Willkommen im Jahr 2023! Es wird Zeit endlich alle externen Benutzerzugriffe mit einer Multifaktor-Authentifizierung abzusichern. Vorzugsweise einer sicheren!
Jüngste Studien von Expert Insights bestätigen, was wir seit Ewigkeiten wissen, in den meisten Fällen sind Angriffe wie Ransomware nur die zweite Stufe, welche auf eine Identitätskompromittierung beruht. Viele neuartigen Techniken beruhen auf der Kompromittierung der Identität. Dies zeigt, wie wichtig es ist, den Schutz der Identitäten zur Grundlage unserer Sicherheitsstrategie zu machen.
Passwort-Angriffe
Einfache Passwortangriffe sind allgegenwärtig. Sie sind wie die Luft, welche wir alle atmen. Hierbei spielt die Größe oder der Umsatz des Unternehmens, welches angegriffen wird, keine Rolle. Denn diese Angriffe können effektiv in großem Umfang ausgeführt werden. Warum Kennwörter unsicher sind und selbst MFA nicht immer ausreichend ist! Erkläre ich ausführlich in dem folgenden Artikel.
Password spray: Erraten gängiger Kennwörter.
Phishing: Jemanden dazu bringen, seine Anmeldedaten auf einer gefälschten Website oder als Antwort auf eine SMS oder E-Mail einzugeben.
Breach replay: Die Wiederverwendung von Kennwörtern, welche von einer anderen Website entwendet wurden.
Microsoft wehrt mehr als 1.000Passwortangriffe pro Sekunde ab. Bei 99,9 Prozent der kompromittierten Konten ist keine Multifaktor-Authentifizierung aktiviert. Eine mehrstufige Authentifizierung ist heute eine der effektivsten und grundlegendsten Abwehrmaßnahmen gegen Identitätsangriffe.
Oftmals werden leider aus Gründen der Bequemlichkeit keine mehrstufigen Authentifizierungen verlangt. Dabei gehört es doch selbst im privaten Umfeld zum absoluten Standard.
Online-Banking, Paypal, Apple etc. sind ohne mehrstufige Authentifizierung nicht mehr nutzbar.
Die Nutzung der Multifaktor-Authentifizierung ist das Wichtigste, was wir für unsere Sicherheit tun können.
Die altmodische Multifaktor-Authentifizierung war unsexy und erforderte das Kopieren von Codes vom Telefon oder einem Hardware-Token (OTP). Moderne Multifaktor-Authentifizierung mit Apps, Token oder dem Gerät selbst ist sehr reibungsarm oder sogar unsichtbar für die Benutzer. Vorzugsweise müssen die Benutzer nicht mal mehr ein Kennwort eingeben.
Windows 10 und Windows 11 bieten eine kostengünstige und einfache In-Box-Alternative zu Kennwörtern, Windows Hello for Business, eine starke Zwei-Faktor-Authentifizierung für Azure Active Directory und Active Directory.
Sie sollten sich für das Jahr 2023 die Kampagne #GoPasswordless2023 auf die Fahne schreiben!
[Update 11:35 Uhr] – Auch Intune und Defender for Cloud Apps scheinen betroffen zu sein. Es scheint, dass eine Änderung des WAN Routings seitens Microsoft zu den Problemen führt.
[Update 10:50 Uhr] – Microsoft meldet, dass der Fehler möglicherweise auf getätigte Änderungen der Netzwerkinfrastruktur zurückzuführen ist. Derzeit wird daher ein Rollback der Netzwerkeinstellungen durchgeführt.
Microsoft meldet derzeit Probleme mit ihren M365 Diensten. Der Incident mit der Bearbeitungsnummer MO502273 führt zu Problemen beim Zugriff auf diverse M365 Produkte.
Auch der Zugriff auf die Administrationsportale scheint problematisch zu sein. Laut Microsoft sind folgende Dienste betroffen:
Microsoft Teams Exchange Online Outlook SharePoint Online OneDrive for Business Microsoft Graph PowerBi M365 Admin Portal Microsoft Intune Microsoft Defender for Cloud Apps, Identity and Endpoint.
Microsoft arbeitet derzeit an der Lösung des Problems.
Am 10.01.2023 hat Microsoft ein weiteres Sicherheitsupdate für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlich. Durch dieses Update werden einige Sicherheitslücken auf den Systemen geschlossen.
Das Update ist für folgende Versionen freigegeben:
Laut Empfehlung seitens Microsoft sollte das Update schnellstmöglich auf den unterstützten Systemen installiert werden um diese zu schützen.
Bekannte Probleme
Active Directory-Topologie Dienst
Sollte Exchange Server 2016 auf einem Windows Server 2012 R2 (Wichtig: ab Oktober 2023 out of service) sein, kann es nach der Installation des Sicherheitsupdates zu Problemen mit dem Active Directory-Topologie Dienst kommen. Dieser startet nach einem Neustart des Serversystems nicht automatisch bzw. erst zu spät und führt somit zu Problemen bei den anderen Exchange Diensten.
OWA Webseitenvorschau
Im OWA kann es ebenfalls zu Problemen kommen. Hier kann es vorkommen, dass die Seitenvorschau von im OWA geteilten Webseiten nicht sauber dargestellt werden kann.
Workarounds
OWA
Für die OWA Webseitenvorsschau ist derzeit kein Workaround bekannt. Microsoft arbeitet an einem Patch für das Problem.
Active Directory-Topologie Dienst:
Die Exchange Dienste können nach einem Neustart manuell gestartet werden. Dazu kann folgender Befehl PowerShell Befehl genutzt werden:
Get-Service -Name „MSExchange*“ | Start-Service
Ein weiterer Workaround für das Problem ist es, die Exchange Dienste auf „Automatisch (Verzögerter Start)“ zu setzen. Hier können folgenden CMD Befehle auf dem System ausgeführt werden.
Die „Fine-Grained Password Policies“ (FGPP) sind ein Feature von Active Directory (AD), das es Administratoren ermöglicht, die Passwortrichtlinien für bestimmte Benutzer oder Benutzergruppen innerhalb einer Domäne zu konfigurieren. Mit FGPP können Administratoren unterschiedliche Passwortrichtlinien für verschiedene Benutzergruppen definieren, anstatt eine einzige Passwortrichtlinie für die gesamte Domäne zu verwenden.
FGPP ermöglicht es Administratoren, verschiedene Passwortrichtlinien auf der Grundlage von Attributen des Benutzers zu erstellen, z.B:
Mindestlänge des Passworts
Verwendung von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen
Passwortdauer und Anzahl der erlaubten Passwortänderungen
Passworthistorie
Diese Funktion kann helfen die Sicherheit zu erhöhen, da es ermöglicht die Passwortrichtlinien entsprechend dem Risiko der Benutzer oder Gruppen anzupassen. Zum Beispiel kann für administrative Accounts eine höhere Passwortkomplexität erforderlich sein als für normale Benutzer.
Es ist wichtig, dass Passwortrichtlinien regelmäßig überprüft und angepasst werden, um sicherzustellen, dass sie den aktuellen Sicherheitsbedürfnissen entsprechen und die Sicherheit nicht beeinträchtigt wird.
Im Zusammenhang mit der AD Tiering Struktur können so für die unterschiedlichen Tiers verschiedene Kennwortrichtlinien angewendet werden.
Im Folgenden werden wir eine typische Empfehlung umsetzen:
Alles, was wir hierzu benötigen, ist eine Powershell samt Active Directory Module.
Erstellung einer „PSO 190 days“ Richtlinie für Service-Accounts:
New-ADFineGrainedPasswordPolicy -Name "PSO 190 days" -Precedence 500 -ComplexityEnabled $true -Description "Password Policy for service accounts 190 days" -DisplayName "PSO 190 days service accounts" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 2 -MaxPasswordAge "190.00:00:0" -MinPasswordAge "1.00:00:00" -MinPasswordLength 15 -PasswordHistoryCount 5 -ReversibleEncryptionEnabled $false
Erstellung einer „PSO 180 days“ Richtlinie für normale Benutzer:
Nun ordnen wir sämtlichen Benutzeraccounts eine Richtlinie zu. Hierzu nehmen wir den Benutzer Julian.Schuetz mit in die Gruppe „k_PSO_180days“ mit auf. Den Benutzer T0-pad-jschuetz nehmen wir in die Gruppe „k_PSO_90days“ mit auf. Und den Service-Account T1-SVC-Sophos, Sie ahnen es sicherlich schon, nehmen wir in die Gruppe „k_PSO_190days“ mit auf.
Mit dem folgenden Befehl können wir nun die Anwendung der neuen Kennwortrichtlinie validieren:
Der Vorteil liegt auf der Hand, durch die Pflege von einem Verzeichnis, können regelmäßige Kennwortänderungen für die Service-Accounts in den Administratoren Alltag leicht integriert werden. Jede Applikation erhält somit einen eigenständigen Account und eine passende Anleitung für den regelmäßigen Kennwortwechsel.
Für die kritischen Administratoren Gruppen im Active Directory sollten Break Glass Accounts eingerichtet. Die Passwörter für diese Accounts sind entsprechend lang und schützenswert und müssen ebenfalls in regelmäßigen Abständen geändert werden.
Der PDCA-Zyklus, auch als Deming-Zyklus oder Shewhart-Zyklus bekannt, ist ein wichtiger Ansatz im Projektmanagement und in der Qualitätsverbesserung. Der PDCA-Zyklus besteht aus vier Schritten: Planen, Durchführen, Überprüfen und Handeln.
Im ersten Schritt, Planen (Plan), wird das Problem oder die Herausforderung identifiziert und ein Plan entwickelt, um das Problem zu lösen. Dieser Plan sollte klar definieren, was erreicht werden soll, wie es erreicht werden soll und wer dafür verantwortlich ist.
Im zweiten Schritt, Durchführen (Do), wird der Plan umgesetzt. Dieser Schritt beinhaltet die Durchführung der geplanten Aktivitäten und die Sammlung von Daten, um die Ergebnisse zu messen.
Im dritten Schritt, Überprüfen (Check), werden die Ergebnisse des Projekts überprüft, um festzustellen, ob die erwarteten Ergebnisse erreicht wurden. Es werden auch die Gründe für Abweichungen analysiert und bewertet.
Im letzten Schritt, Handeln (Act), werden die Ergebnisse der Überprüfung genommen, um die Prozesse und Aktivitäten zu verbessern und zukünftige Probleme zu vermeiden. Dieser Schritt beinhaltet die Durchführung von Korrekturmaßnahmen und die Implementierung von Verbesserungen.
Der PDCA-Zyklus hat viele Vorteile:
Er ermöglicht es, Probleme proaktiv zu identifizieren und zu lösen, anstatt sich auf Reaktionen zu beschränken.
Er fördert die kontinuierliche Verbesserung, indem Prozesse und Aktivitäten regelmäßig überprüft und verbessert werden.
Er ermöglicht eine systematische Vorgehensweise, indem alle Schritte des Prozesses von der Planung bis zur Umsetzung dokumentiert werden.
Es gibt jedoch auch einige Nachteile:
Der Zyklus kann Zeit und Ressourcen erfordern, um den Prozess effektiv durchzuführen.
Es erfordert Disziplin und Kontinuität, um sicherzustellen, dass der Prozess kontinuierlich durchgeführt wird.
Beispiel anhand eines Migrationsprojektes
Ein Beispiel für den Einsatz des PDCA-Zyklus bei einem Migrationsprozess könnte wie folgt aussehen:
Plan (Plan): Das Unternehmen hat beschlossen, seine IT-Systeme von einer lokalen Umgebung in eine Cloud-basierte Umgebung zu migrieren. Ein Projektplan wird erstellt, der die Ziele, die erforderlichen Ressourcen und die Verantwortlichkeiten für die Durchführung des Projekts definiert.
Durchführen (Do): Das Projektteam führt die geplanten Aktivitäten durch, wie zum Beispiel die Überprüfung und Vorbereitung der bestehenden IT-Systeme, die Durchführung von Tests, die Datenübertragung und die Konfiguration der Cloud-basierten Umgebung. Während des Prozesses werden Daten gesammelt, um die Auswirkungen der Migration auf die Geschäftsabläufe des Unternehmens zu messen.
Überprüfen (Check): Das Projektteam überprüft die Ergebnisse des Projekts, um sicherzustellen, dass die Migration erfolgreich war und die Ziele des Projekts erreicht wurden. Es werden auch die Auswirkungen der Migration auf die Geschäftsabläufe des Unternehmens bewertet und Abweichungen analysiert.
Handeln (Act): Das Projektteam erstellt einen Bericht, der die Ergebnisse der Überprüfung und die Empfehlungen für zukünftige Verbesserungen enthält. Korrekturmaßnahmen werden implementiert und Prozesse und Aktivitäten angepasst, um zukünftige Probleme zu vermeiden.
Es ist wichtig zu beachten, dass der PDCA-Zyklus kein einmaliger Prozess ist, sondern kontinuierlich wiederholt werden sollte, um die Prozesse und Aktivitäten kontinuierlich zu verbessern. In diesem Fall kann man nach erfolgreicher Migration regelmäßig überprüfen ob die Cloud-Umgebung die erwarteten Ergebnisse liefert und gegebenenfalls weitere Schritte unternehmen.
Leider beobachten wir immer wieder, dass veraltete und unsichere Protokolle wie LLMNR und NBT-NS weiterhin aktiv sind. Hintergrund ist, dass diese gravierenden Schwachstellen vielen nicht bewusst sind.
Doch der Reihe nach, was ist eigentlich Spoofing?
Spoofing beschreibt eine Methode, bei welcher sich ein Angreifer als vertrauenswürdige Person oder Gerät ausgibt, um an eine sensible Information zu gelangen. Wie beispielsweise wertvolle Password-Hashes.
Nun gut und was hat es nun mit LLMNR und NBT-NS auf sich?
Sowohl LLMNR (Local Link Multicast Name Resolution) als auch NetBIOS Naming Service dienen leider weiterhin als Fallback-Szenario für die Namensauflösung. Das bedeutet, sobald die DNS-Server keine passende Antwort liefern, begibt sich der Client via Broadcast selbst auf die Suche. Das erschreckende dabei ist, dass der Client hierbei jeder Antwort vertraut.
Folgendes Beispiel soll die Einfachheit einer Attacke verdeutlichen.
Der Laptop erhält keine passende Antwort von einem DNS-Server. Eventuell hat der Anwender sich nur vertippt. Nun fragt der Client trotzdem via Broadcast sämtliche Netzwerkteilnehmer nach einer passenden Antwort. Ein Angreifer kann sich dies nun zu nutzen machen und sich einfach als it-consulting-fs01 ausgeben und antworten.
Der Client wird nun sogar sein Password-Hash an den Angreifer senden. Der Angreifer besitzt nun zwei Möglichkeiten, er kann offline mit dem Cracking beginnen. Oder der Angreifer verwendet einfach eine Pass-The-Hash Attack und nutzt den vorhanden Password-Hash für eine Authentifizierung an weiteren Systemen. Sie können sich daher vorstellen, was passieren würde, wenn Sie keine Rollentrennung verwenden und gar als Domänen-Administrator arbeiten.
In Zeiten von einer hybriden Arbeitswelt, in denen die mobilen Laptops in nicht vertrauenswürdigen Netzwerken agieren, müssen die Protokolle daher zwingend deaktiviert werden.
Mitigation
Deaktivieren Sie LLMNR und NBT-NS via GPO
Aktivieren Sie die Windows Firewall
Erzwingen Sie SMB-Signing via GPO
Arbeiten Sie niemals mit einem Domänen-Administrator auf einem Client
In diesem Artikel wollen wir euch das Thema Tiering näherbringen. Grundsätzlich fällt dieses Thema in den Bereich des Active Directory Hardenings. Allerdings besteht die Einführung dieses Modells nicht nur aus der technischen Umsetzung. Viel wichtiger ist es, den Administratoren der Systeme, den richtig Umgang mit der neuen Struktur aufzuzeigen und diese zu verinnerlichen.
Aber erstmal zurück zum Anfang. Die erste Frage, die sich viele stellen ist:
Was ist überhaupt ein Tiering Modell?
Das Tiering oder auch ESAE (Enhanced Security Admin Environment) wird genutzt, um die administrative Architektur einer Domäne abzusichern. Durch eine Trennung der administrativen Konten und den Systemen in unterschiedliche „Schutzbereiche“, können Angriffe auf die interne Struktur reduziert bzw. deutlich erschwert werden.
Man trennt die vorhandene Struktur in drei Tiering Zonen sowie einen Benutzerbereich auf.
Jedes dieser Tiers bekommt eigene Administratoren. Wie auf dem Bild zu sehen, bekommt der jeweilige Admin nur Zugriff auf den ihm zugeteilten Bereich. Ein Zugriff auf eines der anderen Tiers ist nicht erlaubt.
Wie bereits oben erwähnt, handelt es sich bei den Tiering Benutzern um rein administrative Konten. Mit den Benutzern darf also nicht im normalen Tagesgeschäft gearbeitet werden. Sie sind rein für administrative Tätigkeiten gedacht.
Gearbeitet werden sollte mit diesen Benutzern über eine sogenannte PAW (Priviliged Access Workstation). Eine genauere Erklärung dazu gibt es in einem bald folgenden Blog-Artikel zum Thema PAW.
Da wir nun schon einmal grob erklärt haben, um was es sich beim Tiering Modell handelt, stellt sich nun natürlich direkt die nächste Frage.
Warum benötige ich ein Tiering Modell?
Nun, auf diese Frage gibt es eigentlich eine sehr einfache Antwort:
MEHR SICHERHEIT!
Grade die letzten Jahre haben gezeigt, dass kein Unternehmen vor Cyberangriffen sicher ist. Ich denke, jeder hat schon von mindestens einer Firma gehört, die Opfer einer Cyberattacke war. Sei es Verschlüsselungen, Datendiebstahl oder eine der anderen Attacken.
Wir müssen also versuchen, die eigene Infrastruktur so sicher wie möglich bzw. es dem Angreifer so schwer wie möglich zu machen, die Infrastruktur zu „infiltrieren“. Durch die Trennung in die drei Sicherheitsbereiche wollen wir eine komplette Kompromittierung der Domäne verhindern. Bei einem sauber eingerichteten und von den Mitarbeitern korrekt genutzten Tiering Modell, kann ein Angriff deutlich eingegrenzt werden. Denn selbst wenn ein Angreifer an ein administratives Kennwort gelangen könnte, hat er dadurch nicht die Möglichkeit sich in dem nächsthöheren Tier zu bewegen.
Erklären wir das mal an einem Beispiel:
Ohne Tiering:
Benutzer A hat sich auf seinem Client einen Trojaner oder ähnliches eingefangen. Er meldet sich beim IT-Support. Dieser schaltet sich nun mit seinem Administrator auf diesem Client auf. Da der Angreifer den Client des Benutzers bereits kompromittiert hat, ist es für ihn nun ein Leichtes an die Anmeldedaten des aufgeschalteten Admin-Benutzers zu gelangen, da diese als Hash-Wert auf dem Client gespeichert werden.
Mit den abgegriffenen Anmeldedaten des Support-Mitarbeiters (meistens ebenfalls Domänen-Administrator) hat der Angreifer nun die Möglichkeit, tiefer ins System vorzudringen und im schlimmsten Fall bis zu einem Domänencontroller zu gelangen. Sollte er Zugriff auf diesen erhalten, kann er sich nun frei in der Domäne bewegen, ohne dass es jemand mitkriegen würde.
Somit wäre die komplette Domäne kompromittiert und müsste im schlimmsten Fall komplett neu aufgesetzt werden. Auch eine komplette Verschlüsselung aller Systeme ist dadurch möglich, da der Angreifer kompletten Zugriff auf sämtliche Ressourcen hätte.
Mit eingerichtetem Tiering:
Im gleichen Szenario wie oben beschrieben hätte der Angreifer keine Chance weiter in die Domäne vorzudringen. Sollte sich im gleichen Beispiel ein Support Mitarbeiter mit seinen eigens für die Client- Administration (z.B. T2-Mustermann) angelegten Benutzer anmelden und der Angreifer ebenfalls die Anmeldedaten abgreifen, kann er sich maximal auf Clientebene bewegen. Er hat aber durch die Trennung in die unterschiedlichen Tiering Bereiche, keine Möglichkeiten, sich auf Anwendungs-server oder im schlimmsten Falle, Domänencontroller fortzubewegen.
Wie gehe ich vor, wenn ich ein Tiering einführen möchte?
Hier gibt es keine einfache Antwort. Grundsätzlich kann ein Tiering Modell von jedem in Betrieb genommen werden. Es müssen die benötigten Active Directory Anpassungen durchgeführt werden, die zugehörigen Benutzer erstellt und per Gruppenrichtlinien die nötigen Einschränkungen ausgerollt werden.
Beispiel einer einfache Tiering OU Struktur:
Das Wichtigste bei der Inbetriebnahme eines solchen Modells ist es aber, die zukünftigen Nutzer des Tiering Modells in die neue Arbeitsweise einzuarbeiten und den Nutzen zu verdeutlichen. Denn nur wenn sich sämtliche Mitarbeiter mit administrativen Konten an die neuen Regeln halten, kann man die Sicherheit der eigenen Infrastruktur erhöht werden.
Auch sollten vorher sämtliche Zugriffe auf die Systeme geklärt werden, denn es sollten auch die diejenigen einen T0 Administrator bekommen, die wirklich Zugriff auf T0 Systeme benötigen. Bei den administrativen Benutzern gilt:
So wenig wie möglich, so viel wie nötig.
Um die Nutzer zu erstellen und zu wissen, worauf sie Zugriff benötigen, gibt es natürlich eine weitere Hürde. Welches System gehört in welches Tier? Hierfür haben wir ein grobes Entscheidung-Diagramm erstellt.
Wie bereits erwähnt, handelt es sich hierbei nur um eine sehr grobe Auswahlhilfe. Jedoch kann es dabei helfen, eine erste Unterteilung seiner Systeme durchzuführen.
Fazit
Ich hoffe, wir konnten euch ein wenig für das Thema Tiering sensibilisieren. Grundsätzlich kann man durch die Einführung eines neuen administrativen Konzeptes die Sicherheit im eigenen Unternehmen deutlich erhöhen. Jedoch darf man nie vergessen, dass sämtliche Änderungen nur dann funktionieren können, wenn die Mitarbeitenden das Konzept unterstützen und mittragen.
Bevor sich jemand dazu entscheidet, ein Tiering bei sich einzuführen, besprecht es bitte mit allen Administratoren und klärt, ob sie dafür bereit sind die Idee mit umzusetzen. Denn das beste Konzept hilft nichts, wenn es Benutzer gibt, die es umgehen bzw. boykottieren.
Die Erfahrung zeigt aber, dass nach einer sachlichen Einweisung der IT-Mitarbeiter und der Beantwortung aller Fragen, kaum noch „Gegenwind“ herrscht.
Ob als Basis-Anforderung von Cybersecurity-Versicherungen bis hin zu der Umsetzung von Best-Practices oder Zertifizierungen nach CIS, CISA, Tisax oder dem NIST-Framework.
In der neuen Post-COVID-Welt des hybriden Arbeitens ist es offensichtlich, dass das altmodische Sicherheitskonzept basierend auf Perimeter-Sicherheit nicht mehr ausreichend ist. Wir sprechen hierbei eher von einer dezentralen Belegschaft, welche von nicht vertrauenswürdigen Netzwerken auf Unternehmensressourcen zugreifen soll.
Die Perimeter-Sicherheit basiert darauf, dass sich Unternehmen gegen den externen Zugriff durch Firewalls und Virtual Private Networks (VPN) geschützt haben.
Nur Netzwerktraffic und Zugriffe, die von außen erfolgen, sind potenziell gefährlich und müssen dementsprechend analysiert und beschränkt werden.
Diese Konzepte haben den gewaltigen Nachteil, dass sobald jemand in das Firmennetz eingedrungen ist, kaum noch Sicherheitsvorkehrungen vorhanden sind. Zudem berücksichtigen diese Konzepte die Tatsache nicht, dass ein erhebliches Bedrohungspotential von den eigenen Mitarbeitern und Mitarbeiterinnen ausgeht.
Die Mitarbeiter und Mitarbeiterinnen erwarten, überall, jederzeit und auf jedem Gerät zu arbeiten. Damit verliert die Perimeter-Sicherheit an Wirkung und Bedeutung.
Im Rahmen unserer Tätigkeiten als Microsoft Consultants bemerken wir häufig, wie viele Unternehmen sich weiterhin ausschließlich auf den Schutz durch Firewalls, Anti-Virenscannern etc. verlassen. Der folgende Blog soll daher mehrere Phasen einer Zero-Trust-Implementierung berücksichtigen.
Bevor ein Benutzeraccount versucht auf eine Ressource zuzugreifen, müssen Sie folgendes berücksichtigen:
Die Identität muss mit einer starken Authentifizierung verifiziert werden (MFA/Passwordless).
Sicherstellen, dass der Zugriff konform und typisch für diese Identität ist.
Die Grundsätze des geringstmöglichen Privilegs beim Zugriff befolgen.
Nachdem die Identität verifiziert wurde, können wir den Zugriff dieser Identität auf Ressourcen anhand von Unternehmensrichtlinien, laufenden Risikoanalysen und anderen Tools kontrollieren. Hierzu nutzen wir Conditional Access.
Zum Glück ist eine schnelle Zero-Trust-Implementierung relativ einfach, wenn Sie Microsoft 365 verwenden.
