Windows-Security-Checkliste
So schützen Sie Ihre Microsoft 365-Anwendungen
Foto: Saxarinka - shutterstock.com
Wenn Sie Microsoft 365 verwenden, können Sie sich mit den in der Suite enthaltenen Tools schon recht gut schützen. Theoretisch wäre es die beste Lösung, eine E5-Lizenz für alle Microsoft-365-Anwender zu erwerben. Doch in der Regel ist schwierig, eine solche Maßnahme finanziell zu rechtfertigen. Immerhin können Unternehmen solche Lizenzen Usern nach Bedarf zuweisen und beispielsweise eine Lizenz mit höheren Sicherheitsparametern denjenigen zuordnen, die riskantere Aufgaben ausführen oder eher ins Visier von Angreifern geraten könnten.
Reduzieren Sie das Risiko des Beraterzugriffs auf Cloud-Konten
In einem Blog-Beitrag beschreibt Microsoft-Entwickler Ruairidh Campbell, wie native Funktionen zum Schutz von Informationen eingesetzt werden können. Er zählt dabei fünf Punkte auf, die Kunden überprüfen sollten, um sicherzustellen, dass sie vor Angriffen geschützt sind. Die Checkliste beginnt mit dem Risiko, das von externen Beratern ausgeht, wenn diese sich im Netzwerk ihrer Kunden bewegen und dort auch noch über Administrationsrechte verfügen.
Noch größer kann das Problem werden, wenn ein Dienstleister als Cloud Service Provider (CSP) Verwaltungsrechte für den Mandanten haben will. Campell empfiehlt deshalb, Beratern keine CSP- delegierten Administrationsrechte einzuräumen. Stattdessen rät er, einen vollständigen Benutzer-Account für den Berater zu kaufen, da so Admin-Privilegien granular zugewiesen werden könnten. Diese Möglichkeit habe Microsoft künftig vorgesehen.
Alternativ könnten Unternehmen den Berater auch nach Bedarf mit Admin-Rechten versorgen und den Account wieder entfernen, sobald das Projekt abgeschlossen ist. Dabei sollten sie aber für alle administrativen Konten die Multi-Faktor-Authentifizierung (MFA) aktivieren. Wenn mit Widerständen seitens der User zu rechnen ist, könnten Unternehmen mit einer Azure-P1-Lizenz statische IP-Adressen auf eine Whitelist setzen, so dass diejenigen, die sich von geprüften und vertrauenswürdigen Standorten aus anmelden, keine MFA-Anfragen benötigen.
Suche nach Alternativen zu VPN
In der Regel verlassen wir uns stark auf VPN-Technologien, doch diese bieten keinen ausreichenden Sicherheitsschutz. Angreifer nutzen häufig ungepatchte VPN-Software als Einfallstor in ein Firmennetzwerk. Die eingesetzte VPN-Software kommt meist nicht von Microsoft, und Patching-Tools sind nicht unbedingt ein Garant dafür, dass die Aktualisierung rechtzeitig erfolgt.
Nach Meinung von Campbell sollten Unternehmen lieber Abstand von VPN-Lösungen nehmen und nach Alternativen suchen. Sie könnten beispielsweise Azure AD Application Proxy verwenden, wenn Sie per Fernzugriff auf Anlagen zugreifen müssten. Gibt es im Netzwerk ältere Anwendungen, die Azure AD nicht nutzen können, sollten Kunden auf den MFA-Workaround Remote Desktop Gateway mit Duo setzen, bis sie zu Azure-AD-basierten Lösungen wechseln können.
Wo allerdings immer noch nur lokale Server und VPN für den gesamten Fernzugriff verwendet wird, sollten Unternehmen grundsätzlich darüber nachdenken, andere Optionen und Lösungen in Betracht zu ziehen. Sie sollten Ihre Abhängigkeit von Gruppenrichtlinien und Konfigurationsmanagement prüfen und die Möglichkeiten zur Verwaltung mit Intune erwägen.
Browser und Plug-ins checken
Die Wahl des Browsers und der Add-ons hat maßgeblichen Einfluss auf die Sicherheit - für Privatanwender wie für Unternehmen. Es ist immer sinnvoll mehrere Browser zu verwenden, da manche Webanwendungen bestimmte Browser bevorzugen. Im geschäftlichen Umfeld kann es ratsam sein zu prüfen, ob ein Browser ganz verboten werden sollte und welche Plug-Ins in den Browsern installiert sind. Oft verschaffen sich Angreifer über Browser-Plug-ins Zutritt zu Systemen.
Überprüfen Sie Ihre Zugangsregeln
Kurz nachdem mein Büro vor einigen Jahren auf Microsoft 365 umgestiegen war, versuchten Angreifer aus dem Ausland, sich bei einigen unserer Konten anzumelden. Ich aktivierte sofort die Zugangskontrolle und erstellte eine geografische Blockierungsregel. Diese Angriffe hatten es eher auf administrative E-Mail-Konten abgesehen wie zum Beispiel den Postverantwortlichen oder die Sekretärin.
Wenn Sie Mitarbeiter in Schlüsselpositionen haben, die möglicherweise mehr Phishing-Angriffe erhalten als andere und so zur Zielscheibe werden, empfehle ich, Microsoft Defender for Cloud Apps einzurichten. Es enthält risikobasierte Regeln, die ungewöhnliches Verhalten oder unlogische Aktionen erkennen. Beispielsweise wird sichtbar, wenn eine Anmeldung von einem Land aus erfolgt und gleich darauf eine zweite von einer IP-Adresse eines anderen Landes aus, und das innerhalb eines so kurzen Zeitraums, dass es logisch gar nicht möglich ist.
Warnungen für Lateral Movements einrichten
Unter Lateral Movements werden Techniken zusammengefasst, mit denen sich Cyberkriminelle - unbemerkt aber zielstrebig - in den Netzwerken ihrer Opfer bewegen und nach Zugriffsmöglichkeiten suchen. Diese Bewegungsmuster sind oft nur ein erster Hinweis darauf, dass sich Hacker eingenistet haben könnten und nun darauf vorbereiten, Schaden anzurichten. Anwender können Microsoft Defender for Identity verwenden, um solche Bewegungen zu erkennen. Es kann eingesetzt werden, um Pass-the-Ticket-Angriffe und den Diebstahl von Zugangsdaten aufzuklären. Die Sicherheitssoftware lässt sich so einstellen, dass sie Anwenderkonten fortlaufend überwacht und bei Auffälligkeiten Reports sendet.
Fazit: Unternehmen, die Microsoft 365 nutzen, sollten ihre Optionen in Sachen mitgelieferter IT-Sicherheit genau prüfen. Patches einzuspielen, reicht nicht aus. (jm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.