgeschöpft und die Grundlagen priviligierter Benutzerkonten umgesetzt sind. (Bild: © deagreez - stock.adobe.com)")