MS365 | ENTRA ID – Effektive Benutzereinstellungen

19. Dezember 2023 masterPhin Microsoft, MS365, MS365-EntraID 0

Heute tauchen wir in die Welt der Benutzereinstellungen im ENTRA ID Portal ein. Wir sprechen über die Standardberechtigungen für Benutzerrollen, die besonders für normale Benutzer wichtig sind. Warum? Na, weil sie das Rückgrat unserer Systeme sind, aber gleichzeitig auch ein potenzielles Sicherheitsrisiko darstellen können.

Inhaltsverzeichnis Anzeigen

Benutzereinstellungen (BE)

BE | Standardberechtigungen für Benutzerrollen

Normale Benutzer und ihre Grenzen

Stellt euch vor, ihr gebt normale Benutzer frei Hand im ENTRA ID Portal. Klingt nach Chaos, oder? Genau deshalb sollten sie eingeschränkte Rechte haben. Ein großes No-Go ist zum Beispiel die App-Registrierung (1). Warum? Na, durch einen simplen Programmfehler könnte plötzlich ein geheimer Token lesbar werden – und zack, haben wir ein Sicherheitsleck!

Keine Test-Mandanten für Benutzer

Und dann haben wir noch die Sache mit den Test-Mandanten (2). Klingt harmlos, ist aber heikel. Denn wer einen Mandanten erstellt, wird automatisch Hauptadministrator dieses Test-Mandanten. Ihr seht das Problem, oder? So etwas kann schnell zu Sicherheitsrisiken führen.

Sicherheitsgruppen? Nicht für Jeden!

Und noch was: In der Regel brauchen normale Benutzer nicht das Recht, Sicherheitsgruppen zu erstellen (3). Klingt logisch, oder?

BE | Gastbenutzerzugriff

Vorsicht bei Gastbenutzern!

Jetzt zum Thema Gastbenutzer. Die sollten noch weniger Einsicht haben, besonders im ENTRA Portal. Wir wollen ja nicht, dass sie zu viel schnüffeln und irgendwelche Objekteigenschaften einsehen.

Wo lauern die Gefahren? Schaut weiter unten im Artikel. Da findet ihr mögliche Angriffswege. Echt interessant!

BE | Verwaltungsportal

Nur für Administratoren!!!

Hier wird’s ernst: Nur Administratoren sollten Zugriff auf die MS365 Administrationsportale haben. Klar, das schränkt Nicht-Administratoren ein, aber Sicherheit geht vor. Und keine Sorge, der Zugriff über Tools wie PowerShell bleibt unangetastet.

BE | Externe Benutzer (EB)

Noch mehr Einschränkungen für Gäste: Hier passen wir die Einstellungen an, um den Gastzugriff weiter zu reduzieren. Klingt streng, ist aber nötig!

Gastbenutzerzugriff und Gasteinladungen

  • Gastbenutzerzugriff: Gäste dürfen nur ihre eigenen Verzeichnisobjekte einsehen. Nicht mehr und nicht weniger.
  • Gasteinladungen: Gäste sollten keine weiteren Gäste einladen können. Diese Funktion bleibt den normalen Benutzern oder den Admins vorbehalten.

Zusätzliche Überlegungen

Was man noch bedenken sollte

Hier sind ein paar zusätzliche Tipps, um das System noch sicherer zu machen:

  • Richtlinien für Gastbenutzer: Definiert klare Richtlinien und kommuniziert sie sowohl an Gastbenutzer als auch an interne Mitarbeiter.
  • Überwachung der Gastaktivitäten: Setzt Tools ein, um die Aktivitäten von Gastbenutzern im Auge zu behalten.
  • Regelmäßige Überprüfung der Gastzugriffe: Überprüft regelmäßig, ob die Gastzugriffe angemessen sind.
  • Technische Lösungen: Nutzt technische Lösungen wie bedingten Zugriff und Multi-Faktor-Authentifizierung.

Hier sind einige zusätzliche Überlegungen, die Sie in Betracht ziehen könnten:

  • Richtlinien für Gastbenutzer: Erwägen Sie, klare Richtlinien für Gastbenutzer zu erstellen, die deren Rechte und Einschränkungen genau definieren. Diese Richtlinien sollten sowohl den Gastbenutzern als auch den internen Mitarbeitern kommuniziert werden.
  • Überwachung der Gastaktivitäten: Implementieren Sie Überwachungstools, um die Aktivitäten von Gastbenutzern zu verfolgen. Dies kann dabei helfen, ungewöhnliche oder verdächtige Aktivitäten schnell zu identifizieren.
  • Regelmäßige Überprüfung der Gastzugriffe: Führen Sie regelmäßige Überprüfungen durch, um sicherzustellen, dass die Gastzugriffe angemessen sind und keine unnötigen Berechtigungen gewährt werden.
  • Technische Lösungen: Nutzen Sie technische Lösungen wie bedingten Zugriff und Multi-Faktor-Authentifizierung, um den Zugriff von Gastbenutzern zusätzlich abzusichern.

Gastbenutzerzugriff: Angriffsmöglichkeiten / Erklärung

Es ist essentiell, dass Gastbenutzer im ENTRA ID Portal stark eingeschränkt werden. Hier geht’s darum, ihnen keinen Einblick in Benutzer- oder Objekteigenschaften zu gewähren. Warum? Ganz einfach: Sicherheit geht vor!

Einschränkung des Zugriffs: Der Gastzugriff in Microsoft Entra-ID sollte maximal eingeschränkt sein. Gastbenutzer dürfen keinen Zugriff auf Benutzer- oder Objekteigenschaften haben. Das minimiert das Risiko von Sicherheitsverletzungen enorm.

Risiken bei uneingeschränktem Zugriff: Stellt euch vor, Gäste könnten im ENTRA ID nach anderen Benutzern, Gruppen oder Teams suchen. Sie bräuchten nur eine Objekt-ID oder UPN. Ein Angreifer könnte diese Infos nutzen, um weitere Angriffsziele zu identifizieren. Gruselig, oder?

DSGVO-Konformität: Nicht zu vergessen: Der uneingeschränkte Zugriff auf Benutzerinformationen ist ein No-Go im Hinblick auf die DSGVO. Wir wollen ja keine rechtlichen Probleme bekommen.

Aber Achtung: Diese Einschränkungen haben auch ihre Schattenseiten. Sie können die Zusammenarbeit mit externen Benutzern erschweren. Es gilt also, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zu finden.

Für mehr Infos zu diesem Thema: Scary Azure AD Tenant Enumeration Using Regular B2B Guest Accounts.

Ähnliche Artikel

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*