Azure Active Directory und Azure-Dienste absichern
Das Netz verstärkt
Eine Grundabsicherung von Azure Active Directory und Microsofts Cloud-Diensten ist kein Hexenwerk. Doch um an den richtigen Stellschrauben zu drehen, gilt es, sie zunächst zu finden. Dabei helfen die Bordmittel des Admin-Portals, kostenlose Tools, Tipps aus dem Netz und vor allem das Verständnis von Microsofts Sicherheitskonzepten.
So besorgniserregend die in den beiden vorangegangenen Artikeln beschriebenen Angriffsmöglichkeiten auf Azure Active Directory sind, so einfach sind zumindest grundlegende Schutzmaßnahmen einzurichten. Oft reichen die Bordmittel des Azure-Portals bereits aus. Kleine, frei verfügbare Tools, meist als PowerShell-Skripte implementiert, und zusätzliche Portale und Werkzeuge helfen beim Aufspüren von Schwachstellen. Dieser Artikel stellt Maßnahmen in den Vordergrund, die Nutzer möglichst wenig einschränken, dennoch die Sicherheit erhöhen und zudem selten Premiumlizenzen von Azure erfordern. In der zweiten Hälfte geht es vor allem um die Absicherung hybrider Umgebungen aus AAD und dem On-Premises-Verzeichnisdienst. Eine ausführliche Liste mit weiterführenden Informationen findet sich in den iX-Links (siehe ix.de/z4qh).
Unsichere Standardkonfigurationen beheben
Die im Artikel „Ins Netz gezogen“ ab Seite 44 beschriebenen unsicheren Standardkonfigurationen kann ein Admin einfach beheben. Im Azure-Portal sollte unter Benutzereinstellungen für das AAD die Option „Zugriff auf Azure AD-Verwaltungsportal einschränken“ auf Ja gestellt werden. Das Abrufen von Daten der Benutzer und Gruppen ist damit für Nicht-Admins unterbunden.