Administrative Konten schützen in Azure AD

Selbst bei den besten Clouddiensten fallen in der Regel administrative Tätigkeiten an, die interne Admins durchführen müssen. Längst nicht alle Aufgaben sind bei Software-as-a-Service-(SaaS)-Angeboten "built-in". Admins müssen unter anderem bei der detaillierten Servicekonfiguration, der Vergabe von Berechtigungen, der Durchsicht von Logdateien oder der Sicherheit der Daten die Arbeit aufnehmen.

Aus den Beispielen ist zu erkennen, dass diese Aufgaben Mitarbeitern mit admi­nistrativer Verantwortung zugeteilt werden, deren Anmeldekonten in den SaaS-Anwendungen entsprechende Berechtigungen haben. Für den Schutz dieser brisanten Adminkonten existiert eine Reihe von empfohlenen Praktiken, damit die Konten nicht in falsche Hände geraten oder versehentliche Fehladministration erfolgt.

Zunächst ist es ratsam, für administrative Tätigkeiten eigene Konten zu verwenden, die nicht bei der täglichen Arbeit für E-Mail, Telefonate oder Internetrecherche zum Einsatz kommen. Durch die Trennung der Konten sinkt das Risiko, dass Administratoren ihre Konten aus Versehen falsch verwenden oder einer Attacke unterliegen, die ihr Konto kompromittiert und sich auf andere Teile des Unternehmens ausbreitet. Deshalb zwei Konten: eines für die tägliche Arbeit, eines für die administrativen Tätigkeiten. Diese sollten auch namentlich unterscheidbar sein, etwa durch einen Präfix wie "ADM_". Die Trennung der Konten zwingt Admins auch, beim Login zu verwalteten Ressourcen das administrative Konto explizit anzugeben.

Gezielt die Administration eingrenzen

Adminkonten sind traditionell so konfiguriert, dass sie alle Berechtigungen permanent behalten. Nur wenn Admins das Unternehmen verlassen oder in eine andere Abteilung wechseln, werden die Konten beschnitten. Die Gefahr, dass ein Konto unbemerkt gestohlen wird und dann zu jedem beliebigen Zeitpunkt genutzt wird, bleibt also

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.