Schutz privilegierter Zugriffe mit PIM (Privileged Identity Management)

Schutz privilegierter Zugriffe mit PIM (Privileged Identity Management)

15.04.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Implementierung und Verwaltung von Privileged Identity Management (PIM) in Microsoft Entra ID (ehemals Azure Active Directory) helfen. PIM ist ein Dienst, mit dem Sie den Zugriff auf wichtige Ressourcen in Ihrem Unternehmen verwalten, steuern und überwachen können. Er bietet Just-In-Time (JIT) und Just-Enough Access (JEA) Zugriff auf privilegierte Funktionen und minimiert so das Risiko eines Privilegienmissbrauchs [1].

Einführung

Konten mit Administratorrechten sind Hauptziele für Cyberangriffe, da ihre Kompromittierung zur vollständigen Kontrolle über die Systeme und Daten einer Organisation führen kann. Das traditionelle Sicherheitsmodell, bei dem privilegierte Konten dauerhaft zugewiesen werden, erhöht die Angriffsfläche und das Risiko seitlicher Bewegungen durch Angreifer. PIM geht diese Herausforderung an, indem es das Konzept des „Just-in-Time“- (JIT) und „Just-enough-Access“-Zugriffs (JEA) einführt und sicherstellt, dass Benutzer nur bei Bedarf und für die unbedingt erforderliche Zeit über erhöhte Berechtigungen verfügen [2].

Dieser praktische Leitfaden behandelt die PIM-Konfiguration in Microsoft Entra ID, von der Aktivierung des Dienstes über die Zuweisung der Berechtigung für Rollen, die Konfiguration von Aktivierungsrichtlinien bis hin zum Prozess der Aktivierung einer privilegierten Rolle. Es werden Schritt-für-Schritt-Anleitungen, praktische Beispiele und Validierungsmethoden bereitgestellt, damit der Leser die Sicherheit des privilegierten Zugriffs in seiner Microsoft-Umgebung implementieren und stärken und so das Risiko reduzieren und Compliance sicherstellen kann.

Warum ist Privileged Identity Management so wichtig?

  • Reduzierung der Angriffsfläche: Minimiert die Zeit, in der privilegierte Konten aktiv bleiben, und verringert so die Möglichkeiten für Angreifer.
  • JIT/JEA-Zugriff: Gewährt temporären Zugriff mit den geringsten Berechtigungen, im Einklang mit den Zero-Trust-Prinzipien.
  • Sichtbarkeit und Prüfung: Bietet detaillierte Protokolle aller Aktivierungen privilegierter Funktionen und erleichtert so die Prüfung und Compliance.
  • Genehmigungsablauf: Ermöglicht Ihnen, eine Genehmigung für die Aktivierung kritischer Funktionen anzufordern, was eine zusätzliche Sicherheitsebene hinzufügt.
  • Zugriffsüberprüfungen: Ermöglicht regelmäßige Zugriffsüberprüfungen, um sicherzustellen, dass die gewährten Berechtigungen weiterhin angemessen sind.

Voraussetzungen

Zur Implementierung von Privileged Identity Management (PIM) benötigen Sie folgende Elemente:

  1. Lizenzierung: Eine Microsoft Enroll ID Premium P2-Lizenz (ehemals Azure AD Premium P2). PIM ist ein einzigartiges Merkmal dieser Lizenz [3].
  2. Administratorzugriff: Ein Konto mit der Rolle „Globaler Administrator“ oder „Administrator für privilegierte Rollen“ in Microsoft. Geben Sie eine ID ein, um PIM zu konfigurieren.
  3. Benutzer und Gruppen: Benutzer und/oder Sicherheitsgruppen auf Microsoft Entra ID, die privilegierten Zugriff benötigen.

Schritt für Schritt: PIM konfigurieren und nutzen

Wir konfigurieren PIM für eine wichtige Verwaltungsrolle, wie zum Beispiel „Globaler Administrator“, und demonstrieren den Aktivierungsprozess.

1. PIM auf Microsoft Entra ID aktivieren

Wenn PIM in Ihrem Mandanten noch nicht aktiv ist, müssen Sie es aktivieren.

  1. Greifen Sie auf das Microsoft Entra Admin Center-Portal zu: „https://entra.microsoft.com“.
  2. Wählen Sie im linken Navigationsbereich Identity Governance > Privileged Identity Management aus.
  3. Wenn Sie dies zum ersten Mal tun, wird die Option PIM aktivieren angezeigt. Klicken Sie darauf.

2. Berechtigung für eine Rolle zuweisen

Lassen Sie uns zunächst einen Benutzer für die Rolle „Globaler Administrator“ qualifizieren.

  1. Wählen Sie im linken Navigationsbereich von PIM Microsoft Entra-Rollen > Rollen aus.
  2. Suchen Sie in der Rollenliste nach „Globaler Administrator“ und klicken Sie darauf.

  3. Klicken Sie auf der Detailseite der Rolle „Globaler Administrator“ auf Rollen hinzufügen.

  4. Klicken Sie im Abschnitt Aufgaben hinzufügen auf Mitglieder auswählen.

  5. Suchen Sie nach den Benutzern oder Gruppen, die Sie für diese Rolle qualifizieren möchten, und wählen Sie sie aus. Klicken Sie auf Auswählen.
  6. Wählen Sie unter Aufgabentyp die Option „Berechtigt“ aus.
  7. Unter Permanente Zuweisung können Sie ein Start- und Enddatum für die Berechtigung festlegen oder sie dauerhaft festlegen. Für hochprivilegierte Rollen sollte eine dauerhafte Zuweisung vermieden werden, jedoch aus diesem GrundZu Demonstrationszwecken können wir es so lassen, wie es ist.
  8. Klicken Sie auf Zuweisen.

3. Rolleneinstellungen konfigurieren

Rollendefinitionen steuern, wie Benutzer ihre Berechtigungen aktivieren können.

  1. Wählen Sie im linken Navigationsbereich von PIM Microsoft Entra-Funktionen > Einstellungen.

  2. Suchen Sie in der Rollenliste nach „Globaler Administrator“ und klicken Sie auf Bearbeiten.

  3. Im Abschnitt Aktivierung:

    • Maximale Aktivierungsdauer: Definieren Sie die maximale Zeit, die ein Benutzer die Funktion aktiv haben kann (z. B. „4“ Stunden). Ein kurzer Zeitraum wird empfohlen.
    • Bei Aktivierung ist eine Multi-Faktor-Authentifizierung erforderlich: Aktivieren Sie diese Option. Sehr empfehlenswert für alle privilegierten Rollen.
    • Begründung bei Aktivierung erforderlich: Wählen Sie diese Option. Benutzer müssen einen Grund für die Aktivierung angeben.
    • Zur Aktivierung ist eine Genehmigung erforderlich: Aktivieren Sie diese Option, um einen Genehmigungsablauf hinzuzufügen. Klicken Sie auf Genehmiger auswählen und fügen Sie einen oder mehrere Benutzer/Gruppen hinzu, die Aktivierungsanfragen genehmigen können.
  4. Im Abschnitt Aufgabe:
    • Permanente berechtigte Zuweisungen zulassen: Für „Global Admin“ sollten Sie diese Option deaktivieren, um zu erzwingen, dass alle Zuweisungen temporär sind.
  5. Im Abschnitt Benachrichtigung:
    • Konfigurieren Sie, wer über die Aktivierung der Funktion benachrichtigt werden soll.
  6. Klicken Sie auf Aktualisieren, um die Einstellungen zu speichern.

4. Aktivieren einer privilegierten Funktion (Benutzererfahrung)

Lassen Sie uns nun demonstrieren, wie ein berechtigter Benutzer die Rolle „Globaler Administrator“ aktiviert.

  1. Berechtigter Benutzer greift auf das Microsoft Entra Admin Center-Portal zu: „https://entra.microsoft.com“.
  2. Navigieren Sie zu Identity Governance > Privileged Identity Management.
  3. Wählen Sie im linken Navigationsbereich Meine Rollen > Microsoft-Anmelderollen aus.
  4. Auf der Registerkarte Eligible Roles wird dem Benutzer die Rolle „Globaler Administrator“ angezeigt.

  5. Klicken Sie neben der Rolle „Globaler Administrator“ auf Aktivieren.

  6. Im Aktivierungsfenster:

    • Dauer: Der Benutzer kann die Aktivierungsdauer festlegen (begrenzt durch die in den Funktionsdefinitionen definierte maximale Dauer).
    • Grund: Der Benutzer muss eine Begründung für die Aktivierung angeben (z. B. „Wartung auf Server X durchführen“).
    • (falls konfiguriert) Sicherheitsprüfung: Der Benutzer wird möglicherweise aufgefordert, eine MFA-Prüfung durchzuführen.

  7. Klicken Sie auf Aktivieren.

  8. Wenn eine Genehmigung erforderlich ist, wird die Anfrage an die Genehmiger gesendet. Dem Benutzer wird der Status „Genehmigung ausstehend“ angezeigt.

5. Genehmigen einer Aktivierungsanfrage (Genehmigererfahrung)

Ein benannter Genehmiger erhält eine Benachrichtigung (per E-Mail oder im PIM-Portal) über die Aktivierungsanfrage.

  1. Der Genehmiger greift auf das Microsoft Entra Admin Center-Portal zu: „https://entra.microsoft.com“.
  2. Navigieren Sie zu Identity Governance > Privileged Identity Management.
  3. Wählen Sie im linken Navigationsbereich Anfragen genehmigen aus.
  4. Der Genehmiger sieht die ausstehende Anfrage. Klicken Sie darauf, um Details anzuzeigen.

  5. Der Genehmiger kann die Anfrage unter Angabe einer Begründung genehmigen oder ablehnen.

  6. Nach der Genehmigung verfügt der anfragende Benutzer für den angegebenen Zeitraum über die aktive Rolle.

Validierung und Tests

Die Validierung Ihrer PIM-Implementierung ist entscheidend, um sicherzustellen, dass die privilegierten Zugriffskontrollen wie erwartet funktionieren.

1. Aktivierungsstatus prüfen

  1. Nach der Aktivierung (und ggf. Genehmigung) kann der Benutzer zur Seite Meine Rollen > Microsoft-Anmelderollen in PIM zurückkehren.
  2. Auf der Registerkarte Aktive Rollen sollte die Rolle „Globaler Administrator“ mit dem Status „Aktiv“ und der verbleibenden Zeit erscheinen.

2. Testen des Zugriffs mit erhöhten Berechtigungen

  1. Bei aktivierter Funktion muss der Benutzer versuchen, auf Ressourcen zuzugreifen oder Aktionen auszuführen, die die Rolle „Globaler Administrator“ erfordern (z. B. einen neuen Benutzer in Microsoft Entra ID erstellen).
  2. Die Aktion muss erfolgreich sein.

3. PIM-Audit-Protokolle prüfen

  1. Wählen Sie im linken Navigationsbereich von PIM Audit > Microsoft Entra Role Audit aus.
  2. Filtern Sie die Protokolle, um Rollenaktivierungen, Genehmigungen und andere PIM-bezogene Aktivitäten anzuzeigen. Dadurch ist lückenlos dokumentiert, wer welche Funktion wann, wie lange und mit welcher Begründung aktiviert hat.

4. Testen des Aktivierungsablaufs

Nach Ablauf der Aktivierungszeit muss der Benutzer verlierenautomatisch erhöhte Privilegien. Versuchen Sie erneut, die privilegierte Aktion auszuführen. sie muss scheitern.

Sicherheitstipps und Best Practices

  • Prinzip der geringsten Rechte: Weisen Sie einem Benutzer nur die Rollen zu, die er für die Ausführung seiner Aufgaben benötigt. Vermeiden Sie die Zuweisung eines „Globalen Administrators“, wenn eine weniger privilegierte Rolle ausreichen würde.
  • Berechtigungszuweisung vs. aktive Zuweisung: Verwenden Sie für privilegierte Rollen nach Möglichkeit „Berechtigte“ anstelle dauerhafter „aktiver“ Zuweisungen.
  • MFA obligatorisch: MFA ist immer erforderlich, um privilegierte Funktionen zu aktivieren. Dies fügt eine wichtige Sicherheitsebene hinzu.
  • Erforderliche Begründung: Benutzer müssen für jede Aktivierung eine Begründung angeben. Dies hilft bei der Prüfung und dem Verständnis des Zugriffszwecks.
  • Genehmigungsabläufe: Konfigurieren Sie für kritische Funktionen Genehmigungsabläufe, um sicherzustellen, dass Aktivierungen von jemand anderem überprüft und autorisiert werden.
  • Zugriffsüberprüfungen: Planen Sie regelmäßige Zugriffsüberprüfungen in PIM, um sicherzustellen, dass die Berechtigung für privilegierte Rollen weiterhin angemessen ist, und entfernen Sie unnötige Zuweisungen.
  • Benachrichtigungen: Konfigurieren Sie Benachrichtigungen für Administratoren, wenn privilegierte Rollen aktiviert werden oder verdächtige Aktivitäten auftreten.
  • Integration mit bedingtem Zugriff: Verwenden Sie bedingten Zugriff, um zusätzliche Richtlinien bei der Aktivierung von PIM-Funktionen durchzusetzen (z. B. die Anforderung, dass die Aktivierung von einem unterstützten Gerät oder einem vertrauenswürdigen Netzwerkstandort aus erfolgen muss).

Allgemeine Fehlerbehebung

  • Benutzer kann die Funktion nicht aktivieren: Überprüfen Sie, ob der Benutzer über eine Microsoft Entra ID Premium P2-Lizenz verfügt. Prüfen Sie, ob er auf der Liste der für die Stelle in Frage kommenden Personen steht. Überprüfen Sie die Rolleneinstellungen (z. B. ob MFA erforderlich ist und der Benutzer es nicht konfiguriert hat).
  • Funktionsaktivierung fehlgeschlagen: Überprüfen Sie die PIM-Überwachungsprotokolle auf Fehlermeldungen. Die Ursache hierfür könnte ein MFA-Fehler, eine fehlende Begründung oder eine Ablehnung durch einen Genehmiger sein.
  • Genehmiger erhalten keine Benachrichtigungen: Überprüfen Sie die Benachrichtigungseinstellungen in den Rolleneinstellungen. Stellen Sie sicher, dass die E-Mail-Adressen der Genehmiger korrekt sind und dass keine Posteingangsregeln Benachrichtigungen blockieren.
  • Funktion deaktiviert sich nicht automatisch: Überprüfen Sie die maximale Aktivierungsdauer in den Funktionseinstellungen. Wenn das Problem weiterhin besteht, kann es an einer Verzögerung bei der Dienstsynchronisierung liegen.
  • Berechtigungskonflikte: Wenn ein Benutzer über eine PIM-Rolle und eine reguläre Rolle über dieselbe Berechtigung verfügt, hat die reguläre Rolle Vorrang. Es empfiehlt sich, permanente privilegierte Rollenzuweisungen für Benutzer zu entfernen, die auch über PIM berechtigt sind.

Fazit

Microsoft Entra Privileged Identity Management (PIM) ist ein unverzichtbares Tool für jedes Unternehmen, das seinen privilegierten Zugriff schützen und seine Sicherheitslage stärken möchte. Durch die Einführung der Just-In-Time- und Just-Enough-Access-Prinzipien trägt PIM dazu bei, die Angriffsfläche deutlich zu reduzieren, bietet einen detaillierten Prüfpfad und erzwingt strenge Kontrollen über Verwaltungsfunktionen. Durch die sorgfältige Implementierung von PIM in Kombination mit bewährten Sicherheitspraktiken und Benutzerschulungen können IT- und Sicherheitsteams Berechtigungen effektiv verwalten, die mit kompromittierten privilegierten Konten verbundenen Risiken mindern und eine sicherere und konformere Umgebung gewährleisten.

Referenzen:

[1] Microsoft Learn. Was ist Microsoft Entra Privileged Identity Management?. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] Microsoft Learn. Zero-Trust-Leitprinzipien. Verfügbar unter: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] Microsoft Learn. Lizenzanforderungen für Microsoft Entra Privileged Identity Management. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements