Verwenden des bedingten Azure AD-Zugriffs für eine strengere Sicherheit

Wie bei Technologien in der Cloud üblich, sind die Funktionen in Azure Active Directory in Bewegung.

Die Azure-Version von Active Directory unterscheidet sich in vielerlei Hinsicht von der lokalen Version, einschließlich der Internetverbindung. Es gibt Möglichkeiten, Ihre Umgebung zu schützen und sicher zu sein, aber dies ist standardmäßig nicht der Fall. Hier sind zwei Änderungen, die Sie vornehmen sollten, um Ihre Azure AD-Umgebung zu schützen.

Blockieren Sie die Legacy-Authentifizierung

Moderne Authentifizierung ist der Begriff von Microsoft für eine Reihe von Regeln und Anforderungen, wie Systeme mit Azure AD kommunizieren und sich authentifizieren können. Diese Anforderung gilt für mehrere Sicherheitsvorteile, wird jedoch auch für einen Azure AD-Mandanten nicht standardmäßig erzwungen.
Die Legacy-Authentifizierung wird für viele Arten von Angriffen auf Azure AD-basierte Konten verwendet. Wenn Sie die Legacy-Authentifizierung blockieren, werden Sie diese Angriffe blockieren. Es besteht jedoch die Möglichkeit, dass Sie verhindern, dass Benutzer versuchen, legitime Aufgaben auszuführen.
Hier kann der bedingte Azure AD-Zugriff hilfreich sein. Anstelle eines einfachen Aus-Schalters für die Legacy-Authentifizierung können Sie eine oder mehrere Richtlinien erstellen – eine Reihe von Regeln -, die festlegen, was unter bestimmten Szenarien zulässig ist und was nicht.
Sie können zunächst eine Azure AD-Richtlinie für den bedingten Zugriff erstellen, für die eine moderne Authentifizierung erforderlich ist, oder die den Anmeldeversuch blockiert. Microsoft hat kürzlich eine Option “Nur Bericht” zu Richtlinien für den bedingten Zugriff hinzugefügt, die dringend empfohlen wird, einige Tage nach der Bereitstellung zu verwenden und zu belassen. Dies zeigt Ihnen, dass die Benutzer weiterhin die Legacy-Authentifizierung verwenden, die Sie korrigieren müssen, bevor Sie die Richtlinie tatsächlich durchsetzen. Auf diese Weise können Sie sicherstellen, dass Benutzer nicht daran gehindert werden, ihre Arbeit zu erledigen.
Diese Änderung wird jedoch die E-Mail-Anwendungen von Mobiltelefonen stark einschränken. Die einzigen, die offiziell mit moderner Authentifizierung unterstützt werden, sind Outlook für iOS und Android sowie Apple iOS Mail.

Implementieren Sie die Multifaktorauthentifizierung

Dies klingt offensichtlich, aber es gibt viele Möglichkeiten, eine Multifaktor-Authentifizierung (MFA) durchzuführen. Ihre Microsoft-Lizenzierung ist einer der Faktoren, die Ihre Auswahl bestimmen. Die gute Nachricht ist, dass Optionen für alle Lizenzierungsstufen verfügbar sind – einschließlich der kostenlosen -, die flexibelsten Optionen jedoch von Azure AD Premium P1 und P2 stammen.
Mit diesen kostenpflichtigen Plänen können bedingte Zugriffsregeln viel besser sein, als nur ständig MFA zu erzwingen. Beispielsweise benötigen Sie möglicherweise keine MFA, wenn der Benutzer über eine IP-Adresse in Ihrem Büro auf einen Microsoft-Dienst zugreift oder wenn das Gerät mit Azure AD verbunden ist. Möglicherweise möchten Sie, dass beide Szenarien Anforderungen zur Vermeidung von MFA sind, während andere Situationen, z. B. ein Benutzer, der Zugriff auf einen PC sucht, der nicht im Besitz des Unternehmens ist, eine zusätzliche Authentifizierung anfordern.
MFA muss nicht nur eine SMS-basierte Authentifizierung sein. Microsoft Authenticator App Möglicherweise muss jemand bei der ersten Registrierung noch ein paar Schritte ausführen, aber es ist viel einfacher, ein Popup auf Ihrem Mobilgerät als zweiten Autorisierungsfaktor zu akzeptieren, als auf eine SMS zu warten und die sechs zu lesen. Ziffernnummer und geben Sie sie dann in Ihren PC ein.
Ohne MFA besteht ein hohes Risiko für ein über das Internet verfügbares Authentifizierungssystem, mit dem Angreifer leicht durchgesickerte Anmeldeinformationen ausprobieren oder verwenden können Sprühangriffe bis sie eine erfolgreiche Anmeldung mit einem Benutzernamen und einem Passwort getroffen haben.

Der andere häufige Angriff ist Phishing mit Anmeldeinformationen. Dies kann besonders erfolgreich sein, wenn der Bedrohungsakteur ein kompromittiertes Konto verwendet, um Phishing-E-Mails an die Kontakte der Person zu senden, oder gefälschte Formulare verwendet, um auch die Anmeldeinformationen des Kontakts abzurufen. Dies wäre größtenteils harmlos, wenn für das Konto des Opfers eine MFA erforderlich wäre.
Konten in Azure AD werden nach 10 fehlgeschlagenen Versuchen ohne MFA gesperrt, jedoch nur für eine Minute. Nach weiteren fehlgeschlagenen Versuchen wird die Zeit schrittweise verlängert. Dies ist ein guter Weg, um die Angreifer zu verlangsamen, und es ist auch klug genug, nur den Angreifer zu blockieren und Ihren Benutzer davon abzuhalten, zu arbeiten. Der Angreifer kann jedoch einfach zum nächsten Konto wechseln und zu einem späteren Zeitpunkt zum vorherigen Konto zurückkehren und schließlich ein korrektes Kennwort eingeben.

Änderungen des bedingten Azure AD-Zugriffs werden vorgenommen

Die oben genannten Empfehlungen können durch vier Richtlinien für den bedingten Zugriff aktiviert werden, die in allen Azure AD-Mandanten sichtbar sein sollten (noch in der Vorschau). Diese werden jedoch anscheinend in Zukunft entfernt.

Grundlegende Schutzrichtlinien
Microsoft plant, die grundlegenden Schutzrichtlinien durch Sicherheitsstandards zu ersetzen

Die Richtlinien werden durch eine einzige Option mit dem Namen “Sicherheitsstandards” ersetzt, die sich im Abschnitt “Verwalten> Eigenschaften” von Azure AD befindet. Mithilfe der Basisrichtlinien konnten Sie die gewünschte Sicherheit und die Aktivierung der einzelnen Funktionen etwas genauer festlegen. Um diese Flexibilität zu erhalten, benötigen Sie Azure AD Premium, sobald diese Basisrichtlinien ausgeführt werden.
Durch Aktivieren der Sicherheitsstandards in Ihrem Azure AD-Mandanten werden:

  • Administratoren zur Verwendung von MFA zwingen;
  • Erzwingen Sie privilegierte Aktionen, z. B. die Verwendung von Azure PowerShell, um MFA zu verwenden.
  • alle Benutzer zwingen, sich innerhalb von 14 Tagen für MFA zu registrieren; und
  • Blockieren Sie die Legacy-Authentifizierung für alle Benutzer.

Ich vermute, dass die Aufnahme nicht ausreichte, weshalb Microsoft auf eine einzelne Umschaltoption umstellt, um diese Empfehlungen zu aktivieren. Ich riskiere auch zu erraten, dass Microsoft machen wird diese Option Standardmäßig für neue Mieter in der Zukunft aktiviert, aber Sie müssen nicht warten. Wenn Sie diese Optionen nicht aktiviert haben, sollten Sie daran arbeiten, sie so schnell wie möglich zu aktivieren.

Similar Posts

Leave a Reply