Erkennungen

Richtlinie für bedingten Zugriff deaktiviert fortlaufende Zugriffsevaluierung

MEDIUM

Sprache:

Beschreibung

Wenn sich ein Benutzer über Microsoft Entra ID bei einer Anwendung oder API authentifiziert, erhält er ein Zugriffstoken mit einer bestimmten Ablaufzeit. Wenn dieses Token abläuft, muss der Benutzer es jedoch aktualisieren, indem er Entra ID erneut kontaktiert. Nur zu diesem Zeitpunkt hat Entra ID die Möglichkeit, die Verlängerung zu verweigern und den Zugriff zu beenden. Diese Verweigerung kann aus Änderungen der Sicherheitslage des Benutzers (z. B. Wechsel zu einem nicht autorisierten Netzwerk oder einer gefährlichen IP-Adresse, Erkennung hochriskanter Aktivitäten usw.) oder aus Statusänderungen, wie z. B. einem deaktivierten Konto, resultieren. Das Problem ist, dass diese kritischen Ereignisse die Invalidierung des Zugriffstokens erst dann auslösen können, wenn es aktualisiert wird, obwohl eigentlich nahezu in Echtzeit reagiert werden müsste.

Zur Behebung dieses Problems hat Microsoft die Sicherheitsfunktion fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) implementiert, um diese Lücke zu schließen.

CAE ist standardmäßig aktiviert, aber eine Richtlinie für bedingten Zugriff kann die Funktion deaktivieren. Tenable hält es für riskant, diese Sicherheitsfunktion zu deaktivieren, daher kennzeichnet sie jede Richtlinie für bedingten Zugriff, die CAE deaktiviert, als Feststellung.

Lösung

In der Dokumentation von Tenable und Microsoft finden sich keine guten Gründe für die Deaktivierung der CAE. Daher ist es wichtig zu untersuchen, ob die Richtlinie für bedingten Zugriff, die CAE deaktiviert hat, dies absichtlich getan hat oder ob oder dies versehentlich durch den Versuch, ein anderes Problem zu beheben, verursacht wurde.

Im legitimen Fall empfiehlt Tenable, den Zuweisungsabschnitt der Richtlinie für bedingten Zugriff zu verwenden, um den Anwendungsbereich zu verkleinern. Hierbei werden nur die spezifischen problematischen Benutzer oder Gruppen ein- oder ausgeschlossen, anstatt die Richtlinie auf „Alle Benutzer“ anzuwenden.

Andernfalls empfiehlt Tenable, die Richtlinie für bedingten Zugriff zu deaktivieren oder zu löschen, insbesondere, wenn sie für niemanden gilt.

Indikatordetails

Name: Richtlinie für bedingten Zugriff deaktiviert fortlaufende Zugriffsevaluierung

Codename: CONDITIONAL-ACCESS-POLICY-DISABLES-CONTINUOUS-ACCESS-EVALUATION

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK-Informationen: