Granikos Technology Blog

Administrative Benutzerkonten in Office 365, die der Rolle Globaler Administrator zugeordnet sind, müssen besonders geschützt werden. Joe Davies, Sr. Content Developer bei Microsoft, hat während des Cloud Adoption Advisory Board Webinars am 31. Mai 2017 einfache und hilfreiche Tipps zur Absicherung dieser Konten gegeben. 

In diesem Zusammenhand ist es wichtig, sich noch einmal zu vergegenwärtigen, dass die Absicherung von Benutzerkonten und anderen schützenswerten Objekten in der Cloud einer Partnerschaft unterliegt. Microsoft stellt als SaaS Anbieter die notwenigen Funktionen zur Verfügung, als Kunde muss ich diese auch konfigurieren und anwenden.

Angreifer haben es natürlich nicht nur auf Standardbenutzerkonten abgesehen, sondern versuchen insbesondere Benutzerkonten mit hohen Privilegien anzugreifen. Denn nur so lässt sich der maximal Schaden anrichten. Dies gesicht im Allgemeinen durch das Sammeln von Informationen und Phishing Attacken.

Es ist für Angreifer ein Leichtes, administrative Benutzerkonten mit intelligenten Phishing E-Mails auszuspähen, nachdem ein Standardbenutzerkonto gehackt wurde. Mit Hilfe des nachfolgenden PowerShell Befehls, ausgeführt im Kontext des Benutzers, können alle Anwender mit der Rolle Globaler Administrator ausgelesen werden.

Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId

Nutzen Sie die nachfolgenden Empfehlungen, damit Ihre Office 365 Umgebung nicht ein leichtes Opfer von Angriffen wird.

Phase 1 - Dedizierte Administratorkonten

1. Identifizieren Sie mit dem o.g. PowerShell Cmdlet alle Benutzerkonten, die aktuell der Rolle Globaler Administrator zugewiesen sind
2. Erstellen Sie mindestens ein Konto als Globaler Administrator, jedoch nicht mehr als fünf 
3. Verwenden Sie für die neuen Benutzerkonten komplexe Kennworte mit mindestens 12 Zeichen
4. Weisen Sie den neu erstellen Bentuzerkonten die Rolle Globaler Administrator zu
5. Melden Sie sich mit einem der neu erstellen Benutzerkonten am Office 365 Portal an
6. Für jedes in Schritt 1 identifizierte Benutzerkonto führen Sie folgende Schritte durch
   1. Entfernen Sie die Rolle Globaler Administrator
   2. Weisen Sie nur die Office 365 Rollen zu, die der jeweilige Anwender für seine Tätigkeit benötigt

Ergebnis

• Nur die neu erstellten Bentuzerkonten verfügen über die Rollenberechtigung Globaler Administrator
• Alle anderen regulären Benutzerkonten verfügen nur über die notwendigen Office 365 Dienstberechtigungen, um den Office 365 Tenant zu verwalten

Weiterführende Links

• Office 365 Rollen

Phase 2 - Aktivierung von Multi-Faktor Authentifizierung

Wenn Sie nur Cloud-Identitäten nutzen:

1. Aktivieren Sie Multi-Faktor Authentifizierung (MFA) für Ihren Office 365 Tenant
2. Konfigurieren Sie für jedes der neuen Administratorkonten für die Verifikationsmethode Telefonanruf oder Textnachricht

Wenn Sie synchronisierte oder federierte Identitäten nutzen:

1. Aktivieren Sie Multi-Faktor Authentifizierung (MFA) für Ihren Office 365 Tenant
2. Konfigurieren Sie für jedes der neuen Administratorkonten die stärkste Verifikationsmethode, die in Ihrem Unternehmen möglich ist

Natürlich werden Sie auch weiterhin administrative PowerShell Scripte gegen Ihren Office 365 Tenant ausführen wollen. Im Blog Post Connect to Office 365 services with multifactor authentication (MFA) and PowerShell sind die erforderlichen Schritte für die Nutzung der PowerShell mit MFA beschrieben.

Weiterführende Links

• Plan for multi-factor authentication for Office 365 Deployments
• Set up multi-factor authentication for Office 365 users 
• Set up 2-step verification for Office 365
• Multi-Factor Authentication für die Office 365-Entwicklungs-/Testumgebung

Phase 3 - Advanced Security Management 

Die Nutzung von Advanced Security Management (ASM) erfordert eine E5 Lizenz oder aber eine separate ASM Lizenz für Benutzerkonten mit den zugewiesen Rollen Globaler Administrator, Dienstadministrator oder Compliance-Administrator.

1. Aktivieren Sie das Advanced Security Management
2. Konfigurieren Sie Richtlinien zur E-Mail Benachrichtigung bei
   1. Verdächtigen Administratortätigkeiten
   2. Hinzufügen von Rollenmitgliedern

Weiterführende Links

• Opt-in steps for Advanced Security Management
• Create anomaly detection policies in Advanced Security Management
• Advanced Security Management für die Office 365-Entwicklungs-/Testumgebung

CAAB Webinar Mai 2017

Im CAAB Webinar wurden noch weitere interessante Themen behandelt:

• Windows Defender ATP Ransomware Response Playbook
• Isolate SharePoint Online Group Sites in Office 365
• Azure Active Directory B2B Collaboration

Video

PowerPoint

Das Cloud Adoption Advisory Board (CAAB) ist eine excellente Quelle für Informationen rund um die sicher Implementierung von Cloud-Technologien. 

Links

• CAAB - Cloud Adoption Advisory Board
• PowerPoint Präsentation zum CAAB Webinar
• Office 365 Portal

Viel Spaß mit Office 365.

Im Microsoft TechNet ist die Erstellung einer Office 365 Entwicklungs- und Testumgebung detailliert beschrieben. Nach der grundsätzlichen Einrichtung der Umgebung kann dort auch die Nutzung der Advanced Threat Protection (ATP) konfiguriert und demonstriert werden.

Advanced Threat Protection

Die E-Mail Sicherheitsfunktionen der Advanced Threat Protection sind im Office 365 E5 Plan enthalten. Für andere Office 365 Pläne kann ATP separat erworben werden.

Mit Hilfe der Advanced Threat Protection können Unternehmensnetzwerke besser vor E-Mail Bedrohungen geschützt werden. Hierzu gehören:

• Schutz vor unsicheren E-Mail-Anhängen durch Schadsoftware-Analyse in Echtzeit
• Schutz vor E-Mail Links zu Inhalten, die ein Sicherheitsriskio darstellen

ATP ist als Ergänzung zur regulärem Exchange Online Protection (EOP) zu sehen.

ATP in der Entwicklungs- und Testumgebung

Die Einrichtung von ATP in der Entwicklungs- und Testumgebung erfolgt nach der Basiseinrichtung der Office 365 Entwicklungs- und Testumgebung und besteht aus folgenden Punkten:

1. Standardmäßig stellt Exchange Online E-Mail Nachrichten mit einem möglicherweise schadhaften Anhang und einem Link zu einer schadhaften Webseite direkt ins Postfach eines Anwenders zu.
2. Konfiguration einer neuen Richtlinie für "Sichere Anhänge" und einer Richtlinie für "Sichere Links" zur Blockierung des Zugriffes auf gefährliche Webseiten.
3. Demonstration, das neue Nachrichten mit gefährlichen Anhängen und Links zu möglicherweise schadhaften Webseiten blockiert werden.

Nach der Einrichtung der Advanced Threat Protection können Sie noch weitere Richtlinien konfigurieren und deren Auswirkungen auf die E-Mail Zustellung testen.

Mehr über Advanced Threat Protection für Safe Attachments und Safe Links finden Sie hier: https://technet.microsoft.com/library/mt148491(v=exchg.150).aspx

Links

• Einrichtung einer Office 365 Entwicklungs- und Testumgebung
• Einrichtung von Advanced Threat Protection in einer Office 365 Entwicklungs- und Testumgebung
• Advanced Threat Protection für Safe Attachments und Safe Links
• Video: Overview of Advanced Threat Protection in Exchange: new tools to stop unknown attacks

Quelle Grafik: Microsoft