Einleitung
Wie mittlerweile jedem bekannt sein sollte, ist die Einrichtung von multi-factor-authentication (MFA) und die Erzwingung von MFA eine gute Idee, um die Sicherheit in Microsoft 365 zu erhöhen. Dabei sollten aber auch die so genannten emergency access accounts nicht vergessen werden.
Notwendigkeit von emergency access
Wenn man, wie es empfohlen ist, für alle Benutzer immer und ohne Ausnahme MFA verpflichtend macht, kann es zu Situationen kommen, in denen man sich aussperrt. So könnte es theoretisch zu einem Ausfall der MFA Infrastruktur bei Microsoft kommen. Damit könnte sich dann niemand mehr anmelden. Oder man verkonfiguriert sich bei der Anlage einer Conditional Access Policy und sperrt alle Administratoren aus.
Aus diesem Grund sollte man zwei Accounts anlegen, denen die Global Administrator Rolle zugewiesen ist. Außerdem sollten diese beiden Accounts nie MFA machen müssen.
Sind die Security Defaults aktiviert, können keine Ausnahmen definiert werden. Alle müssen immer MFA machen. Daher sollte man schnellstmöglich auf Conditional Access wechseln, wo man – neben vielen anderen Vorteilen – Ausnahmen definieren kann.
Monitoring
Auf den ersten Blick widerspricht die Anlage von zwei Accounts mit globalen Admin Berechtigungen, aber ohne MFA Zwang, jedem Sicherheitsverständnis. Diese dienen aber nur der Verwendung in einem oben beschriebenem Szenario und nicht der normalen Verwendung in der täglichen Administration.
Aber natürlich sollten solche sensitiven Accounts streng überwacht werden und sowohl bei Änderungen an den Accounts, als auch bei Anmeldungen der Accounts ein Alarm ausgelöst werden. So vermeidet man, dass diese Accounts entweder nicht mehr als globale Admins verwendet werden können, oder von Angreifern verwendet werden. Selbstredend sollten die beiden Benutzer trotzdem ein sehr starkes Kennwort haben.
Einrichtung Monitoring und Alerting
Azure Subscription
Um ein automatisiertes Monitoring und Alerting einzurichten, müssen sowohl sign-in logs, als auch audit logs in einem Azure log analytics workspace gespeichert werden. Je nach Menge der Daten muss dabei mit wenigen Euro Kosten pro Monat gerechnet werden.
Monitoring und Alerting
Sobald die Daten im log analytics workspace vorhanden sind, kann man so genannte log queries einrichten. Damit kann man gezielt nach sign-ins oder Änderungen von bestimmten Accounts suchen und wenn es Ergebnisse gibt einen Alarm auslösen. Schließlich kann man über eine action group eine Benachrichtigung per Email, SMS oder Anruf auslösen.
Organisatorische Maßnahmen
Alle bisher beschriebenen Maßnahmen waren technischer Natur. Es müssen aber auch organisatorische Maßnahmen getroffen werden. Ich empfehle die Erstellung eines Dokuments in dem unter anderem folgende Sachen erfasst sind:
- Wo werden die Zugangsdaten der emergency access accounts aufbewahrt?
- Wer muss die Benutzung genehmigen?
- Welche Personen haben Zugriff auf die Zugangsdaten?
So muss man im Notfall nur das Dokument aus der Schublade ziehen und nicht erst alle benötigten Daten erfragen. Wenn ich Schublade schreibe, dann meine ich wirklich eine Aufbewahrung des ausgedruckten Dokuments. Im schlimmsten Fall kann ich mich ja gar nicht mehr anmelden, um das Dokument zu öffnen. Statt einer Schublade würde ich aber einen Safe empfehlen.
Zusammenfassung
Bei der verpflichtenden Nutzung von MFA für alle ohne Ausnahme sollte man einen Notfallzugang erstellen, der aber durch monitoring und alerting abgesichert werden muss.