Granikos Technology Blog

Administrative Benutzerkonten in Office 365, die der Rolle Globaler Administrator zugeordnet sind, müssen besonders geschützt werden. Joe Davies, Sr. Content Developer bei Microsoft, hat während des Cloud Adoption Advisory Board Webinars am 31. Mai 2017 einfache und hilfreiche Tipps zur Absicherung dieser Konten gegeben. 

In diesem Zusammenhand ist es wichtig, sich noch einmal zu vergegenwärtigen, dass die Absicherung von Benutzerkonten und anderen schützenswerten Objekten in der Cloud einer Partnerschaft unterliegt. Microsoft stellt als SaaS Anbieter die notwenigen Funktionen zur Verfügung, als Kunde muss ich diese auch konfigurieren und anwenden.

Angreifer haben es natürlich nicht nur auf Standardbenutzerkonten abgesehen, sondern versuchen insbesondere Benutzerkonten mit hohen Privilegien anzugreifen. Denn nur so lässt sich der maximal Schaden anrichten. Dies gesicht im Allgemeinen durch das Sammeln von Informationen und Phishing Attacken.

Es ist für Angreifer ein Leichtes, administrative Benutzerkonten mit intelligenten Phishing E-Mails auszuspähen, nachdem ein Standardbenutzerkonto gehackt wurde. Mit Hilfe des nachfolgenden PowerShell Befehls, ausgeführt im Kontext des Benutzers, können alle Anwender mit der Rolle Globaler Administrator ausgelesen werden.

Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId

Nutzen Sie die nachfolgenden Empfehlungen, damit Ihre Office 365 Umgebung nicht ein leichtes Opfer von Angriffen wird.

Phase 1 - Dedizierte Administratorkonten

1. Identifizieren Sie mit dem o.g. PowerShell Cmdlet alle Benutzerkonten, die aktuell der Rolle Globaler Administrator zugewiesen sind
2. Erstellen Sie mindestens ein Konto als Globaler Administrator, jedoch nicht mehr als fünf 
3. Verwenden Sie für die neuen Benutzerkonten komplexe Kennworte mit mindestens 12 Zeichen
4. Weisen Sie den neu erstellen Bentuzerkonten die Rolle Globaler Administrator zu
5. Melden Sie sich mit einem der neu erstellen Benutzerkonten am Office 365 Portal an
6. Für jedes in Schritt 1 identifizierte Benutzerkonto führen Sie folgende Schritte durch
   1. Entfernen Sie die Rolle Globaler Administrator
   2. Weisen Sie nur die Office 365 Rollen zu, die der jeweilige Anwender für seine Tätigkeit benötigt

Ergebnis

• Nur die neu erstellten Bentuzerkonten verfügen über die Rollenberechtigung Globaler Administrator
• Alle anderen regulären Benutzerkonten verfügen nur über die notwendigen Office 365 Dienstberechtigungen, um den Office 365 Tenant zu verwalten

Weiterführende Links

• Office 365 Rollen

Phase 2 - Aktivierung von Multi-Faktor Authentifizierung

Wenn Sie nur Cloud-Identitäten nutzen:

1. Aktivieren Sie Multi-Faktor Authentifizierung (MFA) für Ihren Office 365 Tenant
2. Konfigurieren Sie für jedes der neuen Administratorkonten für die Verifikationsmethode Telefonanruf oder Textnachricht

Wenn Sie synchronisierte oder federierte Identitäten nutzen:

1. Aktivieren Sie Multi-Faktor Authentifizierung (MFA) für Ihren Office 365 Tenant
2. Konfigurieren Sie für jedes der neuen Administratorkonten die stärkste Verifikationsmethode, die in Ihrem Unternehmen möglich ist

Natürlich werden Sie auch weiterhin administrative PowerShell Scripte gegen Ihren Office 365 Tenant ausführen wollen. Im Blog Post Connect to Office 365 services with multifactor authentication (MFA) and PowerShell sind die erforderlichen Schritte für die Nutzung der PowerShell mit MFA beschrieben.

Weiterführende Links

• Plan for multi-factor authentication for Office 365 Deployments
• Set up multi-factor authentication for Office 365 users 
• Set up 2-step verification for Office 365
• Multi-Factor Authentication für die Office 365-Entwicklungs-/Testumgebung

Phase 3 - Advanced Security Management 

Die Nutzung von Advanced Security Management (ASM) erfordert eine E5 Lizenz oder aber eine separate ASM Lizenz für Benutzerkonten mit den zugewiesen Rollen Globaler Administrator, Dienstadministrator oder Compliance-Administrator.

1. Aktivieren Sie das Advanced Security Management
2. Konfigurieren Sie Richtlinien zur E-Mail Benachrichtigung bei
   1. Verdächtigen Administratortätigkeiten
   2. Hinzufügen von Rollenmitgliedern

Weiterführende Links

• Opt-in steps for Advanced Security Management
• Create anomaly detection policies in Advanced Security Management
• Advanced Security Management für die Office 365-Entwicklungs-/Testumgebung

CAAB Webinar Mai 2017

Im CAAB Webinar wurden noch weitere interessante Themen behandelt:

• Windows Defender ATP Ransomware Response Playbook
• Isolate SharePoint Online Group Sites in Office 365
• Azure Active Directory B2B Collaboration

Video

PowerPoint

Das Cloud Adoption Advisory Board (CAAB) ist eine excellente Quelle für Informationen rund um die sicher Implementierung von Cloud-Technologien. 

Links

• CAAB - Cloud Adoption Advisory Board
• PowerPoint Präsentation zum CAAB Webinar
• Office 365 Portal

Viel Spaß mit Office 365.