Administrative Benutzerkonten in Office 365, die der Rolle Globaler Administrator zugeordnet sind, müssen besonders geschützt werden. Joe Davies, Sr. Content Developer bei Microsoft, hat während des Cloud Adoption Advisory Board Webinars am 31. Mai 2017 einfache und hilfreiche Tipps zur Absicherung dieser Konten gegeben.
In diesem Zusammenhand ist es wichtig, sich noch einmal zu vergegenwärtigen, dass die Absicherung von Benutzerkonten und anderen schützenswerten Objekten in der Cloud einer Partnerschaft unterliegt. Microsoft stellt als SaaS Anbieter die notwenigen Funktionen zur Verfügung, als Kunde muss ich diese auch konfigurieren und anwenden.
Angreifer haben es natürlich nicht nur auf Standardbenutzerkonten abgesehen, sondern versuchen insbesondere Benutzerkonten mit hohen Privilegien anzugreifen. Denn nur so lässt sich der maximal Schaden anrichten. Dies gesicht im Allgemeinen durch das Sammeln von Informationen und Phishing Attacken.
Es ist für Angreifer ein Leichtes, administrative Benutzerkonten mit intelligenten Phishing E-Mails auszuspähen, nachdem ein Standardbenutzerkonto gehackt wurde. Mit Hilfe des nachfolgenden PowerShell Befehls, ausgeführt im Kontext des Benutzers, können alle Anwender mit der Rolle Globaler Administrator ausgelesen werden.
Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
Nutzen Sie die nachfolgenden Empfehlungen, damit Ihre Office 365 Umgebung nicht ein leichtes Opfer von Angriffen wird.
Ergebnis
Wenn Sie nur Cloud-Identitäten nutzen:
Wenn Sie synchronisierte oder federierte Identitäten nutzen:
Natürlich werden Sie auch weiterhin administrative PowerShell Scripte gegen Ihren Office 365 Tenant ausführen wollen. Im Blog Post Connect to Office 365 services with multifactor authentication (MFA) and PowerShell sind die erforderlichen Schritte für die Nutzung der PowerShell mit MFA beschrieben.
Die Nutzung von Advanced Security Management (ASM) erfordert eine E5 Lizenz oder aber eine separate ASM Lizenz für Benutzerkonten mit den zugewiesen Rollen Globaler Administrator, Dienstadministrator oder Compliance-Administrator.
Im CAAB Webinar wurden noch weitere interessante Themen behandelt:
Dies ist ein eingebettetes <a target='_blank' data-cke-saved-href='https://office.com' href='https://office.com'>Microsoft Office</a>-Dokument, unterstützt von <a target='_blank' data-cke-saved-href='https://office.com/webapps' href='https://office.com/webapps'>Office Online</a>.
Das Cloud Adoption Advisory Board (CAAB) ist eine excellente Quelle für Informationen rund um die sicher Implementierung von Cloud-Technologien.
Viel Spaß mit Office 365.
Im Microsoft TechNet ist die Erstellung einer Office 365 Entwicklungs- und Testumgebung detailliert beschrieben. Nach der grundsätzlichen Einrichtung der Umgebung kann dort auch die Nutzung der Advanced Threat Protection (ATP) konfiguriert und demonstriert werden.
Die E-Mail Sicherheitsfunktionen der Advanced Threat Protection sind im Office 365 E5 Plan enthalten. Für andere Office 365 Pläne kann ATP separat erworben werden.
Mit Hilfe der Advanced Threat Protection können Unternehmensnetzwerke besser vor E-Mail Bedrohungen geschützt werden. Hierzu gehören:
ATP ist als Ergänzung zur regulärem Exchange Online Protection (EOP) zu sehen.
Die Einrichtung von ATP in der Entwicklungs- und Testumgebung erfolgt nach der Basiseinrichtung der Office 365 Entwicklungs- und Testumgebung und besteht aus folgenden Punkten:
Nach der Einrichtung der Advanced Threat Protection können Sie noch weitere Richtlinien konfigurieren und deren Auswirkungen auf die E-Mail Zustellung testen.
Mehr über Advanced Threat Protection für Safe Attachments und Safe Links finden Sie hier: https://technet.microsoft.com/library/mt148491(v=exchg.150).aspx
Quelle Grafik: Microsoft