Längst überfällig und erfreulicherweise hat Microsoft eine Maßnahme zur Sicherung von Administrator-Rollen vorgenommen. Diese Änderung betrifft jeden, der Azure AD – sei es mit Office 365, Azure oder anderen Diensten – nutzt. Admins müssen zukünftig Multi-Factor Authentication nutzen. Werden Sie jetzt tätig, um Ausfälle zu vermeiden!
Basis-Sicherheit für jeden: Multi-Faktor-Authentifizierung & Bedingter Zugriff
Für die Anmeldung mit einem Account zu Office 365 Diensten – oder mit Azure AD verbunden Services – kann zur Absicherung von einer Multi-Faktor-Authentifizierung und einer Regel für bedingten Zugriff (Conditional Access) Gebrauch gemacht werden.
Bei einer Multi-Faktor-Authentifizierung werden Komponenten zur Validierung der Anmeldung hinzugezogen, die ein Anwender allein verwenden kann; also etwas, das er weiß, etwas, das er besitzt, oder etwas, das untrennbar zu ihm gehört.
Solche Faktoren sind zum Beispiel:
- Telefone
- Smart-Cards
- Fingerabdruck
- Iris Scan
- Gesichtserkennung
- Hardware Token
- Zugriff über ein bereits geschütztes Zweit-System
Der bedingte Zugriff (Conditional Access – CA) ist ein Regelwerk, mit dem eine Kombination zur Verwendung unterschiedlicher Faktoren, App- und Fallspezifisch konfiguriert werden kann.
Beispiel:
Die Anmeldung nach Eingabe des Passworts ist nur möglich wenn
- die Anmeldung von einem Gerät ausgeht, das vom Unternehmen verwaltet wird
- und die Anmeldung aus dem IP-Adressbereich des Standorts erfolgt
oder
- die Anmeldung durch die Eingabe einer SMS-TAN bestätigt wird
Microsoft hat für die Cloud-Dienst eine Regel bereitgestellt, die Administratoren zukünftig zur Nutzung eines weiteren Faktors zur Anmeldung verpflichten wird. Eine Funktion, die – optional – bisher nur Kunden von Azure AD Premium bzw. Enterprise Mobility + Security vorbehalten war, nun aber zum Standard wird. Längst überfällig, wenn man bedenkt wie viele Accounts mit administrativen Rechten im Umlauf sind, bei denen nicht einmal bekannt ist, wer Zugriff auf das zugehörige Passwort hat(te).
Die Richtlinie können Sie bereits jetzt im Azure AD einsehen. Melden Sie sich dazu mit einem globalen Administrator am Azure-Portal an: https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/ConditionalAccessBlade/Policies
Werden Sie tätig, bevor es zu Ausfallzeiten kommt!
Die Baseline policy: Require MFA for admins (Vorschau) ist aktuell noch nicht scharf geschaltet. Sie ist jedoch so konfiguriert, dass sie bald greift:
- Richtlinie zukünftig automatisch aktivieren (Standard)
- Richtlinie sofort verwenden
- Richtlinie nicht verwenden
Sobald Microsoft die Regel scharf schaltet, bedeutet dies aber auch, dass Service-Accounts für Backups, Abrechnungstools, Workflows (z.B. Azure Automation) oder zur Anbindung von anderen Fremdsystemen nicht mehr funktionieren werden, da ein Mangel an Fingern es dem Dienst schwer machen wird, die Anmeldung am Smartphone zu bestätigen. Die Anmeldung dieser Accounts wird somit zum Stichtag (der nicht genau bekannt ist) blockiert; Backups können nicht mehr erstellt werden und der Account, der z.B. Ihre Kundeninformationen zwischen SAP und Dynamics CRM abgleicht, quittiert den Dienst.
Empfehlung: Nicht überraschen lassen. Aktivieren Sie die Regel jetzt schon!
Innerhalb der Regel können Ausnahmen deklariert werden; also Accounts, die zukünftig nicht zur Einrichtung von MFA verpflichtet werden.
Daher sollten folgende Schritte durchgeführt werden:
- Prüfen der Admin-Accounts: Welche habe ich? Welche benötige ich nicht mehr? Überflüssige Accounts sollten aussortiert werden.
- Überprüfen und korrigieren Sie die Zugangsdaten Ihrer Serviceaccounts: Sind die Passwörter richtig gesichert oder sollten sie vielleicht geändert werden? Ist nachvollziehbar, wer Zugang zu diesen Daten hat(te)?
- Kommunizieren der Änderung mit (Dienst-)Administratoren und Ausklammern notwendiger Service-Accounts aus der Regel.
- Aktivieren der Richtlinie.
Aussicht & Fazit
Eigentlich ist es schade, dass es den Zwang zur Absicherung von Admin-Konten via MFA nicht schon lange gibt – Microsoft dürfte genügend Supportaufwand wegen vergessener oder kompromittierter Zugangsdaten gehabt haben und geht mit dieser Regelung anderen Herstellen voran. Für manche Dienste ist der Einsatz von Service-Accounts mit administrativen Zugriffen leider notwendig – doch dies ändert sich immer mehr: Anwendungen können über die Azure AD App Registrierung als Unternehmensanwendungen angebunden werden und die Funktionen der Graph API verwenden. Die Authentifizierung verläuft hier über andere Mechanismen und ist somit nicht von Accounts mit “versteckten” Passwörtern abhängig. Die Delegierung der Zugriffsrechte kann so außerdem wesentlich filigraner nach dem least privileges-Prinzip erfolgen. Prüfen Sie, ob Ihre Workflows und Systeme diese Anbindung ermöglichen.
Haben Sie Fragen oder Anregungen zum Artikel? Nehmen Sie gern mit uns Kontakt auf!