Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
6 2024 security l Entra ID l 21 zeichnisses immer noch auf die weitaus weniger volatile Bedrohungslandschaft der späten 1990er und frühen 2000er Jahre zugeschnitten ist wächst die Liste der modernen Exploits gegen Active Directory die von Cyberkriminellen genutzt werden können bis heute weiter an Schlimmstenfalls können sich bei der AD-Verwaltung in Unternehmen über Jahrzehnte fehlerhafte Sicherheitspraktiken eingeschlichen haben die selbst unbedarfte Angreifer einfach ausnutzen können Die Erfahrung zeigt dass selbst gut gemanagte AD im Rahmen von Pentests innerhalb einer halben Stunde kompromittiert werden ohne dass es vom Sicherheitspersonal oder -systemen bemerkt wird Es gibt viele potenzielle Probleme von zu vielen Administratoren und einer mangelnden Trennung der Berechtigungen bis hin zu privilegierten Benutzern die keine dedizierten Workstations mit privilegiertem Zugang verwenden schwachen oder nicht vorhandenen Multi-Faktor-Authentifizierungen und Verzögerungen bei passwortlosen und Phishingresistenten Authentifizierungsverfahren Active Directory ist in der Regel ein Schwachpunkt in der Angriffsfläche von Unternehmen der im Fall einer erfolgreichen Attacke großes Schadenspotenzial birgt Die Angriffsfläche vergrößert sich noch weiter wenn Entra ID unzureichend gesichert ist Auch Entra ID und Microsoft 365 sind in erster Linie auf Benutzerfreundlichkeit statt auf Sicherheit ausgerichtet Während Unternehmen an Entra ID die einfache und schnelle Bereitstellung für andere Dienste schätzen finden Angreifer vor allem die Möglichkeit der Rechteausweitung Privilege Escalation daran attraktiv Da der Erstzugriff durch Benutzer von überall auch außerhalb des Unternehmensperimeters erfolgen kann können sich – sofern keine nötigen Vorsichtsmaßnahmen ergriffen wurden – statt legitimen Benutzern auch Angreifer authentifizieren Ist ihnen dies gelungen ist das Erweitern von Berechtigungen nur noch ein kleiner Schritt beispielsweise durch das Hinzufügen eines Gastkontos zu einer Microsoft 365-Gruppe in Teams Gastbenutzer haben nicht nur Zugriff auf das für sie vorgesehene Team sondern auch auf die zugrunde liegenden Technologien wie zum Beispiel SharePoint Online ihrer „Gastgeber“-Organisationen beziehungsweise Angriffsziele Dies können unbefugte Eindringlinge als Basis nutzen um sich im Active Directory neue weitreichende Befugnisse anzueignen und die Kontrolle die ihnen ihre neuen Privilegien verleihen schließlich für einen verheerenden Angriff ausnutzen Rechteausweitung vorbeugen Dabei spielt es Angreifern in die Hände dass einfache Bordmittel mit denen sich die Sicherheit von Entra ID erhöhen lässt in Unternehmen meist ungenutzt bleiben Und dies ist oft lediglich auf unklare Bedienungshinweise zurückzuführen Denn mit Privileged Identity Management bietet Microsoft fast 100 verschiedene Rollen an Die Möglichkeiten zur Begrenzung von Nutzerrechten und somit das Eliminieren des Sicherheitsrisikos „Rechteausweitung“ wären somit gegeben Zumindest in der Theorie In der Praxis zeigt sich dass die Anwendungsfälle und Kompetenzen für die verfügbaren Rollen nicht ganz eindeutig definiert sind Es ist nachvollziehbar dass für IT-Teams der reibungslose Geschäftsbetrieb Priorität hat und sie es vermeiden wollen Nutzern zu stark begrenzte Rollen zuzuweisen da es eine Flut an Servicetickets zur Folge hätte Allerdings führt dies häufig dazu dass Unternehmen beim Aufbau ihres Microsoft Ökosystems das Anwenden des Rollenzuweisungsmodells „Global Administrator by default“ zulassen Der globale Administrator entspricht jedoch dem Domain Admin und verkörpert die mächtigste und befugnisreichste Rolle in Entra ID Es ist offensichtlich dass diese angewendet auf alle Nutzer ein enormes Sicherheitsrisiko darstellt und folglich äußerst sparsam vergeben werden sollte Viele Unternehmen nehmen sich nicht die Zeit das Microsoft-Modell der gemeinsamen Verantwortung und die Anforderungen die für eine sichere Konfiguration von und privilegierte Zugriffsverwaltung in Entra ID erfüllt sein müssen zu verstehen Etwas zusätzlicher Aufwand ist jedoch nötig um unternehmensspezifische Sicherheitslücken zu ermitteln Ein guter Ausgangspunkt dafür ist der Identity Secure Score in Entra ID sowie der Microsoft Secure Score in Microsoft 365 Diese definieren wichtige Sicherheitseinstellungen und vermitteln ein Gefühl dafür wie sicher eine Umgebung ist Administratoren können tiefer in die Materie eintauchen um den Kontext des Risikos zu verstehen und abzuwägen ob die Sicherheitseinstellung ausreichend ist oder ob sie für einen ausreichenden Schutz Drittlösungen hinzuziehen müssen Neben dem Secure Score gibt es auch kostenlose Tools wie Purple Knight mit denen Schwachstellen in Active Directory Entra ID und Hybrididentitäten aufgedeckt werden können Zeit für ein Umdenken Hybrididentität ist eine Dynamik die so schnell nicht verschwinden wird Die bevorstehende Version von Windows Server 2025 enthält neue Features und Änderungen an Active Directory was die Haltung von Microsoft AD fortzuführen unterstreicht Zugleich entwickeln sich Identitäten zu einem populären Vektor für Cyberangriffe Es ist daher von entscheidender Bedeutung das Bewusstsein und das Verständnis für die Bedrohungen und Schwachstellen verbessern denen Entra ID und hybride Identitäten ausgesetzt sind Schwachstellen und Fehlkonfigurationen in kritischen Identitätssystemen können für Angreifer der entscheidende Faktor sein um ihrer Attacke vernichtende Schlagkraft zu verleihen Um das zu verhindern und Bedrohungsakteuren auch in hybriden Identitätsumgebungen einen Riegel vorzuschieben sollten Unternehmen nachbessern und Sicherheitspraktiken für Entra ID und AD etablieren Oliver Keizers ist Area VP EMEA Central bei Semperis Während Unternehmen an Entra ID die einfache und schnelle Bereitstellung für andere Dienste schätzen finden Angreifer daran vor allem die Möglichkeit der Rechteausweitung attraktiv