Konfigurieren von Microsoft Entra für Zero Trust: Schützen von Engineering-Systemen

Die Säule "Secure Future Initiative " zum Schutz von Engineering-Systemen wurde erstmals entwickelt, um die eigenen Softwareressourcen und -infrastruktur von Microsoft zu schützen. Die Praktiken und Erkenntnisse aus dieser internen Arbeit werden jetzt mit Kunden geteilt, sodass Sie Ihre eigenen Umgebungen stärken können.

Diese Empfehlungen konzentrieren sich auf die Sicherstellung des geringsten Berechtigungszugriffs auf die Technischen Systeme und Ressourcen Ihrer Organisation.

Sicherheitsempfehlungen

Notfallzugriffskonten sind entsprechend konfiguriert.

Microsoft empfiehlt Organisationen, zwei Nur-Cloud-Notfallzugriffskonten dauerhaft der Rolle Globaler Administrator zugewiesen zu haben. Diese Konten verfügen über hohe Zugriffsrechte und sind keinen bestimmten Einzelpersonen zugewiesen. Die Konten sind auf Notfall- oder Unterbrechungsglasszenarien beschränkt, in denen normale Konten nicht verwendet werden können oder alle anderen Administratoren versehentlich gesperrt sind.

Wartungsaktion

• Erstellen Sie Konten nach den Empfehlungen für das Notfallzugriffskonto.

Die Aktivierung globaler Administratorrollen löst einen Genehmigungsworkflow aus.

Ohne Genehmigungsworkflows können Bedrohungsakteure, die globale Administratoranmeldeinformationen durch Phishing, Credential Stuffing oder andere Authentifizierungsumgehungstechniken kompromittieren, sofort die privilegierteste Rolle in einem Mandanten ohne andere Überprüfung oder Aufsicht aktivieren. Privileged Identity Management (PIM) ermöglicht berechtigten Rollenaktivierungen innerhalb von Sekunden aktiv zu werden, sodass kompromittierte Anmeldeinformationen eine sofortige Berechtigungseskalation ermöglichen können. Nach der Aktivierung können Bedrohungsakteure die Rolle "Globaler Administrator" verwenden, um die folgenden Angriffspfade zu verwenden, um dauerhaften Zugriff auf den Mandanten zu erhalten:

• Erstellen neuer privilegierter Konten
• Ändern von Richtlinien für bedingten Zugriff, um diese neuen Konten auszuschließen
• Einrichten alternativer Authentifizierungsmethoden wie zertifikatbasierte Authentifizierung oder Anwendungsregistrierungen mit hohen Berechtigungen

Die Rolle "Globaler Administrator" bietet Zugriff auf administrative Features in Microsoft Entra-ID und -Diensten, die Microsoft Entra-Identitäten verwenden, einschließlich Microsoft Defender XDR, Microsoft Purview, Exchange Online und SharePoint Online. Ohne Genehmigungsgates können Bedrohungsakteure schnell eskalieren, um die Mandantenübernahme abzuschließen, vertrauliche Daten zu exfiltrieren, alle Benutzerkonten zu kompromittieren und langfristige Hintertüren über Dienstprinzipale oder Verbundänderungen einzurichten, die auch nach der ersten Kompromittierung bestehen bleiben.

Wartungsaktion

• Konfigurieren von Rolleneinstellungen für die Genehmigung für die Aktivierung eines globalen Administrators
• Einrichten des Genehmigungsworkflows für privilegierte Rollen

Globale Administratoren haben keinen ständigen Zugriff auf Azure-Abonnements

Globale Administratoren mit permanentem Zugriff auf Azure-Abonnements erweitern die Angriffsfläche für Bedrohungsakteure. Wenn ein globales Administratorkonto kompromittiert wird, können Angreifer sofort Ressourcen aufzählen, Konfigurationen ändern, Rollen zuweisen und vertrauliche Daten in allen Abonnements exfiltrieren. Das Erfordern einer Just-in-Time-Erhöhung für den Abonnementzugriff führt zu erkennenden Signalen, verlangsamt die Geschwindigkeit des Angreifers und leitet Vorgänge mit hohem Einfluss über feststellbare Kontrollpunkte weiter.

Wartungsaktion

• Erste Schritte mit einer phishingsicheren kennwortlosen Authentifizierungsbereitstellung

• Sicherstellen, dass privilegierte Konten Phishing-widerstandsfähige Methoden registrieren und verwenden

• Richtlinie für bedingten Zugriff für privilegierte Konten bereitstellen und Phishing-beständige Anmeldeinformationen mithilfe von Authentifizierungsstärken

• Überwachen der Authentifizierungsmethodenaktivität

Das Erstellen neuer Anwendungen und Dienstprinzipale ist auf privilegierte Benutzer beschränkt.

Wenn nicht privilegierte Benutzer Anwendungen und Dienstprinzipale erstellen können, sind diese Konten möglicherweise falsch konfiguriert oder erhalten mehr Berechtigungen als erforderlich, wodurch neue Vektoren für Angreifer erstellt werden, um ersten Zugriff zu erhalten. Angreifer können diese Konten ausnutzen, um gültige Anmeldeinformationen in der Umgebung einzurichten und einige Sicherheitskontrollen zu umgehen.

Wenn diesen nicht privilegierten Konten versehentlich erhöhte Anwendungsbesitzerberechtigungen gewährt werden, können Angreifer sie verwenden, um von einer niedrigeren Zugriffsebene zu einer privilegierteren Zugriffsebene zu wechseln. Angreifer, die nicht privilegierte Konten kompromittieren, können eigene Anmeldeinformationen hinzufügen oder die Berechtigungen ändern, die den von den nicht privilegierten Benutzern erstellten Anwendungen zugeordnet sind, um sicherzustellen, dass sie weiterhin auf die nicht erkannte Umgebung zugreifen können.

Angreifer können Dienstprinzipale verwenden, um sich mit legitimen Systemprozessen und -aktivitäten zu verbinden. Da Dienstprinzipale häufig automatisierte Aufgaben ausführen, werden böswillige Aktivitäten, die unter diesen Konten ausgeführt werden, möglicherweise nicht als verdächtig gekennzeichnet.

Wartungsaktion

• Verhindern, dass nicht privilegierte Benutzer Apps

Inaktive Anwendungen verfügen nicht über berechtigungen der microsoft Graph-API mit hoher Berechtigung

Angreifer können gültige, aber inaktive Anwendungen ausnutzen, die weiterhin erhöhte Rechte haben. Diese Anwendungen können verwendet werden, um ersten Zugriff zu erhalten, ohne Alarm zu wecken, da sie legitime Anwendungen sind. Von dort aus können Angreifer die Anwendungsberechtigungen verwenden, um andere Angriffe zu planen oder auszuführen. Angreifer können auch den Zugriff beibehalten, indem sie die inaktive Anwendung bearbeiten, z. B. durch Hinzufügen von Anmeldeinformationen. Diese Persistenz stellt sicher, dass sie auch dann, wenn ihre primäre Zugriffsmethode erkannt wird, später wieder zugriffen können.

Wartungsaktion

• Privilegierte Dienstprinzipale deaktivieren
• Untersuchen, ob die Anwendung legitime Anwendungsfälle hat
• Wenn der Dienstprinzipal keine legitimen Anwendungsfälle hat, löschen Sie ihn

Inaktive Anwendungen verfügen nicht über integrierte Rollen mit hoher Berechtigung

Angreifer können gültige, aber inaktive Anwendungen ausnutzen, die weiterhin erhöhte Rechte haben. Diese Anwendungen können verwendet werden, um ersten Zugriff zu erhalten, ohne Alarm zu wecken, da sie legitime Anwendungen sind. Von dort aus können Angreifer die Anwendungsberechtigungen verwenden, um andere Angriffe zu planen oder auszuführen. Angreifer können auch den Zugriff beibehalten, indem sie die inaktive Anwendung bearbeiten, z. B. durch Hinzufügen von Anmeldeinformationen. Diese Persistenz stellt sicher, dass sie auch dann, wenn ihre primäre Zugriffsmethode erkannt wird, später wieder zugriffen können.

Wartungsaktion

• Deaktivieren von inaktiven privilegierten Dienstprinzipale
• Untersuchen Sie, ob die Anwendung legitime Anwendungsfälle hat. Wenn ja, analysieren, ob eine OAuth2-Berechtigung besser
• Wenn der Dienstprinzipal keine legitimen Anwendungsfälle hat, löschen Sie ihn

App-Registrierungen verwenden sichere Umleitungs-URIs

OAuth-Anwendungen, die mit URLs konfiguriert sind, die Wildcards enthalten, oder URL-Verkürzungen erhöhen die Angriffsfläche für Bedrohungsakteure. Unsichere Umleitungs-URIs (Antwort-URLs) ermöglichen Es Angreifern möglicherweise, Authentifizierungsanforderungen, Entführerautorisierungscodes und Abfangen von Token zu bearbeiten, indem Benutzer zu angreifergesteuerten Endpunkten weitergeleitet werden. Wildcardeinträge erweitern das Risiko, indem unbeabsichtigte Domänen die Verarbeitung von Authentifizierungsantworten zulassen, während verkürzte URLs Phishing- und Tokendiebstahl in unkontrollierten Umgebungen erleichtern können.

Ohne strenge Überprüfung von Umleitungs-URIs können Angreifer Sicherheitskontrollen umgehen, legitime Anwendungen identitätswechseln und ihre Berechtigungen eskalieren. Diese Fehlkonfiguration ermöglicht persistenz, nicht autorisierten Zugriff und laterale Bewegung, da Angreifer schwache OAuth-Erzwingung ausnutzen, um nicht erkannte geschützte Ressourcen zu infiltrieren.

Wartungsaktion

• Überprüfen Sie die Umleitungs-URIs für Ihre Anwendungsregistrierungen. Stellen Sie sicher, dass die Umleitungs-URIs nicht über *.azurewebsites.net, Wildcards oder URL-Abkürzungen verfügen.

Dienstprinzipale verwenden sichere Umleitungs-URIs

Nicht-Microsoft- und Multitenant-Anwendungen, die mit URLs konfiguriert sind, die Wildcards, Localhost oder URL-Verkürzungen enthalten, erhöhen die Angriffsfläche für Bedrohungsakteure. Diese unsicheren Umleitungs-URIs (Antwort-URLs) ermöglichen Es Angreifern möglicherweise, Authentifizierungsanforderungen, Entführerautorisierungscodes und Abfangen von Token zu bearbeiten, indem Benutzer zu angreifergesteuerten Endpunkten weitergeleitet werden. Wildcardeinträge erweitern das Risiko, indem unbeabsichtigte Domänen die Verarbeitung von Authentifizierungsantworten zulassen, während localhost- und shortener-URLs Phishing- und Tokendiebstahl in unkontrollierten Umgebungen erleichtern können.

Ohne strenge Überprüfung von Umleitungs-URIs können Angreifer Sicherheitskontrollen umgehen, legitime Anwendungen identitätswechseln und ihre Berechtigungen eskalieren. Diese Fehlkonfiguration ermöglicht persistenz, nicht autorisierten Zugriff und laterale Bewegung, da Angreifer schwache OAuth-Erzwingung ausnutzen, um nicht erkannte geschützte Ressourcen zu infiltrieren.

Wartungsaktion

• Überprüfen Sie die Umleitungs-URIs für Ihre Anwendungsregistrierungen. Stellen Sie sicher, dass die Umleitungs-URIs keine Localhost-, *.azurewebsites.net-, Wildcard- oder URL-Verkürzungen aufweisen.

App-Registrierungen dürfen keine URIs für die Umleitung oder nicht mehr verlassene Domänenumleitungs-URIs haben

Nicht enthaltene oder verwaiste Umleitungs-URIs in App-Registrierungen führen zu erheblichen Sicherheitsrisiken, wenn sie auf Domänen verweisen, die nicht mehr auf aktive Ressourcen verweisen. Bedrohungsakteure können diese "verzutzenden" DNS-Einträge ausnutzen, indem Ressourcen in verlassenen Domänen bereitgestellt werden, was die Kontrolle über Umleitungsendpunkte effektiv übernimmt. Diese Sicherheitsanfälligkeit ermöglicht Es Angreifern, Authentifizierungstoken und Anmeldeinformationen während OAuth 2.0-Flüsse abzufangen, was zu nicht autorisiertem Zugriff, Sitzungsentführern und potenziellen größeren Unternehmenskompromittierungen führen kann.

Wartungsaktion

• Umleitungs-URI (Antwort-URL) Gliederung und Einschränkungen

Die ressourcenspezifische Zustimmung zur Anwendung ist eingeschränkt.

Wenn Gruppenbesitzer anwendungen in der Microsoft Entra-ID zustimmen lassen, wird ein lateraler Eskalationspfad erstellt, mit dem Bedrohungsakteure Daten ohne Administratoranmeldeinformationen beibehalten und stehlen können. Wenn ein Angreifer ein Gruppenbesitzerkonto kompromittiert, kann er eine schädliche Anwendung registrieren oder verwenden und den Berechtigungen der Graph-API mit hoher Berechtigung zustimmen, die auf die Gruppe ausgelegt sind. Angreifer können potenziell alle Teams-Nachrichten lesen, auf SharePoint-Dateien zugreifen oder die Gruppenmitgliedschaft verwalten. Diese Zustimmungsaktion erstellt eine langlebige Anwendungsidentität mit delegierten oder Anwendungsberechtigungen. Der Angreifer behält die Persistenz mit OAuth-Token bei, stiehlt vertrauliche Daten aus Teamkanälen und -dateien und stellt Benutzer über Messaging- oder E-Mail-Berechtigungen imitiert. Ohne die zentrale Durchsetzung von App-Zustimmungsrichtlinien verlieren Sicherheitsteams die Sichtbarkeit, und schädliche Anwendungen werden unter dem Radar verteilt und ermöglichen mehrstufige Angriffe auf plattformenübergreifende Zusammenarbeit.

Wartungsaktion Konfigurieren Sie die Vorabgenehmigung von Resource-Specific Zustimmungsberechtigungen (RSC).

• Vorabgenehmigung von RSC-Berechtigungen

Arbeitsauslastungsidentitäten werden nicht privilegierte Rollen zugewiesen

Wenn Administratoren Arbeitsauslastungsidentitäten privilegierte Rollen zuweisen, z. B. Dienstprinzipale oder verwaltete Identitäten, kann der Mandant einem erheblichen Risiko ausgesetzt werden, wenn diese Identitäten kompromittiert werden. Bedrohungsakteure, die Zugriff auf eine privilegierte Workload-Identität erhalten, können aufklärungsfähig sein, Ressourcen aufzählen, Berechtigungen eskalieren und vertrauliche Daten manipulieren oder exfiltrieren. Die Angriffskette beginnt in der Regel mit dem Diebstahl von Anmeldeinformationen oder dem Missbrauch einer anfälligen Anwendung. Der nächste Schritt ist die Berechtigungseskalation durch die zugewiesene Rolle, laterale Bewegung über Cloudressourcen hinweg und schließlich persistenz über andere Rollenzuweisungen oder Aktualisierungen von Anmeldeinformationen. Workloadidentitäten werden häufig in der Automatisierung verwendet und werden möglicherweise nicht so genau wie Benutzerkonten überwacht. Kompromittierung kann dann unerkannt werden, sodass Bedrohungsakteure Zugriff und Kontrolle über kritische Ressourcen erhalten. Arbeitsauslastungsidentitäten unterliegen keine benutzerorientierten Schutzmaßnahmen wie MFA, wodurch die Zuweisung der geringsten Rechte und eine regelmäßige Überprüfung erforderlich sind.

Wartungsaktion

• Überprüfen und Entfernen privilegierter Rollenzuweisungen.
• Befolgen Sie die bewährten Methoden für Workloadidentitäten.
• Informationen zu privilegierten Rollen und Berechtigungen in der Microsoft Entra-ID

Unternehmensanwendungen müssen eine explizite Zuordnung oder eine bereichsbezogene Bereitstellung erfordern.

Wenn Unternehmensanwendungen sowohl explizite Zuordnungsanforderungen als auch erweiterte Bereitstellungssteuerelemente nicht erfüllen, können Bedrohungsakteure diese duale Schwäche ausnutzen, um nicht autorisierten Zugriff auf vertrauliche Anwendungen und Daten zu erhalten. Das höchste Risiko tritt auf, wenn Anwendungen mit der Standardeinstellung konfiguriert sind: "Zuordnung erforderlich" ist auf "Nein" festgelegt , und die Bereitstellung ist nicht erforderlich oder bereichslos. Diese gefährliche Kombination ermöglicht Es Bedrohungsakteuren, die ein Benutzerkonto innerhalb des Mandanten kompromittieren, sofort auf Anwendungen mit breiten Benutzerbasis zuzugreifen, ihre Angriffsfläche zu erweitern und das Potenzial für laterale Bewegungen innerhalb der Organisation zu erweitern.

Während eine Anwendung mit offener Zuweisung, aber ordnungsgemäße Bereitstellungsdefinitionen (z. B. abteilungsbasierte Filter oder Gruppenmitgliedschaftsanforderungen) Sicherheitskontrollen über die Bereitstellungsebene verwaltet, erstellen Anwendungen, die beide Steuerelemente fehlen, uneingeschränkte Zugriffspfade, die Bedrohungsakteure ausnutzen können. Wenn Anwendungen Konten für alle Benutzer ohne Zuordnungseinschränkungen bereitstellen, können Bedrohungsakteure kompromittierte Konten missbrauchen, um Aufklärungsaktivitäten durchzuführen, vertrauliche Daten auf mehreren Systemen auflisten oder die Anwendungen als Stagingpunkte für weitere Angriffe auf verbundene Ressourcen verwenden. Dieses uneingeschränkte Zugriffsmodell ist gefährlich für Anwendungen, die erhöhte Berechtigungen besitzen oder mit wichtigen Geschäftssystemen verbunden sind. Bedrohungsakteure können jedes kompromittierte Benutzerkonto verwenden, um auf vertrauliche Informationen zuzugreifen, Daten zu ändern oder nicht autorisierte Aktionen auszuführen, die die Berechtigungen der Anwendung zulassen. Das Fehlen von Zuordnungssteuerelementen und Bereitstellungsdefinitionen verhindert auch, dass Organisationen eine ordnungsgemäße Zugriffsgovernance implementieren. Ohne ordnungsgemäße Governance ist es schwierig, nachzuverfolgen, wer Zugriff auf welche Anwendungen hat, wann der Zugriff gewährt wurde, und ob der Zugriff basierend auf Rollenänderungen oder dem Beschäftigungsstatus widerrufen werden soll. Darüber hinaus können Anwendungen mit breiten Bereitstellungsbereichen kaskadierende Sicherheitsrisiken erstellen, bei denen ein einzelnes kompromittiertes Konto Zugriff auf ein gesamtes Ökosystem verbundener Anwendungen und Dienste bietet.

Wartungsaktion

• Bewerten Sie geschäftsspezifische Anforderungen, um die geeignete Zugriffssteuerungsmethode zu ermitteln. Beschränken Sie eine Microsoft Entra-App auf eine Gruppe von Benutzern.
• Konfigurieren Sie Unternehmensanwendungen so, dass eine Zuweisung für vertrauliche Anwendungen erforderlich ist. Erfahren Sie mehr über die Enterprise-Anwendungseigenschaft "Zuordnung erforderlich".
• Implementieren Sie die bereichsbezogene Bereitstellung basierend auf Gruppen, Abteilungen oder Attributen. Erstellen sie Bereichsfilter.

Maximale Anzahl von Geräten pro Benutzer auf 10 beschränken

Die Steuerung der Geräteverbreitung ist wichtig. Legen Sie einen angemessenen Grenzwert für die Anzahl der Geräte fest, die jeder Benutzer in Ihrem Microsoft Entra ID-Mandanten registrieren kann. Das Einschränken der Geräteregistrierung sorgt für Sicherheit und ermöglicht gleichzeitig die Flexibilität des Unternehmens. Mit der Microsoft Entra-ID können Benutzer standardmäßig bis zu 50 Geräte registrieren. Die Verringerung dieser Zahl auf 10 minimiert die Angriffsfläche und vereinfacht die Geräteverwaltung.

Wartungsaktion

• Erfahren Sie, wie Sie die maximale Anzahl von Geräten pro Benutzer einschränken.

Richtlinien für bedingten Zugriff für Arbeitsstationen mit privilegiertem Zugriff sind konfiguriert.

Wenn privilegierte Rollenaktivierungen nicht auf dedizierte Privileged Access Workstations (PAWs) beschränkt sind, können Bedrohungsakteure kompromittierte Endpunktgeräte ausnutzen, um privilegierte Eskalationsangriffe von nicht verwalteten oder nicht kompatiblen Arbeitsstationen auszuführen. Standardmäßige Produktivitätsarbeitsstationen enthalten häufig Angriffsvektoren wie uneingeschränktes Surfen im Web, E-Mail-Clients anfällig für Phishing und lokal installierte Anwendungen mit potenziellen Sicherheitsrisiken. Wenn Administratoren privilegierte Rollen von diesen Arbeitsstationen aktiviert haben, können Bedrohungsakteure, die anfänglichen Zugriff über Schadsoftware, Browser-Exploits oder Social Engineering erhalten, die lokal zwischengespeicherten privilegierten Anmeldeinformationen verwenden oder vorhandene authentifizierte Sitzungen entführen, um ihre Berechtigungen zu eskalieren. Privilegierte Rollenaktivierungen gewähren umfassende Administratorrechte für Microsoft Entra-ID und verbundene Dienste, sodass Angreifer neue Administratorkonten erstellen, Sicherheitsrichtlinien ändern, auf vertrauliche Daten in allen Organisationsressourcen zugreifen und Schadsoftware oder Hintertüren in der gesamten Umgebung bereitstellen können, um beständigen Zugriff einzurichten. Diese laterale Bewegung von einem kompromittierten Endpunkt zu privilegierten Cloudressourcen stellt einen kritischen Angriffspfad dar, der viele herkömmliche Sicherheitskontrollen umgeht. Der privilegierte Zugriff erscheint legitim, wenn er von der Sitzung eines authentifizierten Administrators stammt.

Wenn diese Überprüfung erfolgreich ist, verfügt Ihr Mandant über eine Richtlinie für bedingten Zugriff, die privilegierten Rollenzugriff auf PAW-Geräte einschränkt, aber nicht das einzige Steuerelement, das zum vollständigen Aktivieren einer PAW-Lösung erforderlich ist. Außerdem müssen Sie eine Intune-Gerätekonfigurations- und Compliancerichtlinie und einen Gerätefilter konfigurieren.

Wartungsaktion

• Bereitstellen einer Workstation-Lösung mit privilegiertem Zugriff
  • Enthält Anleitungen zum Konfigurieren der Gerätekonfigurations- und Compliancerichtlinien für bedingten Zugriff und Intune.
• Konfigurieren von Gerätefiltern im bedingten Zugriff zum Einschränken des privilegierten Zugriffs