Verwaltete Geräte sind für die MFA-Registrierung nicht erforderlich

Wenn die MFA-Registrierung von beliebigen Geräten aus zugelassen wird, entsteht unabhängig vom Verwaltungs- oder Compliance-Status ein ernstes Sicherheitsrisiko. Wenn ein Angreifer die Anmeldeinformationen eines Benutzers kompromittiert, kann er seinen eigenen MFA-Faktor von einem nicht verwalteten Gerät aus registrieren. Dadurch würde der Schutz durch die MFA umgangen, der Angreifer würde die Kontrolle über den zweiten Authentifizierungsfaktor erlangen und unbefugten Zugriff auf sensible Ressourcen erhalten, was möglicherweise zu einer vollständigen Übernahme des Kontos führen könnte.

Das Zero-Trust-Modell lässt kritische Aktionen wie die MFA-Registrierung nur von vertrauenswürdigen und konformen Geräten zu. Durch die Beschränkung der MFA-Registrierung auf verwaltete Geräte wird sichergestellt, dass das Gerät, das diese wichtige Sicherheitsfunktion aktiviert, die Standards der Organisation erfüllt. Dadurch wird das Risiko, dass ein Angreifer mit gestohlenen Anmeldeinformationen eine bösartige MFA registriert, erheblich reduziert.

Die Richtlinie MS.AAD.3.8v1 aus der CISA „M365 Secure Configuration Baseline for Microsoft Entra ID“, die in BOD 25-01 vorgeschrieben wird, verlangt ausdrücklich, dass, dass verwaltete Geräte die MFA registrieren SOLLTEN.

In Anlehnung an CISA-Empfehlungen stellt dieser Indicator of Exposure ( IoE) sicher, dass mindestens eine Richtlinie für bedingten Zugriff mit den folgenden Einstellungen aktiviert ist, damit nur verwaltete Geräte eine MFA-Registrierung vornehmen können:

• „Benutzer“ ist so festgelegt, dass „Alle Benutzer“ eingeschlossen werden.
• „Zielressourcen“ ist auf „Benutzeraktionen“ festgelegt und „Register security information“ (Sicherheitsinformationen registrieren) wird ausgewählt.
• „Grant“ (Zugriff gewähren) ist auf „Grant access“ (Zugriff gewähren) festgelegt und die Optionen „Require device to be marked as compliant“ (Gerät muss als konform gekennzeichnet werden) und „Require Microsoft Entra hybrid joined device“ (Hybrid-verbundenes Microsoft Entra-Gerät erforderlich) sind ausgewählt. Unten ist die Option „Require one of the selected controls“ (Eines der ausgewählten Steuerelemente erforderlich) ausgewählt.
• „Richtlinie aktivieren“ ist auf „Ein“ festgelegt (nicht „Aus“ oder „Nur Bericht“).

Es muss eine aktivierte Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) vorhanden sein, damit der Mandant die MFA-Registrierung von nicht verwalteten Geräten blockiert.

Um dieses Risiko zu mindern, definiert die CISA – im Rahmen der Richtlinie MS.AAD.3.8v1 aus der ‚M365 Secure Configuration Baseline for Microsoft Entra ID‘, die durch BOD 25-01 vorgeschrieben ist – verwaltete Geräte als solche, die entweder konform oder hybrid eingebunden sind.

Dazu können Sie folgendermaßen eine CAP erstellen:

• Ändern Sie eine vorhandene CAP, indem Sie die Einstellungen anwenden, die in der Beschreibung dieses IoE angegeben sind.
• Erstellen Sie eine dedizierte CAP und konfigurieren Sie sie gemäß den Spezifikationen in der Beschreibung des IoE.

Hinweis: „Require device to be marked as compliant“ (Gerät muss als konform gekennzeichnet werden) erfordert, dass Ihre Organisation Intune MDM verwendet.

Achtung: Sowohl Microsoft als auch Tenable empfehlen, bestimmte Konten aus Richtlinien für bedingten Zugriff auszuschließen, um eine mandantenweite Kontosperre und unerwünschte Nebenwirkungen zu verhindern. Tenable empfiehlt außerdem, die Microsoft-Dokumentation „Planen einer Bereitstellung für bedingten Zugriff“ zu befolgen, um eine ordnungsgemäße Planung und ein korrektes Änderungsmanagement sicherzustellen und das Risiko zu mindern, sich selbst auszusperren. Insbesondere wenn Sie hybride Identitätslösungen wie Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung verwenden, müssen Sie das zugehörige Dienstkonto aus der Richtlinie ausschließen, da es die Richtlinie nicht einhalten kann. Verwenden Sie die Aktion „Benutzer ausschließen“ und schließen Sie die Dienstkonten entweder direkt aus oder aktivieren Sie die Option „Verzeichnisrollen“ und wählen Sie die Rolle „Verzeichnissynchronisierungskonten“ aus.

Name: Verwaltete Geräte sind für die MFA-Registrierung nicht erforderlich

Codename: MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure