Rawpixel.com - stock.adobe.com
Azure AD: Conditional Access sorgt für mehr Sicherheit
Die Cloud-Variante des Active Directory von Microsoft hat neue Sicherheitsfunktionen erhalten, die aber noch nicht standardmäßig aktiviert sind. Das sollten Admins zügig nachholen.
Wie es fast überall bereits Standard in Cloud-Umgebungen ist, werden auch die Funktionen in Azure Active Directory (Azure AD) laufend weiterentwickelt.
Die Azure-Version des AD (Active Directory) unterscheidet sich von der On-Premises installierbaren Variante in vielen Punkten. Dazu gehört auch der Umgang mit dem Internet.
Azure AD enthält viele Möglichkeiten, um Ihre Umgebung zu schützen und für maximale Sicherheit zu sorgen. Standardmäßig sind sie aber nicht immer bereits aktiviert. Im Folgenden werden zwei Änderungen beschrieben, die Admins baldmöglichst durchführen sollten, um die eigene Azure-AD-Umgebung zu schützen.
Bisher genutzter Authentifizierungsmaßnahmen blockieren
Modern Authentication ist ein von Microsoft eingeführter Begriff für Regeln und Anforderungen, die bestimmen, wie Systeme mit Azure AD kommunizieren und sich authentifizieren können. Das bringt auch aus Sicherheitssicht viele Vorteile. Diese Vorgaben werden aber noch nicht standardmäßig für jeden Azure-AD-Kunden umgesetzt.
Bisherige Methoden zur Authentifizierung enthalten einige Lücken, die von Hackern ausgenutzt werden können, um Azure-AD-Accounts anzugreifen. Wenn Sie diese Methoden, die auch Legacy Authentication genannt werden, blockieren, dann verhindern Sie damit zugleich diese Art von Angriffen. Es kann dabei jedoch dazu kommen, dass Sie Ihre legitimen Anwender hindern, ihre eigentlichen Aufgaben zu erfüllen.
Hier kommt die neue Funktion Conditional Access (Bedingter Zugang) in Azure AD ins Spiel. Anstatt wie bisher die bislang verwendeten Authentifizierungsmaßnahmen abzuschalten, können Sie eine oder mehrere diesbezügliche Richtlinien erstellen. Diese Richtlinien können ihrerseits aus mehreren Regeln bestehen, die in verschiedenen Situationen vorgeben, was erlaubt sein soll und was nicht.
Beispielsweise können Sie eine Conditional-Access-Policy in Azure AD anlegen, die Modern Authentication vorschreibt. Ansonsten wird jeglicher Login-Versuch blockiert. Das hat jedoch zu Problemen geführt. Vor kurzem hat Microsoft die möglichen Conditional-Access-Policies deswegen um eine Report-only-Funktion erweitert, die genutzt werden sollte.
Am besten aktivieren Sie diese Funktion gleich für mehrere Tage nach dem Deployment. Dadurch erfahren Sie, welche Nutzer immer noch herkömmliche Methoden zur Authentifizierung verwenden. Anschließend können Sie alle nötigen Schritte ergreifen, bevor Sie den Wechsel zu einer anderen Authentifizierung tatsächlich durchführen. Auf diese Weise stellen Sie sicher, dass Sie Ihre Kollegen nicht daran hindern, ihre Aufgaben zu erfüllen.
Diese Änderung wird sich allerdings erheblich auf die mobile Nutzung von E-Mails mit Hilfe von Smartphones auswirken. Der Grund ist, dass Microsoft für Modern Authentication bislang offiziell nur die Outlook-Versionen für iOS und Android sowie Apple iOS Mail unterstützt.
Eine Multifaktor-Authentifizierung einführen
Dieser Punkt bekommt Ihnen vermutlich bekannt vor. Viele Artikel wurden schon zu diesem Thema geschrieben. Es geht um Multifaktor-Authentifizierung (MFA). Um sie umzusetzen, gibt es viele verschiedene Möglichkeiten. Ihre Microsoft-Lizenz ist zum Beispiel einer der Faktoren, die einen direkten Einfluss auf die Ihnen zur Verfügung stehenden Wahlmöglichkeiten haben. Die gute Nachricht ist, dass es einige Optionen gibt, auf die alle Lizenzstufen Zugriff haben, also auch die kostenlosen Varianten. Die umfangreichsten und flexibelsten Funktionen können aber nur von Kunden der Stufen Azure AD Premium P1 sowie P2 genutzt werden.
Bei den kostenpflichtigen Modellen sind die angebotenen Conditional-Access-Regeln erheblich leichter umzusetzen, als wenn Sie MFA nur dauerhaft aktivieren oder deaktivieren können.
Es kann zum Beispiel sinnvoll sein, die Multifaktor-Authentifizierung nicht sofort vollständig scharf zu schalten, wenn einer Ihrer Anwender auf einen Microsoft-Dienst von einer bekannten IP-Adresse aus dem Firmenbüro zugreifen will oder wenn das dabei verwendete Gerät sich bereits in Azure AD angemeldet ist.
Vermutlich ziehen Sie es vor, dass in diesen oder ähnlichen Szenarien auf MFA verzichtet werden kann. Anders sieht es aus, wenn ein nicht zum Unternehmensbestand gehörender PC für Zugriffe genutzt werden soll. In einem solchen Fall werden Sie meist zusätzliche Authentifizierungsmaßnahmen haben wollen.
Eine moderne Multifaktor-Authentifizierung muss auch nicht mehr nur auf dem Zusenden einer SMS basieren. Die von Microsoft angebotene Authenticator App erfordert von einem Nutzer zwar anfangs ein paar mehr Schritte, um sie einzurichten. Später ist es dann damit aber erheblich einfacher, einen Hinweis auf dem Smartphone als zweiten Authentifizierungsfaktor zu bestätigen, statt erst auf eine SMS zu warten, die sechsstellige PIN zu lesen und sie dann auf dem PC einzutippen.
Ohne MFA riskieren Sie, ein direkt mit dem Internet verbundenes Authentifizierungssystem einzusetzen, auf das auch Angreifer leicht zugreifen können, um in aller Ruhe in ihre Hände gelangte Zugangsdaten auszuprobieren. Eine weitere Gefahr sind die sogenannten Spray-Angriffe, die solange eingesetzt werden, bis eine funktionierende Kombination aus Nutzername und Passwort gefunden wurde.
Eine weitere häufig benutzte Methode für Angriffe ist Credential Phishing. Sie ist beispielsweise dann besonders erfolgreich, wenn ein Angreifer einen gehackten Account nutzen kann, um Phishing-Mails an die Kontakte des Opfers zu schicken oder wenn er gefälschte Formulare erstellt, um auch an die Zugangsdaten der Kontakte zu kommen. Diese Art von Attacken verpuffen jedoch weitgehend nutzlos, wenn für den Account des Opfers MFA zwingend aktiviert wurde.
Standardmäßig werden Accounts in Azure AD nach zehn fehlerhaften Anmeldeversuchen ohne MFA gesperrt, allerdings zunächst nur für eine Minute. Der Zeitraum wird aber nach weiteren Fehlversuchen nach und nach automatisch erweitert. Diese Vorgehensweise eignet sich deswegen gut, um Angreifer auszubremsen.
Gleichzeitig wird nur der potentielle Eindringling blockiert, während Ihre legitimen Anwender ungestört weiterarbeiten können. Andererseits kann sich der Angreifer einfach auf einen anderen Account konzentrieren und erst etwas später wieder sein Glück versuchen. Irgendwann gelingt ihm der Einbruch dann eventuell vielleicht doch noch.
Weitere geplante Anpassungen für den Conditional Access in Azure AD
Die obigen Empfehlungen für einen Conditional Access lassen sich durch vier grundlegende Policies steuern. Sie sollten bereits für alle Azure-AD-Kunden sichtbar sein, befinden sich derzeit aber noch in einer Vorabversion (Preview). Es sieht momentan allerdings so aus, als könnten sie in naher Zukunft wieder entfernt werden.
Die Richtlinien werden dann vermutlich mit einer einzigen Funktion namens Security Defaults ersetzt, die unter Manage/Properties in Azure AD zu finden sein wird. Die vorher angebotenen vier getrennten Policies waren aber etwas besser geeignet, um die am besten für Ihre Situation passenden Sicherheitseinstellungen zu finden. Um weiter auf sie zugreifen zu können, benötigen Sie einen Premium-Account bei Azure AD.
Das Aktivieren der Option Security Defaults in Azure AD wird für folgende Änderungen sorgen:
- Alle Administratoren werden gezwungen, beim Einloggen Multifaktor-Authentifizierung zu nutzen,
- auch beim Einsatz einer privilegierten Aktion wie etwa dem Bedienen der Azure PowerShell wird MFA vorgeschrieben,
- außerdem müssen sich alle Anwender innerhalb von 14 Tagen für die Nutzung der erweiterten Authentifizierungsmaßnahmen registrieren und
- es werden die früher genutzten, einfacheren Authentifizierungsmöglichkeiten für alle Nutzer gesperrt.
Ich vermute, dass der davon erhoffte Effekt nicht eingetreten ist, so dass sich Microsoft für einen einzigen Schalter entschieden hat, um die Empfehlungen umzusetzen. Ich gehe zudem davon aus, dass das Unternehmen diese Option für alle neuen Kunden in der Zukunft per Default aktivieren wird. Auf diesen Zeitpunkt müssen Sie aber nicht warten. Wenn Sie die beschriebenen Funktionen noch nicht aktiviert haben, sollten Sie sich sobald wie möglich darum kümmern.