Suche
Close this search box.

secida im März

secida im März

Sichere Digitalisierung im März: Eine sichere Basis. Absicherung von (Azure) Active Directories

Herzlich Willkommen zu unserem Newsletter!

Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten einen Aspekt sicherer Digitalisierung.

Interessante Aktivitäten im März:

  • Interessiert an secida als Arbeitgeber? Treffen Sie uns auf dem Heise Job IT-Tag am 08. März von 12:00h-17:00h in Düsseldorf! Wir freuen uns, Sie kennenzulernen. Zur Anmeldung und weiteren Informationen geht es hier.
  • LinkedIn-Livestream am Dienstag, den 28.03.2023, 12:00h: „Drei Grundpfeiler des sicheren IT-Betriebs“ – mit Alpha Barry, CEO secida AG. Melden Sie sich hier an.

 

Sichere Digitalisierung im März: „Eine sichere Basis: Absicherung von (Azure) Active Directories“

Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier.

Willkommen im „Maschinenraum der IT“ 😊. Das Active Directory (AD) ist seit über 20 Jahren Kernelement jeder Microsoft-basierten IT-Infrastruktur. Es handelt sich um ein Verzeichnis aller in der IT-Architektur befindlichen Entitäten (z.B. Nutzer, Computer, Softwaredienste, etc.). Funktioniert das Active Directory nicht, ist oft die gesamte IT-Infrastruktur nicht zugänglich. Das Azure Active Directory (AAD) ist das AD-Äquivalent der Microsoft-Cloud. Wie stellt man sicher, dass das (Azure) Active Directory immer verfügbar ist, bzw. wie kann man verhindern, dass Hacker es erfolgreich angreifen?

Besonders Nutzer mit administrativem Zugriff auf das (Azure) Active Directory sind für Hacker ein attraktives Ziel. Mit der Übernahme eines Nutzers mit administrativen Rechten für das (A)AD kann ein Angreifer z.B. Strukturen verändern, Daten abschöpfen, ändern, verschlüsseln oder Zugriffe komplett verhindern. Nach unserer Erfahrung ist es gerade im Mittelstand häufig so, dass täglich mit dem (A)AD gearbeitet, doch nicht fokussiert etwas für dessen Absicherung getan wird. Hier einige Vorschläge, was Sie tun können, um Ihr (Azure) Active Directory aktiv zu schützen:

Erster Schritt: Verstehen Sie Ihr Active Directory:

  • Was für Entitäten sind im (Azure) Active Directory enthalten?
  • Ist alles, das im (A)AD gelistet ist, noch in Benutzung und aktuell?
  • Sind sämtliche bei der Analyse identifizierten „Karteileichen“ entfernt?

Zweiter Schritt: Einführung des „Least Privilege“-Prinzips

Eine Option zur Minimierung der Gefahr ist die Einführung des „Least Privilege“-Prinzips. Das heißt:

  • Jedem Nutzer werden nur die Privilegien und Rechte gegeben, die er oder sie für die tägliche Arbeit benötigt.
  •  Zusätzlich werden diese Zugriffsprivilegien im besten Fall nur temporär für die Dauer der jeweiligen Aufgaben vergeben.
  • Administratoren bekommen administrativen Rechte in spezifischem Umfang zugewiesen. Denn: Nicht alle Administratoren benötigen sämtliche administrativen Zugriffsrechte.
  • Es empfiehlt sich eine Trennung nach Level kritischer Information und ggf. eine Aufteilung nach Server und Benutzergruppen  -> Microsoft liefert hier sehr hilfreiche Best-Practice Tipps.

Dritter Schritt: Erstellen eines Active Directory Back-ups

Bei einem sicherheitsrelevanten Vorfall ist es zentral, möglichst schnell das AD wiederherzustellen. Es gibt diverse Möglichkeiten einen passenden Back-up zu generieren. Identifizieren und implementieren Sie gemeinsam mit Ihrer IT die für Ihr Unternehmen bestmögliche Lösung. Es ist vor allem wichtig nach der Umsetzung zu testen, ob eine vollständige Wiederherstellung des Active Directory aus dem Back-up tatsächlich möglich ist.

Vierter Schritt: Implementierung einer Privileged-Access-Management-Lösung

Für einen effektiven, fokussierten Schutz der Konten mit administrativem Zugriff auf das (A)AD sollte eine Privileged-Access-Management-Lösung (PAM) eingeführt werden. Parallel sollte geprüft werden, von welchen Computern administrative Zugriffe durchgeführt werden können, da ein Zugriff von einem durch Hacker vorab infizierten Computer zu einer vereinfachten Übernahme administrativer Konten führen kann (vgl. z.B. Privileged Access Workstation (PAW)).

Fünfter Schritt: Monitoring

Ein wichtiger Aspekt eines funktionierenden Cybersicherheits-Systems ist, dass aufgezeichnet wird, was genau individuelle administrative Konten während ihrer Sessions für Aktivitäten ausführen. So schützt man sich vor Fehlern und erkennt ggf. feindliche Übernahmen des Accounts bzw. Fehler oder sogar böswillige Aktionen der eigenen Mitarbeitenden schneller und kann diese, wenn notwendig, zeitnah unterbinden. Security Information and Event Management-Lösungen (SIEM) bieten Möglichkeiten auch administrative Aktivitäten innerhalb des (A)AD zu beobachten.

Das Azure AD ist das Active Directory für cloudbasierte Microsoft Lösungen. Das heißt, dass es hier, im Gegensatz zu, in der lokalen IT-Infrastruktur befindlichen, Active Directories, immer eine Zugriffsmöglichkeit über ein Frontend im Internet gibt. Hier spezifische Optionen zur Absicherung des AAD:

  • Least Privilege-Prinzip: Besonders im Azure Active Directory sollte das Least-Privilege-Prinzip eingeführt werden, da es hier deutlich feingranularere Rollen gibt. .
  • Administrative Zugriffsrechte: Administrative Zugriffsrechte müssen analysiert und deutlich vorsichtiger und differenzierter vergeben werden (kleine Erinnerung: Nicht alle Administratoren benötigen alle administrative Rechte).
  •  Asset Analyse: Welche Dienste und Nutzer sind im Azure Active Directory enthalten? Was davon sind immer noch in Verwendung bzw. wer immer noch in dieser Rolle im Unternehmen?
  • Anmeldung und Zugriffsrechte: Durch das Risiko eines Angriffs über das Internet-Frontend muss sich im Azure AD fokussierter gefragt werden, wer sich wie für welche Dienste anmelden darf. Eine Multi-Faktor-Anmeldung ist hier hilfreich, d.h. es sollte sich mindestens über ein Passwort und einen weiteren Mechanismus (z.B. Authenticator App oder SMS) angemeldet werden.
  • Lokalisierte Zugriffsrechte: Eine weitere Option ist es einzuschränken, über welche IP-Adressen Nutzer sich auf administrativen Konten anmelden können. So können z.B. administrative Zugriffe ausschließlich aus dem lokalen Unternehmensnetzwerk möglich sein (dies ist durch eine Beschränkung der Zugriffe auf die IP-Range, die am Unternehmensstandort verwendet wird, möglich). Eine andere Alternative ist es, Zugriffe auf administrative Konten nur auf stärker abgesicherten Rechnern bis hin zu Privileged Access Workstations zuzulassen.
  • Privileged Access Monitoring (PAM): Bei einer Verbindung von klassischen IT-Strukturen und Cloud (hybride IT-Infrastruktur), ist es bei modernen PAM-Lösungen möglich die Anwendung von der lokalen Umgebung auf die Cloud auszuweiten.
  • Backup: Beim AAD funktioniert Backup etwas anders, denn es ist nicht im selben Maß möglich, den Backup eines gesamten Systems zu erstellen. In hybriden IT-Systemen wird in unserer Erfahrung nach einem Angriff eher mit Synchronisation gearbeitet: Das führende System ist das on-premise Active Directory, dem das Azure AD nachgestellt ist. Im ersten Schritt wird das Active Directory nach Angriff wiederhergestellt, dann wird durch Synchronisation der geordnete Betriebszustand via AD auch im AAD geschaffen.

Wie ist es bei cloud-only? Für Microsoft-basierte cloud-only Unternehmen gelten die oben genannten Ratschläge für das Azure AD entsprechend. Auch für sie ist es möglich, reguläre PAM-Tools oder alternative Lösungen wie z.B. Microsofts Privileged Identity Management zu verwenden. Für Security Incident and Event Management-Lösungen (SIEM) gilt das genauso: Cloudddaten können in ein bestehendes SIEM-System eingespeist werden und es gibt weitere Alternativen wie z.B. Microsoft Sentinel.

Bei cloud-only muss allerdings, anders als bei lokaler oder hybrider IT-Infastruktur, die bei der Wiederherstellung auf das lokale Active Directory zurückgreift, auf andere Weise sichergestellt werden, das auch während oder nach einem Angriff weiter auf das Azure AD zugegriffen werden kann. Im Kontext häufig mit „Break the Glass“-Accounts gearbeitet: Es handelt sich hierbei um administrative Accounts mit vollen Zugriffsrechten, die ausschließlich durch ein sehr komplexes Passwort geschützt und keiner Einzelperson zugewiesen sind. Ein „Break-the-Glass“-Account wird nur im Falle eines Angriffs oder des Verlusts aller anderern Zugriffsoptionen verwendet. Das Password ist ausschließlich offline sicher abgelegt. Diese Accounts ermöglichen einen Zugriff auch dann, wenn z.B. ein Hacker sämtliche regulären administrativen Zugriffswege stilllegen konnte. Auch hier bietet Microsoft hilfreiche Dokumentationen.

Sie sehen, das (Azure) Active Directory ist ein wichtiger Aspekt jeder Microsoft-basierten IT-Infrastruktur. Es ist für Entscheider ratsam, sich über den aktuellen Absicherungsstatus zu informieren und ggf. schnellstmöglich Schritte zur spezifischen Absicherung einzuleiten.

 

 

Kommentar verfassen