:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Privileged Identity Management für die Cloud Sichere Admin-Konten mit Azure AD PIM
Angriffe auf Netzwerke und Cloud-Dienste sind besonders dann gefährlich, wenn privilegierte Benutzerkonten, beispielsweise von Administratoren, kompromittiert werden. Diese Konten müssen also besonders geschützt werden, vor allem in der Cloud. Microsoft Azure Active Directory Privileged Identity Management ist ein Verwaltungstool, das hierbei helfen kann
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Gerade bei der Nutzung von Cloud-Diensten müssen privilegierte Benutzerkonten besonders geschützt werden. Microsoft bietet dazu mit Azure Active Directory Privileged Identity Management eine Verwaltungslösung für den Umgang mit Admin-Konten an. So wie in herkömmlichen AD-Strukturen, sollten auch in Azure Active Directory wichtige Admin-Konten nur für die notwendigen Aufgaben verwendet werden und die Verwendung dieser Konten so stark wie möglich eingeschränkt werden.
Just-in-Time-Administration in Azure und Windows Server 2016
Microsoft hat in Windows Server 2016 mit Just-in-Time-Administration ein Feature eingeführt, mit dem sich privilegierte Benutzerkonten besser schützen lassen. Dadurch kann festgelegt werden, dass Administrator-Konten nur für fest definierte Aufgaben und einen bestimmten Zeitraum genutzt werden dürfen.
:quality(80)/images.vogel.de/vogelonline/bdb/1297900/1297990/original.jpg "Azure Active Directory Privileged Identity Management wird über das Azure-Portal aktiviert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1297900/1297991/original.jpg "In PIM lassen sich die verschiedenen Rechte der Administratoren effizient überwachen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1297900/1297992/original.jpg "Alle Rollen und Anfragen werden zentral im Web-Portal verwaltet.")
:quality(80)/images.vogel.de/vogelonline/bdb/1297900/1297993/original.jpg "Die zugewiesenen Rollen und die Dauer der Zuweisung lässt sich jederzeit überprüfen.")
In Microsoft Azure Active Directory gibt es mit Privileged Identity Management (PIM) ähnliche Funktionen. Mit diesem Dienst lässt sich auch der Zugriff auf Office 365 und Microsoft Intune. Mit Privileged Identity Management kann auch überprüft werden, welche privilegierte Konten es in einem AAD gibt und welche Konten Verwaltungszugriff auf Dienste wie Office 365 und Intune haben. Außerdem kann PIM Berichte über alle Änderungen erstellen, die durch Administratoren vorgenommen wurden. Außerdem können Alarme definiert werden, die PIM auslöst, sobald ein Administrator-Konto in Microsoft Azure verwendet wird.
So funktioniert PIM
Wenn PIM für ein Azure-Abonnement aktiviert wird, können Benutzerkonten, die administrative Rechte für eine Aufgabe benötigen, für eine Zeitlang diese Rechte erhalten. Sobald der Dienst aktiviert wurde, können permanente Administratorkonten und temporäre zentral im Azure-Portal überwacht werden. Die Aktivierung erfolgt über den Menüpunkt „Weitere Dienste“ im Azure-Portal.
Sobald der Dienst im Portal aktiviert wurde, kann er entweder über das Web-Portal von Microsoft Azure verwaltet werden, oder Administratoren nutzen das Azure AD Privileged Identity Management-PowerShell-Modul.
Die Verwaltung und Einrichtung erfolgt über die verschiedenen Menüpunkte im Unterpunkt „Privileged Identity Management“. Hier können Administratoren die verschiedenen Rollen verwalten und Administrator-Anforderungen genehmigen und überwachen.
:quality(80)/images.vogel.de/vogelonline/bdb/1275900/1275925/original.jpg "Je größer ein Active Directory ist, desto sinnvoller ist der Einsatz einer sicheren Verwaltungsumgebung. (Igor Stevanovic- Bits And Splits - stock.adobe.com)")
Just-In-Time-Administration (JIT)
Sichere Benutzerkonten in Windows Server 2016
Administratorrollen mit PIM verwalten
Über „Meine Rollen“ ist zu sehen welche Administratoren die einzelnen Rollen nutzen und welche Administrator-Anfragen genehmigt wurden. Für die Verwaltung der Adminrollen in Microsoft Azure stehen die beiden neuen Rollen „Sicherheitsadministrator“ und „Administrator für privilegierte Rollen“ zur Verfügung.
Mitglieder der Rolle „Administrator für privilegierte Rollen“ dürfen Berechtigungen zeitweise an Benutzerkonten delegieren und Anfragen dieser Benutzer genehmigen. Über „Azure-AD-Verzeichnisrollen“ finden Administratoren das zentrale Dashboard zur Verwaltung der PIM-Umgebung. Über den Menüpunkt „Zugriff überprüfen“ kann angezeigt werden, welche Rollen aktuell temporär zugewiesen sind, und wann die Zuweisung endet.
Wichtige Rollen in PIM
Die wichtigste Rolle in Microsoft Azure, und damit die Rolle die besonders geschützt werden muss, ist „Globaler Administrator“. Diese Rolle hat Zugriff auf alle Funktionen in Microsoft Azure und damit auch den Diensten, die mit Microsoft Azure verknüpft sind, zum Beispiel Office 365 oder Microsoft Intune. Für die Verwaltung der Rollen kann auch das PowerShell-Modul von Microsoft Azure verwendet werden. Die beiden wichtigsten CMDlets in diesem Bereich sind Get-MsolUserRole und Get-AzureADDirectoryRoleMember. Hierüber lassen sich auch die Rollen anzeigen, die einzelnen Benutzern zugewiesen wurden, zum Beispiel mit:
Get-MsolUserRole -UserPrincipalName user@cexample.onmicrosoft.comDie Verwendung der Rollen kann wiederum über „Mein Überwachungsverlauf“ angezeigt werden. Hier können Administratoren die Verwendung der zugewiesenen Rollen überwachen.
Die wichtigsten Rollen für die Zuweisung sind folgende:
- Globaler Administrator – Übergeordneter Administrator mit umfassenden Rechten.
- Administrator für privilegierte Rollen – Verwaltet PIM und kann Rollenzuweisungen durchführen
- Rechnungsadministrator – Verwaltet die Lizenzen, Abonnements und Käufe in Azure
- Kennwortadministrator – Setzt Kennwörter der Benutzer zurück
- Dienstadministrator - Verwaltet Dienstanforderungen
Wurde Office 365 mit Azure PIM verbunden, kann auch hier mit delegierten Rechten gearbeitet werden. Dazu lassen sich auch die Rollen in Office 365 anbinden und sichern:
- Benutzerverwaltungsadministrator – Verwaltet Benutzer in Office 365
- Exchange-Administrator – Verwaltet Exchange Online in Office 365
- SharePoint-Administrator – Verwaltet SharePoint Online in Office 365
- Skype for Business-Administrator – Verwaltet Skype for Business Online in Office 365
Azure PIM einrichten
Über den Menüpunkt „Azure AD-Verzeichnisrollen“ können Administratoren alle notwendigen Einstellungen zur Verwaltung und Verwendung von PIM einrichten. Hier erfolgt auch die Anmeldung an PIM. Bei der Einrichtung von PIM hilft auch der Sicherheits-Assistent. Dieser kann über „Azure-AD-Verzeichnisrollen\Assistent“ gestartet werden.
Cloud-Apps mit PIM absichern
Mit dem Azure-Dienst „Azure AD Cloud App Discovery“ können Administratoren genau überprüfen welche Cloud-Apps das Azure Active Directory verwenden und an welchen dieser Apps sich Benutzer mit Azure Active Directory-Konten anmelden. Zusammen mit PIM lässt sich der Zugriff auf die Apps, vor allem zur Verwaltung der Umgebung absichern.
Fazit
Mit Azure Active Directory Privileged Identity Management lassen sich privilegierte Benutzerkonten in der Cloud optimal schützen. Unternehmen, die auf Azure AD setzen und auch noch andere Cloud-Dienste angebunden haben, sollten sich die Möglichkeiten von PIM ansehen. Denn die Kompromittierung eines Administrator-Kontos in Microsoft Azure kann große Probleme mit sich bringen, zum Beispiel Datendiebstahl oder der Übernahme von Workloads. Aus diesem Grund sollten Unternehmen nicht nur die Sicherheit von Konten in lokalen Netzwerken im Auge behalten, sondern auch die Sicherheit in Azure AD.
:quality(80)/images.vogel.de/vogelonline/bdb/1297400/1297440/original.jpg "Welche verbesserten Sicherheitsmöglichkeiten Azure Active Directory bietet, zeigen wir in diesem Video-Tipp. (Julien-Eichinger - stock.adobe.com)")
Video-Tipp: Azure Active Directory
Sichere Authentifizierung mit Azure Active Directory
(ID:44926735)
:quality(80)/p7i.vogel.de/wcms/27/c8/27c894a6b735f36217026e68d68b4a32/0112931765.jpeg "Admins, die ihre Arbeitsstationen und Management-Arbeitsplätze gut abgesichert haben, haben auch gut lachen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/20/a420f91e29ad3dee85cc487e2f6d1038/0112775164.jpeg "Reichte beim On-Premises-Einsatz von Active Directory Enhanced Security Admin Environment zur Absicherung aus, muss es bei einer Kombination mit Azure AD jetzt Zero-Trust und eine Privileged-Access-Strategy sein. (Bild: © magele-picture - stock.adobe.com)")