Hohe Anzahl von Administratoren
High
Sprache:
Beschreibung
Administratoren haben definitionsgemäß erhöhte Rechte. Wenn es sehr viele von ihnen gibt, können sie ein Sicherheitsrisiko darstellen, da dies die Angriffsoberfläche vergrößert, weil eine höhere Wahrscheinlichkeit besteht, dass einer von ihnen kompromittiert wird. Dies ist auch ein Zeichen, dass das Prinzip der geringsten Berechtigungen (Least-Privilege) nicht respektiert wird.
Diese Rollenzuweisungen sollten genau geprüft, geschult und sorgfältig begründet werden.
Lösung
Um Risiken zu begrenzen, verwenden Sie das Prinzip der geringsten Berechtigung, wenn Sie Administratorrollen zuweisen:
- Reduzieren Sie die Anzahl der Konten, die der gemeldeten Rolle zugewiesen sind.
- Wenn diese Konten Berechtigungen erfordern, sollten Sie in Erwägung ziehen, diese auf eine spezifischere Rolle mit ausschließlich den notwendigen Berechtigungen zu beschränken. Microsoft Entra ID bietet neben „Globaler Administrator“ verschiedene Administratorrollen, mit denen Sie nur die erforderlichen Berechtigungen gewähren können. Beispielsweise erfordert das Konto eines Support-Technikers benötigt lediglich die Rolle „Helpdesk-Administrator“, um Benutzerpasswörter zurückzusetzen, anstatt „Globaler Administrator“.
- Reduzieren Sie den Umfang der Zuweisung. Microsoft Entra ID ermöglicht es Ihnen, eine Rolle für einen spezifischen Geltungsbereich zuzuweisen. Sie sollten hierbei den kleinstmöglichen Geltungsbereich wählen. Wenn beispielsweise der Support-Techniker nur für EMEA zuständig ist, sollte ihm seine Rolle nur für die Verwaltungseinheit „EMEA“ zugewiesen werden.
Wenn dies aufgrund der Größe Ihrer IT-Abteilung nicht möglich ist, sollten Sie die maximale Anzahl der zulässigen Konten in den Optionen für den Indicator of Exposure erhöhen.
Insbesondere empfiehlt Microsoft, die Anzahl der globalen Administratoren auf weniger als 5 zu beschränken.