Eine Frage, die ich in Kundengesprächen immer wieder höre, betrifft die sichere Anbindung an die Microsoft Cloud.
Was muss ich tun, damit der Azure AD Connect Server sicher und kein Sicherheitsrisiko ist?
Der AD Connect Server übernimmt die Synchronisation zwischen dem lokalen Active Directory (AD) und dem Azure Active Directory (AAD).
Hier sind die aus meiner Sicht die wichtigsten Schritte:
1. Netzwerk und Architektur
Überwachung und Beschränkung der Kommunikation:
- Verwende ausschließlich vertrauenswürdige Microsoft 365-IP-Adressen und URLs als Kommunikationspartner des Azure AD Connect Servers.
- Beschränken die Kommunikation auf die notwendigen Kommunikationspartner und -protokolle zur lokalen Infrastruktur!
- Der Zugriff aus dem internen Netzwerk auf den Azure AD Connect Server sollte nur für spezielle Systeme wie administrative Jumphosts oder VM-Konsolen möglich sein.
- Überwache die Kommunikation zwischen den Cloud-Diensten und der lokalen Infrastruktur.
Betrieb in der DMZ:
- Der Azure AD Connect Server sollte auf einem dedizierten Server in einer separaten Zone (cloudDMZ) betrieben werden.
- Stelle sicher, dass die Kommunikation zur Cloud oder zu internen Systemen durch eine Firewall auf die notwendigen Dienste beschränkt ist.
Details zu den erforderlichen Ports und Protokollen findet man in der Microsoft Dokumentation.
Hier noch ein paar NoGos:
2. Benutzer- und AD-Verwaltung
Einschränkung der Synchronisation:
- Synchronisiere nur die benötigten Benutzer zwischen dem lokalen Active Directory und Azure AD.
- Stelle sicher, dass nur aktiv genutzte Benutzerkonten synchronisiert werden.
Trennung von administrativen Konten:
- Administrative Konten müssen von normalen Benutzerkonten getrennt werden.
- Verwende ein dediziertes administratives Konto für Microsoft 365, das keine administrativen Rechte im lokalen Active Directory hat.
Absicherung der administrativen Konten:
- Administrative Konten müssen mit Multi-Faktor-Authentifizierung (MFA) abgesichert sein.
- Erstellen Sie ein Monitoring mit Alerting für die Nutzung von administrative Konten!
Zusammenfassung
Die Sicherheit des Azure AD Connect Servers hängt von der richtigen Architektur und Abgrenzung zur restlichen IT-Infrastruktur ab.
Muss ich das jetzt umbauen, wenn ich es nicht wie beschrieben aufgebaut habe?
Klare Antwort: Ja!
Weitere Maßnahmen findest Du hier: VERMEIDE DIESE 3 DINGE IN DEINEM ACTIVE DIRECTORY!