Erkennungen

Hohe Anzahl von Administratoren

HIGH

Sprache:

Beschreibung

Administratoren haben definitionsgemäß erhöhte Rechte. Wenn es sehr viele von ihnen gibt, können sie ein Sicherheitsrisiko darstellen, da dies die Angriffsoberfläche vergrößert, weil eine höhere Wahrscheinlichkeit besteht, dass einer von ihnen kompromittiert wird. Dies ist auch ein Zeichen, dass das Prinzip der geringsten Berechtigungen (Least-Privilege) nicht respektiert wird.

Diese Rollenzuweisungen sollten genau geprüft, geschult und sorgfältig begründet werden.

Deaktivierte Konten und Dienstprinzipale werden standardmäßig ignoriert (d. h. nicht gezählt), da sie von Angreifern nicht verwendet werden können (Parameter kann geändert werden).

Lösung

Um Risiken zu begrenzen, verwenden Sie das Prinzip der geringsten Berechtigung, wenn Sie Administratorrollen zuweisen:

  • Reduzieren Sie die Anzahl der Konten, die der gemeldeten Rolle zugewiesen sind.
  • Wenn diese Konten Berechtigungen erfordern, sollten Sie in Erwägung ziehen, diese auf eine spezifischere Rolle mit ausschließlich den notwendigen Berechtigungen zu beschränken. Microsoft Entra ID bietet neben „Globaler Administrator“ verschiedene Administratorrollen, mit denen Sie nur die erforderlichen Berechtigungen gewähren können. Beispielsweise erfordert das Konto eines Support-Technikers benötigt lediglich die Rolle „Helpdesk-Administrator“, um Benutzerpasswörter zurückzusetzen, anstatt „Globaler Administrator“.
  • Reduzieren Sie den Umfang der Zuweisung. Microsoft Entra ID ermöglicht es Ihnen, eine Rolle für einen spezifischen Geltungsbereich zuzuweisen. Sie sollten hierbei den kleinstmöglichen Geltungsbereich wählen. Wenn beispielsweise der Support-Techniker nur für EMEA zuständig ist, sollte ihm seine Rolle nur für die Verwaltungseinheit „EMEA“ zugewiesen werden.

Wenn dies aufgrund der Größe Ihrer IT-Abteilung nicht möglich ist, sollten Sie die maximale Anzahl der zulässigen Konten in den Parametern erhöhen.

Insbesondere empfiehlt Microsoft, die Anzahl der globalen Administratoren auf weniger als 5 zu beschränken.

Indikatordetails

Name: Hohe Anzahl von Administratoren

Codename: HIGH-NUMBER-OF-ADMINISTRATORS

Schweregrad: High

Typ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK-Informationen: