Azure Active Directory und Azure-Dienste absichern Das Netz verstärkt Frank Ully Eine Grundabsicherung von Azure Active Directory und Microsofts Cloud-Diensten ist kein Hexenwerk. Doch um an den richtigen Stellschrauben zu drehen, gilt es, sie zunächst zu finden. Dabei helfen die Bordmittel des Admin-Portals, kostenlose Tools, Tipps aus dem Netz und vor allem das Verständnis von Microsofts Sicherheitskonzepten.

iX-tract Ein Azure Active Directory (Azure AD) in der Standardkonfiguration ist nicht ausreichend sicher; harmlos erscheinende Einstellungen können gravierende Angriffe ermöglichen. Eine sichere Konfiguration ist jedoch leicht vorgenommen und bringt oft keine wesentlichen Funktionseinbußen.

Mit kostenlosen quelloffenen Tools und in Azure eingebauten Werkzeugen wie Microsoft Defender für die Cloud (früher Azure Security Center) können Cloud-Admins und Sicherheitsverantwortliche Verbesserungspotenzial aufspüren.

Außerdem gibt es für die Microsoft-Cloud und ihren Identitätsdienst Azure AD zahlreiche Funktionen, die die Sicherheit von AAD-Identitäten und von Azure-Diensten erhöhen – manchmal erfordert das jedoch Premium-Lizenzen, zumindest für einige wenige Benutzer.

So besorgniserregend die in den beiden vorangegangenen Artikeln beschriebenen Angriffsmöglichkeiten auf Azure Active Directory sind, so einfach sind zumindest grundlegende Schutzmaßnahmen einzurichten. Oft reichen die Bordmittel des Azure-Portals bereits aus. Kleine, frei verfügbare Tools, meist als PowerShell-Skripte implementiert, und zusätzliche Portale und Werkzeuge helfen beim Aufspüren von Schwachstellen. Dieser Artikel stellt Maßnahmen in den Vordergrund, die Nutzer möglichst wenig einschränken, dennoch die Sicherheit erhöhen und zudem selten Premiumlizenzen von Azure erfordern. In der zweiten Hälfte geht es vor allem um die Absicherung hybrider Umgebungen aus AAD und dem On-Premises-Verzeichnisdienst. Eine ausführliche Liste mit weiterführenden Informationen findet sich in den iX-Links (siehe ix.de/z4qh).

Unsichere Standardkonfigurationen beheben

Die im Artikel „Ins Netz gezogen“ ab Seite 44 beschriebenen unsicheren Standardkonfigurationen kann ein Admin einfach beheben. Im Azure-Portal sollte unter Benutzereinstellungen für das AAD die Option „Zugriff auf Azure AD-Verwaltungsportal einschränken“ auf Ja gestellt werden. Das Abrufen von Daten der Benutzer und Gruppen ist damit für Nicht-Admins unterbunden.