Riskante Benutzer ohne Erzwingung

Microsoft Entra ID Protection (früher Identity Protection) identifiziert riskante Benutzer in Entra ID. Für den Betrieb sind Microsoft Entra ID-P2-Lizenzen erforderlich. Wie in der Microsoft-Dokumentation zur Erkennung von Risiken erläutert, gibt es zwei Arten von Risikoerkennungen:

• Erkennung von Anmelderisiken, die im dedizierten IoE „MFA für riskante Anmeldungen nicht erforderlich“ behandelt werden
• Erkennung von Benutzerrisiken

Ein Benutzer kann in folgenden Fällen als gefährdet eingestuft werden:

• Er hat mindestens eine riskante Anmeldung.
• Es wurde mindestens ein Risiko in seinem Konto erkannt, z. B. offengelegte Anmeldeinformationen oder anormale Benutzeraktivität.

Es gibt drei Risikostufen:

• Hoch
• Mittel
• Niedrig

Verwenden Sie Richtlinien für bedingten Zugriff, um Sicherheitsmaßnahmen zu erzwingen, wenn das System einen gefährdeten Benutzer identifiziert.

Die Richtlinie MS.AAD.2.1v1 aus der CISA „M365 Secure Configuration Baseline for Microsoft Entra ID“, die durch BOD 25-01 vorgeschrieben wird, erfordert, dass Benutzer, die als hohes Risiko eingestuft wurden, blockiert werden MÜSSEN. In Anlehnung an CISA-Empfehlungen stellt dieser IoE sicher, dass mindestens eine Richtlinie für bedingten Zugriff die folgenden Einstellungen enthält:

• „Benutzer“ ist so festgelegt, dass „Alle Benutzer“ eingeschlossen werden.
• „Zielressourcen“ ist auf „Alle Ressourcen“ festgelegt.
• „Bedingungen > Benutzerrisiko“ ist auf „Ja“ festgelegt und die Risikostufe „Hoch“ ist ausgewählt.
• „Grant“ (Gewähren) ist auf „Block access“ (Zugriff blockieren) festgelegt.
• „Richtlinie aktivieren“ ist auf „Ein“ festgelegt (nicht „Aus“ oder „Nur melden“).

Wenn Sie stattdessen der Empfehlung von Microsoft folgen, stellt dieser IoE sicher, dass mindestens eine Richtlinie für bedingten Zugriff die folgenden Einstellungen enthält:

• „Benutzer“ ist so festgelegt, dass „Alle Benutzer“ eingeschlossen sind.
• „Zielressourcen“ ist auf „Alle Ressourcen“ festgelegt.
• „Bedingungen > Benutzerrisiko“ ist auf „Ja“ festgelegt und die Risikostufe „Hoch“ ist ausgewählt.
• „Grant“ (Gewähren) ist auf „Require password change“ (Passwortänderung erforderlich) festgelegt.
• „Richtlinie aktivieren“ ist auf „Ein“ festgelegt (nicht „Aus“ oder „Nur Bericht“).

Es muss eine aktivierte Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) für den Mandanten vorhanden sein, um ihn vor allen Benutzern zu schützen, die als hohes Risiko eingestuft wurden.

Tenable empfiehlt, nur Benutzer mit hohem Risiko zu blockieren, um Geschäftsunterbrechungen zu minimieren. CISA und Microsoft haben unterschiedliche Meinungen zur Vermeidung dieses Risikos:

• Die Richtlinie MS.AAD.2.1v1 aus der CISA „M365 Secure Configuration Baseline for Microsoft Entra ID“, die durch BOD 25-01 vorgeschrieben wird, empfiehlt, riskante Benutzer vollständig zu blockieren.
• Im Gegensatz dazu empfiehlt Microsoft, durch Anforderung einer Passwortänderung eine Selbstbehebung auszulösen.

Tenable empfiehlt, die CISA-Empfehlung zu befolgen, da dies der sicherste Ansatz ist. Da sie jedoch auch am restriktivsten ist, können Sie mithilfe der bereitgestellten Option im IoE problemlos zur Microsoft-Empfehlung wechseln.

Dazu können Sie mit den folgenden Methoden eine CAP erstellen:

• Ändern Sie eine vorhandene CAP, indem Sie die Einstellungen anwenden, die in der Beschreibung dieses IoE angegeben sind.
• Erstellen Sie eine dedizierte CAP und konfigurieren Sie sie gemäß den Spezifikationen in der Beschreibung des IoE.

Wenn Sie anstatt der CISA-Empfehlung der Empfehlung von Microsoft folgen, können Sie auch die CAP-Vorlage „Require password change for high-risk users“ (Kennwortänderung für Benutzer mit hohem Risiko erforderlich) von Microsoft verwenden. Diese Vorlage erfüllt alle in diesem IoE beschriebenen Kriterien, wenn Sie die Option aktivieren, um die Microsoft-Empfehlung zu befolgen.

Hinweis: Sowohl Microsoft als auch Tenable empfehlen, bestimmte Konten aus Richtlinien für bedingten Zugriff auszuschließen, um eine mandantenweite Kontosperre und unerwünschte Nebenwirkungen zu verhindern. Tenable empfiehlt außerdem, die Microsoft-Dokumentation „Planen einer Bereitstellung für bedingten Zugriff“ zu befolgen, um eine ordnungsgemäße Planung und ein korrektes Änderungsmanagement sicherzustellen und das Risiko zu mindern, sich selbst auszusperren. Insbesondere wenn Sie hybride Identitätslösungen wie Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung verwenden, müssen Sie das zugehörige Dienstkonto aus der Richtlinie ausschließen, da es die Richtlinie für bedingten Zugriff nicht erfüllen kann. Verwenden Sie die Aktion „Benutzer ausschließen“ und schließen Sie die Dienstkonten entweder direkt aus oder aktivieren Sie die Option „Verzeichnisrollen“ und wählen Sie die Rolle „Verzeichnissynchronisierungskonten“ aus.

Das Konfigurieren einer CAP ist unerlässlich, um eine Kompromittierung zu verhindern. Sie ersetzt jedoch keine forensische Untersuchung des gemeldeten Risikos. Wenn Sie mehr erfahren möchten, können Sie sich den Untersuchungsleitfaden von Microsoft ansehen.

Name: Riskante Benutzer ohne Erzwingung

Codename: RISKY-USERS-WITHOUT-ENFORCEMENT

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure