Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Kontosicherheit ist eine wichtige Komponente für die Sicherung des privilegierten Zugriffs. Die End-to-End-Sicherheit von Zero Trust für Sitzungen erfordert eine starke Feststellung, dass das konto, das in der Sitzung verwendet wird, tatsächlich unter der Kontrolle des menschlichen Besitzers liegt und kein Angreifer, der diese identitätswechselt.
Starke Kontosicherheit beginnt mit der sicheren Bereitstellung und der vollständigen Lebenszyklusverwaltung bis hin zur Deprovisionierung, und jede Sitzung muss starke Sicherheiten festlegen, dass das Konto derzeit nicht auf grundlage aller verfügbaren Daten kompromittiert wird, einschließlich verlaufsbezogener Verhaltensmuster, verfügbarer Bedrohungserkennung und Verwendung in der aktuellen Sitzung.
Kontosicherheit
Dieser Leitfaden definiert drei Sicherheitsstufen für die Kontosicherheit, die Sie für Ressourcen mit unterschiedlichen Vertraulichkeitsstufen verwenden können:
Diese Stufen legen klare und implementierte Sicherheitsprofile fest, die für jede Vertraulichkeitsstufe geeignet sind, die Sie Rollen zuweisen und schnell skalieren können. Alle diese Kontosicherheitsstufen sind darauf ausgelegt, die Produktivität für Personen aufrechtzuerhalten oder zu verbessern, indem Unterbrechungen für Benutzer- und Administratorworkflows eingeschränkt oder beseitigt werden.
Planen der Kontosicherheit
In diesem Leitfaden werden die technischen Steuerelemente beschrieben, die erforderlich sind, um die einzelnen Ebenen zu erfüllen. Implementierungsleitfaden sind in der Roadmap für privilegierten Zugriff enthalten.
Kontosicherheitskontrollen
Das Erreichen der Sicherheit für die Schnittstellen erfordert eine Kombination von technischen Kontrollen, die sowohl die Konten schützen als auch Signale bereitstellen, die in einer Zero Trust-Richtlinienentscheidung verwendet werden sollen (siehe Schützen von Schnittstellen für Richtlinienkonfigurationsreferenz).
Zu den Steuerelementen, die in diesen Profilen verwendet werden, gehören:
- Mehrstufige Authentifizierung – Bereitstellen verschiedener Nachweisquellen, dass die (so einfach wie möglich für Benutzer konzipiert, aber schwierig für einen Gegner imitieren).
- Kontorisiko – Bedrohungs- und Anomalieüberwachung – Verwenden von UEBA und Threat Intelligence zur Identifizierung riskanter Szenarien
- Benutzerdefinierte Überwachung – Bei sensibleren Konten ermöglicht die explizite Definition von zulässigen/akzeptierten Verhaltensweisen/Mustern die frühzeitige Erkennung von anomaliealen Aktivitäten. Dieses Steuerelement eignet sich nicht für allgemeine Konten im Unternehmen, da diese Konten Flexibilität für ihre Rollen benötigen.
Mit der Kombination von Steuerelementen können Sie auch die Sicherheit und Benutzerfreundlichkeit verbessern – beispielsweise muss ein Benutzer, der innerhalb seines normalen Musters bleibt (dasselbe Gerät am selben Ort am selben Tag nach Tag) nicht bei jeder Authentifizierung außerhalb der MFA aufgefordert werden.
Unternehmenssicherheitskonten
Die Sicherheitskontrollen für Unternehmenskonten sind so konzipiert, dass sie einen sicheren Basisplan für alle Benutzer erstellen und eine sichere Grundlage für spezielle und privilegierte Sicherheit bieten:
Erzwingen einer starken mehrstufigen Authentifizierung (MFA) – Stellen Sie sicher, dass der Benutzer mit starkem MFA authentifiziert wird, das von einem unternehmensverwalteten Identitätssystem bereitgestellt wird (im folgenden Diagramm beschrieben). Weitere Informationen zur mehrstufigen Authentifizierung finden Sie unter Bewährte Methode 6 der Azure-Sicherheit.
Hinweis
Während Ihre Organisation sich für die Verwendung einer vorhandenen schwächeren Form der MFA während eines Übergangszeitraums entscheiden kann, umgehen Angreifer zunehmend die schwächeren MFA-Schutzmaßnahmen, sodass alle neuen Investitionen in MFA in die stärksten Formen fallen sollten.
Konto-/Sitzungsrisiko erzwingen – Stellen Sie sicher, dass das Konto nicht authentifiziert werden kann, es sei denn, es liegt ein niedriges (oder mittleres?) Risikoniveau vor. Details zur Sicherheit bedingter Unternehmenskonten finden Sie unter Schnittstellensicherheitsstufen.
Überwachen und Reagieren auf Warnungen – Sicherheitsvorgänge sollten Sicherheitswarnungen für Konten integrieren und ausreichende Schulungen dazu erhalten, wie diese Protokolle und Systeme funktionieren, um sicherzustellen, dass sie schnell verstehen können, was eine Warnung bedeutet und entsprechend reagiert.
Das folgende Diagramm bietet einen Vergleich zu verschiedenen Formen der MFA- und kennwortlosen Authentifizierung. Jede Option im Feld "Optimal " ist sowohl hohe Sicherheit als auch hohe Benutzerfreundlichkeit. Jede verfügt über unterschiedliche Hardwareanforderungen, sodass Sie möglicherweise kombinieren und abgleichen möchten, welche für verschiedene Rollen oder Einzelpersonen gelten. Alle Kennwortlosen Microsoft-Lösungen werden von bedingtem Zugriff als mehrstufige Authentifizierung erkannt, da sie eine Kombination aus biometrischen Daten, etwas, das Sie kennen, oder beides erfordern.
Hinweis
Weitere Informationen dazu, warum SMS und andere telefonbasierte Authentifizierung eingeschränkt sind, finden Sie im Blogbeitrag "Es ist An der Zeit, auf Telefontransporten für die Authentifizierung aufzulegen".
Spezialisierte Konten
Spezialisierte Konten bieten eine höhere Schutzebene, die für vertrauliche Benutzer geeignet ist. Aufgrund ihrer höheren Geschäftlichen Auswirkungen garantieren spezialisierte Konten zusätzliche Überwachung und Priorisierung während Sicherheitswarnungen, Vorfalluntersuchungen und Bedrohungssuche.
Spezialisierte Sicherheit baut auf der starken MFA in der Unternehmenssicherheit auf, indem die vertraulichsten Konten identifiziert und sichergestellt wird, dass Warnungen und Reaktionsprozesse priorisiert werden:
- Identifizieren vertraulicher Konten – Anleitungen zur Identifizierung dieser Konten finden Sie in speziellen Sicherheitsstufen.
- Kategorisieren von spezialisierten Konten – Sicherstellen, dass jedes vertrauliche Konto markiert ist
- Konfigurieren von Microsoft Sentinel Watchlists zum Identifizieren dieser vertraulichen Konten
- Konfigurieren des Prioritätskontoschutzes in Microsoft Defender für Office 365 und Festlegen von spezialisierten und privilegierten Konten als Prioritätskonten –
- Aktualisieren von Sicherheitsvorgängen, um diese Warnungen mit der höchsten Priorität zu versehen
- Einrichten von Governance – Aktualisieren oder Erstellen eines Governanceprozesses, um sicherzustellen, dass
- Alle neuen Rollen, die für spezialisierte oder privilegierte Klassifizierungen ausgewertet werden sollen, während sie erstellt oder geändert werden
- Alle neuen Konten werden beim Erstellen markiert.
- Kontinuierliche oder regelmäßige Out-of-Band-Prüfungen, um sicherzustellen, dass Rollen und Konten von normalen Governanceprozessen nicht übersehen wurden.
Privilegierte Konten
Privilegierte Konten haben die höchste Schutzebene, da sie erhebliche oder wesentliche potenzielle Auswirkungen auf die Vorgänge der Organisation darstellen, wenn sie kompromittiert werden.
Privilegierte Konten enthalten immer IT-Administratoren mit Zugriff auf die meisten oder alle Unternehmenssysteme, einschließlich der meisten oder aller geschäftskritischen Systeme. Andere Konten mit hohen geschäftlichen Auswirkungen können auch dieses zusätzliche Schutzniveau garantieren. Weitere Informationen dazu, welche Rollen und Konten auf welcher Ebene geschützt werden sollen, finden Sie im Artikel Privileged Security.
Neben der speziellen Sicherheit erhöht sich die Sicherheit von privilegierten Konten sowohl:
- Verhinderung – Fügen Sie Steuerelemente hinzu, um die Verwendung dieser Konten auf die vorgesehenen Geräte, Arbeitsstationen und Vermittler einzuschränken.
- Reaktion : Überwachen Sie diese Konten eng auf anomale Aktivitäten und untersuchen und beheben Sie das Risiko schnell.
Konfigurieren der Sicherheit privilegierter Konten
Befolgen Sie die Anleitungen im Sicherheitsschnellmodernisierungsplan , um sowohl die Sicherheit Ihrer privilegierten Konten zu erhöhen als auch Ihre Kosten für die Verwaltung zu verringern.