de-DEen-GB
 
rss

Granikos Technology Blog

Microsoft bietet unter der Adresse https://aka.ms/O365SecurityDocs einen Schnelleinstieg zu Office 365 Security & Compliance Informationen zur Verfügung. Hier finden Sie auf einen Blick die passenden Inhalte zur Absicherung Ihres Office 365 Abonnements unter Berücksichtung Ihrer Unternehmensrichtlinien und der gesetzlichen Anforderungen.

Overview of security and compliance in Office 365

Sie erhalten eine schnellen Überblick über die wichtigsten Informationen rund um die allgemeinen Security- und Compliance-Aufgaben. In den einzelnen Artikeln finden Sie weiterführende Hyperlinks, die Sie zu Schritt-für-Schritt Anleitungen führen.

Beispiel:

Protect access to data and services

Fügen Sie die Adresse https://aka.ms/O365SecurityDocs zu Ihrer persönlichen Hyperlink-Liste hinzu, um schnell auf diese Einstiegsseite zum Thema Office 365 Security & Compliance zugreifen zu können.

Sie haben weitere Fragen zu Office 365 und Cloud Sicherheit? Wir helfen gerne weiter. Kontaktieren Sie uns unter office365@granikos.eu.

 

 

Weiterlesen »

Software-Lösungen, die einen TLS verschlüsselten Kommunikationskanal aufbauen möchten, benötigen Zugriff auf den privaten Schlüssel des zuverwendenden SSL Zertifkates im lokalen Zertifkatsspeicher des Servers. In den meisten Fällen installiert die Software ein selbstsigniertes Zertifkat und konfiguriert für dieses Zertifikat die korrekten Berechtigungen.

Bei der externen Kommunikation ist es aber häufig gewünscht, ein offiziell ausgestelltes SSL/TLS Zertifikat zu verwenden. 

Die nachfolgenden Schritte beschreiben die Konfiguration der Lese-Berechtigung für das E-Mail Security Gateway NoSpamProxy. In diesem besonderen Fall verwendet die Software kein reguläres Dienstkonto, sondern sog. virtuelle Dienstkonten. Diese Konten ermöglichen eine erhöhte Sicherheit beim Ausführen von Windows-Diensten.

Schritt für Schritt Anleitung

Schritt 1

Öffnen Sie den lokalen Zertikatsspeicher mit Hilfe des MMC Snap-Ins.

 

Schritt 2

Wählen Sie das gewünschte Zertifkat aus und öffnen Sie mit einem Rechts-Klick auf dem Zertifkat das Kontextmenü.

Kontextmenü SSL Zertifikat

Wählen Sie Manage Private Keys, um die Berechtigungen für den privaten Schlüssel zu verwalten.

 

Schritt 3

Klicken Sie auf Add und fügen Sie die gewünschten Konten hinzu. In diesem Beispiel ist es notwendig, das lokale Computersystem als Lokation auszuwählen und nicht die Active Directory Domäne. Virtuelle Dienstkonten erforden das Prefix NT Service.

Für NoSpamProxy benötigen die folgenden Konten Lese-Zugriff:

NT Service\NetatworkMailGatewayIntranetRole
NT Service\NetatworkMailGatewayManagementService
NT Service\NetatworkMailGatewayGatewayRole
NT Service\NetatworkMailGatewayPrivilegedService

Virtuelle Dienstkonten hinzufügen

Klicken Sie anschließend auf Check Names, um die eingegebenen Bentuzerkonten zu prüfen.

 

Schritt 4

Bei korrekter Auflösung werden die Anzeigename der Dienstkonten im Fenster angezeigt. Klicken Sie anschließend auf OK

Aufgelöste virtuelle Dienstkonten

 

Schritt 5

Setzen Sie für alle hinzugefügten Dienstkonten die Lese-Berechtigung und klicken Sie anschließend OK.

Setzen der Lese-Berechtigung

Um Anschluß kann das nun korrekt konfigurierte Zertifkat durch NoSpamProxy für den Aufbau von TLS Verbindungen verwendet werden.

Link

 

 

Weiterlesen »

Administrative Benutzerkonten in Office 365, die der Rolle Globaler Administrator zugeordnet sind, müssen besonders geschützt werden. Joe Davies, Sr. Content Developer bei Microsoft, hat während des Cloud Adoption Advisory Board Webinars am 31. Mai 2017 einfache und hilfreiche Tipps zur Absicherung dieser Konten gegeben. 

In diesem Zusammenhand ist es wichtig, sich noch einmal zu vergegenwärtigen, dass die Absicherung von Benutzerkonten und anderen schützenswerten Objekten in der Cloud einer Partnerschaft unterliegt. Microsoft stellt als SaaS Anbieter die notwenigen Funktionen zur Verfügung, als Kunde muss ich diese auch konfigurieren und anwenden.

Cloud Security Partnerschaft

Angreifer haben es natürlich nicht nur auf Standardbenutzerkonten abgesehen, sondern versuchen insbesondere Benutzerkonten mit hohen Privilegien anzugreifen. Denn nur so lässt sich der maximal Schaden anrichten. Dies gesicht im Allgemeinen durch das Sammeln von Informationen und Phishing Attacken.

Es ist für Angreifer ein Leichtes, administrative Benutzerkonten mit intelligenten Phishing E-Mails auszuspähen, nachdem ein Standardbenutzerkonto gehackt wurde. Mit Hilfe des nachfolgenden PowerShell Befehls, ausgeführt im Kontext des Benutzers, können alle Anwender mit der Rolle Globaler Administrator ausgelesen werden.

Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId

 

Nutzen Sie die nachfolgenden Empfehlungen, damit Ihre Office 365 Umgebung nicht ein leichtes Opfer von Angriffen wird.

Phase 1 - Dedizierte Administratorkonten

  1. Identifizieren Sie mit dem o.g. PowerShell Cmdlet alle Benutzerkonten, die aktuell der Rolle Globaler Administrator zugewiesen sind
  2. Erstellen Sie mindestens ein Konto als Globaler Administrator, jedoch nicht mehr als fünf 
  3. Verwenden Sie für die neuen Benutzerkonten komplexe Kennworte mit mindestens 12 Zeichen
  4. Weisen Sie den neu erstellen Bentuzerkonten die Rolle Globaler Administrator zu
  5. Melden Sie sich mit einem der neu erstellen Benutzerkonten am Office 365 Portal an
  6. Für jedes in Schritt 1 identifizierte Benutzerkonto führen Sie folgende Schritte durch
    1. Entfernen Sie die Rolle Globaler Administrator
    2. Weisen Sie nur die Office 365 Rollen zu, die der jeweilige Anwender für seine Tätigkeit benötigt

Ergebnis

  • Nur die neu erstellten Bentuzerkonten verfügen über die Rollenberechtigung Globaler Administrator
  • Alle anderen regulären Benutzerkonten verfügen nur über die notwendigen Office 365 Dienstberechtigungen, um den Office 365 Tenant zu verwalten

Weiterführende Links

 

Phase 2 - Aktivierung von Multi-Faktor Authentifizierung

Wenn Sie nur Cloud-Identitäten nutzen:

  1. Aktivieren Sie Multi-Faktor Authentifizierung (MFA) für Ihren Office 365 Tenant
  2. Konfigurieren Sie für jedes der neuen Administratorkonten für die Verifikationsmethode Telefonanruf oder Textnachricht

Wenn Sie synchronisierte oder federierte Identitäten nutzen:

  1. Aktivieren Sie Multi-Faktor Authentifizierung (MFA) für Ihren Office 365 Tenant
  2. Konfigurieren Sie für jedes der neuen Administratorkonten die stärkste Verifikationsmethode, die in Ihrem Unternehmen möglich ist

Natürlich werden Sie auch weiterhin administrative PowerShell Scripte gegen Ihren Office 365 Tenant ausführen wollen. Im Blog Post Connect to Office 365 services with multifactor authentication (MFA) and PowerShell sind die erforderlichen Schritte für die Nutzung der PowerShell mit MFA beschrieben.

Weiterführende Links

 

Phase 3 - Advanced Security Management 

Die Nutzung von Advanced Security Management (ASM) erfordert eine E5 Lizenz oder aber eine separate ASM Lizenz für Benutzerkonten mit den zugewiesen Rollen Globaler Administrator, Dienstadministrator oder Compliance-Administrator.

  1. Aktivieren Sie das Advanced Security Management
  2. Konfigurieren Sie Richtlinien zur E-Mail Benachrichtigung bei
    1. Verdächtigen Administratortätigkeiten
    2. Hinzufügen von Rollenmitgliedern

Weiterführende Links

 

CAAB Webinar Mai 2017

Im CAAB Webinar wurden noch weitere interessante Themen behandelt:

  • Windows Defender ATP Ransomware Response Playbook
  • Isolate SharePoint Online Group Sites in Office 365
  • Azure Active Directory B2B Collaboration

Video

PowerPoint

Das Cloud Adoption Advisory Board (CAAB) ist eine excellente Quelle für Informationen rund um die sicher Implementierung von Cloud-Technologien. 

Links

 

Viel Spaß mit Office 365.

 

 

Weiterlesen »

Webkonferenz für KMU

Am Dienstag, 23. Mai 2017, verstaltet Microsoft eine Online-Konferenz zum Thema 

Unternehmensdaten in der Cloud - Kontrollverlust oder mehr Sicherheit für KMUs?

Virtuelle IT-Security KonferenzVeranstaltungstext:

Fragt man Entscheider in Unternehmen, hat Sicherheit höchste Priorität. In der Regel haben sie einen Partner oder einen Mitarbeiter, der sich darum kümmert. Und bekanntlich fasst man Systeme und Lösungen, die laufen, ungerne an. Hauptsache, die Daten befinden sich im eigenen Hause, denn da sind sie sicher. Aber sind sie das wirklich? Jedes dritte Unternehmen in Deutschland hat bereits Angriffe auf seine IT-Infrastruktur verzeichnet. Der deutsche Mittelstand rückt dabei immer stärker in den Fokus von Cyber-Spionage und Datendieben. Wie sehen die Angriffsszenarien aus? Was geschieht mit den Daten? Und wie sollten Unternehmen handeln?

Gerade viele KMUs sind in Sachen IT schlechter gesichert als sie denken. Hinzu kommt, dass manche Unternehmen modernen Cloud-Lösungen noch immer skeptisch gegenüberstehen (Stichwort: Kontrollverlust). – Mit dieser praxisorientierten Webkonferenz wollen wir Entscheidern aus kleinen und mittelständischen Unternehmen aufzeigen, welche Bedrohungslage besteht und wie sich eine Sicherheitsstrategie schon mit einfachen Mitteln umsetzen lässt. Die praxisorientierte Veranstaltung bietet ausreichend Raum auch für Ihre Fragen.

Gerade auch im Hinblick auf die im nächsten Jahr gültig werdende Datenschutz-Grundverordnung ist diese Veranstaltung sehr interessant.

Melden Sie sich noch heute an: https://blogs.business.microsoft.com/de-de/2017/05/04/webkonferenz-it-sicherheit-kmu-unternehmensdaten-in-cloud/

Links

 

 

Weiterlesen »
On Dezember 12, 2016
FIM, IAM, MIM
451 Views
Letzte Aktualisierung: 2016-12-19


Carol Wapshere hat mehrere Best Practices Artikel zum Thema Identity und Access Management (IAM) veröffentlicht. Diese Artikel helfen bei der Planung und fachlichen Implementierung einer IAM Plattform.

Die veröffentlichten Artikel sind:

 

 

Weiterlesen »