Share
Beitragsbild zu MFA Arbitrage: Das müssen Sie wissen

MFA Arbitrage: Das müssen Sie wissen

Bei Microsoft-Konten variiert der MFA-Registrierungsprozess je nach Organisation, aber in den meisten Fällen melden sich die Benutzer selbst an. Die Selbstanmeldung ist in der Regel benutzerfreundlich und schnell.

Im Idealfall sollten sich alle Benutzer für MFA anmelden. Bei einigen Konten ist MFA jedoch möglicherweise noch nicht eingerichtet, z. B. bei ruhenden und neuen Konten. Benutzer, die sich nur von vertrauenswürdigen, lokalen Geräten aus anmelden, können je nach den Zugriffsrichtlinien der Organisation auch die MFA-Registrierungsanforderungen umgehen.

Für diese MFA-Lücken, die in unserem früheren Blogbeitrag „Behind The Breach: MFA Everywhere, Yes“ behandelt werden, gilt: MFA für alle, keine MFA-Selbstregistrierung kann Angreifern versehentlich helfen. Wenn ein Angreifer Zugriff auf ein Konto erhält, das noch nicht für MFA registriert ist, kann er direkt nach der Anmeldung seine eigene Methode registrieren. Dadurch kann der Angreifer auch nach Beendigung der Sitzung weiterhin auf das Konto zugreifen, auf vertrauliche Unternehmensressourcen zugreifen und eine Selbstverwaltung zur Kennwortzurücksetzung mit seiner eigenen MFA-Methode einleiten.

Wie man das Problem löst

Glücklicherweise können die Richtlinien für den bedingten Zugriff von Microsoft Entra Maßnahmen wie Geräteeinschränkungen, IP-Einschränkungen oder temporäre Zugangspässe (TAP) durchsetzen, um die Sicherheit der MFA-Registrierung zu erhöhen.

Wenn Ihre Richtlinie beispielsweise die Registrierung von Sicherheitsinformationen von allen Standorten außer Ihren vertrauenswürdigen Standorten blockiert, müssten Angreifer auf diese vertrauenswürdigen IP-Bereiche zugreifen, um eine zweite Authentifizierungsmethode zu registrieren, selbst wenn sie über die kompromittierten Anmeldedaten eines Kontos ohne zweiten Faktor verfügen.

Um die selbstständige MFA-Registrierung weiter abzusichern, sollten Sie die Verwendung von temporären Zugangspässen (TAP) in Betracht ziehen. TAPs sind zeitlich begrenzte Passcodes, die von Administratoren für Benutzer zur Registrierung von Authentifizierungsmethoden generiert werden. Dieser Ansatz fügt eine weitere Sicherheitsebene hinzu, da die Benutzer für die Selbstregistrierung die Hilfe eines Administrators benötigen.

Microsoft Entra-Richtlinien bieten Flexibilität bei der Sicherung der Ressourcen Ihrer Organisation, aber die Festlegung der Bedingungen in einer Richtlinie kann verwirrend sein. Im weiteren Verlauf dieses Beitrags werden häufige Fehlkonfigurationen behandelt und es werden Anleitungen zum Verständnis von Richtlinien für den bedingten Zugriff gegeben, um die MFA-Registrierung von Benutzern effektiv zu schützen.

Microsoft Entra-Richtlinien für bedingten Zugriff

Microsoft Entra-Richtlinien für bedingten Zugriff bewerten Bedingungen wie den Standort eines Benutzers, das Gerät und die Ressource, auf die zugegriffen wird, um zu bestimmen, ob der Zugriff blockiert werden soll, eine mehrstufige Authentifizierung erforderlich ist oder die Nutzungsbedingungen des Mandanten akzeptiert werden müssen. Enthaltene Bedingungen lösen diese Reaktionen aus, während ausgeschlossene Bedingungen sichere Situationen darstellen und den Zugriff ohne zusätzliche Authentifizierung ermöglichen. Wichtig ist, dass ausgeschlossene Bedingungen eingeschlossene Bedingungen außer Kraft setzen.

Hier sind einige Tipps, die Ihnen bei der Konfiguration der Richtlinie Ihres Mandanten helfen und häufige Fehler vermeiden:

Benutzer, Rollen und Gruppen

Wenn Sie eine neue Richtlinie für den bedingten Zugriff erstellen, sollten Sie diese am besten mit einigen Benutzern testen, um sicherzustellen, dass die Richtlinie keine wesentlichen Funktionen für Ihre Organisation beeinträchtigt. Vermeiden Sie es jedoch, die Testphase auf unbestimmte Zeit zu verlängern. Schließen Sie nach Abschluss der Tests alle Benutzer in die Richtlinie ein, um eine vollständige Abdeckung zu gewährleisten, mit Ausnahme von Notrufkonten.

Standorte

Die ideale Konfiguration ist eine Richtlinie, die alle Standorte und Netzwerke einschließt, während nur vertrauenswürdige Standorte und Netzwerke, wie lokale Netzwerke und vertrauenswürdige VPN-Bereiche, ausgeschlossen werden. Ein häufiger Fehler ist, nur vertrauenswürdige oder nur nicht vertrauenswürdige Standorte einzuschließen. Die von Ihnen einbezogenen Standorte bestimmen, wo der Zugriff blockiert wird oder eine mehrstufige Authentifizierung erforderlich ist. Beide Fehler führen zu Lücken in der Richtlinie, indem die Abdeckung auf unnötige Standorte oder auf einige wenige nicht vertrauenswürdige Standorte beschränkt wird.

Reaktionsmöglichkeiten

Die Richtlinien für den bedingten Zugriff von Microsoft Entra bieten Zugriffsoptionen, aber nicht alle sind für Richtlinien zur Registrierung von Sicherheitsinformationen geeignet.

Es wird beispielsweise nicht empfohlen, von Benutzern nur die Annahme der Nutzungsbedingungen des Mandanten für die Registrierung eines neuen Authentifizierungsfaktors zu verlangen. Angreifer können den Bedingungen leicht zustimmen und ihre eigene Authentifizierungsmethode ohne Hindernisse registrieren.

Die besten Optionen für eine Richtlinie zur Registrierung von Sicherheitsinformationen sind „Zugriff blockieren“ oder „Zugriff mit MFA gewähren“. Wenn diese Richtlinie ausgelöst wird, verhindert jede der beiden Optionen die Registrierung, wenn der Benutzer keine MFA-Methoden registriert hat.

  • Eine Richtlinie „Zugriff blockieren“ verhindert, dass alle Benutzer – sowohl diejenigen ohne eine zweite Methode als auch diejenigen mit mindestens einer registrierten zusätzlichen Methode – neue Methoden registrieren oder auf andere Sicherheitsinformationen zugreifen können, wenn sichere Bedingungen, wie z. B. der Aufenthalt an einem vertrauenswürdigen Ort, nicht erfüllt sind.
  • Eine Richtlinie „Zugriff mit MFA gewähren“ blockiert die Einstellungen für Sicherheitsinformationen für Benutzer ohne MFA, bis sichere Bedingungen erfüllt sind. Benutzer mit mindestens einer registrierten zusätzlichen Methode müssen sich mit MFA authentifizieren, um auf Sicherheitsinformationen zugreifen zu können, wie z. B. auf Self-Service-Passwortänderungen.

Erstellen und Konfigurieren einer Richtlinie für die bedingte Zugriffsberechtigung

Obsidian hat zwei neue Posture-Regeln veröffentlicht, die Kunden dabei helfen sollen, sicherzustellen, dass sie den MFA-Registrierungsprozess ordnungsgemäß abgesichert haben:

  1. Keine Richtlinie für die bedingte Zugriffsberechtigung für die MFA-Registrierung:
    1. Ermitteln Sie, ob es Einschränkungen bei der MFA-Registrierung für Ihre Benutzer gibt.
  2. Falsch konfigurierte Richtlinie für bedingten Zugriff für die MFA-Registrierung
    1. Bewerten Sie, ob die aktuellen Einschränkungen Ihrer Richtlinie den MFA-Registrierungsprozess für die meisten Benutzer und IP-Standorte sinnvoll schützen und gleichzeitig häufige Fehler vermeiden.

Neben detaillierten Anleitungen zur Konfiguration einer Richtlinie für bedingten Zugriff zur Sicherung der MFA-Registrierung bieten diese Regeln Einblicke in die MFA-Registrierung in Ihrer Organisation. Sehen Sie sich diese Regeln an, um proaktive Maßnahmen zur Sicherung Ihres Mandanten zu ergreifen.

Quelle: Obsidian Security-Blog


Ihr Kontakt zu uns:

Pascal Cronauer, Regional Sales Director, Central Europe @Obsidian Security | SaaS Security | SSPM | Threat Mitigation | Integration Risk Mgmt

Marko Kirschner, Technical Enthusiast @Obsidian Security

 

Bild/Quelle: https://depositphotos.com/de/home.html

Firma zum Thema

LogRhythm