Erkennungen

Privilegiertes Entra-Konto mit Zugriff auf M365-Dienste

MEDIUM

Sprache:

Beschreibung

Wenn Sie ein privilegiertes Konto für tägliche Aktivitäten wie das Lesen von E-Mails oder Dokumenten aus dem Internet verwenden, erhöhen Sie das Risiko, dass dieses Konto kompromittiert wird. Bedrohungsakteure verschaffen sich häufig über Phishing-Dokumente, die per E-Mail versendet werden, oder Drive-by-Download-Angriffe in Webbrowsern den ersten Zugang auf eine Umgebung. Wenn ein Angreifer mit solchen Angriffsmethoden einen Administrator ins Visier nimmt, kann dies gravierende Folgen haben und zu einer direkten, vollständigen Kompromittierung der Entra-Infrastruktur sowie ihrer Konten und Ressourcen führen.

Dieser Indicator of Exposure überprüft, ob Servicepläne (d. h. Lizenzen) für Microsoft 365-Anwendungen und -Dienste privilegierten Konten zugewiesen sind, obwohl sie nur für normale Konten erforderlich sein sollten. Mit dieser Erkennungsheuristik soll festgestellt werden, ob Administratoren nur ein einziges Konto anstelle von zwei separaten Konten (ein Standardkonto und ein privilegiertes Konto) haben. Diese Erkennungsmethode kann falsch positive Ergebnisse generieren, z. B. wenn ein Administrator bereits zwei separate Konten (Standard und privilegiert) hat und beiden Konten Servicepläne zugewiesen sind. Sie können die Feststellung ignorieren, wenn Sie nach der Untersuchung über eine bereitgestellte Option bestätigen können, dass es sich um ein falsch positives Ergebnis handelt. Allerdings erhöht die Nutzung von Microsoft 365-Anwendungen und -Diensten über das privilegierte Konto auch in diesen Fällen die Wahrscheinlichkeit, dass dieses Konto kompromittiert wird, und wird daher von uns nicht empfohlen.

Der IoE verifiziert die folgenden Microsoft 365-Dienste:

  • Exchange Online
  • Microsoft 365-Apps
  • Office für das Web
  • SharePoint Online
  • Microsoft Teams
  • Skype for Business Online

Dieser IoE berücksichtigt verschiedene Serviceplan-Varianten für Microsoft 365-Dienste, wie z. B. Business, Education, Government und andere.

Lösung

Sie müssen sicherstellen, dass Benutzer, die administrative Aufgaben in Entra ID durchführen, über mehrere Arten von Konten verfügen, in der Regel zwei: ein Standardkonto für den täglichen Gebrauch und ein separates privilegiertes Konto ausschließlich für administrative Aktivitäten. Für risikoreiche tägliche Internetaktivitäten oder zum Öffnen von nicht vertrauenswürdigen Dokumenten sollten Sie ein Standardkonto ohne Privilegien verwenden. Sie sollten über ein separates privilegiertes Konto mit eingeschränkten (nur den benötigten und erforderlichen) Serviceplänen verfügen, das ausschließlich für administrative Aufgaben verwendet wird. Dies entspricht der Microsoft-Empfehlung, für Administratoren getrennte Konten zu verwenden.

Zusammenfassung: Ergreifen Sie zwei Behebungsmaßnehmen:

  1. Erstellen Sie ein separates Administratorkonto für Benutzer mit Berechtigungen wie Administratoren, was das Hauptziel in diesem IoE ist. Weisen Sie die Berechtigungen diesen dedizierten privilegierten Konten anstatt ihren normalen Konten zu. Verwenden Sie die privilegierten Konten nur für administrative Aufgaben. Dies ist eine gängige Best Practice im Bereich Cybersecurity, die von Microsoft empfohlen und von nationalen Cybersecurity-Organisationen und Konformitätsstandards vorgegeben wird.
  2. Stellen Sie nach der Trennung der Konten sicher, dass Sie den privilegierten Konten eingeschränkte Servicepläne zuweisen. Da diese Konten nur administrative Aufgaben ausführen sollen, benötigen sie keinen Zugriff auf Microsoft 365-Anwendungen und -Dienste, was auch dazu beiträgt, ihre Angriffsfläche zu verkleinern Dieser Schritt sorgt dafür, dass die privilegierten Konten mit diesem IoE konform sind. Deaktivieren Sie insbesondere in privilegierten Konten die Servicepläne für Microsoft 365-Anwendungen und -Dienste, die für administrative Aufgaben nicht erforderlich sind. Behalten Sie nützliche Sicherheitslizenzen wie Entra ID-P1/P2 bei. Je nach Lizenz Ihrer Organisation, wie z. B. Microsoft 365-E3/E5, deaktivieren Sie einige Servicepläne wie Exchange Online, während Sie andere beibehalten (Entra ID-P1/P2). Siehe die Anleitung von Microsoft zum Ändern von Lizenzzuweisungen für einen Benutzer oder eine Gruppe in Microsoft Entra ID.

Die Verwaltung separater Konten (Standard und privilegiert) führt zu weiteren sicherheitsrelevanten Überlegungen, die Sie ebenfalls berücksichtigen sollten:

  • Stellen Sie bei der Passwortverwaltung sicher, dass Administratoren unterschiedliche Passwörter für ihr Standardkonten und ihr privilegiertes Konto festlegen. Die Verwendung desselben Passworts verfehlt den Zweck der Kontotrennung, da es einem Angreifer, der die Anmeldeinformationen des Standardkontos kompromittiert, ermöglicht, auch das privilegierte Konto anzugreifen.
  • Stellen Sie sicher, dass Benutzer nicht vom selben Computer auf diese Konten zugreifen. Schützen Sie privilegierte Konten, indem Sie ein dediziertes sicheres Gerät bereitstellen, das für privilegierte Vorgänge reserviert ist. Dieses Konzept ist bekannt als „Arbeitsstation mit privilegiertem Zugriff“ (Privileged Access Workstation, PAW) oder „Geräte mit privilegiertem Zugriff”. Siehe die Dokumentation von Microsoft zum Schützen von Geräten im Rahmen der Geschichte des privilegierten Zugriffs.

Indikatordetails

Name: Privilegiertes Entra-Konto mit Zugriff auf M365-Dienste

Codename: PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure