{"id":217880,"date":"2019-05-13T00:48:00","date_gmt":"2019-05-12T22:48:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=217880"},"modified":"2019-05-12T00:41:48","modified_gmt":"2019-05-11T22:41:48","slug":"so-sichert-microsoft-sein-identitts-management","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/05\/13\/so-sichert-microsoft-sein-identitts-management\/","title":{"rendered":"So sichert Microsoft sein Identit&auml;ts-Management"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Microsoft hat in einem Blog-Beitrag skizziert, wie man intern die Sicherheit in seinem Unternehmensnetzwerk im Hinblick auf das Identit\u00e4ts-Management mittels spezieller Ma\u00dfnahmen gew\u00e4hrleistet.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/0fece638eb1641b8b9f01b0413f90d01\" alt=\"\" width=\"1\" height=\"1\" \/>Der Blog-Beitrag <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2019\/05\/08\/3-investments-improve-identity-management-microsoft\/\" target=\"_blank\" rel=\"noopener noreferrer\">3 investments Microsoft is making to improve identity management<\/a> des Microsoft Sicherheitsteams ist bereits am 8. Mai 2019 erschienen. Ich bin \u00fcber den ZDNet-Artikel <a href=\"https:\/\/www.zdnet.com\/article\/microsoft-recommends-using-a-separate-device-for-administrative-tasks\/\" target=\"_blank\" rel=\"noopener noreferrer\">Microsoft recommends using a separate device for administrative tasks<\/a> auf das Thema aufmerksam geworden. Mir sprang die Botschaft ins Auge, dass Microsoft separate Ger\u00e4te f\u00fcr administrative Aufgaben empfiehlt. Der ZDNet-Artikel zieht folgende Kernaussagen mit Empfehlungen aus dem Blog-Beitrag:<\/p>\n<ul>\n<li>Gem\u00e4\u00df dem Sicherheitsteam von Microsoft sollten Mitarbeiter mit Administratorzugriff ein separates Ger\u00e4t verwenden, das nur f\u00fcr administrative Vorg\u00e4nge vorgesehen ist.<\/li>\n<li>Dieses Ger\u00e4t sollte immer mit den neuesten Software- und Betriebssystempatches auf dem neuesten Stand gehalten werden.<\/li>\n<li>Administratorkonten sollten standardm\u00e4\u00dfig keine Rechte gew\u00e4hrt werden, Konten sollten Just-in-time (JIT)-Privilegien anfordern, die begrenzte Zeit Zugang gew\u00e4hren.<\/li>\n<\/ul>\n<p>Aber die Redmonder investieren wesentlich mehr in den Ansatz, die Angreifbarkeit in Sachen Phishing von Benutzerzug\u00e4ngen zu minimieren bzw. g\u00e4nzlich zu unterbinden.<\/p>\n<h2>Sichern von Administratorkonten<\/h2>\n<p>Administratoren haben Zugriff auf die sensibelsten Daten und Systeme von Microsoft, was sie zu einem Ziel von Angreifern macht. Um den Schutz des Unternehmens zu verbessern, und die Wahrscheinlichkeit zu verringern, das Angreifer Erfolg haben, ist es wichtig, die Anzahl der Personen zu begrenzen, die privilegierten Zugriff haben. Und es muss erweiterte Kontrollen geben, wer wann, wie und wof\u00fcr Administratorkonten verwenden darf.<\/p>\n<ul>\n<li><strong>Sichere Ger\u00e4te:<\/strong> F\u00fcr diesen Zweck werden separate Ger\u00e4te f\u00fcr administrative Aufgaben bereitgestellt. Dieses muss mit der neuesten Software und dem neuesten Betriebssystem aktualisiert und gepatcht sein. Die Microsoft-Regularien verlangen, dass die Sicherheitskontrollen auf ein hohes Niveau eingestellt sind. Zudem ist zu verhindern, dass administrative Aufgaben remote ausgef\u00fchrt werden.<\/li>\n<li><strong>Isolierte Identit\u00e4t:<\/strong> Der Administratoridentit\u00e4t wird ein separate Namensraum (Name Space) oder Forest Tree zugewiesen. Diese Identit\u00e4t darf keinen Zugriff auf das Internet haben. Zudem muss sich diese Identit\u00e4t von der Identit\u00e4t des betreffenden Mitarbeiters bei Microsoft unterscheiden (also keinen R\u00fcckschluss aus der Identit\u00e4t auf den Namen oder die Funktion des Microsoft-Mitarbeiters erlaubt). Administratoren sind bei Microsoft verpflichtet, f\u00fcr den Zugriff auf dieses Konto eine Smartcard zu verwenden.<\/li>\n<li><strong>Nicht persistenter Zugriff:<\/strong> Die Konfigurationsvorgabe lautet bei Microsoft 'Bieten Sie standardm\u00e4\u00dfig keine Rechte f\u00fcr Administratorkonten an'. Fordern Sie bei der Konfiguration, dass Operationen Just-in-time (JIT)-Privilegien anfordern, die den Administratoren nur f\u00fcr eine begrenzte Zeit Zugriff gew\u00e4hren. Diese Zugriffe sind in einem System zu protokollieren.<\/li>\n<\/ul>\n<p>Der Artikel gesteht zwar zu, dass Budgetvergaben den Betrag, den ein Bereich oder Mitarbeiter in diese drei oben genannten Punkte investieren kann, einschr\u00e4nken k\u00f6nnen. Die Unternehmensrichtlinien empfehlen jedoch, dass die Verantwortlichen alle drei obigen Ma\u00dfnahmen in einem f\u00fcr das Unternehmen sinnvollen Ma\u00df durchf\u00fchren. Die Richtlinie empfiehlt, das Niveau der Sicherheitskontrollen auf dem sicheren Ger\u00e4t so zu w\u00e4hlen, dass es dem Risikoprofil entspricht.<\/p>\n<h2>Eliminierung von Passw\u00f6rtern<\/h2>\n<p>Sicherheitsforscher haben bereits seit einigen Jahren erkannt, dass Passw\u00f6rter nicht sicher sind. Benutzer haben M\u00fche, Dutzende von komplexen Passw\u00f6rtern zu erstellen und sich daran zu erinnern. Angreifer zeichnen sich dadurch aus, Passw\u00f6rter durch Methoden wie Passwort-Spraying und Phishing abzugreifen. Als Microsoft zum ersten Mal den Einsatz von Multi-Factor Authentication (MFA) f\u00fcr seine Mitarbeiter erforschte, bekamen die Mitarbeiter Smartcards. Dies war eine sehr sichere Authentifizierungsmethode, die jedoch f\u00fcr die Mitarbeiter zu schwerf\u00e4llig war. Die Leute nutzen Abhilfema\u00dfnahmen, wie z.B. das Weiterleiten von Arbeits-E-Mails an ein pers\u00f6nliches Konto. Schlie\u00dflich stellte man fest, dass die Beseitigung von Passw\u00f6rtern eine viel bessere L\u00f6sung ist. Nun gibt es folgende Unternehmensempfehlungen:<\/p>\n<ul>\n<li>Verwenden der <strong>Multifaktor-Authentifizierung<\/strong> (MFA-Konformit\u00e4t) nach dem Fast Identity Online (FIDO) 2.0 Standard, so dass Benutzer anstelle eines Passworts eine PIN und eine Biometrieinformation zur Authentifizierung ben\u00f6tigen. Windows Hello ist ein gutes Beispiel, aber Microsoft empfiehlt, die MFA-Methode zu w\u00e4hlen, die f\u00fcr das Unternehmen funktioniert.<\/li>\n<li><strong>Reduzieren Sie Legacy-Authentifizierungs-Workflows<\/strong> &#8211; Platzieren Sie Anwendungen, die Passw\u00f6rter erfordern, in einem separaten Benutzerzugriffsportal und migrieren Sie Benutzer f\u00fcr die meiste Zeit auf moderne Authentifizierungsabl\u00e4ufe. Bei Microsoft geben nur 10 Prozent der Benutzer an einem bestimmten Tag ein Passwort ein.<\/li>\n<li><strong>Passw\u00f6rter entfernen<\/strong> \u2013 Stellen Sie Konsistenz zwischen Active Directory und Azure Active Directory (Azure AD) her, damit Administratoren Passw\u00f6rter aus dem Identit\u00e4tsverzeichnis entfernen k\u00f6nnen.<\/li>\n<\/ul>\n<p>Mit diesen Ma\u00dfnahmen sinkt die Gefahr, dass Phisher oder Angreifer Zugangsdaten durch einen Angriff erbeuten k\u00f6nnen.<\/p>\n<h2>Vereinfachung der Identit\u00e4tsbereitstellung<\/h2>\n<p>Microsoft pl\u00e4diert zudem, im Bereich Identit\u00e4tsmanagement die Bereitstellung von Identit\u00e4ten zu vereinfachen. Das Ziel: Die Identit\u00e4ten so einzurichten, dass der Zugriff auf genau die richtigen Systeme und Tools m\u00f6glich ist. Das ist nat\u00fcrlich eine komplexe Sache. Gew\u00e4hrt man einer Identit\u00e4t zu weitreichende Zugriffsm\u00f6glichkeiten, gef\u00e4hrdet diese u.U. das Unternehmen, n\u00e4mlich wenn die Identit\u00e4t erfolgreich angegriffen wird. Eine unzureichende Bereitstellung von Privilegien f\u00fcr eine Identit\u00e4t kann jedoch laut Microsoft dazu f\u00fchren, dass Menschen den Zugang f\u00fcr mehr als die von ihnen ben\u00f6tigte Zeit beantragen, um zu vermeiden, dass sie erneut eine Genehmigung anfordern m\u00fcssen. Hier verfolgt Microsoft folgende Ans\u00e4tze:<\/p>\n<ul>\n<li><strong>Rollenbasierter Zugriff einrichten<\/strong> \u2013 Identifizieren der Systeme, Werkzeuge und Ressourcen, die jede Rolle ben\u00f6tigt, um eine Arbeit zu erledigen. Einrichten von Zugriffsregeln, die es Administratoren leicht machen, einem neuen Benutzer die richtigen Berechtigungen zu erteilen, wenn diese sein Konto einrichten oder der Benutzer die Rollen wechselt.<\/li>\n<li><strong>Etablierung eines Identit\u00e4tsverwaltungsprozesses<\/strong> \u2013 Es ist sicherzustellen, dass Personen, die in andere Rollen verschoben werden, keinen Zugriff mehr erhalten, den sie nicht mehr ben\u00f6tigen.<\/li>\n<\/ul>\n<p>Die Festlegung des richtigen Zugriffs f\u00fcr jede Rolle ist so wichtig, dass Microsoft ein generelle Empfehlung gibt. Ist ein Administrator nur in der Lage, einer der Empfehlungen zu folgen, soll der Fokus auf Identit\u00e4tsbereitstellung und Lifecycle-Management liegen. Das sind nat\u00fcrlich alles Dinge, die hehr und schnell niedergeschrieben sind, aber in der Praxis eine intelligente Umsetzung erfordern. Ich fand diese Hinweise aber recht interessant. Von daher die Frage, wie dies bei Euch in administrativen Unternehmensumgebungen gehandhabt wird?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft hat in einem Blog-Beitrag skizziert, wie man intern die Sicherheit in seinem Unternehmensnetzwerk im Hinblick auf das Identit\u00e4ts-Management mittels spezieller Ma\u00dfnahmen gew\u00e4hrleistet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-217880","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217880","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=217880"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217880\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=217880"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=217880"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=217880"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}