Privilegiertes Entra-Konto mit AD synchronisiert (Hybrid)

Wenn Ihre Organisation die Verzeichnissynchronisierung eingerichtet hat, beispielsweise mit „Microsoft Entra Connect“ (vormals „Azure AD Connect“) oder „Microsoft Entra Cloud Sync“ (vormals „Azure AD Connect Cloud Sync“), um Benutzer und andere Elemente aus Active Directory (On-Premises) in Entra ID (in der Cloud) zu synchronisieren, geraten Sie möglicherweise in Versuchung, Hybrid-AD-Konten für privilegierte Rollen in Entra ID zu verwenden. Dies bietet Angreifern jedoch die Möglichkeit, ihre böswillige Kontrolle auf Entra ID auszuweiten, nachdem sie Active Directory kompromittiert haben. Angreifer verfügen über verschiedene Techniken, um die Identität eines beliebigen AD-Benutzers anzunehmen, und wenden diesen Identitätswechsel auch auf Entra ID an.

Aus diesem Grund warnt Microsoft in seinem Artikel „Schützen von Microsoft 365 vor lokalen Angriffen“ vor dieser Praxis und gibt zu bedenken, dass „es kein On-Premises-Konto mit Administratorrechten in Microsoft 365 geben sollte“, und empfiehlt sicherzustellen, dass „kein On-Premises-Konto über erhöhte Rechte für Microsoft 365 verfügt“.

Im Artikel „Schützen von Microsoft 365 vor lokalen Angriffen“ empfiehlt Microsoft, „reine Cloudkonten für privilegierte Entra- und Microsoft 365-Rollen zu verwenden“. Reine Cloudkonten sind in Entra ID erstellte Konten, die nicht mit Active Directory synchronisiert werden, im Gegensatz zu Hybridkonten. Sie müssen dedizierte reine Cloudkonten für alle privilegierten Entra-Rollenzuweisungen verwenden.

Einzelpersonen, die über ein privilegiertes reines Cloudkonto für Entra verfügen, haben häufig auch ein Active Directory-Konto. Diese Personen sollten verschiedene Passwörter für ihre Active Directory- und Entra-Konten verwenden, um ihr Entra-Konto vollständig zu isolieren, falls ihr AD-Konto kompromittiert und dadurch ggf. ihr AD-Passwort offengelegt wird. Machen Sie Benutzern bewusst, wie wichtig die Verwendung verschiedener Passwörter ist, damit diese Isolierung auch wirksam ist.

Laut Empfehlung bewährter Sicherheitspraktiken sollte außerdem ein eigenes Konto für privilegierte Rollen verwendet werden, um das privilegierte reine Cloudkonto (mit einem anderen Passwort) vom normalen Entra-Konto getrennt zu halten; letzteres kann ein Hybridkonto sein.

Nachdem Sie reine Cloudkonten erstellt und deren Besitzern den Zweck und die richtige Verwendung dieser Konten erklärt haben, ersetzen Sie alle privilegierten Rollenzuweisungen für die Hybridkonten, die von diesem Indicator of Exposure identifiziert wurden, durch die neuen reinen Cloudkonten.

Name: Privilegiertes Entra-Konto mit AD synchronisiert (Hybrid)

Codename: PRIVILEGED-AAD-ACCOUNT-SYNC-WITH-AD-HYBRID

Schweregrad: High