Das Interview zur neuen iX: Alle MS-365-Nutzer müssen sich ums Azure AD kümmern
Wer Microsoft-Dienste aus der Cloud einsetzt, erhält meist auch ein Azure Active Directory. Jedoch ist die Standardkonfiguration alles andere als sicher.
Microsoft 365 und Teams ist mittlerweile so verbreitet wie MS Office. Doch mit dem Einzug der Cloud erhalten Unternehmen auch das Azure Active Directory frei Haus – und das oft ohne Wissen der eigenen IT. Dabei stellt der Dienst ein Sicherheitsrisiko für alle Nutzer dar, das sich jedoch mit einigen Hilfsmittel gut in Griff bekommen lässt. Im Interview zur neuen iX 4/2022 erklärt Titelautor Frank Ully, worauf Administratoren achten müssen
Ein Active Directory zu verwalten, gehört doch zu den ältesten Aufgaben jedes Windows-Administrators. Warum müssen sich Verantwortliche denn jetzt besonders Sorgen um die Sicherheit des Verzeichnisdiensts machen?
Ein treffenderer Name für das Azure Active Directory wäre eigentlich Azure Identity Services, weil es so wenig mit dem klassischen AD gemeinsam hat – außer der grundlegenden Funktion als Identitäts- und Verzeichnisdienst. Einfach, weil man es jetzt mit der Cloud und dort beheimateten Technologien zu tun hat, ist manches im Vergleich zu on Premises sehr ungewohnt. In Azure AD an sich gibt es etwa nicht das Abfrageprotokoll LDAP und keine Authentisierung über Kerberos mit Tickets, stattdessen hat man es mit Rest-APIs und OAuth 2.0 beziehungsweise OpenID Connect und mit JSON Web Token zu tun.
Microsoft 365 ist zum neuen Quasistandard aufgestiegen. Muss sich die IT-Abteilung auch dann mit dem Azure AD und seiner Sicherheit beschäftigen, wenn sie nur ein Cloud-Office will?
Leider ja, weil Azure AD essenziell für alle Cloud-Dienste von Microsoft ist. Sowohl SaaS-Angebote wie Microsoft 365 als auch die Azure-Plattform mit IaaS-/PaaS-Diensten wie virtuellen Maschinen oder Speicherkonten nutzen einen Azure-AD-Mandanten für die Benutzer- und Rechteverwaltung. Als Administrator ist man sich vielleicht dessen gar nicht bewusst, dass man eigentlich nicht nur ein oder mehrere Microsoft-365- oder Azure-Abonnements, sondern auch einen Azure-AD-Tenant für die eigene Organisation verwaltet – und absichern muss.
Also sollten Administratoren das Azure AD wie andere essenzielle Cloud-Dienste absichern, was ja schon schwer genug ist – oder gibt es hier noch weitere Besonderheiten zu beachten?
Zunächst sind einfach ein paar unsichere Standardeinstellungen in Azure AD zu ändern, mit denen „es funktioniert“, die aber womöglich Sicherheitslücken reißen. Auch Microsoft 365 und Azure-Dienste kann man jeweils härten.
Weil sich Azure AD über Azure AD Connect mit einem Active Directory on Premises verknüpfen lässt, muss man aber auch lokal Dinge beachten, die die Sicherheit der eigenen Cloud-Umgebung beeinflussen. Ein Azure-AD-Connect-Server oder ein Verbundserver sind etwa genauso sicherheitskritisch wie ein Domänencontroller und entsprechend zu behandeln.
Außerdem entwickelt sich die Azure-Cloud und mit ihr Azure AD im Gegensatz zum klassischen AD noch sehr rasch weiter. Allein über zentrale Sicherheitsmechanismen wie den bedingten Zugriff könnte man ein kleines Büchlein schreiben, das aber nach Drucklegung schon wieder veraltet wäre – laufend kommen dort neue Funktionen und Einstellungen hinzu. Überdies ist Azure AD auch für Sicherheitsforscher ein lohnendes Gebiet; regelmäßig werden neue Angriffe wie Gerätecode-Phishing bekannt, und die Sicherheitseigenschaften vieler Cloud-native-Dinge müssen auch oft untersucht und verstanden werden – Berechtigungen auf die Microsoft-Graph-API werden gerade erst genauer unter die Lupe genommen. Kurz: Da fällt es schwer, Schritt zu halten.
Das Azure Active Directory ist ja in erster Linie auf seine Funktionen zugeschnitten, um die richtigen Sicherheitseinstellungen muss sich die IT anschließend selbst kümmern. Bringt Microsoft hierfür bereits die richtigen Werkzeuge mit?
Microsoft versucht Admins auf Verbesserungsmöglichkeiten und unsichere Einstellungen hinzuweisen, mit eingebauten Features wie dem Defender für die Cloud – früher das Azure Security Center. Für Grundfunktionen braucht man keine besonderen Lizenzen, etwa Sicherheitsstandards lassen sich auch ohne Premiumlizenz aktivieren. Für manche sicherheitsrelevante Funktionen wie den bedingten Zugriff oder risikobasierten Anmeldeschutz benötigt man aber zumindest einige teurere Lizenzen.
Allerdings gibt es viele quelloffene Sicherheitswerkzeuge, die sich von GitHub herunterladen lassen. Sie untersuchen entweder sehr spezifische Aspekte – oder Azure und Azure AD im Allgemeinen auf Verbesserungspotenzial.
Ein großer Vorteil von Microsoft 365 sind die kontinuierlichen Updates samt neuen Funktionen. Wie lässt sich trotzdem sicherstellen, dass diese keine neuen Angriffsziele und Schwachstellen mitbringen?
Indem man sich wie immer beim Einsatz neuer Produkte oder Technologien, so schwer das im Admin-Alltag fallen mag, die Zeit nimmt, sich damit auseinanderzusetzen: bei der Einrichtung die eingebauten Hilfetexte zu lesen und Links zu weiteren Informationen zu folgen, in der sehr umfangreichen Online-Doku von Microsoft zu schmökern und die Suchmaschine des Vertrauens zu befragen, was Sicherheitsforscher und Penetration Tester dazu sagen. Und nach der Inbetriebnahme auch am Ball zu bleiben.
Frank, vielen Dank. Alles zum Azure Active Directory und den wichtigsten Security-Aspekten, finden Leser ab sofort bei Heise Magazine sowie bei heise+. Einen Überblick aller Themen des neuen Hefts findet sich im Inhaltsverzeichnis der iX 4/2022. Die komplette Märzausgabe lässt sich im heise Shop als PDF oder gedrucktes Heft kaufen.
Das Interview wurde ursprünglich für den iX-Newsletter geführt. Er erscheint monatlich am Erscheinungsdatum jeder neuen Ausgabe und bietet spannende Hintergründe zu den wichtigsten Themen des Hefts. Die Anmeldung ist kostenlos.
(fo)