In einer Zeit, in der digitale Sicherheit immer mehr an Bedeutung gewinnt, ist die Verwaltung von Benutzerzugriffen ein entscheidender Faktor für den Schutz sensibler Daten und Ressourcen. Microsoft Entra stellt Unternehmen leistungsstarke Werkzeuge zur Verfügung, um den Zugriff auf wichtige Informationen und Systeme zu steuern und zu überwachen. Besonders in kritischen Situationen, wie bei kompromittierten Benutzerkonten oder dem Ausscheiden von Mitarbeitern, ist es unerlässlich, den Zugriff schnell und sicher zu widerrufen, um potenzielle Sicherheitsrisiken zu minimieren.
In diesem Blogpost wird ausführlich beschrieben, wie man den Benutzerzugriff in einer hybriden oder reinen Cloud-Umgebung mit Microsoft Entra widerruft. Die Anleitung stellt sicher, dass das Benutzerkonto deaktiviert, das Kennwort zurückgesetzt, die Token widerrufen und alle Geräte des Benutzers deaktiviert werden.
Voraussetzungen
Rollen
Dieser Artikel folgt dem Prinzip der geringsten Berechtigungen für jede Aufgabe und schlägt eine entsprechende Rolle vor. Abhängig der eigenen Konfiguration kann jedoch auch eine andere Rolle geeignet sein. Eine hilfreiche Übersicht zu den geringsten erforderlichen Berechtigungen für verschiedene Aufgaben bietet der folgende Artikel auf Microsoft Learn:
Rollen mit geringstmöglichen Berechtigungen nach Aufgabe – Microsoft Entra ID | Microsoft Learn
Rolle | Aufgabe | Berechtigung |
Kennwortadministrator | Kennwort zurücksetzen | microsoft.directory/users/password/update |
Benutzeradministrator | Benutzerkonto deaktivieren | microsoft.directory/users/disable |
Helpdeskadministrator | Aktualisierungstoken widerrufen | microsoft.directory/users/invalidateAllRefreshTokens |
Cloudgeräteadministrator | Geräte deaktivieren | microsoft.directory/devices/disable |
Zum Deaktivieren von Benutzerkonten und Zurücksetzen von Kennwörtern in einer hybriden Umgebung ist im lokalen Active Directory die Mitgliedschaft in der Sicherheitsgruppe Konten-Operatoren geeignet.
Benutzerzugriff widerrufen
Falls kein lokales Active Directory vorhanden ist, kann direkt mit dem Abschnitt Microsoft Entra Umgebung fortgefahren werden.
Hybride Umgebung
Das Active Directory Benutzer und Computer Snap-In auf dem Windows Server starten.
Benutzerkonto deaktivieren
Benutzer auswählen > Konto deaktivieren
Das Benutzerkonto ist nun erfolgreich deaktiviert.
Kennwort zurücksetzen
Das Benutzerkennwort wird zweimal zurückgesetzt, um das Risiko eines Pass-the-Hash-Angriffs zu minimieren.
Was ist ein Pass-the-Hash Angriff?
Benutzer auswählen > Kennwort zurücksetzen
Neues Kennwort eingeben
Das Kennwort wurde erfolgreich geändert. Nun muss das Kennwort ein zweites Mal geändert werden.
Microsoft Entra Umgebung
Das Benutzerkonto, die dazugehörigen Aktualisierungstoken und Geräte können im Microsoft Entra Admin Center deaktiviert werden.
Kennwort zurücksetzen
Dieser Schritt ist nur notwendig, wenn es sich um ein reines Cloud-Benutzerkonto handelt. Bei synchronisierten Benutzerkonten wird das Kennwort im Active Directory zurückgesetzt.
Microsoft Entra Admin Center (https://entra.microsoft.com) öffnen und Benutzerkonto unter Identität > Benutzer > Alle Benutzer > aufrufen.
In der Benutzerübersicht auf Kennwort zurücksetzen (1) und nochmals auf Kennwort zurücksetzen (2) klicken.
Ein temporäres Kennwort wird erstellt. Dieses Kennwort läuft nie ab.
Benutzerkonto deaktivieren
Microsoft Entra Admin Center (https://entra.microsoft.com) öffnen und Benutzerkonto unter Identität > Benutzer > Alle Benutzer > aufrufen.
Einstellungen unter Eigenschaften auswählen.
Konto deaktivieren
In der Benutzerübersicht wird der Kontostatus als deaktiviert angezeigt.
Aktualisierungstoken widerrufen
Microsoft Entra Admin Center (https://entra.microsoft.com) öffnen und Benutzerkonto unter Identität > Benutzer > Alle Benutzer > aufrufen.
In der Benutzerübersicht auf Sitzungen widerrufen klicken.
Sitzungen widerrufen bestätigen
Die Aktualisierungstoken wurden erfolgreich widerrufen. Alle aktiven Sitzungen des Benutzers sind beendet, und eine erneute Authentifizierung wird erzwungen. Diese wird jedoch fehlschlagen, da das Benutzerkonto zuvor deaktiviert wurde.
Geräte deaktivieren
Microsoft Entra Admin Center (https://entra.microsoft.com) öffnen und Benutzerkonto unter Identität > Benutzer > Alle Benutzer > aufrufen.
Geräte (1) anklicken, alle Geräte (2) markieren und Deaktivieren (3) auswählen.
Deaktivierung der Geräte bestätigen.
Die Geräte des Benutzers werden als Deaktiviert angezeigt.
Gut zu wissen
Was ist ein Pass-the-Hash Angriff?
Ein Pass-the-Hash-Angriff ist eine Technik, bei der ein Angreifer den Hashwert eines Kennworts verwendet, um sich gegenüber einem System zu authentifizieren. Anstatt das eigentliche Kennwort zu kennen oder zu erraten, liest der Angreifer den Hashwert aus, der normalerweise zur sicheren Speicherung von Kennwörtern verwendet wird. Dieser Hashwert wird dann direkt zur Anmeldung genutzt. Da der Hashwert die gleiche Authentifizierungskraft wie das ursprüngliche Kennwort besitzt, kann der Angreifer auf das System zugreifen, als ob er das Kennwort selbst eingegeben hätte. Diese Methode umgeht somit die Notwendigkeit, das eigentliche Kennwort zu kennen, und stellt eine erhebliche Sicherheitsbedrohung dar.
Ein Angreifer kann auf verschiedene Weise an den Hashwert gelangen, zum Beispiel:
- Durch das Auslesen von Speicherinhalten: Der Angreifer kann den Hashwert direkt aus dem Arbeitsspeicher eines kompromittierten Systems extrahieren.
- Durch das Abfangen von Netzwerkverkehr: Wenn der Hashwert über das Netzwerk übertragen wird, kann der Angreifer ihn abfangen.
- Durch das Ausnutzen von Schwachstellen: Sicherheitslücken in Software oder Betriebssystemen können es dem Angreifer ermöglichen, auf die Hashwerte zuzugreifen.
- Durch das Eindringen in Datenbanken: Der Angreifer kann in eine Datenbank eindringen, in der die Hashwerte gespeichert sind, und diese extrahieren.
Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!