Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinareMicrosoft Alliance
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Ransomware-Schutz für Office 365

Ransomware-Schutz für Office 365

Jan 23, 2024

Office 365 Ransomware-Schutz erfordert die Risikobehandlung sowohl in Microsoft 365 als auch in Entra ID, einschließlich Phishing, Dateifreigabe, schlecht verwalteten Berechtigungen und kompromittierten Konten. Native Abwehrmaßnahmen wie Microsoft Defender, Conditional Access, Purview DLP, und Secure Score helfen, Bedrohungen zu blockieren und zu erkennen, während Wiederherstellungsoptionen wie OneDrive und SharePoint Restore Schäden mindern. Die Stärkung des Identity and Access Managements mit Tools wie Netwrix Directory Manager verringert weiter die Ransomware-Gefährdung und verbessert die Compliance.

Die meisten Organisationen verlassen sich heutzutage auf Entra ID (ehemals Azure AD) und Microsoft 365 (ehemals Office 365) für grundlegende Geschäftsprozesse. Aber wie sicher sind diese wichtigen Plattformen gegen Ransomware?

Dieser Artikel untersucht die wichtigsten Sicherheitsbedenken bei Entra ID und Microsoft 365 und erläutert die wesentlichen Sicherheitskontrollen, die sie bieten, um Ransomware zu blockieren, zu erkennen und sich davon zu erholen. Anschließend wird eine robuste Lösung vorgestellt, die Ihre Daten und IT-Systeme weiter schützen kann.

Ausgewählte verwandte Inhalte:

Sicherheitsbedenken bei Entra ID

On-premises Active Directory ist ein Hauptziel von Cyberkriminellen, da es weiterhin der primäre Identity Management-Dienst für die meisten Organisationen bleibt. Jedoch kann auch Entra ID kompromittiert werden und wird zu einem häufigeren Ziel. Hier sind die wichtigsten Faktoren, die es anfällig für Ransomware-Angriffe machen:

  • Keine Organisationseinheiten (OUs) — In lokalen ADs nutzen Administratoren oft OUs, um Benutzer und Geräte für eine genauere und effizientere Bereitstellung und Überwachung zu gruppieren. Zum Beispiel erleichtert es das Zusammenlegen aller hochprivilegierten Konten in einer einzigen OU, strengere Sicherheitskontrollen auf diese anzuwenden. Jedoch unterstützt Entra ID keine Organisationseinheiten. Die daraus resultierende erhöhte administrative Belastung für IT-Teams kann zu Fehlern führen, die Ransomware-Infektionen ermöglichen.
  • Keine Gruppenrichtlinie — In lokalen AD-Umgebungen neigen Administratoren auch dazu, stark auf Group Policy zur Durchsetzung der Sicherheit zu setzen. Group Policy wird in Entra ID nicht unterstützt, was die Verwaltung von Geräteeinstellungen erheblich erschwert und die Installation und Ausführung von Ransomware ermöglichen kann.
  • Mangelhaftes Protokoll für Single Sign-On (SSO) — SSO ermöglicht es Benutzern, sich bei Entra ID anzumelden, ohne ihr Passwort einzugeben. Allerdings ist das SAML-Protokoll, das für SSO verwendet wird, fehlerhaft, was Hackern ermöglicht, Brute-Force-Angriffe durchzuführen, um Benutzerkonten zu kompromittieren. Während die Multifaktor-Authentifizierung (MFA) diese Angriffe blockieren kann, ist es nicht praktikabel, MFA für alle Konten zu fordern, da dies Aufgaben wie die Unterstützung mittels Remote PowerShell stört. Hacker versuchen häufig, administrative Konten ohne aktiviertes MFA zu kompromittieren. Zu den bekanntesten Beispielen gehören der Deloitte-Hack, bei dem Hacker den globalen E-Mail-Server des Unternehmens kompromittierten, und der Hack von Optus, bei dem die fehlende Authentifizierung für ihre öffentlich zugängliche API zur Offenlegung von etwa 10 Millionen Datensätzen führte, die sensible persönliche Informationen der Benutzer enthielten.
  • Blindstellen in hybriden Umgebungen — Die meisten Organisationen verfügen über eine hybride Umgebung, die on-prem AD und Entra ID kombiniert. Die daraus resultierende Komplexität im Bereich Identity and Access Management und Endpoint Management kann zu Blindstellen führen, die Hackern die Möglichkeit bieten, Ransomware einzusetzen.

Wie kompromittierte Azure AD-Konten sich verhalten

Entra ID bietet rollenbasierte Zugriffskontrolle (RBAC), sodass die einer Benutzerin oder einem Benutzer zugewiesenen Rolle oder Rollen beeinflussen, was ein Hacker tun kann, wenn er das Konto kompromittiert. Hier sind die wichtigsten integrierten Rollen, die man kennen sollte:

  • Leser — Ein Hacker, der ein Konto mit dieser Rolle kompromittiert, kann auf sensible Informationen zugreifen. Sie können Runbooks und andere Ressourcen lesen, die möglicherweise hartkodierte Anmeldeinformationen oder zusätzliche nützliche Informationen enthalten. Bedrohungsakteure verfolgen auch neue Ziele und Adressräume durch virtuelle Netzwerke.
  • Eigentümer— Die Rolle des Eigentümers kann Ressourcen bearbeiten und Berechtigungen für jede Ressource erteilen. Daher ist diese Rolle für Bedrohungsakteure von großem Interesse.
  • Mitwirkender— Benutzer mit dieser Rolle können neue Ordner und Dateien hochladen, aber sie können keine Dateien entfernen, verschieben oder kopieren. Daher ist diese Rolle für Hacker weniger nützlich.
  • Benutzerzugriffsadministrator — Durch diese Rolle können Bedrohungsakteure Zugriffsrechte auf andere Ressourcen erteilen. Daher ist dies auch eine mächtige Rolle, die Sie sorgfältig vergeben sollten.

Sicherheitsbedenken bei Microsoft 365

Angreifer können Microsoft 365 als Eintrittspunkt für Ransomware ausnutzen. Zu den Hauptbedenken, gegen die man sich verteidigen sollte, gehören:

  • Phishing — Angreifer senden E-Mails über Exchange Online, um Benutzer dazu zu verleiten, bösartige Anhänge zu öffnen oder bösartige Websites zu besuchen, um Ransomware zu starten.
  • Dateifreigabe— SharePoint und Teams sind leistungsstarke Kollaborationstools, die es Benutzern sehr leicht machen, Informationen sowohl mit internen Kollegen als auch mit externen Parteien zu teilen. Ohne angemessene Kontrollen und Überwachung kann dies Angreifern ermöglichen, bösartige Dateien hochzuladen oder nützliche Informationen für Ransomware-Angriffe zu sammeln.
  • Fehlverwaltete Berechtigungen — Microsoft 365 ist eine hochkomplexe Plattform zur Verwaltung, sodass Benutzer mit weit mehr Zugriffsrechten enden können, als sie benötigen. Jede Ransomware, die unter ihren Anmeldeinformationen läuft, erbt diese Rechte, was ihr ermöglicht, mehr Schaden anzurichten, als sie könnte, wenn das Prinzip der geringsten Berechtigungen strikt durchgesetzt würde.

Microsoft-Tools zum Schutz gegen Ransomware

Um das Risiko von Ransomware zu verringern, bieten Office 365 und Entra ID eine Vielzahl von Sicherheitstools, einschließlich der folgenden:

  • Microsoft Defender bietet fortschrittliche Funktionen zur Bedrohungserkennung und -abwehr. Es hilft Ihnen, Schwachstellen zu entdecken und zu beheben, um Ihre Angriffsfläche zu reduzieren, sowie laufende Ransomware-Bedrohungen zu erkennen und zu unterbrechen.
  • Microsoft Secure Score analysiert Ihre Sicherheit und vergleicht sie mit der Microsoft-Baseline, was zu einer numerischen Bewertung führt, die Sie nutzen können, um die Wirksamkeit Ihrer Sicherheitsverbesserungsstrategie zu messen.
  • Microsoft Purview Compliance Managerhilft Ihnen dabei, Ihre Übereinstimmung mit regulatorischen Anforderungen zu bewerten und zu verstehen, welche Maßnahmen Sie ergreifen müssen, um sich zu verbessern, was Ihnen dabei helfen kann, sowohl mit neuen Vorschriften als auch mit neuen Versionen bestehender Mandate Schritt zu halten.
  • Microsoft Purview Data Loss Prevention hilft Ihnen dabei, den Zugriff auf Daten zu steuern und zu überwachen, um die unautorisierte Weitergabe, Nutzung oder Übertragung sensibler Informationen zu verhindern. Beispielsweise können Sie Vertraulichkeitsstufen festlegen und bestimmen, welche Aktionen für sensible Informationen erlaubt sind.
  • Microsoft Conditional Access ermöglicht es Ihnen, Richtlinien zu definieren, die dynamisch bestimmen, ob der Zugriff erlaubt, blockiert oder eingeschränkt wird, oder ob ein zusätzlicher Verifizierungsschritt erforderlich ist, basierend auf Faktoren wie Gerät, Standort oder Sitzungsrisiko. Zum Beispiel könnte Conditional Access einen Gegner daran hindern, sich mit gestohlenen Anmeldeinformationen von einem ungewöhnlichen Ort aus anzumelden, indem ein MFA-Schritt hinzugefügt wird, wodurch verhindert wird, dass sie Ransomware platzieren.
  • Microsoft Purview Information Protection hilft Ihnen dabei, sensible Informationen zu entdecken, zu klassifizieren und zu schützen, egal wo sie sich befinden oder bewegen. Zum Beispiel können Sie sicherstellen, dass E-Mails, die an einen beliebigen Benutzer gesendet werden, verschlüsselt sind, sodass nur autorisierte Empfänger sie lesen können.
  • Microsoft Entra Identity Protection hilft Organisationen dabei, identitätsbasierte Risiken zu erkennen, zu untersuchen und zu beheben. Insbesondere kann es Ihnen helfen, ungewöhnliches Benutzerverhalten zu erkennen, das auf einen Ransomware-Akteur hinweisen könnte, der versucht, gestohlene Anmeldeinformationen zu verwenden, oder auf eine laufende Ransomware-Bedrohung.
  • Datenwiederherstellung — Sollte ein Ransomware-Angriff erfolgreich sein, bietet Microsoft einige Entra ID und Office 365 Ransomware-Wiederherstellungsoptionen an. Dazu gehören das „Restore your OneDrive“-Feature, der OneDrive Papierkorb und der SharePoint-Website-Sammlung Papierkorb. Organisationen müssen jedoch auch eine unternehmensgerechte Backup- und Wiederherstellungsstrategie implementieren.

Wie Netwrix Directory Manager helfen kann

Obwohl diese Microsoft-Lösungen wertvoll sind, ist das ordnungsgemäße Verwalten Ihrer hybriden oder Cloud-Umgebung eine komplexe Aufgabe, und Fehler oder Fehlkonfigurationen können die Tür für kostspielige Ransomware-Infektionen öffnen. Eine Drittanbieterlösung kann helfen.

Netwrix Directory Manager ist eine leistungsstarke Identity and Access Management (IAM)-Lösung, die die Belastung Ihrer IT-Teams verringert und gleichzeitig Sicherheit und Compliance verbessert. Sie ermächtigt Sie zu folgendem:

  • Vereinfachen Sie das Management von Sicherheits- und Verteilergruppen
  • Ermitteln Sie Gruppenbesitzer
  • Delegieren Sie Gruppenverwaltungsaufgaben
  • Erstellen Sie benutzerfreundliche Berichte für verbesserte Einblicke und Kontrolle

FAQ

Hat Microsoft Office 365 einen Virenschutz?

Ja, Office 365 ist mit robusten Antivirus- und Anti-Malware-Funktionen ausgestattet. Es verwendet fortschrittliche Bedrohungsintelligenz und Scan-Technologien, um Virenangriffe zu erkennen und zu stoppen.

Ist der Ransomware-Schutz in Office 365 integriert?

Ja, Microsoft 365 beinhaltet integrierte Schutzfunktionen gegen Ransomware. Es nutzt fortschrittliche Bedrohungsschutzmaßnahmen, um Ransomware-Gefahren in seiner Anwendungssuite zu erkennen und zu mindern.

Hat OneDrive einen Schutz gegen Ransomware?

Ja. OneDrive ist Teil des Microsoft 365-Pakets. Es verwendet Dateiversionierung und intelligente Bedrohungserkennung, um Ihre Dateien vor Ransomware-Angriffen zu schützen, und bietet einige Backup- und Wiederherstellungsfunktionen.

Schützt Microsoft Defender vor Ransomware?

Ja, Microsoft Defender bietet Schutz vor Ransomware. Es verwendet fortschrittliche Bedrohungsschutzmechanismen, um Ransomware-Bedrohungen zu erkennen, zu blockieren und darauf zu reagieren.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Jonathan Blackwell

Leiter der Softwareentwicklung

Seit 2012 hat Jonathan Blackwell, ein Ingenieur und Innovator, eine führende Rolle in der Ingenieurskunst übernommen, die Netwrix GroupID an die Spitze des Gruppen- und Benutzermanagements für Active Directory und Azure AD Umgebungen gebracht hat. Seine Erfahrung in Entwicklung, Marketing und Vertrieb ermöglicht es Jonathan, den Identity-Markt und die Denkweise der Käufer vollständig zu verstehen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Download and Install PowerShell 7

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

PowerShell-Umgebungsvariablen

So führen Sie ein PowerShell-Skript aus

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Windows PowerShell-Skripterstellung Tutorial für Anfänger

Ein Überblick über den MGM Cyberangriff