:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/70/1670e0b2f524899b0af813ce4105f882/0111866524.jpeg "Die Forscher des 32Guards-Research-Teams registrierten besonders im Juli 2022 und Ende Oktober 2022 ein erhöhtes Spam-Aufkommen. Besonders ruhig war es dagegen – wie auch in den Vorjahren – in den ersten beiden Januarwochen. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/3f/623fb0e26fafb675966311f8f170b3fd/0111189652.jpeg "Unter Security-as-a-Service (SECaaS) versteht man die Verlagerung von Sicherheitsprozessen in die Cloud mit Sicherheitslösungen als Service einer Cloud-Plattform. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/4a/a94a6bb011745090ce53140a6ed498eb/0111343516.jpeg "Die EU will im Kampf gegen Kindesmissbrauch digitale Datenaustauschdienste lückenlos überwachen – und verstößt damit nach Expertenmeinung gegen das deutsche Recht auf informationelle Selbstbestimmung. (Bild: rolffimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d0/e8d089e2fef18a46c1dba398f3895447/0111885922.jpeg "Warum die Kombination von Cyber-Sicherheit und Cyber-Versicherung unerlässlich ist, erklären Vincent Weafer, CTO und Oliver Delvos, Head of International, bei Corvus Insurance. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/be/6bbe1379fb9763b7043275abaf6d5e9f/0112127544.jpeg "Die Cloud hatte großen Einfluss auf die Backup-Branche. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit in der Microsoft Cloud mit Azure AD Conditional Access Authentifizierung mit Richtlinien in Azure AD und Microsoft 365 steuern
Unternehmen, die sich für Azure AD Premium P2 entscheiden, haben vor allem Zugriff auf mehr Sicherheitsfunktionen. Dazu gehören Erkennung von Schwachstellen und riskanten Konten, Untersuchung von Risikoereignissen und risikobasierte Richtlinien für bedingten Zugriff auf Azure-Ressourcen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Im Fokus von Azure AD Premium P2 stehen vor allem die Sicherheitserweiterungen für Azure AD. Dabei handelt es sich um Funktionen zur Absicherung der Benutzerkonten, Gruppen und die Anmeldungen an Azure. Azure Identity Protection ist ein Feature in Azure AD Premium P2 und auch der bedingte Zugriff (Azure Conditional Access) sind ein Bestandteil von Azure AD Premium P2. Die Technik arbeitet auch mit MDM-Systemen zusammen und kann daher den Sicherheitszustand und die Position der Endgeräte in das Anmeldeverhalten und Berechtigungssystem mit einbeziehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952407/original.jpg "Azure Identity Protection und Conditional Access arbeiten in Azure AD Premium P2 perfekt zusammen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952408/original.jpg "Erstellen für Richtlinien bei Azure Identity Protection, parallel zu den Richtlinien von Conditional Access.")
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952409/original.jpg "Erkennen von gefährdeten Benutzeranmeldungen mit Azure Identity Protection.")
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952410/original.jpg "Definieren einer Anmelderisiko-Richtlinie in Azure Identity Protection.")
Die Konformitätsregeln des MDM-Systems können im Unternehmen auf dieser Basis auch als Grundlage für Richtlinien zum bedingten Zugriff in Microsoft 365 und für andere Azure-Ressourcen zum Einsatz kommen. Hierüber lassen sich Geräte mit iOS/iPadOS und Android über ein externes MDM an Microsoft Endpoint Manager anbinden und gemeinsam mit Computern auf Basis von Windows 10 und Windows 11 sicher betreiben. Auch macOS lässt sich über diesen Weg steuern. Erfüllt ein Endgerät nicht die Bedingungen für das Anmelden an einer Ressource, verweigert Azure AD den Zugriff auf Basis der Richtlinien, die im MDM-System hinterlegt sind und auf Conditional Access aufbauen.
Conditional Access - Moderne Authentifizierung in Azure AD nutzen
Im Azure-Portal kann bei „Bedingter Zugriff“ im Menüpunkt "Azure Active Directory\Sicherheit“ festgelegt werden, wie die Anmeldung an Clouddiensten von Microsoft erfolgen soll, wenn sich Anwender nicht im internen Netzwerk befinden, sondern sich von außerhalb anmelden. Auch Maßnahmen für die mehrstufige Authentifizierung lassen sich hier festlegen, genauso wie Einstellungen für Computer, die Mitglied in Azure AD sind. Über „Neue Richtlinien“ werden neue Richtlinien erstellt, mit denen das Anmeldeverhalten überprüft und geschützt werden kann. Dazu ist der Zugriff auf Azure AD Premium P2 notwendig.
Über den Menüpunkt „Bedingter Zugriff“ kann daher festgelegt werden, welche Bedingungen ein Rechner erfüllen muss, um Zugriff auf Ressourcen zu erhalten. Dadurch können Administratoren festlegen, von wo Anwender das Recht erhalten sich mit Ressourcen zu verbinden. Auch VPN-Konfigurationen können hier gesteuert werden. Bestimmte IP-Adressen und -bereiche können für den Zugriff als vertrauenswürdig deklariert werden.
Über das Azure AD Admin Center-Portal können Administratoren mit dem Menüpunkt "Anmeldeprotokolle" bei "Benutzer" überprüfen, wann sich Benutzer wo angemeldet haben. Auch die IP-Adresse, von der die Anmeldung gekommen ist, zeigt das Portal an, genauso wie die Verwendung der Multifaktor-Authentifizierung. Der Standort der Anmeldung und die Verwendung des bedingten Zugriffs (Conditional Access) sind an dieser Stelle zu sehen. Hier ist auch zu sehen ob die Anmeldung erfolgreich war. Viele erfolglose Anmeldungen deuten auf einen Angriff auf ein Benutzerkonto hin.
Das sind die Quellen die Conditional Access nutzen kann
Standardmäßig kann Conditional Access verschiedene Signale auslesen, um auf Basis dieser Informationen die Anmeldung zu steuern. Dabei gibt es im Grunde genommen drei Möglichkeiten. Die Richtlinien können die Anmeldung an Azure AD und die Verwendung bestimmter Apps erlauben, blockieren, oder Multifaktor-Authentifizierung erzwingen. Als Grundlage dazu dienen folgende Informationen:
- Richtlinien können an Benutzer und Gruppen zugewiesen sein.
- Organisationen können IP-Adressbereiche definieren, die bei Richtlinienentscheidungen eine Rolle spielen.
- Administratoren können IP-Bereiche für ganze Länder/Regionen festlegen, um den Datenverkehr zu blockieren oder zuzulassen.
- Benutzer mit Geräten bestimmter Plattformen oder mit einem bestimmten Status können bei der Durchsetzung von Richtlinien für bedingten Zugriff verwendet werden.
- Benutzer, die versuchen, auf bestimmte Anwendungen zuzugreifen, können verschiedene Richtlinien für bedingten Zugriff auslösen.
Diese Signale lassen sich auch in Azure AD Identity Protection nutzen, um riskante Benutzeranmeldungen zu steuern. Azure AD Identity Protection ist ein Feature, das Microsoft ab der P2-Lizenz von Azure AD integriert hat. Im Fokus des Features steht das Erkennen von Angriffsversuchen auf Benutzerkonten in Azure AD.
Dabei spielt es keine Rolle, ob die Benutzerkonten direkt in Azure AD angelegt wurde, oder durch Azure AD von lokalen AD-Umgebungen zu Azure AD synchronisiert wurden. Mit Azure AD Identity Protection können Unternehmen die Benutzerkonten ihrer Anwender ein Stück weit vor Angriffe von Hackern und Malware schützen, zusammen mit Conditional Access.
Bedintger Zugriff einrichten: Conditional Access in der Praxis
Mit dem bedingten Zugriff, auch Conditional Access genannt, können Admins also festlegen, welche Bedingungen Anwender und deren Geräte erfüllen müssen, damit sie sich anmelden dürfen und Zugriff auf Ressourcen in der Cloud haben, zum Beispiel in Microsoft 365 oder Microsoft Azure. Den Zustand der Endgeräte prüfen Lösungen wie Microsoft Endpoint Manager oder MDM-Systeme. Es ist auch möglich MDM-Systeme von anderen Herstellern an Microsoft Endpoint Manager anzubinden.
Die Konfiguration des bedingten Zugriffs erfolgt danach über das Azure-Portal bei „Bedingter Zugriff“ im Menüpunkt "Azure Active Directory\Sicherheit“. Für die Einrichtung brauchen Sie ein Abonnement von Azure AD Premium P2, ein P1-Abonnement reicht für die Verwendung des bedingten Zugriffs (Conditional Access) nicht aus. Haben Sie noch kein Abonnement im Einsatz können Sie im Azure-Portal aber ein Test-Abonnement auf Basis Ihrer Umgebung abschließen. Sobald ein Abonnement für Azure AD Premium P2 vorliegt, können Sie mit "Neue Richtlinien" die Richtlinien für Ihre Umgebung erstellen und den Benutzern zuweisen.
Basis der Richtlinien sind If- und Then-Regeln. In die Entscheidungsfindung wird dabei auch Position und Sicherheitszustand des Endgerätes mit einbezogen, das wiederum über ein MDM-System abgebunden ist. Das kann ein internes System wie Microsoft Endpoint Manager sein oder ein externes, wie ein MDM-System. Hier sollte aber eine Anbindung an Microsoft Endpoint Manager erfolgen.
(ID:48195646)
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947176/original.jpg "Mit Azure AD Identity Protection bietet Microsoft Unternehmen eine Lösung um Angriffsversuche auf Benutzerkonten im Azure Active Directory zu erkennen. (Amgun - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1916800/1916884/original.jpg "Mit diesen 10 Tipps wird die Verwendung von Microsoft Azure sicherer. (Connect world - stock.adobe.com)")