MFA für privilegierte Rollen nicht erforderlich

Multifaktor-Authentifizierung (MFA), früher bekannt als Zweifaktor-Authentifizierung (2FA), bietet robusten Schutz für Konten vor den Schwachstellen, die mit schwachen oder kompromittierten Passwörtern verbunden sind. Gemäß Best Practices und Branchenstandards ist es ratsam, MFA zu aktivieren, insbesondere für privilegierte Konten, die ein Hauptziel für Angreifer darstellen und bei denen jede Kompromittierung schwerwiegende Folgen haben könnte.

Wenn ein Angreifer sich mit einer beliebigen Methode ein Passwort eines Benutzers verschafft, blockiert MFA die Authentifizierung, indem sie einen zusätzlichen Faktor anfordert, z. B. einen zeitlich ablaufenden Code aus einer mobilen App, ein physisches Token, ein biometrisches Merkmal usw.

Dieser Indicator of Exposure warnt Sie, wenn für eine privilegierte Rolle keine MFA erforderlich ist, was sich auf privilegierte Benutzer auswirkt, denen diese spezifische privilegierte Rolle zugewiesen wurde. In Microsoft Entra ID können Sie MFA mit verschiedenen Methoden aktivieren:

• Sicherheitsstandards: Vorkonfigurierte Sicherheitseinstellungen, die die obligatorische Durchführung der Multifaktor-Authentifizierung durch Administratoren beinhalten. Durch die Aktivierung dieser Einstellung werden gleichzeitig mehrere Sicherheitsmaßnahmen aktiviert, wie von Microsoft empfohlen.

• Bedingter Zugriff: Richtlinien geben Ereignisse oder Anwendungen an, für die MFA verwendet werden muss. Diese Richtlinien können reguläre MFA-Anmeldungen für Administratoren zulassen. Hinweis: Diese Funktion erfordert eine Microsoft Entra ID-P1-Lizenz oder höher und ist nicht im Lieferumfang von Microsoft Entra ID Free enthalten. Sie wird insbesondere für fortgeschrittene Organisationen mit komplexen Sicherheitsanforderungen empfohlen, die ihre Authentifizierungskriterien präzise definieren möchten. Dieser Indicator of Exposure sucht nach Richtlinien für bedingten Zugriff mit den folgenden Einstellungen:

  • „Benutzer“ ist so festgelegt, dass „Alle Benutzer“ oder die privilegierten Rollen eingeschlossen werden.
  • „Zielressourcen“ ist auf „Alle Ressourcen“ festgelegt.
  • „Bedingungen > Client-Apps“ ist auf „Nein“ („Nicht konfiguriert“) festgelegt. Alternativ kann es auf „Ja“ festgelegt werden, wobei die folgenden vier Optionen auszuwählen sind: „Browser“, „Mobile Apps und Desktopclients“, „Exchange ActiveSync-Clients“ und „Andere Clients“.Legen Sie
  • „Grant“ (Zugriff gewähren) auf „Require multifactor authentication“ (Multi-Faktor-Authentifizierung erfordern) oder „Require authentication strength“ (Authentifizierungsstärke erfordern) mit einem der folgenden Werte fest: „Multifaktor-Authentifizierung“, „Passwordless MFA“ (Kennwortlose MFA) oder „Phishing-resistant MFA“ (Phishing-sichere MFA).
  • Legen Sie zuletzt die Option „Richtlinie aktivieren“ auf „Ein“ fest (nicht „Aus“ oder „Nur Bericht“).

• MFA pro Benutzer: „MFA pro Benutzer“ ist ein Legacy-Dienst und Microsoft empfiehlt, ihn durch die neueren Sicherheitsstandards oder Richtlinien für bedingten Zugriff zu ersetzen. Aufgrund fehlender Unterstützung in der Microsoft Graph-API kann dieser Indicator of Exposure daher nicht feststellen, ob Benutzer mit einer privilegierten Rolle den Legacy-Dienst „MFA pro Benutzer“ verwenden und erzwingen.

Standardeinstellungen für Sicherheit und bedingter Zugriff schließen sich gegenseitig aus. Sie können nicht gleichzeitig verwendet werden. Beachten Sie, dass [Richtlinien für bedingten Zugriff nur auf integrierte Entra-Rollen angewendet werden können] (https://learn.microsoft.com/de-de/entra/identity/conditional-access/concept-conditional-access-users-groups#include-users), nicht aber auf Rollen, die auf den Bereich der Verwaltungseinheit bezogen sind, und benutzerdefinierte Rollen.

Alle gemeldeten privilegierten Entra-Rollen müssen MFA erfordern, um den Schutz der zugewiesenen Benutzer vor Angriffen auf Anmeldeinformationen zu erhöhen.

Für Microsoft Entra ID bietet Microsoft eine Vorlage für Richtlinien für bedingten Zugriff namens Require MFA for administrators. Diese Vorlage erfüllt alle Kriterien, die für diesen Indicator of Exposure erforderlich sind. Diese Richtlinie fordert Benutzer zur Registrierung einer MFA-Methode auf, wenn sie sich nach der MFA-Erzwingung zum ersten Mal authentifizieren. Tenable empfiehlt, die Microsoft-Dokumentation „Planen einer Bereitstellung für bedingten Zugriff“ zu befolgen, um eine ordnungsgemäße Planung und ein korrektes Änderungsmanagement sicherzustellen und das Risiko zu mindern, sich selbst auszusperren. Insbesondere wenn Sie hybride Identitätslösungen wie Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung verwenden, müssen Sie das zugehörige Dienstkonto aus der Richtlinie ausschließen, da es die Richtlinie für bedingten Zugriff nicht erfüllen kann. Verwenden Sie die Aktion „Benutzer ausschließen“ und schließen Sie die Dienstkonten entweder direkt aus oder aktivieren Sie die Option „Verzeichnisrollen“ und wählen Sie die Rolle „Verzeichnissynchronisierungskonten“ aus.

Alternativ kann dieses Ziel mit Sicherheitsstandards erreicht werden, die vorschreiben, dass Administratoren eine Multifaktor-Authentifizierung durchführen. Dies beinhaltet die Aktivierung verschiedener anderer von Microsoft empfohlener Sicherheitsfunktionen. Wägen Sie im Voraus gründlich ab, ob eine dieser Änderungen zu Rückschritten oder unbeabsichtigten Nebenwirkungen in Ihrer Umgebung führen könnte.

Name: MFA für privilegierte Rollen nicht erforderlich

Codename: MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

Schweregrad: High

Typ: Microsoft Entra ID Indicator of Exposure