Freigeben über

Erkennen und Beheben unzulässiger Zustimmungserteilungen in Microsoft 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-Tage-Testversion von Defender für Office 365 im Microsoft Defender-Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Bei einem angriff mit einer unzulässigen Zustimmungserteilung wird davon ausgegangen, dass die Entität, die die Informationen aufruft, eine Automatisierung und kein Mensch ist:

  • Der Angreifer erstellt eine registrierte App in Microsoft Entra ID, die Zugriff auf Kontaktinformationen, E-Mails oder Dokumente anfordert.
  • Der Angreifer verwendet dann einen Phishing-Angriff oder fügt unerlaubten Code in eine vertrauenswürdige Website ein, um Benutzer dazu zu verleiten, der App die Zustimmung für den Zugriff auf ihre Daten zu erteilen.
  • Nachdem ein Benutzer der unzulässigen Anwendung seine Zustimmung erteilt hat, hat er Zugriff auf Daten auf Kontoebene, ohne dass ein Konto im organization erforderlich ist.

Bei einem angriff mit einer unzulässigen Zustimmungserteilung erstellt der Angreifer eine registrierte Anwendung in Microsoft Entra ID, die Zugriff auf Daten wie Kontaktinformationen, E-Mails oder Dokumente anfordert. Der Angreifer vertrickt dann einen Endbenutzer dazu, dieser Anwendung die Einwilligung für den Zugriff auf ihre Daten zu erteilen, entweder durch einen Phishingangriff oder durch Einfügen von illegalem Code in eine vertrauenswürdige Website. Nachdem der unzulässigen Anwendung die Zustimmung erteilt wurde, hat sie Zugriff auf Daten auf Kontoebene, ohne dass ein Organisationskonto erforderlich ist. Normale Korrekturschritte (z. B. Zurücksetzen von Kennwörtern oder Erfordern der mehrstufigen Authentifizierung (MFA)) sind bei dieser Art von Angriff nicht wirksam, da diese Apps außerhalb der organization sind.

In diesem Artikel werden die Schritte zum Identifizieren unzulässiger Zustimmungserteilungen in Ihrem organization und deren Behebung erläutert.

Tipp

Vermuten Sie, dass bei Ihnen gerade Probleme mit unzulässigen Zustimmungserteilungen auftreten? Microsoft Defender for Cloud Apps verfügt über Tools zum Erkennen, Untersuchen und Korrigieren Ihrer OAuth-Apps. Dieser Defender for Cloud Apps Artikel enthält ein Tutorial, in dem beschrieben wird, wie Sie riskante OAuth-Apps untersuchen. Sie können auch OAuth-App-Richtlinien festlegen, um von der App angeforderte Berechtigungen zu untersuchen, welche Benutzer diese Apps autorisieren, und diese Berechtigungsanforderungen allgemein genehmigen oder sperren.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Sie öffnen die Microsoft Entra Admin Center unter https://entra.microsoft.com.

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator*" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

      Wichtig

      * Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Sie müssen das Überwachungsprotokoll in Microsoft Purview Audit (Standard) oder Audit (Premium) durchsuchen, um die Anzeichen für unzulässige Zustimmungserteilungen zu finden, bei denen es sich um fragwürdige Zustimmung zu Anwendungsaktivitäten handelt. Diese Zeichen werden auch als Indikatoren der Kompromittierung (IOC) bezeichnet. Die Schritte werden in diesem Abschnitt beschrieben. Weitere Informationen zum Durchsuchen des Überwachungsprotokolls finden Sie unter Durchsuchen des Überwachungsprotokolls.

Tipp

In Organisationen mit vielen Apps, die in Entra ID registriert sind, und einer großen Benutzerbasis besteht die bewährte Methode darin, zustimmungsgewährungen in Organisationen wöchentlich zu überprüfen.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Überwachung. Oder verwenden Sie https://security.microsoft.com/auditlogsearch, um direkt zur Seite Überwachung zu wechseln.

  2. Überprüfen Sie auf der Seite Überwachung , ob die Registerkarte Neue Suche ausgewählt ist, und konfigurieren Sie dann die folgenden Einstellungen:

    • Datums- und Uhrzeitbereich: Wählen Sie die geeigneten Start - und Edt-Datums -/Uhrzeitwerte aus.
    • Aktivitäten: Vergewissern Sie sich, dass Ergebnisse für alle Aktivitäten anzeigen ausgewählt ist.

    Wenn Sie fertig sind, wählen Sie Suchen aus.

  3. Wählen Sie die Spalte Aktivität aus, um die Ergebnisse zu sortieren, und suchen Sie nach Zustimmung zur Anwendung.

  4. Wählen Sie einen Eintrag aus der Liste aus, um die Details der Aktivität anzuzeigen. Überprüfen Sie, ob IsAdminConsent auf True festgelegt ist.

Hinweis

Es kann 30 Minuten bis zu 24 Stunden dauern, bis der entsprechende Überwachungsprotokolleintrag in den Suchergebnissen angezeigt wird, nachdem ein Ereignis aufgetreten ist.

Die Dauer, in der ein Überwachungsdatensatz aufbewahrt und im Überwachungsprotokoll durchsuchbar ist, hängt von Ihrem Microsoft 365-Abonnement ab. Insbesondere die Lizenzen, die bestimmten Benutzern zugewiesen sind. Weitere Informationen finden Sie unter Überwachungsprotokoll.

Der Wert True gibt an, dass jemand mit Global Administrator-Zugriff möglicherweise umfassenden Zugriff auf Daten gewährt hat. Wenn dieser Wert unerwartet ist, führen Sie Schritte aus, um einen Angriff zu bestätigen.

Bestätigen eines Angriffs

Wenn Sie eine oder mehrere Instanzen der zuvor aufgeführten IOCs haben, müssen Sie weitere Untersuchungen durchführen, um zu bestätigen, dass der Angriff stattgefunden hat. Sie können eine der folgenden drei Methoden verwenden, um den Angriff zu bestätigen:

  • Inventarisieren Sie Anwendungen und ihre Berechtigungen mithilfe der Microsoft Entra Admin Center. Diese Methode ist gründlich, aber Sie können nur einen Benutzer gleichzeitig überprüfen. Diese Methode kann sehr zeitaufwändig sein, wenn Sie viele Benutzer überprüfen müssen.
  • Inventarisieren von Anwendungen und deren Berechtigungen mithilfe von PowerShell. Diese Methode ist die schnellste und am meisten methode und hat den geringsten Mehraufwand.
  • Lassen Sie Benutzer ihre Apps und Berechtigungen einzeln überprüfen und die Ergebnisse zur Behebung an die Administratoren zurückmelden.

Inventarisieren von Apps mit Zugriff in Ihrem organization

Sie haben die folgenden Optionen, um Apps für Ihre Benutzer zu inventarisieren:

  • Die Microsoft Entra Admin Center.
  • PowerShell.
  • Lassen Sie Benutzer ihren eigenen Anwendungszugriff einzeln aufzählen.

Schritte zur Verwendung des Microsoft Entra Admin Center

Sie können die Anwendungen, für die ein einzelner Benutzer Berechtigungen erteilt hat, mithilfe der Microsoft Entra Admin Center nachschlagen:

  1. Öffnen Sie die Microsoft Entra Admin Center unter https://entra.microsoft.com, und wechseln Sie dann zu Identitätsbenutzer>>Alle Benutzer. Oder verwenden Sie https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/, um direkt zu Benutzer>Alle Benutzer zu wechseln.
  2. Suchen Sie den Benutzer, den Sie überprüfen möchten, und wählen Sie diesen aus, indem Sie auf den Wert Anzeigename klicken.
  3. Wählen Sie auf der daraufhin geöffneten Seite mit den Benutzerdetails die Option Anwendungen aus.

Diese Schritte zeigen Ihnen die Apps, die dem Benutzer zugewiesen sind, und welche Berechtigungen die Anwendungen besitzen.

Schritte zum Auflisten des Anwendungszugriffs durch Ihre Benutzer

Bitten Sie Ihre Benutzer, dort ihren eigenen Anwendungszugriff zu https://myapps.microsoft.com überprüfen. Sie sollten in der Lage sein, alle Apps mit Zugriff anzuzeigen, Details zu ihnen (einschließlich des Umfangs des Zugriffs) anzuzeigen und Berechtigungen für verdächtige oder unzulässige Apps zu widerrufen.

Schritte in PowerShell

Die einfachste Möglichkeit zum Überprüfen des Angriffs auf unzulässige Zustimmungserteilung besteht darin, das Get-AzureADPSPermissions.ps1-Skript auszuführen, das alle OAuth-Zustimmungserteilungen und OAuth-Apps für alle Benutzer in Ihrem Mandanten in einer .csv Datei abspeichert.

Voraussetzungen

  • Das Microsoft Graph PowerShell SDK ist installiert.
  • Globale Administratorberechtigungen im organization, in dem das Skript ausgeführt wird.
  • Lokale Administratorberechtigungen auf dem Computer, auf dem Sie die Skripts ausführen.

Wichtig

Es wird dringend empfohlen , dass Sie die mehrstufige Authentifizierung für Ihr Administratorkonto benötigen. Dieses Skript unterstützt die MFA-Authentifizierung.

Microsoft setzt sich nachdrücklich für das Prinzip der geringsten Rechte ein. Wenn Sie Konten nur die minimalen Berechtigungen zuweisen, die zum Ausführen ihrer Aufgaben erforderlich sind, können Sie Sicherheitsrisiken reduzieren und den allgemeinen Schutz Ihrer organization stärken. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die Sie auf Notfallszenarien beschränken sollten oder wenn Sie keine andere Rolle verwenden können.

  1. Melden Sie sich mit lokalen Administratorrechten bei dem Computer an, auf dem Sie die Skripts ausführen möchten.

  2. Laden Sie das Get-AzureADPSPermissions.ps1 Skript von GitHub herunter, oder kopieren Sie es in einen Ordner, der leicht zu finden und zu merken ist. In diesem Ordner müssen Sie auch die Ausgabedatei "permissions.csv" schreiben.

  3. Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten als Administrator in dem Ordner, in dem Sie das Skript gespeichert haben.

  4. Stellen Sie mithilfe des Cmdlets Connect-MgGraph eine Verbindung mit Ihrem Verzeichnis her.

  5. Führen Sie diesen PowerShell-Befehl aus:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation

Das Skript erzeugt eine Datei mit dem Namen Permissions.csv. Führen Sie die folgenden Schritte aus, um nach unzulässigen Anwendungsberechtigungen zu suchen:

  1. Suchen Sie in der Spalte ConsentType (Spalte G) nach dem Wert "AllPrinciples". Die AllPrincipals-Berechtigung ermöglicht der Clientanwendung den Zugriff auf die Inhalte aller Personen im Mandanten. Native Microsoft 365-Anwendungen benötigen diese Berechtigung, um ordnungsgemäß zu funktionieren. Jede Nicht-Microsoft-Anwendung mit dieser Berechtigung sollte sorgfältig überprüft werden.

  2. Überprüfen Sie in der Spalte Berechtigung (Spalte F) die Berechtigungen, die jede delegierte Anwendung zum Inhalt hat. Suchen Sie nach den Berechtigungen "Lesen" und "Schreiben" oder "Alle", und überprüfen Sie diese Berechtigungen sorgfältig, da sie möglicherweise nicht geeignet sind.

  3. Überprüfen Sie die spezifischen Benutzer, denen Zustimmungen erteilt wurden. Wenn Benutzern mit hohem Profil oder hohem Wert unangemessene Zustimmungen erteilt wurden, sollten Sie dies weiter untersuchen.

  4. Suchen Sie in der Spalte ClientDisplayName (Spalte C) nach Apps, die verdächtig erscheinen. Apps mit falsch geschriebenen Namen, super faden Namen oder Hacker-klingenden Namen sollten sorgfältig überprüft werden.

Bestimmen des Umfangs des Angriffs

Nachdem Sie die Bestandsaufnahme des Anwendungszugriffs abgeschlossen haben, überprüfen Sie das Überwachungsprotokoll , um den gesamten Umfang der Sicherheitsverletzung zu ermitteln. Suchen Sie nach den betroffenen Benutzern, den Zeitrahmen, in denen die illegale Anwendung Zugriff auf Ihre organization hatte, und die Berechtigungen, die die App hatte. Sie können das Überwachungsprotokoll im Microsoft Defender-Portal durchsuchen.

Wichtig

Zum Abrufen dieser Informationen müssen die Postfach- und Aktivitätsüberwachung für Administratoren und Benutzer vor dem Angriff aktiviert werden.

Nachdem Sie die Anwendung mit unzulässigen Berechtigungen identifiziert haben, haben Sie mehrere Möglichkeiten, diesen Zugriff zu entfernen:

  • Sie können die Berechtigung der Anwendung im Microsoft Entra Admin Center widerrufen, indem Sie die folgenden Schritte ausführen:

    1. Öffnen Sie die Microsoft Entra Admin Center unter https://entra.microsoft.com, und wechseln Sie dann zu Identitätsbenutzer>>Alle Benutzer. Oder verwenden Sie https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/, um direkt zu Benutzer>Alle Benutzer zu wechseln.
    2. Suchen Sie den betroffenen Benutzer, und wählen Sie sie aus, indem Sie auf den Wert Anzeigename klicken.
    3. Wählen Sie auf der daraufhin geöffneten Seite mit den Benutzerdetails die Option Anwendungen aus.
    4. Wählen Sie auf der Seite Anwendungen die unzulässige Anwendung aus, indem Sie auf den Wert Name klicken.
    5. Wählen Sie auf der daraufhin geöffneten Seite Zuweisungsdetailsdie Option Entfernen aus.

  • Sie können die OAuth-Zustimmungsgewährung mit PowerShell widerrufen, indem Sie die Schritte unter Remove-MgOauth2PermissionGrant ausführen.

  • Sie können die Rollenzuweisung der Dienst-App mit PowerShell widerrufen, indem Sie die Schritte unter Remove-MgServicePrincipalAppRoleAssignment ausführen.

  • Sie können die Anmeldung für das betroffene Konto deaktivieren, wodurch der Zugriff auf Daten im Konto durch die App deaktiviert wird. Diese Aktion ist nicht ideal für die Benutzerproduktivität, kann aber eine kurzfristige Korrektur sein, um die Ergebnisse des Angriffs schnell zu begrenzen.

  • Sie können integrierte Anwendungen in Ihrem organization deaktivieren. Diese Aktion ist drastisch. Es verhindert zwar, dass Benutzer versehentlich Zugriff auf eine böswillige App gewähren, aber es verhindert auch, dass alle Benutzer ihre Zustimmung zu Anwendungen erteilen. Wir empfehlen diese Aktion nicht, da sie die Produktivität der Benutzer bei Nicht-Microsoft-Anwendungen stark beeinträchtigt. Sie können integrierte Apps deaktivieren, indem Sie die Schritte unter Aktivieren oder Deaktivieren integrierter Apps ausführen.

Siehe auch

  • Last updated on