Data Protection

Microsoft 365 umfasst Features wie Microsoft Information Protection und Microsoft Defender for Cloud Apps (früher Cloud App Security), welche Ihre Daten sowohl innerhalb als auch außerhalb von Microsoft 365 schützen können.

Wenn Sie sich auf den Schutz Ihrer Daten konzentrieren, sollten Sie sicherstellen, dass Ihre Informationen sicher sind, unabhängig davon wo sie gespeichert sind.

Sie sollten einen Governance-Ansatz für Ihre Informationen über den gesamten Lebenszyklus verfolgen.

  • Discovery
  • Classification
  • Protection
  • Monitoring

Microsoft Information Protection verschlüsselt die Informationen und Daten transparent und erfordert für den Zugriff eine gültige Authentifizierung.

Beispiel:

Ein wichtiges klassifiziertes Dokument wird aus der sicheren Umgebung, zum Beispiel SharePoint Online entfernt. Das Dokument behält die mit dem Dokument verbundene MIP-Labels bei.

Das Dokument kann über eine Vielzahl von weiteren Methoden – E-Mail, Freigabe von OneDrive usw. – an jeden Empfänger gesendet werden.

Nach dem Empfang können trotzdem nur diejenigen, die Zugriff auf das MIP-Label haben, den Inhalt der Datei öffnen und anzeigen.

Selbst wenn der Betrachter beschließt, das Dokument an andere Benutzer weiterzuleiten, können die anderen Empfänger das Dokument nicht ohne die entsprechenden Berechtigungen öffnen. Die Berechtigungen können jederzeit geändert oder widerrufen werden.

Das Ziel ist demnach, dass Informationen und Daten, selbst wenn diese Ihre Umgebung auf einem gestohlenen Gerät verlassen, ohne eine ordnungsgemäße Benutzerauthentifizierung unlesbar werden.

Selbst Mitarbeitende, welche das Unternehmen verlassen, verlieren somit den Zugriff auf die Daten. Unabhängig davon, wo die Daten und Informationen abgelegt wurden. Ohne gültige Authentifizierung sind die Daten nicht lesbar.

In kommenden Artikeln werden wir etwas genauer auf die Features MIP und Defender for Cloud Apps eingehen.

LLMNR & NBT-NS Spoofing

Leider beobachten wir immer wieder, dass veraltete und unsichere Protokolle wie LLMNR und NBT-NS weiterhin aktiv sind. Hintergrund ist, dass diese gravierenden Schwachstellen vielen nicht bewusst sind.

Doch der Reihe nach, was ist eigentlich Spoofing?

Spoofing beschreibt eine Methode, bei welcher sich ein Angreifer als vertrauenswürdige Person oder Gerät ausgibt, um an eine sensible Information zu gelangen.  Wie beispielsweise wertvolle Password-Hashes.

Nun gut und was hat es nun mit LLMNR und NBT-NS auf sich?

Sowohl LLMNR (Local Link Multicast Name Resolution) als auch NetBIOS Naming Service dienen leider weiterhin als Fallback-Szenario für die Namensauflösung. Das bedeutet, sobald die DNS-Server keine passende Antwort liefern, begibt sich der Client via Broadcast selbst auf die Suche. Das erschreckende dabei ist, dass der Client hierbei jeder Antwort vertraut.

Folgendes Beispiel soll die Einfachheit einer Attacke verdeutlichen.

Der Laptop erhält keine passende Antwort von einem DNS-Server. Eventuell hat der Anwender sich nur vertippt. Nun fragt der Client trotzdem via Broadcast sämtliche Netzwerkteilnehmer nach einer passenden Antwort. Ein Angreifer kann sich dies nun zu nutzen machen und sich einfach als it-consulting-fs01 ausgeben und antworten.

Der Client wird nun sogar sein Password-Hash an den Angreifer senden. Der Angreifer besitzt nun zwei Möglichkeiten, er kann offline mit dem Cracking beginnen. Oder der Angreifer verwendet einfach eine Pass-The-Hash Attack und nutzt den vorhanden Password-Hash für eine Authentifizierung an weiteren Systemen. Sie können sich daher vorstellen, was passieren würde, wenn Sie keine Rollentrennung verwenden und gar als Domänen-Administrator arbeiten.

In Zeiten von einer hybriden Arbeitswelt, in denen die mobilen Laptops in nicht vertrauenswürdigen Netzwerken agieren, müssen die Protokolle daher zwingend deaktiviert werden.

Mitigation

  • Deaktivieren Sie LLMNR und NBT-NS via GPO
  • Aktivieren Sie die Windows Firewall
  • Erzwingen Sie SMB-Signing via GPO
  • Arbeiten Sie niemals mit einem Domänen-Administrator auf einem Client

Application Protection

Ein weiterer wichtiger Schritt hin zu einer Zero-Trust-Implementierung ist es, sämtliche Anwendungen zu schützen. Azure AD (AAD), als zentrales IAM ermöglicht es einfach, die strengen Benutzerzugriffskontrollen, welche mit MFA und dem bedingten Zugriff (Conditional Access) eingerichtet wurden, für weitere Anwendungen durchzusetzen.

Um Ihre Anwendungen zu schützen, sollten Sie daher zunächst AAD für alle Ihre SaaS-Anwendungen mit SAML, OAuth oder OIDC konfigurieren.

Für Anwendungen, welche diese modernen Protokolle nicht unterstützen, verbinden Sie Ihre VPN-Lösung mit der Azure AD Authentifizierung. Dadurch können Sie die erweiterte Geräte- und Benutzervalidierung nutzen, um so die Sicherheit signifikant zu erhöhen.

Der nächste Schritt besteht darin, Anwendungen von VPNs weg zu verlagern, indem bestehende On-Prem-Geschäftsanwendungen und IaaS-Anwendungen über Azure App Proxy, Kemp Loadbalancer oder NetScaler veröffentlicht werden.

Bedingter Zugriff in Verbindung mit Kemp als Reverse Proxy

Dies schützt nicht nur die Anwendung, sondern ermöglicht es Ihnen auch, Benutzerkonten den Zugriff auf eine einzelne Anwendung zu beschränken. Im Gegensatz zu herkömmlichen VPNs, welche häufig Zugriff auf alle Ports und Protokolle in einem Netzwerk bieten. Und somit eher der Vergangenheit angehören.

Wir erinnern uns, ein wichtiger Ansatz von einer Zero-Trust-Implementierung ist es:

Benutzerkonten erhalten keinen pauschalen Zugriff auf Anwendungen, Dienste und Dateien, sondern lediglich Zugriff auf die Ressourcen, welche diese für die jeweilige Aufgabe benötigen.

User Access and Identity

Als Kernstück der Infrastruktur der meisten Unternehmen, spielt das Active Directory eine entscheidende Rolle.

Wichtige Active Directory Security Themen, welche alle AD Administratoren und Administratorinnen kennen und berücksichtigen sollten:

  • Clean Source
  • FGPP für sämtliche Kontentypen
  • Dedizierte Service Accounts
  • Verwendung von gMSA
  • Domain Controller Hardening
  • PKI Hardening
  • Client Hardening
  • Kerberos/KRBTGT
  • RODC für nicht vertrauenswürdige Standorte
  • Netzwerk Segmentierung
  • Backup und Recovery
  • Secure Time Source
  • AdminSDHolder
  • AD Delegation nutzen
  • Security mit GPO’s
  • Verwendung möglichst sicherer Protokolle: LDAPS, Kerberos, Zertifikate, Cipher Hardening
  • Deaktivierung unsicherer Protokolle: SMBv1, LLMNR & NetBIOS, WDigest
  • LAPS
  • Secure RDS
  • AD Cleanup
  • Credential Caching verhindern
  • Protected Users
  • Klartextprotokolle vermeiden
  • Überwachungsrichtlinien
  • Microsoft Security Compliance Toolkit
  • aktives Monitoring
  • AD Tiering Struktur
  • Adminkonzept
  • Windows Hello for Business
  • VM Verschlüsselung
  • Festplattenverschlüsselung

Wichtige Azure Active Directory Themen:

  • Multifaktor Authentifizierung
  • Windows Hello for Business
  • Privileged Identity Management (PIM)
  • Conditional Access (Bedingter Zugriff)
  • Modern Authentication
  • Azure AD Password Protection
  • Device Identity (Azure AD Join AADJ, Hybrid Azure AD Join HAADJ)
  • Defender for Endpoint
  • Defender for Office 365
  • Defender for Cloud Apps
  • Defender for Identity

Zero-Trust-Implementierung mit Microsoft 365

Zero-Trust ist nicht mehr nur ein Schlagwort!

Ob als Basis-Anforderung von Cybersecurity-Versicherungen bis hin zu der Umsetzung von Best-Practices oder Zertifizierungen nach CIS, CISA, Tisax oder dem NIST-Framework.

In der neuen Post-COVID-Welt des hybriden Arbeitens ist es offensichtlich, dass das altmodische Sicherheitskonzept basierend auf Perimeter-Sicherheit nicht mehr ausreichend ist. Wir sprechen hierbei eher von einer dezentralen Belegschaft, welche von nicht vertrauenswürdigen Netzwerken auf Unternehmensressourcen zugreifen soll.

Die Perimeter-Sicherheit basiert darauf, dass sich Unternehmen gegen den externen Zugriff durch Firewalls und Virtual Private Networks (VPN) geschützt haben.

Nur Netzwerktraffic und Zugriffe, die von außen erfolgen, sind potenziell gefährlich und müssen dementsprechend analysiert und beschränkt werden.

Diese Konzepte haben den gewaltigen Nachteil, dass sobald jemand in das Firmennetz eingedrungen ist, kaum noch Sicherheitsvorkehrungen vorhanden sind. Zudem berücksichtigen diese Konzepte die Tatsache nicht, dass ein erhebliches Bedrohungspotential von den eigenen Mitarbeitern und Mitarbeiterinnen ausgeht.

Die Mitarbeiter und Mitarbeiterinnen erwarten, überall, jederzeit und auf jedem Gerät zu arbeiten. Damit verliert die Perimeter-Sicherheit an Wirkung und Bedeutung.

Im Rahmen unserer Tätigkeiten als Microsoft Consultants bemerken wir häufig, wie viele Unternehmen sich weiterhin ausschließlich auf den Schutz durch Firewalls, Anti-Virenscannern etc. verlassen. Der folgende Blog soll daher mehrere Phasen einer Zero-Trust-Implementierung berücksichtigen.

Phasen der Implementierung:

User Access and Identity

Bevor ein Benutzeraccount versucht auf eine Ressource zuzugreifen, müssen Sie folgendes berücksichtigen:

  • Die Identität muss mit einer starken Authentifizierung verifiziert werden (MFA/Passwordless).
  • Sicherstellen, dass der Zugriff konform und typisch für diese Identität ist.
  • Die Grundsätze des geringstmöglichen Privilegs beim Zugriff befolgen.

Nachdem die Identität verifiziert wurde, können wir den Zugriff dieser Identität auf Ressourcen anhand von Unternehmensrichtlinien, laufenden Risikoanalysen und anderen Tools kontrollieren. Hierzu nutzen wir Conditional Access.

Zum Glück ist eine schnelle Zero-Trust-Implementierung relativ einfach, wenn Sie Microsoft 365 verwenden.

Cookie Consent mit Real Cookie Banner