Konfigurieren von Microsoft Entra für Zero Trust: Schützen von Identitäten und geheimen Schlüsseln

Die Benutzer- und Anwendungsauthentifizierung und -autorisierung sind der Einstiegspunkt in Ihre Identitäts- und geheime Infrastruktur. Der Schutz aller Identitäten und Geheimnisse ist ein grundlegender Schritt in Ihrer Zero Trust Reise und einer Säule der Secure Future Initiative.

Die Empfehlungen und Zero Trust Prüfungen, die Teil dieser Säule sind, tragen dazu bei, das Risiko eines nicht autorisierten Zugriffs zu verringern. Der Schutz von Identitäten und geheimen Schlüsseln stellt den Kern von Zero Trust innerhalb Microsoft Entra dar. Zu den Themen gehören die ordnungsgemäße Verwendung von Geheimnissen und Zertifikaten, angemessene Begrenzungen für privilegierte Konten und moderne kennwortlose Authentifizierungsmethoden.

Zero Trust Sicherheitsempfehlungen

Anwendungen haben keine geheimen Clientschlüssel konfiguriert.

Anwendungen, die geheime Clientschlüssel verwenden, speichern sie möglicherweise in Konfigurationsdateien, hartcodieren sie in Skripts oder riskieren ihre Gefährdung auf andere Weise. Die Komplexitäten des geheimen Managements machen Geheimgeheimnisse anfällig für Lecks und attraktiv für Angreifer. Geheime Clientschlüssel bieten Angreifern die Möglichkeit, ihre Aktivitäten mit legitimen Vorgängen zu vermischen, wodurch die Umgehung von Sicherheitskontrollen erleichtert wird. Wenn ein Angreifer den geheimen Clientschlüssel einer Anwendung kompromittiert, kann er seine Berechtigungen innerhalb des Systems eskalieren, was je nach den Berechtigungen der Anwendung zu einem umfassenderen Zugriff und zur Kontrolle führt.

Anwendungen und Dienstprinzipale mit Berechtigungen für Microsoft Graph APIs oder andere APIs haben ein höheres Risiko, da ein Angreifer diese zusätzlichen Berechtigungen potenziell ausnutzen kann.

Wartungsaktion

• Anwendungen von freigegebenen Geheimschlüsseln in verwaltete Identitäten verschieben und sicherere Methodeneinführen.
  • Verwenden von verwalteten Identitäten für Azure Ressourcen
  • Richtlinien für bedingten Zugriff für Workload-Identitäten bereitstellen
  • Implementieren des geheimen Scans
  • Bereitstellen von Anwendungsauthentifizierungsrichtlinien zum Erzwingen sicherer Authentifizierungsmethoden
  • Erstellen Sie eine benutzerdefinierte Rolle mit minimalen Rechten zum Aktualisieren von Anwendungsanmeldeinformationen.
  • Stellen Sie sicher, dass Sie über einen Prozess zum Triagen und Überwachen von Anwendungen verfügen

Dienstprinzipale verfügen nicht über Zertifikate oder Anmeldeinformationen, die ihnen zugeordnet sind

Dienstprinzipale ohne ordnungsgemäße Authentifizierungsnachweise (Zertifikate oder Client-Geheimnisse) schaffen Sicherheitslücken, die es Bedrohungsakteuren ermöglichen, diese Identitäten zu imitieren. Dies kann zu unbefugtem Zugriff, lateraler Bewegung innerhalb Ihrer Umgebung, Berechtigungseskalation und dauerhaften Zugriff führen, der schwer zu erkennen und zu beheben ist.

Wartungsaktion

• Für die Dienstprinzipale Ihrer Organisation: Hinzufügen von Zertifikaten oder geheimen Clientschlüsseln zur App-Registrierung
• Für externe Dienstprinzipale: Überprüfen und entfernen Sie alle unnötigen Anmeldeinformationen, um das Sicherheitsrisiko zu verringern.

Anwendungen verfügen nicht über Zertifikate mit Ablauf länger als 180 Tage

Zertifikate, wenn nicht sicher gespeichert, können von Angreifern extrahiert und ausgenutzt werden, was zu nicht autorisiertem Zugriff führt. Langlebige Zertifikate sind im Laufe der Zeit einem höheren Risiko ausgesetzt. Wenn Anmeldeinformationen verfügbar gemacht werden, bieten Angreifern die Möglichkeit, ihre Aktivitäten mit legitimen Vorgängen zu vermischen, wodurch die Umgehung von Sicherheitskontrollen erleichtert wird. Wenn ein Angreifer das Zertifikat einer Anwendung kompromittiert, kann er seine Berechtigungen innerhalb des Systems eskalieren, was je nach den Berechtigungen der Anwendung zu einem umfassenderen Zugriff und zur Kontrolle führt.

Wartungsaktion

• Definieren der zertifikatbasierten Anwendungskonfiguration
• Definieren Sie vertrauenswürdige Zertifizierungsstellen für Apps und Serviceprinzipale im Mandanten
• Definieren von Anwendungsverwaltungsrichtlinien
• Erzwingen von Geheim- und Zertifikatstandards
• Erstellen einer benutzerdefinierten Rolle mit minimalen Rechten zum Rotieren der Anmeldeinformationen einer Anwendung

Anwendungszertifikate müssen regelmäßig erneuert werden

Wenn Zertifikate nicht regelmäßig gedreht werden, können sie Bedrohungsakteuren ein erweitertes Fenster zum Extrahieren und Ausnutzen gewähren, was zu nicht autorisiertem Zugriff führt. Wenn Anmeldeinformationen wie diese verfügbar gemacht werden, können Angreifer ihre schädlichen Aktivitäten mit legitimen Vorgängen kombinieren, wodurch die Umgehung von Sicherheitskontrollen erleichtert wird. Wenn ein Angreifer das Zertifikat einer Anwendung kompromittiert, kann er seine Berechtigungen innerhalb des Systems eskalieren, was je nach den Berechtigungen der Anwendung zu einem umfassenderen Zugriff und zur Kontrolle führt.

Rufen Sie alle Ihre Dienstprinzipale und Anwendungsregistrierungen mit Zertifikatanmeldeinformationen ab. Stellen Sie sicher, dass das Startdatum des Zertifikats weniger als 180 Tage beträgt.

Wartungsaktion

• Definieren einer Anwendungsverwaltungsrichtlinie zum Verwalten von Zertifikatlebensdauern
• Definieren einer vertrauenswürdigen Zertifikatskette
• Erstellen Sie eine benutzerdefinierte Rolle mit minimalen Rechten zum Rotieren von Anwendungsschlüssel
• Weitere Informationen zu App-Verwaltungsrichtlinien zum Verwalten zertifikatbasierter Anmeldeinformationen

Erzwingen von Standards für geheime App-Schlüssel und Zertifikate

Ohne ordnungsgemäße Anwendungsverwaltungsrichtlinien können Bedrohungsakteure schwache oder falsch konfigurierte Anwendungsanmeldeinformationen ausnutzen, um nicht autorisierten Zugriff auf Organisationsressourcen zu erhalten. Anwendungen mit langlebigen Kennwortgeheimnissen oder Zertifikaten erstellen erweiterte Angriffsfenster, in denen kompromittierte Anmeldeinformationen für längere Zeiträume gültig bleiben. Wenn eine Anwendung geheime Clientschlüssel verwendet, die in Konfigurationsdateien hartcodiert sind oder schwache Kennwortanforderungen aufweisen, können Bedrohungsakteure diese Anmeldeinformationen auf unterschiedliche Weise extrahieren, einschließlich Quellcoderepositorys, Konfigurationsabbilder oder Speicheranalysen. Wenn Bedrohungsakteure diese Anmeldeinformationen erhalten, können sie laterale Bewegungen innerhalb der Umgebung durchführen, Berechtigungen eskalieren, wenn die Anwendung über erhöhte Berechtigungen verfügt, Persistenz schaffen, indem sie mehr Anmeldeinformationen für die Hintertür erstellen, anwendungskonfiguration ändern oder Daten exfiltrieren. Durch das Fehlen der Verwaltung des Lebenszyklus von Anmeldeinformationen bleiben kompromittierte Anmeldeinformationen unbegrenzt aktiv, sodass Bedrohungsakteure dauerhaft zugriff auf Organisationsressourcen und die Möglichkeit haben, Datenexfiltration, Systemmanipulation durchzuführen oder schädlichere Tools ohne Erkennung bereitzustellen.

Durch die Konfiguration geeigneter App-Verwaltungsrichtlinien können Organisationen diese Bedrohungen besser bewältigen.

Wartungsaktion

• Erfahren Sie, wie Sie geheime und Zertifikatstandards mithilfe von Anwendungsverwaltungsrichtlinien erzwingen.

Microsoft-Dienste Anwendungen verfügen nicht über konfigurierte Anmeldeinformationen

Microsoft-Dienste Anwendungen, die in Ihrem Mandanten arbeiten, werden als Dienstprinzipale mit der Besitzerorganisations-ID "f8cdef31-a31e-4b4a-93e4-5f571e91255a" identifiziert. Wenn diese Dienstprinzipale Anmeldeinformationen in Ihrem Mandanten konfiguriert haben, können sie potenzielle Angriffsvektoren erstellen, die Bedrohungsakteure ausnutzen können. Wenn ein Administrator die Anmeldeinformationen hinzugefügt hat und diese nicht mehr benötigt werden, können sie ein Ziel für Angreifer werden. Auch wenn geeignete präventive und detektive Kontrollen bei privilegierten Aktivitäten vorhanden sind, können Bedrohungsakteure böswillig Anmeldeinformationen hinzufügen. In beiden Fällen können Bedrohungsakteure diese Anmeldeinformationen verwenden, um sich als Dienstprinzipal zu authentifizieren und dieselben Berechtigungen und Zugriffsrechte wie die Microsoft Dienstanwendung zu erhalten. Dieser anfängliche Zugriff kann zu einer Berechtigungseskalation führen, wenn die Anwendung über allgemeine Berechtigungen verfügt und eine laterale Bewegung über den mandanten hinweg ermöglicht. Angreifer können dann zur Daten-Exfiltration oder zur Aufrechterhaltung fortfahren, indem sie andere Backdoor-Anmeldeinformationen erstellen.

Wenn Anmeldeinformationen (wie geheime Clientschlüssel oder Zertifikate) für diese Dienstprinzipale in Ihrem Mandanten konfiguriert sind, heißt das, dass jemand – entweder ein Administrator oder ein Angreifer – sie in Ihrer Umgebung unabhängig authentifizieren konnten. Diese Zugangsdaten sollten untersucht werden, um ihre Legitimität und Notwendigkeit zu ermitteln. Wenn sie nicht mehr benötigt werden, sollten sie entfernt werden, um das Risiko zu reduzieren.

Wenn diese Überprüfung nicht erfolgreich ist, empfiehlt es sich, "untersuchen" zu müssen, da Sie Anwendungen mit nicht verwendeten Anmeldeinformationen identifizieren und überprüfen müssen.

Wartungsaktion

• Bestätigen Sie, ob die hinzugefügten Anmeldeinformationen weiterhin gültige Anwendungsfälle sind. Entfernen Sie andernfalls Anmeldeinformationen aus Microsoft Dienstanwendungen, um das Sicherheitsrisiko zu verringern.
  • Navigieren Sie im Microsoft Entra Admin Center zu Entra ID>App-Registrierungen und wählen Sie die betroffene Anwendung aus.
  • Wechseln Sie zum Abschnitt "Zertifikate und Geheime Schlüssel", und entfernen Sie alle Anmeldeinformationen, die nicht mehr benötigt werden.

Die Einstellungen für die Zustimmung des Benutzers sind eingeschränkt.

Ohne eingeschränkte Einstellungen für die Benutzerzustimmung können Bedrohungsakteure permissive Anwendungszustimmungskonfigurationen ausnutzen, um nicht autorisierten Zugriff auf vertrauliche Unternehmensdaten zu erhalten. Wenn die Zustimmung des Benutzers uneingeschränkt ist, können Angreifer:

• Verwenden Sie Social Engineering und illegale Zustimmungserteilungsangriffe, um Benutzer dazu zu bringen, böswillige Anwendungen zu genehmigen.
• Missbrauch der Identität legitimer Dienste, um weitreichende Berechtigungen zu erlangen, wie z. B. Zugriff auf E-Mails, Dateien, Kalender und andere wichtige Geschäftsdaten.
• Rufen Sie legitime OAuth-Token ab, die Umkreissicherheitskontrollen umgehen und den Zugriff auf Sicherheitsüberwachungssysteme normal erscheinen lassen.
• Richten Sie dauerhaften Zugang zu Organisationsressourcen ein, führen Sie Erkundung über Microsoft 365-Dienste hinweg durch, wechseln Sie lateral durch verbundene Systeme und eskalieren Sie möglicherweise Berechtigungen.

Die uneingeschränkte Benutzerzustimmung schränkt auch die Fähigkeit einer Organisation ein, eine zentralisierte Governance über den Anwendungszugriff zu erzwingen, was es schwierig macht, die Übersicht darüber zu behalten, welche Nicht-Microsoft-Anwendungen Zugriff auf vertrauliche Daten haben. Diese Lücke verursacht Compliancerisiken, bei denen nicht autorisierte Anwendungen gegen Datenschutzbestimmungen oder Sicherheitsrichtlinien der Organisation verstoßen könnten.

Wartungsaktion

• Konfigurieren Sie eingeschränkte Benutzerzustimmungseinstellungen , um unzulässige Zustimmungserteilungen zu verhindern, indem Sie die Benutzerzustimmung deaktivieren oder auf überprüfte Herausgeber mit berechtigungen mit geringem Risiko beschränken.

Administratorzustimmungsworkflow ist aktiviert

Das Aktivieren des Administratorzustimmungsworkflows in einem Microsoft Entra Mandanten stellt sicher, dass Benutzer, die Zugriff auf eine Anwendung benötigen, die eine Administratorzustimmung erfordert, eine Anforderung zur Überprüfung einreichen können, anstatt direkt blockiert zu werden. Ohne den Workflow können Benutzer, die einer App selbst nicht zustimmen können, auf Schatten-IT-Problemumgehungen zurückgreifen, z. B. die Verwendung persönlicher Konten oder nicht genehmigter Alternativen – die schwieriger zu überwachen und zu schützen sind. Wenn der Workflow aktiviert ist, durchlaufen Zustimmungsanforderungen einen protokollierten, auditierbaren Prozess, bei dem benannte Prüfer benachrichtigt werden und jede Anforderung auswerten, bevor die Zustimmung erteilt wird. Dadurch wird die Überwachbarkeit verbessert, zu erkennen, auf welche Anwendungen Benutzer zugreifen möchten, und es wird sichergestellt, dass erhöhte Berechtigungen überprüft und explizit genehmigt werden, anstatt ohne Aufsicht automatisch blockiert oder erteilt zu werden.

Wartungsaktion

Legen Sie für Administratorzustimmungsanforderungen die Einstellung "Benutzer können Administratorzustimmung für Apps anfordern, denen sie nicht selbst zustimmen können" auf "Ja" fest. Geben Sie andere Einstellungen an, z. B. wer Anforderungen überprüfen kann.

• Aktivieren des Workflows für die Administratorzustimmung
• Oder verwenden Sie die Update adminConsentRequestPolicy-API , um die isEnabled Eigenschaft auf "true" und andere Einstellungen festzulegen.

Hoher Anteil globaler Administratoren im Verhältnis zu privilegierten Benutzern

Wenn Organisationen ein unverhältnismäßig hohes Verhältnis von globalen Administratoren relativ zu ihrer gesamten privilegierten Benutzerpopulation beibehalten, machen sie sich erheblichen Sicherheitsrisiken aus, die Bedrohungsakteure durch verschiedene Angriffsvektoren ausnutzen können. Übermäßige globale Administratorzuweisungen erstellen mehrere hochwertige Ziele für Bedrohungsakteure, die den anfänglichen Zugriff durch Kompromittierung von Anmeldeinformationen, Phishingangriffen oder Insider-Bedrohungen nutzen können, um uneingeschränkten Zugriff auf den gesamten Microsoft Entra ID Mandanten und verbundene Microsoft 365-Dienste zu erhalten.

Wartungsaktion

• Minimieren der Anzahl der Rollenzuweisungen des globalen Administrators

Administrative Berechtigungen sind eng begrenzt, um Kompromittierung zu verhindern

Übermäßige Zuweisung von Rollen wie globaler Administrator und globaler Sicherer Zugriffsadministrator erstellen einen Pfad für Bedrohungsakteure, um diese Identitäten zu kompromittieren. Mit diesen Rollen kann ein Angreifer Sicherheitsrichtlinien authentifizieren, Sicherheitsrichtlinien bearbeiten, Konten erstellen oder erhöhen, Überwachung deaktivieren, auf alle Unternehmensdaten zugreifen und vieles mehr. Beschränken Sie den Zugriff auf diese Rollen auf eine kleine Gruppe von Administratoren, und aktivieren Sie die Überwachung von Zuweisungen und Aktivierungen für Gruppen, Gäste, Dienstprinzipale und deaktivierte Konten, um die Angriffsfläche zu reduzieren und die geringsten Berechtigungen zu erzwingen.

Wartungsaktion

• Notfallzugriffskonten sind entsprechend konfiguriert.
• Beschränken Sie die Rollenzuweisungen des globalen Administrators und des globalen Zugriffsadministrators auf eine kleine Gruppe von Administratoren.
• Rolleinstellungen konfigurieren, um die Genehmigung zur Aktivierung eines globalen Administrators zu erfordern

Anwendungsadministratorrechte sind auf bestimmte Private Access-Apps beschränkt.

Eine Anwendungsadministratorrolle auf Mandantenebene kann jede App-Registrierung und Unternehmensanwendung verwalten. Wenn ein Bedrohungsakteur einen Anwendungsadministrator mit mandantenweitem Bereich kompromittiert, kann er Anmeldeinformationen zu jedem Dienstprinzipal hinzufügen, bösartigen APIs zustimmen, Anwendungen ändern oder erstellen, die Datenexfiltration ermöglichen, und Private Access-Apps deaktivieren oder manipulieren. Das Festlegen der Rolle auf nur erforderliche Private Access-Unternehmens-Apps erzwingt die geringsten Berechtigungen und schränkt den Strahlradius ein.

Wenn Sie keine Anwendungsadministratorzuweisungen auf bestimmte Apps anwenden:

• Ein kompromittierter Anwendungsadministrator kann jede App-Registrierung und Unternehmensanwendung in Ihrem Mandanten verwalten.
• Bedrohungsakteure können jedem Dienstprinzipal Anmeldeinformationen hinzufügen, wodurch Persistenz und laterale Bewegungen ermöglicht werden.
• Es gibt keine Strahlradieneindämmung; Eine einzelne kompromittierte Identität kann sich auf alle Anwendungen auswirken.

Wartungsaktion

• Weisen Sie Anwendungsadministratorrollen zu, die auf bestimmte App-Registrierungen statt mandantenweit ausgerichtet sind.
• Weisen Sie Microsoft Entra Rollen mit den notwendigen Mindestrechten zu, um erforderliche Aufgaben auszuführen.
• Verwenden Sie Privileged Identity Management, um die Just-in-Time-Rollenaktivierung zu verwalten.
• Verwalten von Microsoft Entra Rollenzuweisungen im Admin Center.

Privilegierte Konten sind cloudeigene Identitäten

Wenn ein lokales Konto kompromittiert und mit Microsoft Entra synchronisiert wird, erhält der Angreifer möglicherweise auch Zugriff auf den Mandanten. Dieses Risiko erhöht sich, da lokale Umgebungen in der Regel aufgrund älterer Infrastruktur und eingeschränkter Sicherheitskontrollen mehr Angriffsflächen aufweisen. Angreifer können auch auf die Infrastruktur und Tools abzielen, die verwendet werden, um die Konnektivität zwischen lokalen Umgebungen und Microsoft Entra zu ermöglichen. Zu diesen Zielen können Tools wie Microsoft Entra Connect oder Active Directory-Verbunddienste (AD FS) gehören, in denen sie sich als andere lokale Benutzerkonten ausgeben oder diese manipulieren können.

Wenn privilegierte Cloudkonten mit lokalen Konten synchronisiert werden, kann ein Angreifer, der Anmeldeinformationen für lokale Benutzer erwirbt, dieselben Anmeldeinformationen verwenden, um auf Cloudressourcen zuzugreifen und später in die Cloudumgebung zu wechseln.

Wartungsaktion

• Schutz Microsoft 365 vor lokalen Angriffen

Für jede Rolle mit hohen Berechtigungen (dauerhaft oder über Microsoft Entra Privileged Identity Management berechtigt) sollten Sie die folgenden Aktionen ausführen:

• Überprüfen Sie die Benutzer, die "onPremisesImmutableId" und "onPremisesSyncEnabled" festgelegt haben. Siehe Microsoft Graph-API Benutzerressourcentyp.
• Erstellen Sie reine Cloudbenutzerkonten für diese Personen, und entfernen Sie ihre Hybrididentität aus privilegierten Rollen.

Alle privilegierten Rollenzuweisungen werden nur rechtzeitig aktiviert und nicht dauerhaft aktiv

Bedrohungsakteure zielen auf privilegierte Konten ab, da sie Zugriff auf die gewünschten Daten und Ressourcen haben. Dies kann mehr Zugriff auf Ihren Microsoft Entra Mandanten, Daten in Microsoft SharePoint oder die Möglichkeit umfassen, langfristige Persistenz herzustellen. Ohne ein Just-in-Time-Aktivierungsmodell (JIT) bleiben administrative Berechtigungen durchgehend exponiert, was Angreifern ein erweitertes Zeitfenster bietet, um unerkannt zu agieren. Just-in-Time-Zugriff verringert das Risiko, indem eine zeitlich begrenzte Berechtigungsaktivierung mit zusätzlichen Steuerelementen wie Genehmigungen, Begründung und Richtlinie für bedingten Zugriff erzwungen wird, um sicherzustellen, dass Hochrisikoberechtigungen nur bei Bedarf und für eine begrenzte Dauer gewährt werden. Diese Einschränkung minimiert die Angriffsfläche, stört laterale Bewegungen und erzwingt Angreifer, Aktionen auszulösen, die speziell überwacht und verweigert werden können, wenn sie nicht erwartet werden. Ohne Just-in-Time-Zugriff gewähren kompromittierte Administratorkonten unbefristete Kontrolle, sodass Angreifer Sicherheitskontrollen deaktivieren, Protokolle löschen und unentdeckt bleiben können, was die Auswirkungen eines Angriffs verstärkt.

Verwenden Sie Microsoft Entra Privileged Identity Management (PIM), um zeitgebundenen Just-in-Time-Zugriff auf privilegierte Rollenzuweisungen bereitzustellen. Verwenden Sie Zugriffsüberprüfungen in Microsoft Entra ID Governance, um den privilegierten Zugriff regelmäßig zu überprüfen, um die fortgesetzte Notwendigkeit sicherzustellen.

Wartungsaktion

• Beginnen Sie mit der Verwendung von Privileged Identity Management
• Erstellen einer Zugriffsüberprüfung von Azure-Ressource und Microsoft Entra-Rollen in PIM

Alle Microsoft Entra privilegierte Rollenzuweisungen werden mit PIM verwaltet.

Bedrohungsakteure, die dauerhaft privilegierte Konten kompromittieren, erhalten dauerhaften Zugriff auf Verzeichnisoperationen mit hohem Einfluss. Dieser erweiterte Zugriff ermöglicht Es Angreifern, dauerhafte Hintertüren einzurichten, Sicherheitskonfigurationen zu ändern und Überwachungssysteme zu deaktivieren. Ohne zeitlich begrenzte Zugriffssteuerungen bieten kompromittierte privilegierte Konten eine unbegrenzte Mandantensteuerung.

Wenn berechtigte Rollenzuweisungen just-in-time aktiviert werden müssen, verringert sich die Angriffsfläche und schränkt die Verweilzeit des Angreifers ein.

Wartungsaktion

• Verwenden Sie Privileged Identity Management zum Verwalten von privilegierten Rollen von Microsoft Entra

Passkey-Authentifizierungsmethode aktiviert

Wenn die Passkey-Authentifizierung in Microsoft Entra ID nicht aktiviert ist, verlassen sich Organisationen auf kennwortbasierte Authentifizierungsmethoden, die anfällig für Phishing, Diebstahl von Anmeldeinformationen und Wiederholungsangriffen sind. Angreifer können gestohlene Kennwörter verwenden, um anfänglichen Zugriff zu erhalten, die herkömmliche mehrstufige Authentifizierung über Adversary-in-the-Middle -Angriffe (AiTM) zu umgehen und dauerhaften Zugriff über Tokendiebstahl herzustellen.

Passkeys stellen eine phishingsichere Authentifizierung mithilfe kryptografischer Nachweise bereit, dass Angreifer keine Phishing-, Abfangen- oder Wiedergabeversuche ausführen können. Durch das Aktivieren von Schlüsseln wird die grundlegende Sicherheitsanfälligkeit beseitigt, die anmeldeinformationsbasierte Angriffsketten ermöglicht.

Wartungsaktion

• Erfahren Sie, wie Sie die Passkey-Authentifizierungsmethode aktivieren.
• Erfahren Sie, wie Sie eine Bereitstellung der phishingsicheren kennwortlosen Authentifizierung planen.

Der Sicherheitsschlüsselnachweis wird erzwungen.

Wenn der Sicherheitsschlüsselnachweis nicht erzwungen wird, können Bedrohungsakteure schwache oder kompromittierte Authentifizierungshardware ausnutzen, um dauerhafte Anwesenheitsinformationen in Organisationsumgebungen einzurichten. Ohne Nachweisüberprüfung können böswillige Akteure nicht autorisierte oder gefälschte FIDO2-Sicherheitsschlüssel registrieren, die Hardware-gesicherte Sicherheitskontrollen umgehen, sodass sie Angriffe auf Anmeldeinformationen mithilfe von erstellten Authentifikatoren durchführen können, die legitime Sicherheitsschlüssel nachahmen. Mit diesem anfänglichen Zugriff können Bedrohungsakteure Berechtigungen mithilfe der vertrauenswürdigen Art von Hardwareauthentifizierungsmethoden eskalieren und dann lateral durch die Umgebung navigieren, indem mehr kompromittierte Sicherheitsschlüssel für Konten mit hohen Rechten registriert werden. Der Mangel an Durchsetzung der Beglaubigung schafft einen Weg für Bedrohungsakteure, um Befehls- und Kontrollmöglichkeiten durch dauerhafte, hardwarebasierte Authentifizierungsmethoden zu etablieren, was letztendlich zur Datenexfiltration oder Systemkompromittierung führt, während die Darstellung legitimer, hardwaregesicherter Authentifizierung in der gesamten Angriffskette beibehalten wird.

Wartungsaktion

• Aktivieren Sie die Erzwingung der Nachweise über die Richtlinienkonfiguration der Authentifizierungsmethoden.
• Konfigurieren Sie die genehmigte Liste der Sicherheitsschlüssel mithilfe der Authenticator Attestation global eindeutige Kennung (AAGUID).

Privilegierte Konten haben Phishing-beständige Methoden registriert

Wenn die Passkey-Authentifizierung in Microsoft Entra ID nicht aktiviert ist, verlassen sich Organisationen auf kennwortbasierte Authentifizierungsmethoden, die anfällig für Phishing, Diebstahl von Anmeldeinformationen und Wiederholungsangriffen sind. Angreifer können gestohlene Kennwörter verwenden, um anfänglichen Zugriff zu erhalten, die herkömmliche mehrstufige Authentifizierung über Adversary-in-the-Middle -Angriffe (AiTM) zu umgehen und dauerhaften Zugriff über Tokendiebstahl herzustellen.

Passkeys stellen eine phishingsichere Authentifizierung mithilfe kryptografischer Nachweise bereit, dass Angreifer keine Phishing-, Abfangen- oder Wiedergabeversuche ausführen können. Durch das Aktivieren von Schlüsseln wird die grundlegende Sicherheitsanfälligkeit beseitigt, die anmeldeinformationsbasierte Angriffsketten ermöglicht.

Wartungsaktion

• Erfahren Sie, wie Sie die Passkey-Authentifizierungsmethode aktivieren.
• Erfahren Sie, wie Sie eine Bereitstellung der phishingsicheren kennwortlosen Authentifizierung planen.

Privilegierte Microsoft Entra integrierte Rollen werden mit Richtlinien für bedingten Zugriff ausgestattet, um phishingresistente Methoden durchzusetzen.

Ohne Phishing-beständige Authentifizierungsmethoden sind privilegierte Benutzer anfälliger für Phishingangriffe. Diese Arten von Angriffen führen dazu, dass Benutzer ihre Anmeldeinformationen offenlegen, um unbefugten Zugriff auf Angreifer zu gewähren. Wenn nicht phishingsichere Authentifizierungsmethoden verwendet werden, können Angreifer Anmeldeinformationen und Token über Methoden wie Angreifer in der Mitte abfangen und die Sicherheit des privilegierten Kontos unterminieren.

Sobald ein privilegiertes Konto oder eine privilegierte Sitzung aufgrund schwacher Authentifizierungsmethoden kompromittiert wurde, können Angreifer das Konto manipulieren, um den langfristigen Zugriff aufrechtzuerhalten, andere Hintertüren zu erstellen oder Benutzerberechtigungen zu ändern. Angreifer können auch das kompromittierte privilegierte Konto verwenden, um ihren Zugriff noch weiter zu eskalieren und potenziell die Kontrolle über sensiblere Systeme zu erlangen.

Wartungsaktion

• Erste Schritte mit der Implementierung einer phishingsicheren, kennwortlosen Authentifizierung
• Sicherstellen, dass privilegierte Konten Phishing-widerstandsfähige Methoden registrieren und verwenden
• Implementieren Sie eine Richtlinie für bedingten Zugriff, die auf privilegierte Konten abzielt und phishing-resistente Anmeldeinformationen verlangt
• Überwachen der Authentifizierungsmethodenaktivität

Richtlinien für bedingten Zugriff erzwingen eine starke Authentifizierung für private Apps

Wenn Richtlinien für bedingten Zugriff private Zugriffsanwendungen nicht schützen, indem sie eine starke Authentifizierung erfordern, können Angreifer Phishing-Angriffe, Anmeldeinformations-Stuffing oder Passwort-Spraying verwenden, um Benutzeranmeldeinformationen abzurufen und sich nur mit einem kompromittierten Passwort bei privaten Anwendungen anzumelden.

Ohne starke Authentifizierung:

• Bedrohungsakteure erhalten anfänglichen Zugriff auf interne Ressourcen, die durch stärkere Kontrollen geschützt werden sollten.
• Wenn die Mehrfaktor-Authentifizierung fehlt oder phishable Methoden wie SMS oder Sprache verwendet werden, können Man-in-the-Middle-Angriffe auftreten, bei denen Angreifer Authentifizierungstoken und Sitzungscookies abfangen.
• Bedrohungsakteure können von der anfänglich kompromittierten privaten Anwendung zu anderen internen Ressourcen wechseln.

Microsoft empfiehlt das Erzwingen von Phishing-resistenten Authentifizierungsmethoden wie FIDO2-Sicherheitsschlüsseln, Windows Hello for Business oder zertifikatbasierter Authentifizierung für den Zugriff auf private Anwendungen mit mehrstufiger Authentifizierung als mindest akzeptabler Basisplan.

Wartungsaktion

• Konfigurieren Sie Richtlinien für bedingten Zugriff, um eine Phishing-beständige Authentifizierung zu erfordern.

Anwendungsproxy Anwendungen erfordern eine Vorauthentifizierung, um den anonymen Zugriff zu blockieren.

Ohne Microsoft Entra Vorauthentifizierung, die für Anwendungsproxy Anwendungen konfiguriert ist, können Bedrohungsakteure direkt die interne URL veröffentlichter lokaler Anwendungen erreichen, ohne zuerst ihre Identität zu beweisen. Wenn Sie die Passthrough-Authentifizierung verwenden, leitet Anwendungsproxy Datenverkehr weiter, ohne den Anforderer zu überprüfen, und alle Authentifizierungsverantwortung fällt auf die interne Anwendung.

Wenn Sie die Vorauthentifizierung für Anwendungsproxy Anwendungen nicht konfigurieren:

• Bedrohungsakteure können ohne Identitätsüberprüfung auf interne Anwendungsendpunkte zugreifen, wodurch Aufklärung und Nutzung von Back-End-Sicherheitsrisiken ermöglicht werden.
• Richtlinien für bedingten Zugriff können nicht erzwungen werden, sodass Sie keine mehrstufige Authentifizierung erfordern, das Anmelderisiko auswerten oder standortbasierte Einschränkungen anwenden können.
• Sie können Microsoft Defender for Cloud Apps nicht zur Überwachung und Steuerung von Echtzeitsitzungen integrieren.

Wartungsaktion

• Konfigurieren Sie die Microsoft Entra Vorauthentifizierung für Anwendungsproxy durch Ändern der Pre-Authentication-Methode von Passthrough zu Microsoft Entra ID.
• Verwenden Sie Microsoft Graph-API, um Anwendungsproxy Einstellungen programmgesteuert zu aktualisieren.

Anfordern von Kennwortzurücksetzungsbenachrichtigungen für Administratorrollen

Das Konfigurieren von Kennwortzurücksetzungsbenachrichtigungen für Administratorrollen in Microsoft Entra ID verbessert die Sicherheit, indem privilegierte Administratoren benachrichtigt werden, wenn ein anderer Administrator sein Kennwort zurücksetzt. Diese Sichtbarkeit hilft beim Erkennen nicht autorisierter oder verdächtiger Aktivitäten, die auf Kompromittierung von Anmeldeinformationen oder Insider-Bedrohungen hinweisen können. Ohne diese Benachrichtigungen könnten böswillige Akteure erhöhte Rechte ausnutzen, um Persistenz zu schaffen, den Zugriff zu eskalieren oder vertrauliche Daten zu extrahieren. Proaktive Benachrichtigungen unterstützen schnelle Aktionen, bewahren die Integrität des privilegierten Zugriffs auf und stärken den gesamten Sicherheitsstatus.

Wartungsaktion

• Benachrichtigen aller Administratoren, wenn andere Administratoren ihre Kennwörter zurücksetzen

Die Legacy-Authentifizierungsrichtlinie wurde zum Blockieren konfiguriert.

Ältere Authentifizierungsprotokolle wie die Standardauthentifizierung für SMTP und IMAP unterstützen keine modernen Sicherheitsfeatures wie die mehrstufige Authentifizierung (MFA), was für den Schutz vor unbefugtem Zugriff von entscheidender Bedeutung ist. Dieser Mangel an Schutz macht Konten mit diesen Protokollen anfällig für kennwortbasierte Angriffe und bietet Angreifern eine Möglichkeit, ersten Zugriff mit gestohlenen oder erratenen Anmeldeinformationen zu erhalten.

Wenn ein Angreifer erfolgreich nicht autorisierten Zugriff auf Anmeldeinformationen erhält, kann er sie verwenden, um auf verknüpfte Dienste zuzugreifen, indem er die schwache Authentifizierungsmethode als Einstiegspunkt verwendet. Angreifer, die über die Legacyauthentifizierung Zugriff erhalten, können Änderungen an Microsoft Exchange vornehmen, z. B. das Konfigurieren von E-Mail-Weiterleitungsregeln oder das Ändern anderer Einstellungen, sodass sie weiterhin auf vertrauliche Kommunikation zugreifen können.

Die Legacyauthentifizierung bietet Angreifern auch eine konsistente Methode, um ein System mithilfe kompromittierter Anmeldeinformationen erneut einzugeben, ohne Sicherheitswarnungen auszulösen oder eine erneute Authentifizierung zu erfordern.

Von dort aus können Angreifer ältere Protokolle verwenden, um auf andere Systeme zuzugreifen, die über das kompromittierte Konto zugänglich sind, wodurch die laterale Bewegung erleichtert wird. Angreifer, die ältere Protokolle verwenden, können sich mit legitimen Benutzeraktivitäten verbinden, was es Sicherheitsteams erschwert, zwischen normalen Nutzungs- und böswilligen Verhaltensweisen zu unterscheiden.

Wartungsaktion

• Implementierung einer Richtlinie für bedingten Zugriff zur Sperrung der Legacy-Authentifizierung

Temporärer Zugangsausweis ist aktiviert

Ohne aktivierten Temporären Zugriffspass (Temporary Access Pass, TAP) stehen Organisationen bei der sicheren Bootstrap der Benutzeranmeldeinformationen vor erheblichen Herausforderungen, wodurch ein Sicherheitsrisiko entsteht, bei dem Benutzer während der Ersteinrichtung auf schwächere Authentifizierungsmechanismen angewiesen sind. Wenn Benutzer aufgrund eines Mangels an vorhandenen starken Authentifizierungsmethoden keine phishingsicheren Anmeldeinformationen wie FIDO2-Sicherheitsschlüssel oder Windows Hello for Business registrieren können, sind sie anmeldeinformationsbasierten Angriffen wie Phishing, Passwort-Angriffen oder ähnlichen Angriffen ausgesetzt. Bedrohungsakteure können diese Registrierungslücke ausnutzen, indem sie Benutzer während ihres anfälligsten Zustands ansprechen, wenn sie eingeschränkte Authentifizierungsoptionen verfügbar haben und sich auf herkömmliche Kombinationen aus Benutzername und Kennwort verlassen müssen. Diese Gefährdung ermöglicht es Bedrohungsakteuren, Benutzerkonten während der kritischen Bootstrapping-Phase zu kompromittieren, sodass sie den Registrierungsprozess für stärkere Authentifizierungsmethoden abfangen oder bearbeiten können, wodurch letztendlich dauerhafter Zugriff auf Organisationsressourcen und potenziell eskalierende Berechtigungen erhalten werden, bevor Sicherheitskontrollen vollständig eingerichtet werden.

Aktivieren Sie TAP, und verwenden Sie sie mit der Registrierung von Sicherheitsinformationen, um diese potenzielle Lücke in Ihren Verteidigungsmechanismen zu sichern.

Wartungsaktion

• Erfahren Sie, wie Sie den temporären Zugriffspass in der Richtlinie für Authentifizierungsmethoden aktivieren.
• Erfahren Sie, wie Sie die Richtlinien zur Authentifizierungsstärke aktualisieren, um den Temporären Zugriffspass einzuschließen.
• Erfahren Sie, wie Sie eine Richtlinie für bedingten Zugriff für die Registrierung von Sicherheitsinformationen mit Durchsetzung der Authentifizierungsstärke erstellen.

Einschränken des temporären Zugriffspasses auf einmalige Verwendung

Wenn der temporäre Zugriffsdurchlauf (Temporary Access Pass, TAP) so konfiguriert ist, dass mehrere Verwendungen zulässig sind, können Bedrohungsakteure, die die Anmeldeinformationen kompromittieren, diese während des Gültigkeitszeitraums wiederholt wiederverwenden, wodurch das nicht autorisierte Zugriffsfenster über das beabsichtigte einzelne Bootstrapping-Ereignis hinaus erweitert wird. Diese Situation schafft eine erweiterte Möglichkeit für Bedrohungsakteure, persistenz zu schaffen, indem zusätzliche starke Authentifizierungsmethoden unter dem kompromittierten Konto während der Lebensdauer der Anmeldeinformationen registriert werden. Ein wiederverwendbares TAP, das in die falschen Hände gerät, ermöglicht Bedrohungsakteuren, über mehrere Sitzungen hinweg Aufklärungsaktivitäten durchzuführen, dabei die Umgebung schrittweise zu kartieren und hochwertige Ziele zu identifizieren, während sie legitime Zugriffsmuster beibehalten. Die kompromittierte TAP kann auch als zuverlässiger Backdoor-Mechanismus dienen, sodass Bedrohungsakteure den Zugriff erhalten können, auch wenn andere kompromittierte Anmeldeinformationen erkannt und widerrufen werden, da die TAP als legitimes Verwaltungstool in Sicherheitsprotokollen erscheint.

Wartungsaktion

• Konfigurieren Sie den temporären Zugriffspass zur einmaligen Verwendung in der Authentifizierungsmethodenrichtlinie

Migrieren von älteren MFA- und SSPR-Richtlinien

Ältere mehrstufige Authentifizierung (MFA) und Self-Service Password Reset (SSPR)-Richtlinien in Microsoft Entra ID verwalten Authentifizierungsmethoden separat, was zu fragmentierten Konfigurationen und einer suboptimalen Benutzererfahrung führt. Darüber hinaus erhöht die Verwaltung dieser Richtlinien unabhängig den Verwaltungsaufwand und das Risiko einer Fehlkonfiguration.

Die Migration zur kombinierten Authentifizierungsmethodenrichtlinie konsolidiert die Verwaltung von MFA-, SSPR- und kennwortlosen Authentifizierungsmethoden in einem einzigen Richtlinienframework. Diese Vereinheitlichung ermöglicht eine genauere Kontrolle, sodass Administratoren bestimmte Authentifizierungsmethoden auf Benutzergruppen ausrichten und konsistente Sicherheitsmaßnahmen in der gesamten Organisation erzwingen können. Darüber hinaus unterstützt die einheitliche Richtlinie moderne Authentifizierungsmethoden, z. B. FIDO2-Sicherheitsschlüssel und Windows Hello for Business, wodurch der Sicherheitsstatus der Organisation verbessert wird.

Microsoft hat die Außerkraftsetzung der veralteten MFA- und SSPR-Richtlinien angekündigt, mit einem Ablaufsdatum, das auf den 30. September 2025 festgelegt ist. Organisationen werden empfohlen, die Migration zur Richtlinie für Authentifizierungsmethoden vor diesem Datum abzuschließen, um potenzielle Unterbrechungen zu vermeiden und von den erweiterten Sicherheits- und Verwaltungsfunktionen der einheitlichen Richtlinie zu profitieren.

Wartungsaktion

• Aktivieren der kombinierten Registrierung von Sicherheitsinformationen
• Wie MFA- und SSPR-Richtlinieneinstellungen in die Authentifizierungsmethodenrichtlinie für Microsoft Entra ID

Verhindern, dass Administratoren SSPR verwenden

Self-Service-Kennwortzurücksetzung (SSPR) für Administratoren ermöglicht Kennwortänderungen ohne starke sekundäre Authentifizierungsfaktoren oder administrative Aufsicht. Bedrohungsakteure, die administrative Anmeldeinformationen kompromittieren, können diese Funktion verwenden, um andere Sicherheitskontrollen zu umgehen und beständigen Zugriff auf die Umgebung aufrechtzuerhalten.

Nach einer Kompromittierung können Angreifer das Kennwort sofort zurücksetzen, um legitime Administratoren zu sperren. Sie können dann Persistenz einrichten, Berechtigungen eskalieren und schädliche Nutzlasten bereitstellen, die nicht erkannt wurden.

Wartungsaktion

• Deaktivieren von SSPR für Administratoren durch Aktualisieren der Autorisierungsrichtlinie

Die Self-Service-Kennwortzurücksetzung verwendet keine Sicherheitsfragen.

Das Zulassen von Sicherheitsfragen als Self-Service Password Reset (SSPR)-Methode schwächt den Kennwortzurücksetzungsprozess, da Antworten häufig erraten, auf Websites wiederverwendet oder durch Open Source Intelligence (OSINT) auffindbar sind. Bedrohungsakteure enumerieren oder phishen Benutzer, leiten wahrscheinliche Antworten ab (Familiennamen, Schulen und Standorte), und lösen dann Kennwort-Zurücksetzungsprozesse aus, um stärkere Maßnahmen zu umgehen, indem sie das schwächere wissensbasierte Tor ausnutzen. Nachdem sie ein Kennwort für ein Konto erfolgreich zurückgesetzt haben, das nicht durch mehrstufige Authentifizierung geschützt ist, können sie gültige primäre Anmeldeinformationen erhalten, Sitzungstoken einrichten und später erweitern, indem sie dauerhaftere Authentifizierungsmethoden registrieren, Weiterleitungsregeln hinzufügen oder vertrauliche Daten exfiltrieren.

Die Beseitigung dieser Methode entfernt einen schwachen Link im Kennwortzurücksetzungsprozess. Einige Organisationen haben möglicherweise bestimmte geschäftliche Gründe dafür, Sicherheitsfragen aktiviert zu lassen, dies wird jedoch nicht empfohlen.

Wartungsaktion

• Deaktivieren von Sicherheitsfragen in der SSPR-Richtlinie
• Auswählen von Authentifizierungsmethoden und Registrierungsoptionen

Sms- und Voice Call-Authentifizierungsmethoden sind deaktiviert.

Wenn schwache Authentifizierungsmethoden wie SMS und Sprachanrufe in Microsoft Entra ID aktiviert bleiben, können Bedrohungsakteure diese Sicherheitsrisiken über mehrere Angriffsvektoren ausnutzen. Zunächst führen Angreifer häufig Aufklärung durch, um Organisationen zu identifizieren, die diese schwächeren Authentifizierungsmethoden durch Social Engineering oder technische Überprüfung verwenden. Anschließend können sie den anfänglichen Zugriff über Angriffe mittels Credential Stuffing auf Anmeldeinformationen, Password Spraying oder Phishing-Kampagnen, die auf Benutzeranmeldeinformationen abzielen, ausführen.

Sobald grundlegende Anmeldeinformationen kompromittiert wurden, verwenden Bedrohungsakteure diese Schwachstellen in SMS und sprachbasierter Authentifizierung. SMS-Nachrichten können durch SIM-Swappingangriffe, SS7-Netzwerkrisiken oder Schadsoftware auf mobilen Geräten abgefangen werden, während Sprachanrufe anfällig für Sprachphishing (Vishing) und Anrufweiterleitungsmanipulation sind. Da diese schwachen zweiten Faktoren umgangen werden, erreichen Angreifer persistenz, indem sie ihre eigenen Authentifizierungsmethoden registrieren. Kompromittierte Konten können verwendet werden, um benutzer mit höheren Rechten über interne Phishing- oder Social Engineering-Angriffe anzusprechen, sodass Angreifer Berechtigungen innerhalb der Organisation eskalieren können. Schließlich erreichen bedrohliche Akteure ihre Ziele durch Datenexfiltration, seitlichen Zugriff auf kritische Systeme oder den Einsatz anderer bösartiger Tools, während sie unauffällig bleiben, indem sie legitime Authentifizierungspfade verwenden, die in Sicherheitsprotokollierung normal erscheinen.

Wartungsaktion

• Bereitstellen von Registrierungskampagnen für Authentifizierungsmethoden, um stärkere Methoden zu fördern
• Deaktivieren von Authentifizierungsmethoden
• Deaktivieren von phonebasierten Methoden in älteren MFA-Einstellungen
• Bereitstellen von Richtlinien für bedingten Zugriff mithilfe der Authentifizierungsstärke

Seamless SSO deaktivieren, wenn es nicht genutzt wird.

Microsoft Entra nahtlose Einmalanmeldung (Seamless SSO) ist eine Legacy-Authentifizierungsfunktion, die einen kennwortlosen Zugriff für in die Domäne eingebundene Geräte bereitstellt, die nicht mit einem hybriden Microsoft Entra ID verbunden sind. Nahtloses SSO basiert auf der Kerberos-Authentifizierung und ist in erster Linie für ältere Betriebssysteme wie Windows 7 und Windows 8.1 nützlich, die primäre Aktualisierungstoken (PRIMARY Refresh Tokens, PRT) nicht unterstützen. Wenn diese älteren Systeme nicht mehr in der Umgebung vorhanden sind, führt die verwendung von Seamless SSO zu unnötiger Komplexität und potenzieller Sicherheitsrisiken. Bedrohungsakteure könnten falsch konfigurierte oder veraltete Kerberos-Tickets ausnutzen oder das computerkonto AZUREADSSOACC in Active Directory kompromittieren, das den kerberos-Entschlüsselungsschlüssel enthält, der von Microsoft Entra ID verwendet wird. Nach einer Kompromittierung könnten Angreifer Benutzer imitieren, moderne Authentifizierungssteuerelemente umgehen und nicht autorisierten Zugriff auf Cloudressourcen erhalten. Das Deaktivieren von nahtlosem SSO in Umgebungen, in denen es nicht mehr benötigt wird, reduziert die Angriffsfläche und erzwingt die Verwendung moderner tokenbasierter Authentifizierungsmechanismen, die stärkere Schutzmaßnahmen bieten.

Wartungsaktion

• Überprüfen, wie nahtloses SSO funktioniert
• Nahtloses SSO deaktivieren
• Bereinigen von inaktiven Geräten in Microsoft Entra ID

Sichern der Seite MFA-Registrierung (Meine Sicherheitsinformationen)

Ohne Richtlinien für bedingten Zugriff, die die Registrierung von Sicherheitsinformationen schützen, können Bedrohungsakteure ungeschützte Registrierungsflüsse ausnutzen, um Authentifizierungsmethoden zu kompromittieren. Wenn Benutzer mehrstufige Authentifizierungs- und Self-Service-Kennwortzurücksetzungsmethoden ohne ordnungsgemäße Kontrollen registrieren, können Bedrohungsakteure diese Registrierungssitzungen durch Angreifer in der Mitte abfangen oder nicht verwaltete Geräte ausnutzen, die von nicht vertrauenswürdigen Standorten auf die Registrierung zugreifen. Sobald Bedrohungsakteure Zugriff auf einen ungeschützten Registrierungsfluss erhalten, können sie ihre eigenen Authentifizierungsmethoden registrieren und das Authentifizierungsprofil des Ziels effektiv entführern. Die Bedrohungsakteure können Sicherheitskontrollen umgehen und berechtigungen potenziell in der gesamten Umgebung eskalieren, da sie beständigen Zugriff beibehalten können, indem sie die MFA-Methoden steuern. Die kompromittierten Authentifizierungsmethoden werden dann die Grundlage für laterale Bewegungen, da Bedrohungsakteure sich als legitimer Benutzer über mehrere Dienste und Anwendungen hinweg authentifizieren können.

Wartungsaktion

• Bereitstellen einer Richtlinie für bedingten Zugriff für die Registrierung von Sicherheitsinformationen
• Konfigurieren bekannter Netzwerkstandorte
• Aktivieren der kombinierten Registrierung von Sicherheitsinformationen

Verwenden von Cloudauthentifizierung

Ein lokaler Verbundserver führt eine kritische Angriffsfläche ein, indem er als zentraler Authentifizierungspunkt für Cloudanwendungen fungiert. Bedrohungsakteure gewinnen häufig einen Fuß, indem sie einen privilegierten Benutzer wie einen Helpdeskmitarbeiter oder einen Betriebstechniker durch Angriffe wie Phishing, Credential Stuffing oder Exploiting schwacher Kennwörter kompromittieren. Sie können auch auf nicht gepatchte Sicherheitsrisiken in der Infrastruktur abzielen, Remotecodeausführungs-Exploits verwenden, das Kerberos-Protokoll angreifen oder Pass-the-Hash-Angriffe verwenden, um Berechtigungen zu eskalieren. Falsch konfigurierte Remotezugriffstools wie Remotedesktopprotokoll (RDP), virtuelles privates Netzwerk (VPN) oder Sprungserver bieten andere Einstiegspunkte, während Lieferkettenkompromittierungen oder böswillige Insider die Exposition weiter erhöhen. Sobald sie Zugriff haben, können Bedrohungsakteure Authentifizierungsabläufe manipulieren, Sicherheitstoken fälschen, um sich als jeden Benutzer auszugeben und in Cloud-Umgebungen vorzudringen. Durch das Einrichten von Persistenz können sie Sicherheitsprotokolle deaktivieren, die Erkennung verhindern und vertrauliche Daten exfiltrieren.

Wartungsaktion

• Migrieren Sie von Föderation zu Cloud-Authentifizierung wie der Microsoft Entra Kennworthashsynchronisierung (PHS).

Alle Benutzer müssen sich für MFA registrieren.

Erfordern Sie die Registrierung zur Mehrfaktor-Authentifizierung (MFA) für alle Benutzer. Basierend auf Studien ist die Wahrscheinlichkeit, dass Ihr Konto kompromittiert wird, um mehr als 99 % reduziert, wenn Sie MFA verwenden. Auch wenn Sie MFA nicht immer benötigen, stellt diese Richtlinie sicher, dass Ihre Benutzer bei Bedarf bereit sind.

Wartungsaktion

• Konfigurieren der Mehrstufigen Authentifizierungsregistrierungsrichtlinie

Benutzer verfügen über konfigurierte sichere Authentifizierungsmethoden

Angreifer erhalten möglicherweise Zugriff, wenn die mehrstufige Authentifizierung (Multifactor Authentication, MFA) nicht universell erzwungen wird oder wenn Ausnahmen vorhanden sind. Angreifer erhalten möglicherweise Zugriff, indem sie Schwachstellen schwächerer MFA-Methoden wie SMS und Telefonanrufe über Social Engineering-Techniken ausnutzen. Diese Techniken können SIM-Swapping oder Phishing umfassen, um Authentifizierungscodes abzufangen.

Angreifer könnten diese Konten als Angriffspunkte auf den Mandanten verwenden. Durch die Verwendung abgefangener Benutzersitzungen können Angreifer ihre Aktivitäten als legitime Benutzeraktionen verschleiern, die Erkennung umgehen und ihren Angriff fortsetzen, ohne verdachtsfrei zu werden. Von dort aus versuchen sie möglicherweise, MFA-Einstellungen zu bearbeiten, um Persistenz, Plan und weitere Angriffe basierend auf den Berechtigungen kompromittierter Konten einzurichten.

Wartungsaktion

• Bereitstellen der mehrstufigen Authentifizierung
• Erste Schritte mit der Implementierung einer phishingsicheren, kennwortlosen Authentifizierung
• Bereitstellen einer Richtlinie für bedingten Zugriff, um phishingsichere MFA für alle Benutzer zu erfordern
• Überprüfen der Aktivität der Authentifizierungsmethoden

Verringern des benutzer sichtbaren Kennwortoberflächenbereichs

Organisationen mit umfangreichen Benutzerkennwortoberflächen machen mehrere Einstiegspunkte für anmeldeinformationsbasierte Angriffe verfügbar. Bedrohungsakteure beginnen häufig mit Credential-Stuffing unter Verwendung von kompromittierten Zugangsdaten aus Datenschutzverletzungen, gefolgt von Passwort-Spraying, um gängige Passwörter über mehrere Konten hinweg zu testen. Sobald der erste Zugriff erhalten wurde, führen sie die Erkennung von Anmeldeinformationen durch, indem sie Browserkennwortspeicher, zwischengespeicherte Anmeldeinformationen im Speicher und Anmeldeinformationsmanager überprüfen, um zusätzliche Authentifizierungsmaterialien zu sammeln. Diese gestohlenen Anmeldeinformationen ermöglichen eine laterale Verschiebung zu mehr Systemen und Anwendungen, die häufig Berechtigungen eskalieren, indem sie auf Administratorkonten abzielen, die weiterhin auf die Kennwortauthentifizierung angewiesen sind.

Ohne kennwortlose Methoden wie Windows Hello for Business, FIDO2-Sicherheitsschlüssel und Microsoft Authenticator, die weit verbreitet eingesetzt werden, stellt jede Kennwortaufforderung eine Möglichkeit zum Abfangen und Ausnutzen dar. Durch die Verringerung des Kennwortoberflächenbereichs werden diese Angriffsvektoren begrenzt und die gesamte Gefährdung durch anmeldeinformationenbasierte Bedrohungen reduziert.

Wartungsaktion

• Planen Sie eine Bereitstellung von phishingresistenten passwortlosen Authentifizierungen.
• Aktivieren Sie Passkeys (FIDO2).
• Configure Windows Hello for Business.

Benutzeranmeldungsaktivität verwendet Tokenschutz

Ein Bedrohungsakteur kann Authentifizierungstoken aus dem Speicher, dem lokalen Speicher auf einem legitimen Gerät oder durch Prüfen des Netzwerkdatenverkehrs abfangen oder extrahieren. Der Angreifer kann diese Token wiedergeben, um Authentifizierungssteuerelemente auf Benutzern und Geräten zu umgehen, nicht autorisierten Zugriff auf vertrauliche Daten zu erhalten oder weitere Angriffe auszuführen. Da diese Token gültig und zeitgebunden sind, kann die herkömmliche Anomalieerkennung die Aktivität oft nicht kennzeichnen, wodurch ein dauerhafter Zugriff möglich ist, bis das Token abläuft oder widerrufen wird.

Der Tokenschutz, auch tokenbindung genannt, trägt dazu bei, den Diebstahl von Token zu verhindern, indem sichergestellt wird, dass ein Token nur vom vorgesehenen Gerät verwendet werden kann. Der Tokenschutz verwendet Kryptografie, sodass ohne den Clientgeräteschlüssel niemand das Token verwenden kann.

Wartungsaktion

• Eine Richtlinie für bedingten Zugriff bereitstellen, um den Tokenschutz zu gewährleisten

Tokenschutzrichtlinien sind konfiguriert.

Ohne die Richtlinie für Tokenschutz mit bedingtem Zugriff können Angreifer, die Anmeldesitzungstoken stehlen, diese von jedem Gerät aus wiederverwenden, um unbefugten Zugriff auf Ressourcen zu erhalten. Der Tokendiebstahl ermöglicht Es Angreifern, die Authentifizierung vollständig zu umgehen, da das gestohlene Token bereits ein gültiger Identitätsnachweis ist. Dieser Zugriffsvektor ermöglicht laterale Bewegungen, Berechtigungseskalation und Datenexfiltration, ohne dass Erneutauthentifizierungsherausforderungen ausgelöst werden.

Der Tokenschutz in Microsoft Entra ID bindet Anmeldesitzungstoken an das Gerät, auf dem sie ursprünglich ausgestellt wurden, und rendert gestohlene Token auf angreifergesteuerten Geräten unbrauchbar. Durch das Konfigurieren der Richtlinie für den Schutz des bedingten Zugriffstokens für Windows und Apple-Plattformen wird sichergestellt, dass Anmeldesitzungstoken für wichtige Dienste wie SharePoint Online und Exchange Online nicht von nicht autorisierten Endpunkten wiedergegeben werden können.

Wartungsaktion

• Konfigurieren des Tokenschutzes im bedingten Zugriff.

Bei allen Benutzeranmeldungsaktivitäten werden Phishing-beständige Authentifizierungsmethoden verwendet.

Phishing-beständige Authentifizierungsmethoden wie Passkeys und FIDO2-Sicherheitsschlüssel bieten den stärksten Schutz vor Diebstahl von Anmeldeinformationen und komplexen Phishingangriffen. Herkömmliche MFA-Methoden sind weiterhin anfällig für Angreifer in der Mitte und Social Engineering. Das Erzwingen von Phishing-resistenten Methoden für alle Benutzer über Richtlinien für bedingten Zugriff hilft, nicht autorisierten Zugriff zu verhindern, auch wenn Angreifer versuchen, Authentifizierungsflüsse abzufangen.

Wartungsaktion

• Konfigurieren Sie den bedingten Zugriff für alle Benutzer mit MFA-Sicherheitsstufe
• Bereitstellen einer phishingsicheren kennwortlosen Authentifizierung

Alle Anmeldeaktivitäten stammen von verwalteten Geräten

Durch die Anforderung von Anmeldungen von verwalteten Geräten wird sichergestellt, dass Benutzer nur von Geräten aus auf Organisationsressourcen zugreifen, die Ihre Sicherheits- und Complianceanforderungen erfüllen. Nicht verwaltete Geräte verfügen nicht über organisatorische Sicherheitskontrollen und Endpunktschutz, wodurch potenzielle Einstiegspunkte für Angreifer entstehen. Die Verwendung des bedingten Zugriffs, um kompatible oder Microsoft Entra hybrid eingebundene Geräte zu erfordern, trägt zum Schutz vor Diebstahl von Anmeldeinformationen und unbefugtem Zugriff vor nicht vertrauenswürdigen Endpunkten bei.

Wartungsaktion

• Anforderung von konformen oder hybrid verbundenen Geräten mit Conditional Access
• Konfigurieren der Gerätekonformitätsrichtlinien in Microsoft Intune

Sicherheitsschlüsselauthentifizierungsmethode aktiviert

FIDO2-Sicherheitsschlüssel bieten hardwaregesicherte, phishingsichere Authentifizierung, die vor Diebstahl von Anmeldeinformationen und unbefugtem Zugriff schützt. Sicherheitsschlüssel verwenden kryptografische Identitätsnachweise, die an ein bestimmtes Gerät gebunden sind, wodurch Anmeldeinformationen nicht repliziert werden können und phishing-sicher sind. Wenn Sie diese Authentifizierungsmethode aktivieren, können Benutzer Sicherheitsschlüssel für sichere kennwortlose Authentifizierung registrieren.

Wartungsaktion

• Aktivieren der FIDO2-Authentifizierungsmethode für Sicherheitsschlüssel
• Verwalten von Authentifizierungsmethoden

Privilegierte Rollen werden nicht veralteten Identitäten zugewiesen.

Privilegierte Rollen sollten nicht bei Identitäten verbleiben, die keine aktuellen Anmeldeaktivitäten aufweisen. Veraltete Konten mit Administratorrechten sind attraktive Ziele für Angreifer, da sie kompromittiert werden können, ohne Verhaltensanalysewarnungen auszulösen. Das regelmäßige Überprüfen und Entfernen privilegierter Rollenzuweisungen aus inaktiven Identitäten reduziert das Risiko von anmeldeinformationsbasierten Angriffen und trägt dazu bei, den Zugriff auf geringste Rechte aufrechtzuerhalten.

Wartungsaktion

• Überprüfen privilegierter Rollenzuweisungen mithilfe von Zugriffsüberprüfungen
• Entfernen privilegierter Rollenzuweisungen aus inaktiven Identitäten
• Konfigurieren von automatisierten Zugriffsüberprüfungen für privilegierte Rollen

Einschränken des Gerätecodeflusses

Der Gerätecodefluss ist ein geräteübergreifender Authentifizierungsfluss, der für eingabeeinschränkte Geräte entwickelt wurde. Es kann in Phishingangriffen ausgenutzt werden, bei denen ein Angreifer den Fluss initiiert und einen Benutzer dazu verleitet, ihn auf seinem Gerät abzuschließen, wodurch die Token des Benutzers an den Angreifer gesendet werden. Angesichts der Sicherheitsrisiken und der seltenen legitimen Verwendung des Gerätecodeflusses sollten Sie eine Richtlinie für bedingten Zugriff aktivieren, um diesen Fluss standardmäßig zu blockieren.

Wartungsaktion

• Stellen Sie eine Richtlinie für bedingten Zugriff bereit, um den Gerätecodefluss zu blockieren.

Die Authentifizierungsübertragung ist blockiert.

Das Blockieren der Authentifizierungsübertragung in Microsoft Entra ID ist eine wichtige Sicherheitskontrolle. Sie schützt vor Tokendiebstahl- und Replay-Angriffen, indem verhindert wird, dass Gerätetoken für die automatische Authentifizierung auf anderen Geräten oder Browsern verwendet werden. Wenn die Authentifizierungsübertragung aktiviert ist, kann ein Bedrohungsakteur, der Zugriff auf ein Gerät erhält, auf Ressourcen auf nicht genehmigte Geräte zugreifen und standardauthentifizierungs- und Gerätekompatibilitätsprüfungen umgehen. Wenn Administratoren diesen Fluss blockieren, können Organisationen sicherstellen, dass jede Authentifizierungsanforderung vom ursprünglichen Gerät stammen muss, wobei die Integrität der Gerätekompatibilität und des Benutzersitzungskontexts beibehalten wird.

Wartungsaktion

• Bereitstellen einer Richtlinie für bedingten Zugriff zum Blockieren der Authentifizierungsübertragung

Microsoft Authenticator App zeigt den Anmeldekontext an

Ohne Anmeldekontext können Bedrohungsakteure die Authentifizierungsermüdung nutzen, indem Benutzer mit Pushbenachrichtigungen überflutet werden, wodurch die Chance erhöht wird, dass ein Benutzer versehentlich eine böswillige Anforderung genehmigt. Wenn Benutzer generische Pushbenachrichtigungen ohne den Anwendungsnamen oder geografischen Standort erhalten, verfügen sie nicht über die Informationen, die sie benötigen, um fundierte Genehmigungsentscheidungen zu treffen. Dieser Mangel an Kontext macht Benutzer anfällig für Social Engineering-Angriffe, insbesondere wenn Bedrohungsakteure ihre Anforderungen in Zeiträumen legitimer Benutzeraktivitäten zeiten. Diese Sicherheitsanfälligkeit ist besonders gefährlich, wenn Bedrohungsakteure Zugang durch das Sammeln von Anmeldeinformationen oder 'Password Spraying'-Angriffe erhalten und dann versuchen, die Persistenz zu etablieren, indem sie die Genehmigung von Mehrfaktor-Authentifizierungsanforderungen von unerwarteten Anwendungen oder Standorten ausnutzen. Ohne kontextbezogene Informationen können Benutzer keine ungewöhnlichen Anmeldeversuche erkennen, sodass Bedrohungsakteure ihren Zugriff aufrechterhalten und Privilegien eskalieren können, indem sie sich seitlich durch Systeme bewegen, nachdem sie die anfängliche Authentifizierungsbarriere umgangen haben. Ohne Anwendungs- und Standortkontext verlieren Sicherheitsteams auch wertvolle Telemetrie zum Erkennen verdächtiger Authentifizierungsmuster, die auf laufende Kompromittierungs- oder Aufklärungsaktivitäten hinweisen können.

Wartungsaktion Geben Sie Benutzern den Kontext, den sie benötigen, um fundierte Genehmigungsentscheidungen zu treffen. Konfigurieren Sie Microsoft Authenticator Benachrichtigungen, indem Sie die Richtlinie für Authentifizierungsmethoden festlegen, um den Anwendungsnamen und den geografischen Standort einzuschließen.

• Verwenden von zusätzlichem Kontext in Authenticator-Benachrichtigungen – Richtlinie für Authentifizierungsmethoden

Die Einstellung für verdächtige Aktivitäten in der Microsoft Authenticator App ist aktiviert.

Bedrohungsakteure verlassen sich zunehmend auf Prompt-Bombardierungen und Echtzeit-Phishing-Proxys, um Benutzer zu zwingen oder zu täuschen, betrügerische Herausforderungen bei der Mehrfaktor-Authentifizierung (MFA) zu genehmigen. Ohne dass in der Microsoft Authenticator App die Funktion Bericht über verdächtige Aktivitäten aktiviert ist, kann ein Angreifer so lange iterieren, bis ein ermüdeter Benutzer akzeptiert. Dieser Angriffstyp kann zu einer Berechtigungseskalation, Persistenz, Lateralbewegung in sensible Workloads, Datenexfiltration oder destruktive Aktionen führen.

Wenn die Berichterstellung für alle Benutzer aktiviert ist, kann jede unerwartete Push- oder Telefonaufforderung aktiv markiert werden, den Benutzer sofort als hohes Risiko einstufen und eine Risikoerkennung mit hoher Genauigkeit (userReportedSuspiciousActivity) generieren. Risikobasierte Richtlinien für bedingten Zugriff oder andere automatisierte Reaktionsmechanismen können diese Informationen nutzen, um Maßnahmen zu blockieren oder sichere Gegenmaßnahmen zu fordern.

Wartungsaktion

• Aktivieren Sie die Einstellung zum Melden verdächtiger Aktivitäten in der Microsoft Authenticator-App

Der Ablauf des Kennworts ist deaktiviert.

Wenn Kennwortablaufrichtlinien aktiviert bleiben, können Bedrohungsakteure die vorhersagbaren Kennwortrotationsmuster ausnutzen, die Benutzer in der Regel befolgen, wenn Sie gezwungen sind, Kennwörter regelmäßig zu ändern. Benutzer erstellen häufig schwächere Kennwörter, indem sie nur minimale Änderungen an vorhandenen vornehmen, z. B. Zahlen erhöhen oder sequenzielle Zeichen hinzufügen. Bedrohungsakteure können diese Arten von Änderungen durch Angriff auf Anmeldeinformationen oder gezielte Kennwortsprühkampagnen problemlos antizipieren und ausnutzen. Diese vorhersagbaren Muster ermöglichen Bedrohungsakteuren, Persistenz zu etablieren durch:

• Kompromittierte Anmeldeinformationen
• Erhöhte Berechtigungen durch das Angreifen von Administratorkonten mit schwachen, gewechselten Passwörtern.
• Beibehaltung des langfristigen Zugriffs durch Vorhersagen zukünftiger Kennwortvariationen

Untersuchungen zeigen, dass Benutzer schwächere, vorhersagbare Kennwörter erstellen, wenn sie gezwungen sind, ablaufen zu müssen. Diese vorhersagbaren Kennwörter sind für erfahrene Angreifer einfacher zu knacken, da sie häufig einfache Änderungen an vorhandenen Kennwörtern vornehmen, anstatt völlig neue sichere Kennwörter zu erstellen. Darüber hinaus können benutzer, wenn Benutzer häufig Kennwörter ändern müssen, auf unsichere Praktiken zurückgreifen, z. B. das Notieren von Kennwörtern oder das Speichern an leicht zugänglichen Orten, wodurch mehr Angriffsvektoren für Bedrohungsakteure entstehen, die während physischer Aufklärungs- oder Social Engineering-Kampagnen ausgenutzt werden.

Wartungsaktion

• Legen Sie die Kennwortablaufrichtlinie für Ihre Organisation fest.
  • Melden Sie sich beim Microsoft 365 Admin Center an. Wechseln Sie zu Einstellungen>Organisationseinstellungen> ** Sicherheits- und Datenschutz** >Richtlinie zur Kennwortablauf. Stellen Sie sicher, dass die Einstellung für das Festlegen von Kennwörtern auf "Nie ablaufen " aktiviert ist.
• Passwortablauf mit Microsoft Graph deaktivieren.
• Einschließen Sie, dass einzelne Benutzer-Kennwörter niemals mit Microsoft Graph PowerShell ablaufen
  • Update-MgUser -UserId <UserID> -PasswordPolicies DisablePasswordExpiration

Intelligente Aussperrgrenze auf 10 oder weniger eingestellt

Wenn der Schwellenwert für die intelligente Sperrung auf mehr als 10 festgelegt ist, können Bedrohungsakteure die Konfiguration ausnutzen, um Aufklärung durchzuführen, gültige Benutzerkonten zu identifizieren, ohne Sperrschutz auszulösen und erstzugriff ohne Erkennung einzurichten. Sobald Angreifer den ersten Zugriff erhalten, können sie sich lateral durch die Umgebung bewegen, indem sie das kompromittierte Konto verwenden, um auf Ressourcen zuzugreifen und Berechtigungen zu eskalieren.

Intelligente Sperrung hilft dabei, bösartige Akteure zu blockieren, die versuchen, die Kennwörter Ihrer Benutzer zu erraten oder Brute-Force-Methoden zu verwenden, um Zugang zu erhalten. Intelligente Sperrung erkennt Anmeldungen, die von gültigen Benutzern stammen, und behandelt sie anders als angreifer und andere unbekannte Quellen. Ein Schwellenwert von mehr als 10 bietet unzureichenden Schutz vor automatisierten Kennwortsprühangriffen, sodass Bedrohungsakteure Konten kompromittieren und Erkennungsmechanismen umgehen können.

Wartungsaktion

• Legen Sie die Schwelle für die Smart Lockout-Funktion von Microsoft Entra auf 10 oder weniger fest.

Die Dauer der intelligenten Sperrung ist auf mindestens 60 Sekunden festgelegt.

Wenn die Dauer der intelligenten Sperrung unter den Standardmäßigen 60 Sekunden konfiguriert ist, können Bedrohungsakteure verkürzte Sperrzeiträume ausnutzen, um Kennwortsprühen und Angriffe auf Anmeldeinformationen effektiver durchzuführen. Reduzierte Sperrfenster ermöglichen Es Angreifern, die Authentifizierungsversuche schneller fortzusetzen und ihre Erfolgswahrscheinlichkeit zu erhöhen, während potenziell Erkennungssysteme, die auf längere Beobachtungszeiträume angewiesen sind, umgangen werden.

Wartungsaktion

• Festlegen der Smart Lockout-Dauer auf 60 Sekunden oder höher

Hinzufügen von Organisationsbegriffen zur Liste der gesperrten Kennwörter

Organisationen, die die benutzerdefinierte Liste gesperrter Kennwörter nicht auffüllen und erzwingen, stellen sich einer systematischen Angriffskette zur Verfügung, in der Bedrohungsakteure vorhersagbare Organisationskennwortmuster ausnutzen. Diese Bedrohungsakteure beginnen in der Regel mit Aufklärungsphasen, in denen sie Open Source Intelligence (OSINT) von Websites, sozialen Medien und öffentlichen Datensätzen sammeln, um wahrscheinliche Kennwortkomponenten zu identifizieren. Mit diesem Wissen starten sie Kennwortsprühangriffe, die organisationsspezifische Kennwortvariationen über mehrere Benutzerkonten hinweg testen und unter Sperrschwellenwerten bleiben, um die Erkennung zu vermeiden. Ohne den Schutz der benutzerdefinierten Liste gesperrter Kennwörter fügen Mitarbeiter häufig vertraute Organisationsbegriffe zu ihren Kennwörtern hinzu, z. B. Speicherorte, Produktnamen und Branchenbegriffe, wodurch konsistente Angriffsvektoren entstehen.

Die benutzerdefinierte Liste gesperrter Kennwörter hilft Organisationen dabei, diese kritische Lücke zu schließen, um leicht erratene Kennwörter zu verhindern, die zu anfänglichem Zugriff und nachfolgenden lateralen Bewegungen innerhalb der Umgebung führen könnten.

Wartungsaktion

• Erfahren Sie, wie Sie benutzerdefinierten gesperrten Kennwortschutz aktivieren und Organisationsbegriffe hinzufügen.

Erfordern der mehrstufigen Authentifizierung für die Gerätebeitritts- und Geräteregistrierung mithilfe einer Benutzeraktion

Bedrohungsakteure können den Mangel an mehrstufiger Authentifizierung während der neuen Geräteregistrierung ausnutzen. Nach der Authentifizierung können sie nicht autorisierte Geräte registrieren, Persistenz einrichten und Sicherheitskontrollen umgehen, die an vertrauenswürdige Endpunkte gebunden sind. Diese Zugriffsmöglichkeit ermöglicht es Angreifern, vertrauliche Daten zu exfiltrieren, böswillige Anwendungen bereitzustellen oder sich seitlich zu bewegen, abhängig von den Berechtigungen der vom Angreifer verwendeten Konten. Ohne die MFA-Durchsetzung eskaliert das Risiko, da Angreifer kontinuierlich erneut authentifizieren, die Erkennung umgehen und Ziele ausführen können.

Wartungsaktion

• Stellen Sie eine Richtlinie für bedingten Zugriff bereit, um eine mehrstufige Authentifizierung für die Geräteregistrierung zu erfordern.

Lokale Administratorkennwortlösung wird bereitgestellt

Ohne die Lösung für lokale Administratorkennwörter (LOCAL Admin Password Solution, LAPS) nutzen Bedrohungsakteure statische lokale Administratorkennwörter, um den anfänglichen Zugriff einzurichten. Nachdem Bedrohungsakteure ein einzelnes Gerät mit freigegebenen lokalen Administratoranmeldeinformationen kompromittieren, können sie sich lateral über die Umgebung bewegen und sich bei anderen Systemen authentifizieren, die dasselbe Kennwort verwenden. Kompromittierter lokaler Administratorzugriff bietet Bedrohungsakteuren Berechtigungen auf Systemebene, mit denen sie eine vielzahl von böswilligen Aktivitäten erreichen können, darunter:

• Sicherheitskontrollen deaktivieren
• Installieren persistenter Hintertüren
• Exfiltrieren vertraulicher Daten
• Einrichten von Befehls- und Steuerungskanälen

Die automatisierte Kennwortrotation und die zentrale Verwaltung von LAPS schließt diese Sicherheitslücke und fügt Steuerelemente hinzu, um zu verwalten, wer Zugriff auf diese kritischen Konten hat. Ohne Lösungen wie LAPS können Sie die nicht autorisierte Verwendung lokaler Administratorkonten nicht erkennen oder darauf reagieren, was Bedrohungsakteuren eine verlängerte Verweildauer ermöglicht, um ihre Ziele zu erreichen, während sie unentdeckt bleiben.

Wartungsaktion

• Konfigurieren Sie die Windows-Lokale-Administratorkennwortlösung.

Entra Connect Sync ist mit Dienstprinzipalanmeldeinformationen konfiguriert.

Die Verwendung von Benutzerkonten anstelle von Dienstprinzipalen in Microsoft Entra Connect Sync schafft Sicherheitsanfälligkeiten. Die Authentifizierung von Legacy-Benutzerkonten mit Passwörtern ist anfälliger für Diebstahl von Zugangsdaten und Passwortangriffe als die Authentifizierung von Dienstprinzipalen mit Zertifikaten. Kompromittierte Connectorkonten ermöglichen es Bedrohungsakteuren, die Identitätssynchronisierung zu manipulieren, Hintertürkonten zu erstellen, Berechtigungen zu erweitern oder die hybride Identitätsinfrastruktur zu stören.

Wartungsaktion

• Konfigurieren der Dienstprinzipalauthentifizierung für Entra Connect
• Entfernen von Legacy-Verzeichnissynchronisierungskonten

Das Verzeichnissynchronisierungskonto ist für einen bestimmten benannten Speicherort gesperrt.

Verzeichnissynchronisierungskonten sind Hoch privilegierte Dienstkonten, die die Identitätssynchronisierung zwischen lokales Active Directory und Microsoft Entra ID erleichtern. Ohne standortbasierte Zugriffssteuerungen können Bedrohungsakteure, die diese Konten kompromittieren, böswillige Änderungen von jedem Standort synchronisieren, einschließlich nicht autorisierter Netzwerke oder geografischer Regionen.

Sobald ein Verzeichnissynchronisierungskonto kompromittiert wurde, können Bedrohungsakteure:

• Verwalten von Identitätssynchronisierungsprozessen
• Erstellen nicht autorisierter Benutzerkonten
• Eskalieren von Berechtigungen vorhandener Konten
• Beibehalten des Zugriffs durch Ändern von Synchronisierungsregeln

Der uneingeschränkte Netzwerkzugriff ermöglicht es Bedrohungsakteuren, remote von kompromittierter Infrastruktur aus zu arbeiten und die Erkennung zu erschweren und gleichzeitig langfristigen Zugriff auf die Hybrididentitätsumgebung aufrechtzuerhalten. Das Einschränken dieser Konten auf vertrauenswürdige benannte Speicherorte durch Richtlinien für bedingten Zugriff beschränkt die Angriffsfläche, indem sichergestellt wird, dass Synchronisierungsvorgänge nur von autorisierten Netzwerkspeicherorten erfolgen.

Wartungsaktion

• Blockieren des Zugriffs nach Standort mit bedingtem Zugriff.

Keine Verwendung von ADAL im Mandanten

Microsoft hat den Support und die Bereitstellung von Sicherheitsupdates für ADAL am 30. Juni 2023 eingestellt. Die fortgesetzte ADAL-Verwendung umgeht moderne Sicherheitsschutzfunktionen, die nur in MSAL verfügbar sind, einschließlich Erzwingung des bedingten Zugriffs, fortlaufende Zugriffsauswertung (Continuous Access Evaluation, CAE) und erweiterter Tokenschutz. ADAL-Anwendungen erstellen Sicherheitsrisiken, indem schwächere Legacyauthentifizierungsmuster verwendet werden, häufig veraltete Azure AD Graph-Endpunkte aufrufen und die Einführung von gehärteten Authentifizierungsflüssen verhindern, die zukünftige Sicherheitsempfehlungen mindern könnten.

Wartungsaktion

• Anwendungen zur Microsoft Authentication Library (MSAL) (MSAL) migrieren

Veraltetes Azure AD PowerShell-Modul blockieren

Bedrohungsakteure zielen häufig auf Legacyverwaltungsschnittstellen wie das Azure AD PowerShell-Modul (AzureAD und AzureADPreview) ab, das keine moderne Authentifizierung, Erzwingung für bedingten Zugriff oder erweiterte Überwachungsprotokollierung unterstützt. Die fortgesetzte Verwendung dieser Module macht die Umgebung Risiken offen, einschließlich schwacher Authentifizierung, Umgehung von Sicherheitskontrollen und unvollständiger Sichtbarkeit in administrative Aktionen. Angreifer können diese Schwachstellen ausnutzen, um nicht autorisierten Zugriff zu erhalten, Berechtigungen zu eskalieren und böswillige Änderungen auszuführen.

Blockieren Sie das Azure AD PowerShell-Modul (appID: 1b730954-1685-4b74-9bfd-dac224a7b894), und erzwingen Sie die Verwendung von Microsoft Graph PowerShell oder Microsoft Entra PowerShell, um sicherzustellen, dass nur sichere, unterstützte und auditierbare Verwaltungskanäle verfügbar sind, wodurch kritische Lücken in der Angriffskette geschlossen werden.

Wartungsaktion

• Deaktivieren der Benutzeranmeldung für die Anwendung

Aktivieren Microsoft Entra ID Sicherheitsstandardwerte für kostenlose Mandanten

Das Aktivieren von Sicherheitsstandardeinstellungen in Microsoft Entra ist für Organisationen mit Microsoft Entra Kostenlosen Lizenzen unerlässlich, um vor Identitätsangriffen zu schützen. Diese Angriffe können zu unbefugtem Zugriff, finanziellen Verlust und Reputationsschäden führen. Sicherheitsstandardwerte erfordern, dass sich alle Benutzer für die mehrstufige Authentifizierung (MFA) registrieren, sicherstellen, dass Administratoren MFA verwenden und ältere Authentifizierungsprotokolle blockieren. Dadurch wird das Risiko erfolgreicher Angriffe erheblich reduziert, da mehr als 99% gängiger identitätsbezogener Angriffe mit MFA beendet und die Legacyauthentifizierung blockiert werden. Sicherheitsstandardkonfigurationen bieten grundlegenden Schutz ohne zusätzliche Kosten, sodass sie für alle Organisationen zugänglich sind.

Wartungsaktion

• Sicherheitsstandards in Microsoft Entra ID aktivieren