+49 (0)261 – 9 27 36 – 0 info@sul.de
[ivory-search id="214639" title="DIVI Header Search Form"]

Microsoft Azure AD schützt Admin-Konten, verstärkt Passwörter und sperrt jetzt „smart“!

Letzte Woche veröffentlichte Microsoft einige Security Features, die den Admins und Security Beauftragten unter uns sehr gut gefallen werden. Microsoft Azure AD macht’s möglich!

 

Baseline security policy for Azure AD admin accounts

https://cloudblogs.microsoft.com/enterprisemobility/2018/06/22/baseline-security-policy-for-azure-ad-admin-accounts-in-public-preview/

In der Cloud-Welt ist der Schutz der Admin-Konten besonders wichtig, denn ein kompromittiertes Cloud-Admin-Konto kann verehrende Schäden verursachen. Daher empfiehlt Microsoft schon lange, man solle doch diese Konten mit dem Azure Multifaktor Dienst schützen. Die Lizenzen für diese Konten sind sogar kostenlos.

Aus dem freundlichen Hinweis wird nun eine „Baseline Security“ welche die spannenden Rollen Global Administrator, SharePoint Administrator, Exchange Administrator, Conditional Access Administrator und Security Administrator bereits per Default mit diesem Schutz versieht.

Wer will, kann einen „Notfall Administrator“ auch ohne den MFA Zwang bereitstellen. Der sollte dann aber ein ordentliches Passwort haben. Womit wir zum zweiten Security Feature kommen….

security fail strong password

Azure AD Password Protection

https://cloudblogs.microsoft.com/enterprisemobility/2018/06/19/azure-ad-password-protection-and-smart-lockout-are-now-in-public-preview/

Bisher gab es nur wenige Passwort Richtlinien und neben Länge und der hohen Komplexitätsanforderung gab es kaum relevante Vorgaben. So konnte man mit dem Passwort „Pa$$w0rd“ zwar die hohe Komplexitätsanforderung erfüllen, aber einem Brute Force Angriff halten solch einfache Zeichenvertauschungen nicht stand. Wenn aus dem a=@ wird oder man an den „Sommer“ ein „2018“ hängt so braucht ein geschickter Angreifer kaum länger als ohne diesen Kunstgriff.

Daher hat Microsoft schon länger bei seinen Cloud-Konten solche einfach-komplexen Passwörter nicht zugelassen. Doch nun kann diese Funktion auch für lokale Konten im on premise Active Directory genutzt werden. Ein Agent wird auf dem Domain Controller installiert, ein Proxy-Dienst auf einem oder zwei beliebigen Servern im AD und schon kann die Azure AD Passwort-Richtlinie auch on Premise genutzt werden.

Neben dem Schutz vor zu einfachen komplexen Kennwörtern, können eigene verbotene Wortlisten erzeugt werden. Denn allzu häufig gibt es Jahrzehnte alte Kennwörter die immer noch viel zu gerne genutzt werden. Steht also „Geheim“ in Ihrer „Custom banned password List“ gehören Kennwörter wie „Geheim2018“ oder „Geh31m2000“ der Vergangenheit an.

Wer jetzt Bedenken hat, mit diesem Feature seine Benutzer zu überfordern, der kann dieses Feature auch in einem Audit-Mode aktivieren und sich nach ein paar Passwort-Ablauf-Zyklen anschauen, wie viele der Passwörter im Unternehmen von der neuen Protection Policy geblockt worden wären. Oder gewesen wären sein? Oder wären worden sind?

Azure AD password policy audit

Apropos geblockt…das dritte neue Feature…

Azure AD Smart Lockout

https://cloudblogs.microsoft.com/enterprisemobility/2018/06/19/azure-ad-password-protection-and-smart-lockout-are-now-in-public-preview/

Wird ein on Premise Active Directory Konto nach nur wenigen fehlerhaften Passworteingaben automatisch gesperrt, so mag das auf den ersten Blick zwar die Sicherheit dieses Kontos erhöhen aber es eröffnet auch ein sehr großes Einfallstor für eine Denial-of-Service Attacke. Mit nur wenigen Informationen über Ihr Unternehmen lassen sich ganze Abteilungen über viele Stunden lahmlegen.

Eine Anmeldung am Azure AD mit Smart Lockout jedoch wird immer durch die „Cloud Intelligence“ gestützt. Diese versucht herauszufinden, ob es sich bei dem Anmeldeversuch um einen legitimen Client handelt oder ob ein Angreifer versucht Zugriff auf ein Konto zu erlangen. So fällt zum Beispiel sehr schnell auf, wenn viele unterschiedliche Accounts von dem gleichen Endpunkt angesprochen werden.

Durch den Azure AD Smart Lockout wird nun nicht mehr einfach blind das Konto eines Benutzers gesperrt sondern vielmehr sehr selektiv die Quelle des Anmeldeversuchs ausgesperrt. Somit kann in den meisten Fällen der Benutzer unbehelligt weiterarbeiten während der Angreifer gesperrt wird.

Viele der Features sind bereits im kostenlosen Azure AD enthalten, für manche benötigen Sie lediglich ein Azure AD Basic Lizenz wie sie bei vielen Office 365 Angeboten bereits enthalten ist und teilweise benötigen Sie einen Azure AD Premium Plan 1.

Face ID second factor

Fazit:

Wer seine Admins durch den Einsatz von Azure Multifaktor schützt, seine Kennwort Qualität durch Azure AD Password Protection verbessert und mit Hilfe von Azure AD Smart Lockout Angreifer aussperrt, kann die Sicherheit seines Hybriden Active Directories entscheidend verbessern.

Nur eines ist sicher: Ein reines on Premise Active Directory kann keines dieser Features nutzen und verbleibt auf den mittlerweile 18 Jahre alten Passwortrichtlinien eines Windows Server 2000!

X
X