Konfigurieren von Microsoft Entra für Zero Trust: Schützen von Identitäten und geheimen Schlüsseln

Die Benutzer- und Anwendungsauthentifizierung und -autorisierung sind der Einstiegspunkt in Ihre Identitäts- und geheime Infrastruktur. Der Schutz aller Identitäten und Geheimnisse ist ein grundlegender Schritt in Ihrer Zero Trust-Reise und einer Säule der Secure Future Initiative.

Die Empfehlungen und Zero Trust-Prüfungen, die Teil dieser Säule sind, tragen dazu bei, das Risiko eines nicht autorisierten Zugriffs zu verringern. Der Schutz von Identitäten und Geheimnissen stellt den Kern von Zero Trust innerhalb von Microsoft Entra dar. Zu den Themen gehören die ordnungsgemäße Verwendung von Geheimnissen und Zertifikaten, angemessene Begrenzungen für privilegierte Konten und moderne kennwortlose Authentifizierungsmethoden.

Sicherheitsempfehlungen für Zero Trust

Anwendungen haben keine geheimen Clientschlüssel konfiguriert.

Anwendungen, die geheime Clientschlüssel verwenden, speichern sie möglicherweise in Konfigurationsdateien, hartcodieren sie in Skripts oder riskieren ihre Gefährdung auf andere Weise. Die Komplexitäten des geheimen Managements machen Geheimgeheimnisse anfällig für Lecks und attraktiv für Angreifer. Geheime Clientschlüssel bieten Angreifern die Möglichkeit, ihre Aktivitäten mit legitimen Vorgängen zu vermischen, wodurch die Umgehung von Sicherheitskontrollen erleichtert wird. Wenn ein Angreifer den geheimen Clientschlüssel einer Anwendung kompromittiert, kann er seine Berechtigungen innerhalb des Systems eskalieren, was je nach den Berechtigungen der Anwendung zu einem umfassenderen Zugriff und zur Kontrolle führt.

Anwendungen und Dienstprinzipale mit Berechtigungen für Microsoft Graph-APIs oder andere APIs haben ein höheres Risiko, da ein Angreifer diese zusätzlichen Berechtigungen potenziell ausnutzen kann.

Wartungsaktion

• Anwendungen von freigegebenen Geheimschlüsseln in verwaltete Identitäten verschieben und sicherere Methodeneinführen.
  • Verwenden von verwalteten Identitäten für Azure-Ressourcen
  • Bereitstellen von Richtlinien für bedingten Zugriff für Workloadidentitäten
  • Implementieren des geheimen Scans
  • Bereitstellen von Anwendungsauthentifizierungsrichtlinien zum Erzwingen sicherer Authentifizierungsmethoden
  • Erstellen einer benutzerdefinierten Rolle mit geringsten Rechten zum Drehen von Anwendungsanmeldeinformationen
  • Stellen Sie sicher, dass Sie über einen Prozess zum Triagen und Überwachen von Anwendungen verfügen

Dienstprinzipale verfügen nicht über Zertifikate oder Anmeldeinformationen, die ihnen zugeordnet sind

Dienstprinzipale ohne ordnungsgemäße Authentifizierungsnachweise (Zertifikate oder Client-Geheimnisse) schaffen Sicherheitslücken, die es Bedrohungsakteuren ermöglichen, diese Identitäten zu imitieren. Dies kann zu unbefugtem Zugriff, lateraler Bewegung innerhalb Ihrer Umgebung, Berechtigungseskalation und dauerhaften Zugriff führen, der schwer zu erkennen und zu beheben ist.

Wartungsaktion

• Für die Dienstprinzipale Ihrer Organisation: Hinzufügen von Zertifikaten oder geheimen Clientschlüsseln zur App-Registrierung
• Für externe Dienstprinzipale: Überprüfen und entfernen Sie alle unnötigen Anmeldeinformationen, um das Sicherheitsrisiko zu verringern.

Anwendungen verfügen nicht über Zertifikate mit Ablauf länger als 180 Tage

Zertifikate, wenn nicht sicher gespeichert, können von Angreifern extrahiert und ausgenutzt werden, was zu nicht autorisiertem Zugriff führt. Langlebige Zertifikate sind wahrscheinlicher im Laufe der Zeit verfügbar. Wenn Anmeldeinformationen verfügbar gemacht werden, bieten Angreifern die Möglichkeit, ihre Aktivitäten mit legitimen Vorgängen zu vermischen, wodurch die Umgehung von Sicherheitskontrollen erleichtert wird. Wenn ein Angreifer das Zertifikat einer Anwendung kompromittiert, kann er seine Berechtigungen innerhalb des Systems eskalieren, was je nach den Berechtigungen der Anwendung zu einem umfassenderen Zugriff und zur Kontrolle führt.

Wartungsaktion

• Definieren der zertifikatbasierten Anwendungskonfiguration
• Definieren vertrauenswürdiger Zertifizierungsstellen für Apps und Dienstprinzipale im Mandanten
• Definieren von Anwendungsverwaltungsrichtlinien
• Erzwingen von Geheim- und Zertifikatstandards
• Erstellen einer benutzerdefinierten Rolle mit den geringsten Rechten zum Drehen von Anwendungsanmeldeinformationen

Anwendungszertifikate müssen regelmäßig gedreht werden

Wenn Zertifikate nicht regelmäßig gedreht werden, können sie Bedrohungsakteuren ein erweitertes Fenster zum Extrahieren und Ausnutzen gewähren, was zu nicht autorisiertem Zugriff führt. Wenn Anmeldeinformationen wie diese verfügbar gemacht werden, können Angreifer ihre schädlichen Aktivitäten mit legitimen Vorgängen kombinieren, wodurch die Umgehung von Sicherheitskontrollen erleichtert wird. Wenn ein Angreifer das Zertifikat einer Anwendung kompromittiert, kann er seine Berechtigungen innerhalb des Systems eskalieren, was je nach den Berechtigungen der Anwendung zu einem umfassenderen Zugriff und zur Kontrolle führt.

Abfragen aller Dienstprinzipale und Anwendungsregistrierungen mit Zertifikatanmeldeinformationen. Stellen Sie sicher, dass das Startdatum des Zertifikats weniger als 180 Tage beträgt.

Wartungsaktion

• Definieren einer Anwendungsverwaltungsrichtlinie zum Verwalten von Zertifikatlebensdauern
• Definieren einer vertrauenswürdigen Zertifikatkette mit vertrauensbasiertem
• Erstellen einer benutzerdefinierten Rolle mit geringsten Rechten zum Drehen von Anwendungsanmeldeinformationen
• Weitere Informationen zu App-Verwaltungsrichtlinien zum Verwalten zertifikatbasierter Anmeldeinformationen

Erzwingen von Standards für geheime App-Schlüssel und Zertifikate

Ohne ordnungsgemäße Anwendungsverwaltungsrichtlinien können Bedrohungsakteure schwache oder falsch konfigurierte Anwendungsanmeldeinformationen ausnutzen, um nicht autorisierten Zugriff auf Organisationsressourcen zu erhalten. Anwendungen mit langlebigen Kennwortgeheimnissen oder Zertifikaten erstellen erweiterte Angriffsfenster, in denen kompromittierte Anmeldeinformationen für längere Zeiträume gültig bleiben. Wenn eine Anwendung geheime Clientschlüssel verwendet, die in Konfigurationsdateien hartcodiert sind oder schwache Kennwortanforderungen aufweisen, können Bedrohungsakteure diese Anmeldeinformationen auf unterschiedliche Weise extrahieren, einschließlich Quellcoderepositorys, Konfigurationsabbilder oder Speicheranalysen. Wenn Bedrohungsakteure diese Anmeldeinformationen erhalten, können sie laterale Bewegungen innerhalb der Umgebung durchführen, Berechtigungen eskalieren, wenn die Anwendung über erhöhte Berechtigungen verfügt, Persistenz schaffen, indem sie mehr Anmeldeinformationen für die Hintertür erstellen, anwendungskonfiguration ändern oder Daten exfiltrieren. Durch das Fehlen der Verwaltung des Lebenszyklus von Anmeldeinformationen bleiben kompromittierte Anmeldeinformationen unbegrenzt aktiv, sodass Bedrohungsakteure dauerhaft zugriff auf Organisationsressourcen und die Möglichkeit haben, Datenexfiltration, Systemmanipulation durchzuführen oder schädlichere Tools ohne Erkennung bereitzustellen.

Durch die Konfiguration geeigneter App-Verwaltungsrichtlinien können Organisationen diese Bedrohungen besser bewältigen.

Wartungsaktion

• Erfahren Sie, wie Sie geheime und Zertifikatstandards mithilfe von Anwendungsverwaltungsrichtlinien erzwingen.

Microsoft-Diensteanwendungen verfügen nicht über konfigurierte Anmeldeinformationen

Microsoft-Dienstanwendungen, die in Ihrem Mandanten arbeiten, werden als Dienstprinzipale mit der Besitzerorganisations-ID "f8cdef31-a31e-4b4a-93e4-5f571e91255a" identifiziert. Wenn diese Dienstprinzipale Anmeldeinformationen in Ihrem Mandanten konfiguriert haben, können sie potenzielle Angriffsvektoren erstellen, die Bedrohungsakteure ausnutzen können. Wenn ein Administrator die Anmeldeinformationen hinzugefügt hat und er nicht mehr benötigt wird, kann er ein Ziel für Angreifer werden. Auch wenn geeignete präventive und detektive Kontrollen in privilegierten Aktivitäten vorhanden sind, können Bedrohungsakteure auch böswillige Anmeldeinformationen hinzufügen. In beiden Fällen können Bedrohungsakteure diese Anmeldeinformationen verwenden, um sich als Dienstprinzipal zu authentifizieren und dieselben Berechtigungen und Zugriffsrechte wie die Microsoft-Dienstanwendung zu erhalten. Dieser anfängliche Zugriff kann zu einer Berechtigungseskalation führen, wenn die Anwendung über allgemeine Berechtigungen verfügt und eine laterale Bewegung über den mandanten hinweg ermöglicht. Angreifer können dann mit datenexfiltration oder Persistenz fortfahren, indem sie andere Backdoor-Anmeldeinformationen erstellen.

Wenn Anmeldeinformationen (z. B. geheime Clientschlüssel oder Zertifikate) für diese Dienstprinzipale in Ihrem Mandanten konfiguriert sind, bedeutet dies, dass jemand – entweder ein Administrator oder ein böswilliger Akteur – sie in Ihrer Umgebung unabhängig authentifizieren kann. Diese Anmeldeinformationen sollten untersucht werden, um ihre Legitimität und Notwendigkeit zu ermitteln. Wenn sie nicht mehr benötigt werden, sollten sie entfernt werden, um das Risiko zu reduzieren.

Wenn diese Überprüfung nicht erfolgreich ist, empfiehlt es sich, "untersuchen" zu müssen, da Sie Anwendungen mit nicht verwendeten Anmeldeinformationen identifizieren und überprüfen müssen.

Wartungsaktion

• Bestätigen Sie, ob die hinzugefügten Anmeldeinformationen weiterhin gültige Anwendungsfälle sind. Entfernen Sie andernfalls Anmeldeinformationen aus Microsoft-Dienstanwendungen, um das Sicherheitsrisiko zu verringern.
  • Navigieren Sie im Microsoft Entra Admin Center zu Entra>, und wählen Sie die betroffene Anwendung aus.
  • Wechseln Sie zum Abschnitt "Zertifikate und Geheime Schlüssel", und entfernen Sie alle Anmeldeinformationen, die nicht mehr benötigt werden.

Die Einstellungen für die Zustimmung des Benutzers sind eingeschränkt.

Ohne eingeschränkte Einstellungen für die Benutzerzustimmung können Bedrohungsakteure permissive Anwendungszustimmungskonfigurationen ausnutzen, um nicht autorisierten Zugriff auf vertrauliche Unternehmensdaten zu erhalten. Wenn die Zustimmung des Benutzers uneingeschränkt ist, können Angreifer:

• Verwenden Sie Social Engineering und illegale Zustimmungserteilungsangriffe, um Benutzer dazu zu bringen, böswillige Anwendungen zu genehmigen.
• Identitätswechsel legitimer Dienste, um umfassende Berechtigungen anzufordern, z. B. Zugriff auf E-Mails, Dateien, Kalender und andere wichtige Geschäftsdaten.
• Rufen Sie legitime OAuth-Token ab, die Umkreissicherheitskontrollen umgehen und den Zugriff auf Sicherheitsüberwachungssysteme normal erscheinen lassen.
• Richten Sie beständigen Zugriff auf Organisationsressourcen ein, führen Sie aufklärungsübergreifende Microsoft 365-Dienste durch, navigieren Sie lateral durch verbundene Systeme und eskalieren Sie potenziell Berechtigungen.

Die uneingeschränkte Benutzerzustimmung schränkt auch die Fähigkeit einer Organisation ein, eine zentralisierte Governance über den Anwendungszugriff zu erzwingen, wodurch es schwierig ist, die Sichtbarkeit zu gewährleisten, auf die Nicht-Microsoft-Anwendungen Zugriff auf vertrauliche Daten haben. Diese Lücke verursacht Compliancerisiken, bei denen nicht autorisierte Anwendungen gegen Datenschutzbestimmungen oder Sicherheitsrichtlinien der Organisation verstoßen könnten.

Wartungsaktion

• Konfigurieren Sie eingeschränkte Benutzerzustimmungseinstellungen , um unzulässige Zustimmungserteilungen zu verhindern, indem Sie die Benutzerzustimmung deaktivieren oder auf überprüfte Herausgeber mit berechtigungen mit geringem Risiko beschränken.

Administratorzustimmungsworkflow ist aktiviert

Das Aktivieren des Administratorzustimmungsworkflows in einem Microsoft Entra-Mandanten ist eine wichtige Sicherheitsmaßnahme, die Risiken im Zusammenhang mit unbefugtem Anwendungszugriff und Berechtigungseskalation mindert. Diese Überprüfung ist wichtig, da sichergestellt wird, dass jede Anwendung, die erhöhte Berechtigungen anfordert, einem Überprüfungsprozess durch bestimmte Administratoren unterzogen wird, bevor die Zustimmung erteilt wird. Der Administratorzustimmungsworkflow in der Microsoft Entra-ID benachrichtigt Prüfer, die Genehmigungsanforderungen basierend auf der Legitimität und Notwendigkeit der Anwendung bewerten und genehmigen oder verweigern. Wenn diese Überprüfung nicht erfolgreich ist, was bedeutet, dass der Workflow deaktiviert ist, kann jede Anwendung erhöhte Berechtigungen anfordern und möglicherweise ohne administrative Überprüfung erhalten. Dies stellt ein erhebliches Sicherheitsrisiko dar, da böswillige Akteure diesen Mangel an Aufsicht nutzen könnten, um nicht autorisierten Zugriff auf vertrauliche Daten zu erhalten, eine Berechtigungseskalation durchzuführen oder andere schädliche Aktivitäten auszuführen.

Wartungsaktion

Legen Sie für Administratorzustimmungsanforderungen fest, dass benutzer die Administratorzustimmung für Apps anfordern können, denen sie nicht zustimmen können, um die Einstellung auf "Ja" festzulegen. Geben Sie andere Einstellungen an, z. B. wer Anforderungen überprüfen kann.

• Aktivieren des Workflows für die Administratorzustimmung
• Oder verwenden Sie die Update adminConsentRequestPolicy-API , um die isEnabled Eigenschaft auf "true" und andere Einstellungen festzulegen.

Hoher Anteil globaler Administratoren im Verhältnis zu privilegierten Benutzern

Wenn Organisationen ein unverhältnismäßig hohes Verhältnis von globalen Administratoren relativ zu ihrer gesamten privilegierten Benutzerpopulation beibehalten, machen sie sich erheblichen Sicherheitsrisiken aus, die Bedrohungsakteure durch verschiedene Angriffsvektoren ausnutzen können. Übermäßige globale Administratorzuweisungen erstellen mehrere hochwertige Ziele für Bedrohungsakteure, die den anfänglichen Zugriff durch Kompromittierung von Anmeldeinformationen, Phishingangriffen oder Insider-Bedrohungen nutzen können, um uneingeschränkten Zugriff auf den gesamten Microsoft Entra ID-Mandanten und die verbundenen Microsoft 365-Dienste zu erhalten.

Wartungsaktion

• Minimieren der Anzahl der Rollenzuweisungen des globalen Administrators

Privilegierte Konten sind cloudeigene Identitäten

Wenn ein lokales Konto kompromittiert und mit Microsoft Entra synchronisiert wird, erhält der Angreifer möglicherweise auch Zugriff auf den Mandanten. Dieses Risiko erhöht sich, da lokale Umgebungen in der Regel aufgrund älterer Infrastruktur und eingeschränkter Sicherheitskontrollen mehr Angriffsflächen aufweisen. Angreifer können auch auf die Infrastruktur und Tools abzielen, die verwendet werden, um die Konnektivität zwischen lokalen Umgebungen und Microsoft Entra zu ermöglichen. Diese Ziele können Tools wie Microsoft Entra Connect oder Active Directory-Verbunddienste umfassen, bei denen sie sich als Identitätswechsel oder anderweitige Manipulation anderer lokaler Benutzerkonten ernennen können.

Wenn privilegierte Cloudkonten mit lokalen Konten synchronisiert werden, kann ein Angreifer, der Anmeldeinformationen für lokale Benutzer erwirbt, dieselben Anmeldeinformationen verwenden, um auf Cloudressourcen zuzugreifen und später in die Cloudumgebung zu wechseln.

Wartungsaktion

• Schutz von Microsoft 365 vor lokalen Angriffen

Für jede Rolle mit hohen Berechtigungen (dauerhaft oder über Microsoft Entra Privileged Identity Management zugewiesen) sollten Sie die folgenden Aktionen ausführen:

• Überprüfen Sie die Benutzer, die "onPremisesImmutableId" und "onPremisesSyncEnabled" festgelegt haben. Siehe Microsoft Graph-API-Benutzerressourcentyp.
• Erstellen Sie reine Cloudbenutzerkonten für diese Personen, und entfernen Sie ihre Hybrididentität aus privilegierten Rollen.

Alle privilegierten Rollenzuweisungen werden nur rechtzeitig aktiviert und nicht dauerhaft aktiv

Bedrohungsakteure zielen auf privilegierte Konten ab, da sie Zugriff auf die gewünschten Daten und Ressourcen haben. Dies kann mehr Zugriff auf Ihren Microsoft Entra-Mandanten, Daten in Microsoft SharePoint oder die Möglichkeit umfassen, langfristige Persistenz herzustellen. Ohne ein Just-in-Time-Aktivierungsmodell (JIT) bleiben Administrative Berechtigungen kontinuierlich verfügbar, wodurch Angreifern ein erweitertes Fenster zur Verfügung stellen können, um unerkannt zu arbeiten. Just-in-Time-Zugriff verringert das Risiko, indem eine zeitlich begrenzte Berechtigungsaktivierung mit zusätzlichen Steuerelementen wie Genehmigungen, Begründung und Richtlinie für bedingten Zugriff erzwungen wird, um sicherzustellen, dass Hochrisikoberechtigungen nur bei Bedarf und für eine begrenzte Dauer gewährt werden. Diese Einschränkung minimiert die Angriffsfläche, stört laterale Bewegungen und erzwingt Angreifer, Aktionen auszulösen, die speziell überwacht und verweigert werden können, wenn sie nicht erwartet werden. Ohne just-in-time-Zugriff gewähren kompromittierte Administratorkonten unbefristete Kontrolle, sodass Angreifer Sicherheitskontrollen deaktivieren, Protokolle löschen und stehlen und die Auswirkungen einer Kompromittierung verstärken können.

Verwenden Sie Microsoft Entra Privileged Identity Management (PIM), um zeitgebundenen Just-in-Time-Zugriff auf privilegierte Rollenzuweisungen bereitzustellen. Verwenden Sie Zugriffsüberprüfungen in Microsoft Entra ID Governance, um den privilegierten Zugriff regelmäßig zu überprüfen, um sicherzustellen, dass der Bedarf fortgesetzt wird.

Wartungsaktion

• Einstieg in Privileged Identity Management
• Erstellen einer Zugriffsüberprüfung für Azure-Ressourcenrollen und Microsoft Entra-Rollen in PIM

Passkey-Authentifizierungsmethode aktiviert

Bedrohungsakteure zielen auf privilegierte Konten ab, da sie Zugriff auf die gewünschten Daten und Ressourcen haben. Dies kann mehr Zugriff auf Ihren Microsoft Entra-Mandanten, Daten in Microsoft SharePoint oder die Möglichkeit umfassen, langfristige Persistenz herzustellen. Ohne ein Just-in-Time-Aktivierungsmodell (JIT) bleiben Administrative Berechtigungen kontinuierlich verfügbar, wodurch Angreifern ein erweitertes Fenster zur Verfügung stellen können, um unerkannt zu arbeiten. Just-in-Time-Zugriff verringert das Risiko, indem eine zeitlich begrenzte Berechtigungsaktivierung mit zusätzlichen Steuerelementen wie Genehmigungen, Begründung und Richtlinie für bedingten Zugriff erzwungen wird, um sicherzustellen, dass Hochrisikoberechtigungen nur bei Bedarf und für eine begrenzte Dauer gewährt werden. Diese Einschränkung minimiert die Angriffsfläche, stört laterale Bewegungen und erzwingt Angreifer, Aktionen auszulösen, die speziell überwacht und verweigert werden können, wenn sie nicht erwartet werden. Ohne just-in-time-Zugriff gewähren kompromittierte Administratorkonten unbefristete Kontrolle, sodass Angreifer Sicherheitskontrollen deaktivieren, Protokolle löschen und stehlen und die Auswirkungen einer Kompromittierung verstärken können.

Verwenden Sie Microsoft Entra Privileged Identity Management (PIM), um zeitgebundenen Just-in-Time-Zugriff auf privilegierte Rollenzuweisungen bereitzustellen. Verwenden Sie Zugriffsüberprüfungen in Microsoft Entra ID Governance, um den privilegierten Zugriff regelmäßig zu überprüfen, um sicherzustellen, dass der Bedarf fortgesetzt wird.

Wartungsaktion

• Einstieg in Privileged Identity Management
• Erstellen einer Zugriffsüberprüfung für Azure-Ressourcenrollen und Microsoft Entra-Rollen in PIM

Der Sicherheitsschlüsselnachweis wird erzwungen.

Wenn der Sicherheitsschlüsselnachweis nicht erzwungen wird, können Bedrohungsakteure schwache oder kompromittierte Authentifizierungshardware ausnutzen, um dauerhafte Anwesenheitsinformationen in Organisationsumgebungen einzurichten. Ohne Nachweisüberprüfung können böswillige Akteure nicht autorisierte oder gefälschte FIDO2-Sicherheitsschlüssel registrieren, die Hardware-gesicherte Sicherheitskontrollen umgehen, sodass sie Angriffe auf Anmeldeinformationen mithilfe von erstellten Authentifikatoren durchführen können, die legitime Sicherheitsschlüssel nachahmen. Mit diesem anfänglichen Zugriff können Bedrohungsakteure Berechtigungen mithilfe der vertrauenswürdigen Art von Hardwareauthentifizierungsmethoden eskalieren und dann lateral durch die Umgebung navigieren, indem mehr kompromittierte Sicherheitsschlüssel für Konten mit hohen Rechten registriert werden. Der Mangel an Durchsetzung der Beglaubigung schafft einen Weg für Bedrohungsakteure, um Befehls- und Kontrollmöglichkeiten durch dauerhafte, hardwarebasierte Authentifizierungsmethoden zu etablieren, was letztendlich zur Datenexfiltration oder Systemkompromittierung führt, während die Darstellung legitimer, hardwaregesicherter Authentifizierung in der gesamten Angriffskette beibehalten wird.

Wartungsaktion

• Aktivieren Sie die Erzwingung der Nachweise über die Richtlinienkonfiguration der Authentifizierungsmethoden.
• Konfigurieren Sie die genehmigte Liste der Sicherheitsschlüssel mithilfe der Authenticator Attestation global eindeutige Kennung (AAGUID).

Privilegierte Konten haben Phishing-beständige Methoden registriert

Wenn die Passkey-Authentifizierung in der Microsoft Entra-ID nicht aktiviert ist, verlassen sich Organisationen auf kennwortbasierte Authentifizierungsmethoden, die anfällig für Phishing, Diebstahl von Anmeldeinformationen und Wiederholungsangriffen sind. Angreifer können gestohlene Kennwörter verwenden, um anfänglichen Zugriff zu erhalten, die herkömmliche mehrstufige Authentifizierung über Adversary-in-the-Middle -Angriffe (AiTM) zu umgehen und dauerhaften Zugriff über Tokendiebstahl herzustellen.

Passkeys stellen eine phishingsichere Authentifizierung mithilfe kryptografischer Nachweise bereit, dass Angreifer keine Phishing-, Abfangen- oder Wiedergabeversuche ausführen können. Durch das Aktivieren von Schlüsseln wird die grundlegende Sicherheitsanfälligkeit beseitigt, die anmeldeinformationsbasierte Angriffsketten ermöglicht.

Wartungsaktion

• Erfahren Sie, wie Sie die Passkey-Authentifizierungsmethode aktivieren.
• Erfahren Sie, wie Sie eine Bereitstellung der phishingsicheren kennwortlosen Authentifizierung planen.

Privilegierte, integrierte Rollen von Microsoft Entra werden mit Richtlinien für bedingten Zugriff gezielt eingesetzt, um phishingresistente Methoden durchzusetzen.

Ohne Phishing-beständige Authentifizierungsmethoden sind privilegierte Benutzer anfälliger für Phishingangriffe. Diese Arten von Angriffen führen dazu, dass Benutzer ihre Anmeldeinformationen offenlegen, um unbefugten Zugriff auf Angreifer zu gewähren. Wenn nicht phishingsichere Authentifizierungsmethoden verwendet werden, können Angreifer Anmeldeinformationen und Token über Methoden wie Angreifer in der Mitte abfangen und die Sicherheit des privilegierten Kontos unterminieren.

Sobald ein privilegiertes Konto oder eine privilegierte Sitzung aufgrund schwacher Authentifizierungsmethoden kompromittiert wurde, können Angreifer das Konto manipulieren, um den langfristigen Zugriff aufrechtzuerhalten, andere Hintertüren zu erstellen oder Benutzerberechtigungen zu ändern. Angreifer können auch das kompromittierte privilegierte Konto verwenden, um ihren Zugriff noch weiter zu eskalieren und potenziell die Kontrolle über sensiblere Systeme zu erlangen.

Wartungsaktion

• Erste Schritte mit einer phishingsicheren kennwortlosen Authentifizierungsbereitstellung
• Sicherstellen, dass privilegierte Konten Phishing-widerstandsfähige Methoden registrieren und verwenden
• Bereitstellen einer Richtlinie für bedingten Zugriff für privilegierte Konten und Erfordern von Phishing-beständigen Anmeldeinformationen
• Überwachen der Authentifizierungsmethodenaktivität

Anfordern von Kennwortzurücksetzungsbenachrichtigungen für Administratorrollen

Durch das Konfigurieren von Benachrichtigungen zum Zurücksetzen von Kennwörtern für Administratorrollen in der Microsoft Entra-ID wird die Sicherheit verbessert, indem privilegierte Administratoren benachrichtigt werden, wenn ein anderer Administrator sein Kennwort zurücksetzt. Diese Sichtbarkeit hilft beim Erkennen nicht autorisierter oder verdächtiger Aktivitäten, die auf Kompromittierung von Anmeldeinformationen oder Insider-Bedrohungen hinweisen können. Ohne diese Benachrichtigungen könnten böswillige Akteure erhöhte Rechte ausnutzen, um Persistenz zu schaffen, den Zugriff zu eskalieren oder vertrauliche Daten zu extrahieren. Proaktive Benachrichtigungen unterstützen schnelle Aktionen, bewahren die Integrität des privilegierten Zugriffs auf und stärken den gesamten Sicherheitsstatus.

Wartungsaktion

• Benachrichtigen aller Administratoren, wenn andere Administratoren ihre Kennwörter zurücksetzen

Blockieren älterer Authentifizierungsmethoden

Ältere Authentifizierungsprotokolle wie die Standardauthentifizierung für SMTP und IMAP unterstützen keine modernen Sicherheitsfeatures wie die mehrstufige Authentifizierung (MFA), was für den Schutz vor unbefugtem Zugriff von entscheidender Bedeutung ist. Dieser Mangel an Schutz macht Konten mit diesen Protokollen anfällig für kennwortbasierte Angriffe und bietet Angreifern eine Möglichkeit, ersten Zugriff mit gestohlenen oder erratenen Anmeldeinformationen zu erhalten.

Wenn ein Angreifer erfolgreich nicht autorisierten Zugriff auf Anmeldeinformationen erhält, kann er sie verwenden, um auf verknüpfte Dienste zuzugreifen, indem er die schwache Authentifizierungsmethode als Einstiegspunkt verwendet. Angreifer, die über die Legacyauthentifizierung Zugriff erhalten, können Änderungen an Microsoft Exchange vornehmen, z. B. das Konfigurieren von E-Mail-Weiterleitungsregeln oder das Ändern anderer Einstellungen, sodass sie weiterhin auf vertrauliche Kommunikation zugreifen können.

Die Legacyauthentifizierung bietet Angreifern auch eine konsistente Methode, um ein System mithilfe kompromittierter Anmeldeinformationen erneut einzugeben, ohne Sicherheitswarnungen auszulösen oder eine erneute Authentifizierung zu erfordern.

Von dort aus können Angreifer ältere Protokolle verwenden, um auf andere Systeme zuzugreifen, die über das kompromittierte Konto zugänglich sind, wodurch die laterale Bewegung erleichtert wird. Angreifer, die ältere Protokolle verwenden, können sich mit legitimen Benutzeraktivitäten verbinden, was es Sicherheitsteams erschwert, zwischen normalen Nutzungs- und böswilligen Verhaltensweisen zu unterscheiden.

Wartungsaktion

• Bereitstellen einer Richtlinie für bedingten Zugriff zum Blockieren der Legacyauthentifizierung

Temporärer Zugangsausweis ist aktiviert

Ohne aktivierten Temporären Zugriffspass (Temporary Access Pass, TAP) stehen Organisationen bei der sicheren Bootstrap der Benutzeranmeldeinformationen vor erheblichen Herausforderungen, wodurch ein Sicherheitsrisiko entsteht, bei dem Benutzer während der Ersteinrichtung auf schwächere Authentifizierungsmechanismen angewiesen sind. Wenn Benutzer keine phishingsicheren Anmeldeinformationen wie FIDO2-Sicherheitsschlüssel oder Windows Hello for Business aufgrund fehlender bestehender starker Authentifizierungsmethoden registrieren können, sind sie weiterhin an meldeinformationsbasierten Angriffen wie Phishing, Passwort-Sprays oder ähnlichen Angriffen ausgesetzt. Bedrohungsakteure können diese Registrierungslücke ausnutzen, indem sie Benutzer während ihres anfälligsten Zustands ansprechen, wenn sie eingeschränkte Authentifizierungsoptionen verfügbar haben und sich auf herkömmliche Kombinationen aus Benutzername und Kennwort verlassen müssen. Diese Gefährdung ermöglicht es Bedrohungsakteuren, Benutzerkonten während der kritischen Bootstrapping-Phase zu kompromittieren, sodass sie den Registrierungsprozess für stärkere Authentifizierungsmethoden abfangen oder bearbeiten können, wodurch letztendlich dauerhafter Zugriff auf Organisationsressourcen und potenziell eskalierende Berechtigungen erhalten werden, bevor Sicherheitskontrollen vollständig eingerichtet werden.

Aktivieren Sie TAP, und verwenden Sie sie mit der Registrierung von Sicherheitsinformationen, um diese potenzielle Lücke in Ihren Verteidigungsmechanismen zu sichern.

Wartungsaktion

• Erfahren Sie, wie Sie den temporären Zugriffspass in der Richtlinie für Authentifizierungsmethoden aktivieren.
• Erfahren Sie, wie Sie die Richtlinien zur Authentifizierungsstärke aktualisieren, um den Temporären Zugriffspass einzuschließen.
• Erfahren Sie, wie Sie eine Richtlinie für bedingten Zugriff für die Registrierung von Sicherheitsinformationen mit Durchsetzung der Authentifizierungsstärke erstellen.

Einschränken des temporären Zugriffspasses auf einmalige Verwendung

Wenn der temporäre Zugriffsdurchlauf (Temporary Access Pass, TAP) so konfiguriert ist, dass mehrere Verwendungen zulässig sind, können Bedrohungsakteure, die die Anmeldeinformationen kompromittieren, diese während des Gültigkeitszeitraums wiederholt wiederverwenden, wodurch das nicht autorisierte Zugriffsfenster über das beabsichtigte einzelne Bootstrapping-Ereignis hinaus erweitert wird. Diese Situation schafft eine erweiterte Möglichkeit für Bedrohungsakteure, persistenz zu schaffen, indem zusätzliche starke Authentifizierungsmethoden unter dem kompromittierten Konto während der Lebensdauer der Anmeldeinformationen registriert werden. Ein wiederverwendbares TAP, das in die falschen Hände gerät, ermöglicht Bedrohungsakteuren, über mehrere Sitzungen hinweg Aufklärungsaktivitäten durchzuführen, dabei die Umgebung schrittweise zu kartieren und hochwertige Ziele zu identifizieren, während sie legitime Zugriffsmuster beibehalten. Die kompromittierte TAP kann auch als zuverlässiger Backdoor-Mechanismus dienen, sodass Bedrohungsakteure den Zugriff erhalten können, auch wenn andere kompromittierte Anmeldeinformationen erkannt und widerrufen werden, da die TAP als legitimes Verwaltungstool in Sicherheitsprotokollen erscheint.

Wartungsaktion

• Konfigurieren Sie den temporären Zugriffspass zur einmaligen Verwendung in der Authentifizierungsmethodenrichtlinie

Migrieren von älteren MFA- und SSPR-Richtlinien

Ohne aktivierten Temporären Zugriffspass (Temporary Access Pass, TAP) stehen Organisationen bei der sicheren Bootstrap der Benutzeranmeldeinformationen vor erheblichen Herausforderungen, wodurch ein Sicherheitsrisiko entsteht, bei dem Benutzer während der Ersteinrichtung auf schwächere Authentifizierungsmechanismen angewiesen sind. Wenn Benutzer keine phishingsicheren Anmeldeinformationen wie FIDO2-Sicherheitsschlüssel oder Windows Hello for Business aufgrund fehlender bestehender starker Authentifizierungsmethoden registrieren können, sind sie weiterhin an meldeinformationsbasierten Angriffen wie Phishing, Passwort-Sprays oder ähnlichen Angriffen ausgesetzt. Bedrohungsakteure können diese Registrierungslücke ausnutzen, indem sie Benutzer während ihres anfälligsten Zustands ansprechen, wenn sie eingeschränkte Authentifizierungsoptionen verfügbar haben und sich auf herkömmliche Kombinationen aus Benutzername und Kennwort verlassen müssen. Diese Gefährdung ermöglicht es Bedrohungsakteuren, Benutzerkonten während der kritischen Bootstrapping-Phase zu kompromittieren, sodass sie den Registrierungsprozess für stärkere Authentifizierungsmethoden abfangen oder bearbeiten können, wodurch letztendlich dauerhafter Zugriff auf Organisationsressourcen und potenziell eskalierende Berechtigungen erhalten werden, bevor Sicherheitskontrollen vollständig eingerichtet werden.

Aktivieren Sie TAP, und verwenden Sie sie mit der Registrierung von Sicherheitsinformationen, um diese potenzielle Lücke in Ihren Verteidigungsmechanismen zu sichern.

Wartungsaktion

• Erfahren Sie, wie Sie den temporären Zugriffspass in der Richtlinie für Authentifizierungsmethoden aktivieren.
• Erfahren Sie, wie Sie die Richtlinien zur Authentifizierungsstärke aktualisieren, um den Temporären Zugriffspass einzuschließen.
• Erfahren Sie, wie Sie eine Richtlinie für bedingten Zugriff für die Registrierung von Sicherheitsinformationen mit Durchsetzung der Authentifizierungsstärke erstellen.

Verhindern, dass Administratoren SSPR verwenden

Self-Service-Kennwortzurücksetzung (SSPR) für Administratoren ermöglicht Kennwortänderungen ohne starke sekundäre Authentifizierungsfaktoren oder administrative Aufsicht. Bedrohungsakteure, die administrative Anmeldeinformationen kompromittieren, können diese Funktion verwenden, um andere Sicherheitskontrollen zu umgehen und beständigen Zugriff auf die Umgebung aufrechtzuerhalten.

Nach einer Kompromittierung können Angreifer das Kennwort sofort zurücksetzen, um legitime Administratoren zu sperren. Sie können dann Persistenz einrichten, Berechtigungen eskalieren und schädliche Nutzlasten bereitstellen, die nicht erkannt wurden.

Wartungsaktion

• Deaktivieren von SSPR für Administratoren durch Aktualisieren der Autorisierungsrichtlinie

Die Self-Service-Kennwortzurücksetzung verwendet keine Sicherheitsfragen.

Das Zulassen von Sicherheitsfragen als Self-Service Password Reset (SSPR)-Methode schwächt den Kennwortzurücksetzungsprozess, da Antworten häufig erraten, auf Websites wiederverwendet oder durch Open Source Intelligence (OSINT) auffindbar sind. Bedrohungsakteure enumerieren oder phishen Benutzer, leiten wahrscheinliche Antworten ab (Familiennamen, Schulen und Standorte), und lösen dann Kennwort-Zurücksetzungsprozesse aus, um stärkere Maßnahmen zu umgehen, indem sie das schwächere wissensbasierte Tor ausnutzen. Nachdem sie ein Kennwort für ein Konto erfolgreich zurückgesetzt haben, das nicht durch mehrstufige Authentifizierung geschützt ist, können sie gültige primäre Anmeldeinformationen erhalten, Sitzungstoken einrichten und später erweitern, indem sie dauerhaftere Authentifizierungsmethoden registrieren, Weiterleitungsregeln hinzufügen oder vertrauliche Daten exfiltrieren.

Die Beseitigung dieser Methode entfernt einen schwachen Link im Kennwortzurücksetzungsprozess. Einige Organisationen haben möglicherweise bestimmte geschäftliche Gründe dafür, Sicherheitsfragen aktiviert zu lassen, dies wird jedoch nicht empfohlen.

Wartungsaktion

• Deaktivieren von Sicherheitsfragen in der SSPR-Richtlinie
• Auswählen von Authentifizierungsmethoden und Registrierungsoptionen

Sms- und Voice Call-Authentifizierungsmethoden sind deaktiviert.

Wenn schwache Authentifizierungsmethoden wie SMS und Sprachanrufe in Microsoft Entra ID aktiviert bleiben, können Bedrohungsakteure diese Sicherheitsrisiken über mehrere Angriffsvektoren ausnutzen. Zunächst führen Angreifer häufig Aufklärung durch, um Organisationen zu identifizieren, die diese schwächeren Authentifizierungsmethoden durch Social Engineering oder technische Überprüfung verwenden. Anschließend können sie den anfänglichen Zugriff über Angriff auf Anmeldeinformationen, Kennwortsprühen oder Phishingkampagnen für Benutzeranmeldeinformationen ausführen.

Sobald grundlegende Anmeldeinformationen kompromittiert wurden, verwenden Bedrohungsakteure diese Schwachstellen in SMS und sprachbasierter Authentifizierung. SMS-Nachrichten können durch SIM-Swappingangriffe, SS7-Netzwerkrisiken oder Schadsoftware auf mobilen Geräten abgefangen werden, während Sprachanrufe anfällig für Sprachphishing (Vishing) und Anrufweiterleitungsmanipulation sind. Da diese schwachen zweiten Faktoren umgangen werden, erreichen Angreifer persistenz, indem sie ihre eigenen Authentifizierungsmethoden registrieren. Kompromittierte Konten können verwendet werden, um benutzer mit höheren Rechten über interne Phishing- oder Social Engineering-Angriffe anzusprechen, sodass Angreifer Berechtigungen innerhalb der Organisation eskalieren können. Schließlich erreichen bedrohungsbeteiligte Akteure ihre Ziele durch Datenexfiltration, laterale Bewegung zu kritischen Systemen oder die Bereitstellung anderer bösartiger Tools, während der Diebstahl beibehalten wird, indem legitime Authentifizierungspfade verwendet werden, die in Sicherheitsprotokollen normal erscheinen.

Wartungsaktion

• Bereitstellen von Registrierungskampagnen für Authentifizierungsmethoden, um stärkere Methoden zu fördern
• Deaktivieren von Authentifizierungsmethoden
• Deaktivieren von phonebasierten Methoden in älteren MFA-Einstellungen
• Bereitstellen von Richtlinien für bedingten Zugriff mithilfe der Authentifizierungsstärke

Nahtloses Einmaliges Anmelden deaktivieren, wenn keine Verwendung vorhanden ist

Microsoft Entra nahtloses Einmaliges Anmelden (Nahtloses Einmaliges Anmelden) ist ein älteres Authentifizierungsfeature, das den kennwortlosen Zugriff für in die Domäne eingebundene Geräte bietet, bei denen es sich nicht um eine Hybrid-Microsoft Entra-ID handelt. Nahtloses SSO basiert auf der Kerberos-Authentifizierung und ist in erster Linie für ältere Betriebssysteme wie Windows 7 und Windows 8.1 von Vorteil, die primäre Aktualisierungstoken (PRIMARY Refresh Tokens, PRT) nicht unterstützen. Wenn diese älteren Systeme nicht mehr in der Umgebung vorhanden sind, führt die verwendung von Seamless SSO zu unnötiger Komplexität und potenzieller Sicherheitsrisiken. Bedrohungsakteure könnten falsch konfigurierte oder veraltete Kerberos-Tickets ausnutzen oder das AZUREADSSOACC Computerkonto in Active Directory kompromittieren, das den kerberos-Entschlüsselungsschlüssel enthält, der von microsoft Entra ID verwendet wird. Nach einer Kompromittierung könnten Angreifer Benutzer imitieren, moderne Authentifizierungssteuerelemente umgehen und nicht autorisierten Zugriff auf Cloudressourcen erhalten. Das Deaktivieren von nahtlosem SSO in Umgebungen, in denen es nicht mehr benötigt wird, reduziert die Angriffsfläche und erzwingt die Verwendung moderner tokenbasierter Authentifizierungsmechanismen, die stärkere Schutzmaßnahmen bieten.

Wartungsaktion

• Überprüfen, wie nahtloses SSO funktioniert
• Nahtloses Einmaliges Anmelden deaktivieren
• Bereinigen veralteter Geräte in der Microsoft Entra-ID

Sichern der Seite MFA-Registrierung (Meine Sicherheitsinformationen)

Ohne Richtlinien für bedingten Zugriff, die die Registrierung von Sicherheitsinformationen schützen, können Bedrohungsakteure ungeschützte Registrierungsflüsse ausnutzen, um Authentifizierungsmethoden zu kompromittieren. Wenn Benutzer mehrstufige Authentifizierungs- und Self-Service-Kennwortzurücksetzungsmethoden ohne ordnungsgemäße Kontrollen registrieren, können Bedrohungsakteure diese Registrierungssitzungen durch Angreifer in der Mitte abfangen oder nicht verwaltete Geräte ausnutzen, die von nicht vertrauenswürdigen Standorten auf die Registrierung zugreifen. Sobald Bedrohungsakteure Zugriff auf einen ungeschützten Registrierungsfluss erhalten, können sie ihre eigenen Authentifizierungsmethoden registrieren und das Authentifizierungsprofil des Ziels effektiv entführern. Die Bedrohungsakteure können Sicherheitskontrollen umgehen und berechtigungen potenziell in der gesamten Umgebung eskalieren, da sie beständigen Zugriff beibehalten können, indem sie die MFA-Methoden steuern. Die kompromittierten Authentifizierungsmethoden werden dann die Grundlage für laterale Bewegungen, da Bedrohungsakteure sich als legitimer Benutzer über mehrere Dienste und Anwendungen hinweg authentifizieren können.

Wartungsaktion

• Bereitstellen einer Richtlinie für bedingten Zugriff für die Registrierung von Sicherheitsinformationen
• Konfigurieren bekannter Netzwerkstandorte
• Aktivieren der kombinierten Registrierung von Sicherheitsinformationen

Verwenden von Cloudauthentifizierung

Ein lokaler Verbundserver führt eine kritische Angriffsfläche ein, indem er als zentraler Authentifizierungspunkt für Cloudanwendungen fungiert. Bedrohungsakteure gewinnen häufig einen Fuß, indem sie einen privilegierten Benutzer wie einen Helpdeskmitarbeiter oder einen Betriebstechniker durch Angriffe wie Phishing, Credential Stuffing oder Exploiting schwacher Kennwörter kompromittieren. Sie können auch auf nicht gepatchte Sicherheitsrisiken in der Infrastruktur abzielen, Remotecodeausführungs-Exploits verwenden, das Kerberos-Protokoll angreifen oder Pass-the-Hash-Angriffe verwenden, um Berechtigungen zu eskalieren. Falsch konfigurierte Remotezugriffstools wie Remotedesktopprotokoll (RDP), virtuelles privates Netzwerk (VPN) oder Sprungserver bieten andere Einstiegspunkte, während Lieferkettenkompromittierungen oder böswillige Insider die Exposition weiter erhöhen. In diesem Fall können Bedrohungsakteure Authentifizierungsflüsse bearbeiten, Sicherheitstoken schmieden, um jeden Benutzer zu imitieren und in Cloudumgebungen zu pivotieren. Durch das Einrichten von Persistenz können sie Sicherheitsprotokolle deaktivieren, die Erkennung verhindern und vertrauliche Daten exfiltrieren.

Wartungsaktion

• Migrieren von Partnerverbund zu Cloudauthentifizierung wie Microsoft Entra Password Hash Synchronization (PHS).

Alle Benutzer müssen sich für MFA registrieren.

Erfordern Sie die Registrierung zur Mehrfaktor-Authentifizierung (MFA) für alle Benutzer. Basierend auf Studien ist die Wahrscheinlichkeit, dass Ihr Konto kompromittiert wird, um mehr als 99 % reduziert, wenn Sie MFA verwenden. Auch wenn Sie MFA nicht immer benötigen, stellt diese Richtlinie sicher, dass Ihre Benutzer bei Bedarf bereit sind.

Wartungsaktion

• Konfigurieren der Mehrstufigen Authentifizierungsregistrierungsrichtlinie

Benutzer verfügen über konfigurierte sichere Authentifizierungsmethoden

Angreifer erhalten möglicherweise Zugriff, wenn die mehrstufige Authentifizierung (Multifactor Authentication, MFA) nicht universell erzwungen wird oder wenn Ausnahmen vorhanden sind. Angreifer erhalten möglicherweise Zugriff, indem sie Schwachstellen schwächerer MFA-Methoden wie SMS und Telefonanrufe über Social Engineering-Techniken ausnutzen. Diese Techniken können SIM-Swapping oder Phishing umfassen, um Authentifizierungscodes abzufangen.

Angreifer verwenden diese Konten möglicherweise als Einstiegspunkte in den Mandanten. Durch die Verwendung abgefangener Benutzersitzungen können Angreifer ihre Aktivitäten als legitime Benutzeraktionen verschleiern, die Erkennung umgehen und ihren Angriff fortsetzen, ohne verdachtsfrei zu werden. Von dort aus versuchen sie möglicherweise, MFA-Einstellungen zu bearbeiten, um Persistenz, Plan und weitere Angriffe basierend auf den Berechtigungen kompromittierter Konten einzurichten.

Wartungsaktion

• Bereitstellen der mehrstufigen Authentifizierung
• Erste Schritte mit einer phishingsicheren kennwortlosen Authentifizierungsbereitstellung
• Bereitstellen einer Richtlinie für bedingten Zugriff, um phishingsichere MFA für alle Benutzer zu erfordern
• Überprüfen der Aktivität der Authentifizierungsmethoden

Benutzeranmeldungsaktivität verwendet Tokenschutz

Ein Bedrohungsakteur kann Authentifizierungstoken aus dem Speicher, dem lokalen Speicher auf einem legitimen Gerät oder durch Prüfen des Netzwerkdatenverkehrs abfangen oder extrahieren. Der Angreifer kann diese Token wiedergeben, um Authentifizierungssteuerelemente auf Benutzern und Geräten zu umgehen, nicht autorisierten Zugriff auf vertrauliche Daten zu erhalten oder weitere Angriffe auszuführen. Da diese Token gültig und zeitgebunden sind, kann die herkömmliche Anomalieerkennung die Aktivität oft nicht kennzeichnen, wodurch ein dauerhafter Zugriff möglich ist, bis das Token abläuft oder widerrufen wird.

Der Tokenschutz, auch tokenbindung genannt, trägt dazu bei, den Diebstahl von Token zu verhindern, indem sichergestellt wird, dass ein Token nur vom vorgesehenen Gerät verwendet werden kann. Der Tokenschutz verwendet Kryptografie, sodass ohne den Clientgeräteschlüssel niemand das Token verwenden kann.

Wartungsaktion

• Bereitstellen einer Richtlinie für bedingten Zugriff, um Tokenschutz zu erfordern

Einschränken des Gerätecodeflusses

Der Gerätecodefluss ist ein geräteübergreifender Authentifizierungsfluss, der für eingabeeinschränkte Geräte entwickelt wurde. Es kann in Phishingangriffen ausgenutzt werden, bei denen ein Angreifer den Fluss initiiert und einen Benutzer dazu verleitet, ihn auf seinem Gerät abzuschließen, wodurch die Token des Benutzers an den Angreifer gesendet werden. Angesichts der Sicherheitsrisiken und der seltenen legitimen Verwendung des Gerätecodeflusses sollten Sie eine Richtlinie für bedingten Zugriff aktivieren, um diesen Fluss standardmäßig zu blockieren.

Wartungsaktion

• Stellen Sie eine Richtlinie für bedingten Zugriff bereit, um den Gerätecodefluss zu blockieren.

Die Authentifizierungsübertragung ist blockiert.

Das Blockieren der Authentifizierungsübertragung in microsoft Entra ID ist eine wichtige Sicherheitskontrolle. Sie schützt vor Tokendiebstahl- und Replay-Angriffen, indem verhindert wird, dass Gerätetoken für die automatische Authentifizierung auf anderen Geräten oder Browsern verwendet werden. Wenn die Authentifizierungsübertragung aktiviert ist, kann ein Bedrohungsakteur, der Zugriff auf ein Gerät erhält, auf Ressourcen auf nicht genehmigte Geräte zugreifen und standardauthentifizierungs- und Gerätekompatibilitätsprüfungen umgehen. Wenn Administratoren diesen Fluss blockieren, können Organisationen sicherstellen, dass jede Authentifizierungsanforderung vom ursprünglichen Gerät stammen muss, wobei die Integrität der Gerätekompatibilität und des Benutzersitzungskontexts beibehalten wird.

Wartungsaktion

• Bereitstellen einer Richtlinie für bedingten Zugriff zum Blockieren der Authentifizierungsübertragung

Microsoft Authenticator-App zeigt Anmeldekontext an

Ohne Anmeldekontext können Bedrohungsakteure die Authentifizierungsermüdung nutzen, indem Benutzer mit Pushbenachrichtigungen überflutet werden, wodurch die Chance erhöht wird, dass ein Benutzer versehentlich eine böswillige Anforderung genehmigt. Wenn Benutzer generische Pushbenachrichtigungen ohne den Anwendungsnamen oder geografischen Standort erhalten, verfügen sie nicht über die Informationen, die sie benötigen, um fundierte Genehmigungsentscheidungen zu treffen. Dieser Mangel an Kontext macht Benutzer anfällig für Social Engineering-Angriffe, insbesondere wenn Bedrohungsakteure ihre Anforderungen in Zeiträumen legitimer Benutzeraktivitäten zeiten. Diese Sicherheitsanfälligkeit ist besonders gefährlich, wenn Bedrohungsakteuren durch Angriff auf Anmeldeinformationen oder Kennwortsprühangriffe zugriffen und dann versuchen, Persistenz durch Genehmigung von Mehrstufigen Authentifizierungsanforderungen (Multifactor Authentication, MFA) von unerwarteten Anwendungen oder Standorten herzustellen. Ohne kontextbezogene Informationen können Benutzer keine ungewöhnlichen Anmeldeversuche erkennen, sodass Bedrohungsakteure zugriffs- und eskalieren können, indem sie nach der Umgehung der anfänglichen Authentifizierungsbarriere lateral durch Systeme navigieren. Ohne Anwendungs- und Standortkontext verlieren Sicherheitsteams auch wertvolle Telemetrie zum Erkennen verdächtiger Authentifizierungsmuster, die auf laufende Kompromittierungs- oder Aufklärungsaktivitäten hinweisen können.

Wartungsaktion Geben Sie Benutzern den Kontext, den sie benötigen, um fundierte Genehmigungsentscheidungen zu treffen. Konfigurieren Sie Microsoft Authenticator-Benachrichtigungen, indem Sie die Richtlinie für Authentifizierungsmethoden festlegen, um den Anwendungsnamen und den geografischen Standort einzuschließen.

• Verwenden von zusätzlichem Kontext in Authenticator-Benachrichtigungen – Richtlinie für Authentifizierungsmethoden

Die Microsoft Authenticator-App-Einstellung zum Melden verdächtiger Aktivitäten ist aktiviert.

Bedrohungsakteure verlassen sich zunehmend auf Prompt-Bombardierungen und Echtzeit-Phishing-Proxys, um Benutzer zu zwingen oder zu täuschen, betrügerische Herausforderungen bei der Mehrfaktor-Authentifizierung (MFA) zu genehmigen. Ohne die Funktion "Verdächtige Aktivität melden" der Microsoft Authenticator-App kann ein Angreifer iterative Versuche unternehmen, bis ein ermüdeter Benutzer akzeptiert. Dieser Angriffstyp kann zu einer Berechtigungseskalation, Persistenz, Lateralbewegung in sensible Workloads, Datenexfiltration oder destruktive Aktionen führen.

Wenn die Berichterstellung für alle Benutzer aktiviert ist, kann jede unerwartete Push- oder Telefonaufforderung aktiv markiert werden, den Benutzer sofort als hohes Risiko einstufen und eine Risikoerkennung mit hoher Genauigkeit (userReportedSuspiciousActivity) generieren. Risikobasierte Richtlinien für bedingten Zugriff oder andere automatisierte Reaktionsmechanismen können diese Informationen nutzen, um Maßnahmen zu blockieren oder sichere Gegenmaßnahmen zu fordern.

Wartungsaktion

• Aktivieren der Einstellung "Verdächtige Aktivitäten melden" in der Microsoft Authenticator-App

Der Ablauf des Kennworts ist deaktiviert.

Wenn Kennwortablaufrichtlinien aktiviert bleiben, können Bedrohungsakteure die vorhersagbaren Kennwortrotationsmuster ausnutzen, die Benutzer in der Regel befolgen, wenn Sie gezwungen sind, Kennwörter regelmäßig zu ändern. Benutzer erstellen häufig schwächere Kennwörter, indem sie nur minimale Änderungen an vorhandenen vornehmen, z. B. Zahlen erhöhen oder sequenzielle Zeichen hinzufügen. Bedrohungsakteure können diese Arten von Änderungen durch Angriff auf Anmeldeinformationen oder gezielte Kennwortsprühkampagnen problemlos antizipieren und ausnutzen. Diese vorhersagbaren Muster ermöglichen Es Bedrohungsakteuren, persistenz durch:

• Kompromittierte Anmeldeinformationen
• Eskalierte Berechtigungen durch Ziel von Administratorkonten mit schwach gedrehten Kennwörtern
• Beibehaltung des langfristigen Zugriffs durch Vorhersagen zukünftiger Kennwortvariationen

Untersuchungen zeigen, dass Benutzer schwächere, vorhersagbare Kennwörter erstellen, wenn sie gezwungen sind, ablaufen zu müssen. Diese vorhersagbaren Kennwörter sind für erfahrene Angreifer einfacher zu knacken, da sie häufig einfache Änderungen an vorhandenen Kennwörtern vornehmen, anstatt völlig neue sichere Kennwörter zu erstellen. Darüber hinaus können benutzer, wenn Benutzer häufig Kennwörter ändern müssen, auf unsichere Praktiken zurückgreifen, z. B. das Notieren von Kennwörtern oder das Speichern an leicht zugänglichen Orten, wodurch mehr Angriffsvektoren für Bedrohungsakteure entstehen, die während physischer Aufklärungs- oder Social Engineering-Kampagnen ausgenutzt werden.

Wartungsaktion

• Legen Sie die Kennwortablaufrichtlinie für Ihre Organisation fest.
  • Melden Sie sich beim Microsoft 365 Admin Center an. Wechseln Sie zuEinstellungsorganisationseinstellungen>>** Sicherheits- und Datenschutz**> für Kennwörter. Stellen Sie sicher, dass die Einstellung für das Festlegen von Kennwörtern auf "Nie ablaufen " aktiviert ist.
• Deaktivieren Sie den Ablauf des Kennworts mithilfe von Microsoft Graph.
• Festlegen, dass einzelne Benutzer-Kennwörter niemals mit Microsoft Graph PowerShell ablaufen
  • Update-MgUser -UserId <UserID> -PasswordPolicies DisablePasswordExpiration

Intelligente Aussperrgrenze auf 10 oder weniger eingestellt

Wenn der Schwellenwert für die intelligente Sperrung auf mehr als 10 festgelegt ist, können Bedrohungsakteure die Konfiguration ausnutzen, um Aufklärung durchzuführen, gültige Benutzerkonten zu identifizieren, ohne Sperrschutz auszulösen und erstzugriff ohne Erkennung einzurichten. Sobald Angreifer den ersten Zugriff erhalten, können sie sich lateral durch die Umgebung bewegen, indem sie das kompromittierte Konto verwenden, um auf Ressourcen zuzugreifen und Berechtigungen zu eskalieren.

Intelligente Sperrung hilft dabei, bösartige Akteure zu blockieren, die versuchen, die Kennwörter Ihrer Benutzer zu erraten oder Brute-Force-Methoden zu verwenden, um Zugang zu erhalten. Intelligente Sperrung erkennt Anmeldungen, die von gültigen Benutzern stammen, und behandelt sie anders als angreifer und andere unbekannte Quellen. Ein Schwellenwert von mehr als 10 bietet unzureichenden Schutz vor automatisierten Kennwortsprühangriffen, sodass Bedrohungsakteure Konten kompromittieren und Erkennungsmechanismen umgehen können.

Wartungsaktion

• Legen Sie den Schwellenwert für die intelligente Sperrung von Microsoft Entra auf 10 oder weniger fest.

Die Dauer der intelligenten Sperrung ist auf mindestens 60 Sekunden festgelegt.

Wenn die Dauer der intelligenten Sperrung unter den Standardmäßigen 60 Sekunden konfiguriert ist, können Bedrohungsakteure verkürzte Sperrzeiträume ausnutzen, um Kennwortsprühen und Angriffe auf Anmeldeinformationen effektiver durchzuführen. Reduzierte Sperrfenster ermöglichen Es Angreifern, die Authentifizierungsversuche schneller fortzusetzen und ihre Erfolgswahrscheinlichkeit zu erhöhen, während potenziell Erkennungssysteme, die auf längere Beobachtungszeiträume angewiesen sind, umgangen werden.

Wartungsaktion

• Festlegen der Smart Lockout-Dauer auf 60 Sekunden oder höher

Hinzufügen von Organisationsbegriffen zur Liste der gesperrten Kennwörter

Organisationen, die die benutzerdefinierte Liste gesperrter Kennwörter nicht auffüllen und erzwingen, stellen sich einer systematischen Angriffskette zur Verfügung, in der Bedrohungsakteure vorhersagbare Organisationskennwortmuster ausnutzen. Diese Bedrohungsakteure beginnen in der Regel mit Aufklärungsphasen, in denen sie Open Source Intelligence (OSINT) von Websites, sozialen Medien und öffentlichen Datensätzen sammeln, um wahrscheinliche Kennwortkomponenten zu identifizieren. Mit diesem Wissen starten sie Kennwortsprühangriffe, die organisationsspezifische Kennwortvariationen über mehrere Benutzerkonten hinweg testen und unter Sperrschwellenwerten bleiben, um die Erkennung zu vermeiden. Ohne den Schutz der benutzerdefinierten Liste gesperrter Kennwörter fügen Mitarbeiter häufig vertraute Organisationsbegriffe zu ihren Kennwörtern hinzu, z. B. Speicherorte, Produktnamen und Branchenbegriffe, wodurch konsistente Angriffsvektoren entstehen.

Die benutzerdefinierte Liste gesperrter Kennwörter hilft Organisationen dabei, diese kritische Lücke zu schließen, um leicht erratene Kennwörter zu verhindern, die zu anfänglichem Zugriff und nachfolgenden lateralen Bewegungen innerhalb der Umgebung führen könnten.

Wartungsaktion

• Erfahren Sie, wie Sie benutzerdefinierten gesperrten Kennwortschutz aktivieren und Organisationsbegriffe hinzufügen.

Erfordern der mehrstufigen Authentifizierung für die Gerätebeitritts- und Geräteregistrierung mithilfe einer Benutzeraktion

Bedrohungsakteure können den Mangel an mehrstufiger Authentifizierung während der neuen Geräteregistrierung ausnutzen. Nach der Authentifizierung können sie nicht autorisierte Geräte registrieren, Persistenz einrichten und Sicherheitskontrollen umgehen, die an vertrauenswürdige Endpunkte gebunden sind. Diese Fußzeile ermöglicht Es Angreifern, vertrauliche Daten zu exfiltrieren, böswillige Anwendungen bereitzustellen oder lateral zu verschieben, abhängig von den Berechtigungen der Vom Angreifer verwendeten Konten. Ohne die MFA-Durchsetzung eskaliert das Risiko, da Angreifer kontinuierlich erneut authentifizieren, die Erkennung umgehen und Ziele ausführen können.

Wartungsaktion

• Stellen Sie eine Richtlinie für bedingten Zugriff bereit, um eine mehrstufige Authentifizierung für die Geräteregistrierung zu erfordern.

Lokale Administratorkennwortlösung wird bereitgestellt

Ohne die Lösung für lokale Administratorkennwörter (LOCAL Admin Password Solution, LAPS) nutzen Bedrohungsakteure statische lokale Administratorkennwörter, um den anfänglichen Zugriff einzurichten. Nachdem Bedrohungsakteure ein einzelnes Gerät mit freigegebenen lokalen Administratoranmeldeinformationen kompromittieren, können sie sich lateral über die Umgebung bewegen und sich bei anderen Systemen authentifizieren, die dasselbe Kennwort verwenden. Kompromittierter lokaler Administratorzugriff gewährt Bedrohungsakteuren Berechtigungen auf Systemebene, sodass sie Sicherheitskontrollen deaktivieren, dauerhafte Hintertüren installieren, vertrauliche Daten exfiltrieren und Befehls- und Kontrollkanäle einrichten können.

Die automatisierte Kennwortrotation und die zentrale Verwaltung von LAPS schließt diese Sicherheitslücke und fügt Steuerelemente hinzu, um zu verwalten, wer Zugriff auf diese kritischen Konten hat. Ohne Lösungen wie LAPS können Sie die nicht autorisierte Verwendung lokaler Administratorkonten nicht erkennen oder darauf reagieren, was Bedrohungsakteuren eine verlängerte Verweildauer ermöglicht, um ihre Ziele zu erreichen, während sie unentdeckt bleiben.

Wartungsaktion

• Konfigurieren Sie die Kennwortlösung des lokalen Administrators.

Entra Connect Sync ist mit Dienstprinzipalanmeldeinformationen konfiguriert.

Microsoft Entra Connect Sync mithilfe von Benutzerkonten anstelle von Dienstprinzipale führt zu Sicherheitsrisiken. Die Authentifizierung von Legacy-Benutzerkonten mit Passwörtern ist anfälliger für Diebstahl von Zugangsdaten und Passwortangriffe als die Authentifizierung von Dienstprinzipalen mit Zertifikaten. Kompromittierte Connectorkonten ermöglichen es Bedrohungsakteuren, die Identitätssynchronisierung zu manipulieren, Hintertürkonten zu erstellen, Berechtigungen zu erweitern oder die hybride Identitätsinfrastruktur zu stören.

Wartungsaktion

• Konfigurieren der Dienstprinzipalauthentifizierung für Entra Connect
• Entfernen von Legacy-Verzeichnissynchronisierungskonten

Keine Verwendung von ADAL im Mandanten

Microsoft hat den Support und Sicherheitsupdates für ADAL am 30. Juni 2023 beendet. Die fortgesetzte ADAL-Verwendung umgeht moderne Sicherheitsschutzfunktionen, die nur in MSAL verfügbar sind, einschließlich Erzwingung des bedingten Zugriffs, fortlaufende Zugriffsauswertung (Continuous Access Evaluation, CAE) und erweiterter Tokenschutz. ADAL-Anwendungen erstellen Sicherheitsrisiken, indem schwächere Legacyauthentifizierungsmuster verwendet werden, häufig veraltete Azure AD Graph-Endpunkte aufrufen und die Einführung von gehärteten Authentifizierungsflüssen verhindern, die zukünftige Sicherheitsempfehlungen mindern könnten.

Wartungsaktion

• Anwendungen zur Microsoft Authentication Library (MSAL) migrieren

Blockieren des älteren Azure AD PowerShell-Moduls

Bedrohungsakteure zielen häufig auf Legacyverwaltungsschnittstellen wie das Azure AD PowerShell-Modul (AzureAD und AzureADPreview) ab, das keine moderne Authentifizierung, Erzwingung für bedingten Zugriff oder erweiterte Überwachungsprotokollierung unterstützt. Die fortgesetzte Verwendung dieser Module macht die Umgebung Risiken offen, einschließlich schwacher Authentifizierung, Umgehung von Sicherheitskontrollen und unvollständiger Sichtbarkeit in administrative Aktionen. Angreifer können diese Schwachstellen ausnutzen, um nicht autorisierten Zugriff zu erhalten, Berechtigungen zu eskalieren und böswillige Änderungen auszuführen.

Blockieren Sie das Azure AD PowerShell-Modul, und erzwingen Sie die Verwendung von Microsoft Graph PowerShell oder Microsoft Entra PowerShell, um sicherzustellen, dass nur sichere, unterstützte und auditierbare Verwaltungskanäle verfügbar sind, wodurch kritische Lücken in der Angriffskette geschlossen werden.

Wartungsaktion

• Deaktivieren der Benutzeranmeldung für die Anwendung

Microsoft Entra ID-Sicherheitsstandard aktivieren

Das Aktivieren von Sicherheitsstandardeinstellungen in Microsoft Entra ist für Organisationen mit Microsoft Entra Free-Lizenzen unerlässlich, um vor Identitätsangriffen zu schützen. Diese Angriffe können zu unbefugtem Zugriff, finanziellen Verlust und Reputationsschäden führen. Sicherheitsstandardwerte erfordern, dass sich alle Benutzer für die mehrstufige Authentifizierung (MFA) registrieren, sicherstellen, dass Administratoren MFA verwenden und ältere Authentifizierungsprotokolle blockieren. Dadurch wird das Risiko erfolgreicher Angriffe erheblich reduziert, da mehr als 99% gängiger identitätsbezogener Angriffe mit MFA beendet und die Legacyauthentifizierung blockiert werden. Sicherheitsstandardwerte bieten keinen grundlegenden Schutz ohne zusätzliche Kosten, sodass sie für alle Organisationen zugänglich sind.

Wartungsaktion

• Aktivieren von Sicherheitsstandardeinstellungen in Microsoft Entra ID