:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ressourcenzugriff in Azure AD sichern - Hackerangriffe abwehren Privileged Identity Management in Azure AD und Microsoft 365
Privileged Identity Management (PIM) schützt Ressourcen und Benutzerkonten in Azure AD und damit auch in Microsoft 365 oder Endpoint Manager. Mit der Technik lassen sich Angriffe auf privilegierte Benutzerkonten weitgehend verhindern.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die Verwaltung der Benutzerkonten in Azure AD spielt natürlich vor allem bezüglich des Schutzes von privilegierten Konten eine Rolle. Dabei handelt es sich vor allem um den Benutzerkonten, die mehr Rechte in der Umgebung haben als normale Benutzerkonten. Es geht daher vor allem um Adminkonten oder Konten von Support-Mitarbeitern und Benutzern mit weitreichenden Berechtigungen.
Tipps zum Privileged Identity Management in Azure AD und Microsoft 365 zeigen wir in der Bildergalerie!
:quality(80)/images.vogel.de/vogelonline/bdb/1934900/1934912/original.jpg "Azure AD Privileged Identity Management lässts ich im Azure-Portal verwalten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1934900/1934913/original.jpg "In den Einstellungen von Azure AD Privileged Identity Management stehen zentral alle Funktionen zur Verfügung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1934900/1934914/original.jpg "Verwalten der Rollen in Azure AD Privileged Identity Management.")
:quality(80)/images.vogel.de/vogelonline/bdb/1934900/1934915/original.jpg "Zuweisungen in Azure AD Privileged Identity Management.")
Darum ist der Einsatz von Privileged Identity Management sinnvoll und das kostet der Dienst
Der Schutz von Benutzerkonten mit erhöhten Rechten ist ein wichtiger Faktor für mehr Sicherheit in Clouddiensten. Dadurch steigt auch die Sicherheit der verschiedenen Ressourcen in Microsoft 365 und anderen Clouddiensten. Es gibt in jeder Umgebung Benutzer, die Zugriff auf besonders viele Ressourcen oder komplette Anwendungen haben.
Dabei stellt sich die Frage, ob die jeweiligen Benutzerkonten diese Rechten dauerhaft benötigen, oder nur bei bestimmten Aufgaben und zu speziellen Zeiten. In den meisten Fällen sind die Rechte nur selten umfassend notwendig. Es macht also Sinn diese Rechte für die Benutzerkonten dann einzuschränken, wenn sie diese Rechte nicht benötigen. Selbst, wenn ein Adminkonto durch Angreifer erfolgreich übernommen wurden, sind in diesem Fall die Ressourcen geschützt, da das Konto seine Rechte nicht ausführen kann.
Der Schutz der Adminkonten ist die Aufgabe von Azure AD Privileged Identity Management (PIM). Dieser Dienst schützt Konten in Microsoft Azure, Microsoft 365 und auch in Diensten, wie Microsoft Endpoint Manager. Können Angreifer Konten in Infrastrukturen mit diesen Diensten übernehmen, können sie meistens weitreichende, schädliche Aktionen durchführen, bis hinein in das lokale Rechenzentrum. PIM schützt dadurch auch Clouddienste wie Exchange Online, SharePoint Online und auch alle anderen Dienste und Ressourcen, die Unternehmen in Microsoft Azure und Microsoft 365 nutzen.
Für die Verwendung von Azure AD PIM benötigen Unternehmen eine Lizenz für Azure AD Premium P2. Wie die Lizenzierung genau aussieht zeigt Microsoft auf der Seite „Lizenzanforderungen für die Verwendung von Privileged Identity Management“.
Azure AD Privileged Identity Management verwalten
Die Verwaltung von Azure AD PIM erfolgt im Azure-Portal. Dieses wird über die URL https://portal.azure.com erreicht. Über die Suche nach „Azure AD Privileged Identity Management“ im Portal öffnet sich die Verwaltungsoberfläche für den Dienst, mit dem sich Zugriffe in Microsoft Azure und Microsoft 365 sowie Microsoft Endpoint Manager steuern lassen.
Auf der Seite zur Verwaltung des Dienstes sind mit „Azure AD-Rollen“ die verschiedenen Rollen zu sehen sowie die Möglichkeit diese Rollen zu schützen. Durch Anklicken von „Rollen“ sind die einzelnen Rollen zu sehen, die Rechte in der Umgebung haben Verwaltungsaufgaben durchzuführen.
Am Beispiel von Exchange Online spielt hier zum Beispiel die Rolle „Exchange-Administrator“ eine wichtige Rolle. Benutzer mit dieser Rolle können nahezu alle Einstellungen in Exchange Online verwalten. Durch einen Klick auf die Rolle, zeigt das Azure-Portal die verschiedenen Verwaltungsmöglichkeiten für diese Rolle an.
Um Benutzerkonten in Azure AD und damit auch in Microsoft 365 und Endpoint Manager zu einer Rolle hinzuzufügen, reicht ein Klick auf „Zuweisungen hinzufügen“ bei „Rollen“ aus. Danach kann bei „Rolle auswählen“ die gewünschte Rolle ausgewählt werden. Bei „Mitglieder auswählen“ können danach die Benutzuerkonten zu der Rolle hinzugefügt werden, die in Zukunft Exchange Online oder andere Ressourcen verwalten sollen, aber durch PIM geschützt sind.
Tipps zum Privileged Identity Management in Azure AD und Microsoft 365 zeigen wir in der Bildergalerie!
Zugriffszeiten und -Szenarien steuern
Wenn die Rolle ausgewählt und die Mitglieder hinzugefügt wurden, besteht der nächste Schritt darin festzulegen, wie der Zugriffstyp für die Rolle sein soll. Neben der Genehmigung für Verwaltungszugriffe ist es an dieser Stelle auch möglich die Zeiten zu steuern, an denen Benutzerkonten überhaupt erst Berechtigungen zur Verwaltung erhalten sollen. Über „Zuweisen“ wird aber zunächst die Mitgliedschaft gespeichert. In den Einstellungen der Rolle lassen sich jederzeit neue Mitglieder hinzufügen und auch Mitglieder wieder entfernen. Beim Hinzufügen erhalten die Mitglieder automatisch eine E-Mail zugestellt, in der sie auch Informationen zur Rolle erhalten.
Nach dem Aufrufen der Rolle sind die Mitglieder zu sehen und es ist mit „Einstellungen“ auch möglich weitere Anpassungen vorzunehmen. Im oberen Bereich der Details kann die Anpassung über „Bearbeiten“ gestartet werden. An dieser Stelle ist es zum Beispiel möglich auch das Benutzerkonto zu definieren, das den Verwaltungszugriff für die Benutzer der Rolle genehmigt.
In den Einstellungen für die Rollenverwaltung lässt sich festlegen, wie lange der Zugriff erlaubt sein soll, wenn die genehmigende Person den Zugriff gestattet hat. Außerdem kann hier auch festgelegt werden, dass für den Zugriff auf die Rechte der Rolle immer Multifaktor-Authentifizierung notwendig ist. Diese Technik sollte aber ohnehin generell für alle Benutzerkonten in Azure AD und Microsoft 365 genutzt werden.
Über die Schaltflächen im unteren Bereich lassen sich danach weitere Einstellungen vornehmen, zum Beispiel ob ein Anwender dauerhafte Rechte erhält, oder wann Rechte ablaufen sollen. In den Einstellungen ist es auch möglich E-Mails zu versenden, wenn ein Benutzer die Rolle anfordert und erhält.
So fordern Administratoren die Rollen an
Sobald die Anpassungen vorgenommen wurden, kann bei „Schnellstart“ im Azure AD Portal bei der Verwaltung von PIM mit „Ihre Rolle aktivieren“ den Zugriff über die Rolle durchführen. Hier sehen die Admins die Rollen, für die sie berechtigt sind und können den Zugriff aktivieren. Bei der Aktivierung muss der Admin auch eine Begründung eingeben. Sobald der Administrator den Zugriff beantragt, erhält der genehmigende Benutzer eine E-Mail, in welcher er den Zugriff freischalten kann. Das Freischalten kann aber auch direkt im Azure-Portal bei der Verwaltung der Azure AD-Rollen erfolgen. Sobald der Zugriff genehmigt ist, erhält der Admin eine E-Mail, dass seine Anfrage genehmigt wurde. Alle Vorgänge sind in Microsoft Azure auch in der Überwachung nachvollziehbar.
Tipps zum Privileged Identity Management in Azure AD und Microsoft 365 zeigen wir in der Bildergalerie!
(ID:48022713)
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952426/original.jpg "Mit Azure Conditional Access lassen sich Benutzerkonten, Gruppen und die Anmeldungen an Azure absichern. (everythingpossible - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1916800/1916884/original.jpg "Mit diesen 10 Tipps wird die Verwendung von Microsoft Azure sicherer. (Connect world - stock.adobe.com)")