Beim Token-Diebstahl stehlen Angreifer das Token eines Benutzers, nachdem dieser sich erfolgreich angemeldet hat. Mit diesem Token können die Angreifer die Identität des Benutzers übernehmen und auf geschützte Ressourcen zugreifen, ohne dass eine erneute Anmeldung erforderlich ist. Diese Technik wird zunehmend von Angreifern eingesetzt, um Sicherheitsmechanismen wie die Multi-Faktor-Authentifizierung (MFA) zu umgehen.

Dieser Blogpost stellt einige leicht umsetzbare Massnahmen vor, um sich vor Token-Diebstahl besser zu schützen. Es gibt noch viele weitere Schutzmöglichkeiten, die hier nicht behandelt werden. Die Sicherheitslandschaft entwickelt sich ständig weiter, daher ist es wichtig, die Schutzmassnahmen regelmässig zu überprüfen und anzupassen, um stets gegen neue Bedrohungen gewappnet zu sein. Dieser Artikel wird regelmässig aktualisiert, um neue Methoden und erlangte Erkenntnisse hinzuzufügen.

Voraussetzungen und Lizenzierung

Lizenzen

Die hier beschriebenen Massnahmen erfordern unterschiedliche Lizenzen, da sie verschiedene Funktionen voraussetzen:

FunktionLizenz
Bedingter Microsoft Entra-ZugriffMicrosoft Entra ID P1
TokenschutzMicrosoft Entra ID P2
Microsoft IntuneMicrosoft Intune P1

Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

Rollen nach dem Prinzip der geringsten Rechte

Für die Konfiguration können folgende Microsoft Entra Rollen verwendet werden:

RolleBerechtigung
Administrator für bedingten ZugriffVerwalten von Funktionen zum bedingten Zugriff
BerichtleseberechtigterLesen von Anmeldungs- und Überwachungsberichten
Intune AdministratorVerwalten sämtlicher Aspekte des Produkts Intune

Tokenschutz aktivieren

Tokenschutz bindet Token kryptografisch an registrierte Geräte. Das bedeutet, dass ein Token nur auf dem Gerät genutzt werden kann, für das es ausgestellt wurde. Dadurch wird verhindert, dass Token auf einem anderen Gerät genutzt und von Angreifern ausgenutzt werden können. Tokenschutz arbeitet mit Signaturen, die aus Geräteinformationen und Sicherheitsmerkmalen bestehen.

Der Tokenschutz befindet sich in der Vorschau und wird beim bedingten Microsoft Entra-Zugriff für Mobile Apps und Desktopanwendungen unterstützt, die von Windows-Geräten aus auf Exchange Online und SharePoint Online zugreifen. Applikationen und Plattformen werden laufend erweitert.

Tokenschutz wird über die bedingten Microsoft Entra-Zugriffe aktiviert.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff öffnen und neue Richtlinie erstellen auswählen.

Name für die bedingte Microsoft Entra Zugriffsrichtlinie vergeben.
Die Benennungskonventionen sind hier beschrieben: Framework und Richtlinien für bedingten Zugriff – Azure Architecture Center | Microsoft Learn

Benutzer und Gruppen für diese Richtlinie auswählen. Notfallzugriffskonten (Emergency Accounts) sollten ausgeschlossen werden.

Die Zielressourcen auf Office 365 Exchange Online und Office 365 Sharepoint Online setzen. Zum Zeitpunkt der Erstellung dieses Blogposts sind dies die einzigen Ressourcen, welche Tokenschutz unterstützen.

Die Bedingungen für die Geräteplattform auf Windows setzen.

Die Bedingungen für die Client-Apps auf Mobile Apps und Desktopclients setzen.

Unter Sitzung das Feature Tokenschutz für Anmeldesitzungen erforderlich aktivieren.

Die Richtlinie wird mit Ein aktiviert und mit Erstellen gespeichert.

Die Richtlinie wurde erfolgreich erstellt und der Tokenschutz aktiviert.

Funktionskontrolle

Anmeldung mit einem registrierten Gerät

Die Umsetzung des bedingten Microsoft Entra-Zugriffs für den Tokenschutz lässt sich in den Anmeldeprotokollen nachverfolgen. Im folgenden Beispiel wurde die Anmeldung auf einem registrierten Gerät durchgeführt.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Identität > Benutzer > Alle Benutzer > Anmeldeprotokolle

Anmeldung mit einem nicht registrierten Gerät

Meldet sich ein Benutzer von einem nicht registrierten Gerät an, wird zur Registrierung des Geräts aufgefordert, bevor ein Token ausgestellt werden kann.

Im Anmeldeprotokoll wird festgehalten, dass der Token nicht ausgestellt werden konnte.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Identität > Benutzer > Alle Benutzer > Anmeldeprotokolle

Gerätekonformität erzwingen

Die Gerätekonformität kann mithilfe des bedingten Microsoft Entra-Zugriffs überprüft werden. Die Kriterien zur Konformität lassen sich individuell in Microsoft Intune festlegen. Eine detaillierte Beschreibung dieser Konfigurationsmöglichkeiten würde den Rahmen dieses Blogbeitrags übersteigen. Weitere Informationen: Erstellen von Gerätekonformitätsrichtlinien in Microsoft Intune | Microsoft Learn

Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff öffnen und neue Richtlinie erstellen auswählen.

Name für die bedingte Microsoft Entra Zugriffsrichtlinie vergeben.
Die Benennungskonventionen sind hier beschrieben: Framework und Richtlinien für bedingten Zugriff – Azure Architecture Center | Microsoft Learn

Benutzer und Gruppen für diese Richtlinie auswählen, dabei Notfallzugriffskonten (Emergency Accounts) und bei Bedarf weitere Konten ausschliessen, um ein versehentliches Aussperren zu vermeiden.

Die Zielressourcen auf Alle Ressourcen (früher Alle Cloud-Apps) setzen. Es können auch nur spezifische Programme wie Sharepoint Online oder Exchange Online ausgewählt werden.

Bei Bedarf können unter Bedingungen weitere granulare Kriterien konfiguriert werden, so z.B. die Anwendung der Richtlinie nur auf bestimmten Geräteplattformen wie Windows, Android oder iOS.

Unter Gewähren die Option Markieren des Geräts als kompatibel erforderlich aktivieren. Dadurch wird die Gerätekonformitätsrichtlinie aus Microsoft Intune überprüft und nur Geräte zugelassen, die den Anforderungen dieser Richtlinie entsprechen.

Die Konfiguration erneut prüfen, um sicherzustellen, dass Accounts nicht versehentlich ausgesperrt werden. Bei Bedarf kann die bedingte Microsoft Entra-Zugriffsrichtlinie auch im Nur Bericht-Modus getestet werden.
Die Richtlinie wird mit Ein aktiviert und mit Erstellen gespeichert.

Die Richtlinie ist erfolgreich erstellt und prüft die Gerätekonformität.

Funktionskontrolle

Benutzeranmeldung

Beim Versuch, sich mit einem Gerät bei einer Anwendung anzumelden, das nicht den Konformitätsrichtlinien entspricht, erscheint folgende Fehlermeldung.

Der Fehlercode 53000 signalisiert, dass das Gerät die festgelegten Konformitätsanforderungen nicht erfüllt.

Eine umfassende Übersicht über die AADSTS-Fehlercodes und deren Beschreibungen ist verfügbar unter: Fehlercodes bei der Microsoft Entra-Authentifizierung und -Autorisierung – Microsoft identity platform | Microsoft Learn

Anmeldeprotokolle

Der Anmeldeversuch wird im Anmeldeprotokoll mit dem Anmeldefehler 53000 angezeigt.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Identität > Benutzer > Alle Benutzer > Anmeldeprotokolle

Verwaltete Geräte prüfen

Eine bedingte Microsoft Entra-Zugriffsrichtlinie prüft, ob die Geräte in Microsoft Entra als Microsoft Entra eingebunden, Microsoft Entra Hybrid eingebunden oder Microsoft Entra registriert sind. Sind die Geräte dies nicht, wird der Zugriff blockiert.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff öffnen und neue Richtlinie erstellen auswählen.

Name für die bedingte Microsoft Entra Zugriffsrichtlinie vergeben.
Die Benennungskonventionen sind hier beschrieben: Framework und Richtlinien für bedingten Zugriff – Azure Architecture Center | Microsoft Learn

Benutzer und Gruppen für diese Richtlinie auswählen, dabei Notfallzugriffskonten (Emergency Accounts) und bei Bedarf weitere Konten ausschliessen, um ein versehentliches Aussperren zu vermeiden.

Die Zielressourcen auf Alle Ressourcen (früher Alle Cloud-Apps) setzen. Es können auch nur spezifische Programme wie Sharepoint Online oder Exchange Online ausgewählt werden.

Die Geräteregistrierung wird unter Bedingungen geprüft.
1. Nach Geräten filtern auswählen
2. Konfigurieren auf Ja setzen
3. Option Gefilterte Geräte von Richtlinie ausschliessen auswählen
4. TrustType auf die gewünschten Werte setzen, wenn mehrere Registrationstypen zulässig sind, zwingend darauf achten, dass der logische Operator auf Oder gesetzt ist
– in Microsoft Entra eingebunden
– in Microsoft Entra Hybrid eingebunden
– in Microsoft Entra registriert
5. Ausdruck hinzufügen anklicken
6. Das Filterkriterium wird eingefügt
7. Filter mit Fertig speichern

Unter Gewähren die Option Blockzugriff aktivieren. Die Richtlinie soll alle Geräte blockieren, welche nicht den Gerätefilterkriterien entsprechen.

Die Konfiguration erneut prüfen, um sicherzustellen, dass Accounts nicht versehentlich ausgesperrt werden. Mit Nur Bericht kann die bedingte Microsoft Entra-Zugriffsrichtlinie getestet werden.
Die Richtlinie wird mit Ein aktiviert und mit Erstellen gespeichert.

Die Richtlinie ist erfolgreich erstellt und setzt den Gerätefilter um.

Funktionskontrolle

Benutzeranmeldung

Beim Versuch sich von einem Gerät anzumelden, das nicht Microsoft Entra eingebunden, Microsoft Entra Hybrid eingebunden oder Microsoft Entra registriert ist, erscheint folgende Fehlermeldung.

Der Fehlercode 53003 zeigt an, dass die Anmeldung durch einen bedingten Microsoft Entra-Zugriff verhindert wurde.

Eine umfassende Übersicht über die AADSTS-Fehlercodes und deren Beschreibungen ist verfügbar unter: Fehlercodes bei der Microsoft Entra-Authentifizierung und -Autorisierung – Microsoft identity platform | Microsoft Learn

Anmeldeprotokolle

Der Anmeldeversuch wird im Anmeldeprotokoll mit dem Anmeldefehler 53003 angezeigt.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Identität > Benutzer > Alle Benutzer > Anmeldeprotokolle

Credential Guard und Local Security Authority (LSA) konfigurieren

Mit den Einstellungen für Credential Guard und Local Security Authority (LSA) können Windows-Geräte vor modernen Bedrohungen besser geschützt werden, wodurch Angriffe und der Diebstahl von Anmeldetoken erheblich erschwert werden.

Credential Guard und Local Security Authority (LSA) werden mit einer Konfigurationsrichtlinie in Microsoft Intune Admin Center (https://intune.microsoft.com) verwaltet.

Geräte > Geräte verwalten > Konfiguration > Richtlinien > Erstellen > Neue Richtlinie

Plattform Windows 10 und höher (1), Profiltyp Einstellungskatalog (2) auswählen und die Richtlinie mit Erstellen (3) erstellen.

Das Konfigurationsprofil benennen (z.B. WCP_PreventTokenTheft) und auf Weiter klicken.

Einstellungen hinzufügen (1) anklicken, Filter auf Device Guard (2) setzen und Credential Guard (3) auswählen.
Option Credential Guard (4) auf Mit UEFI-Sperre aktiviert setzen.

Einstellungen hinzufügen (1) anklicken, Filter auf Local Security Authority (2) und Konfigurieren des geschützten LSA-Prozessen (3) auswählen.
Option Konfigurieren des geschützten LSA-Prozesses (4) auf Aktiviert mit UEFI-Sperre setzen.

Bereichstags nach individuellen Bedürfnissen erstellen.

Zuweisungen lassen sich individuell anpassen.

Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Erstellen wird die Richtlinie erstellt.

Die Richtlinie ist nun erstellt und wird auf die Geräte verteilt.

Nach kurzer Zeit ist die Richtlinie auf die zugewiesenen Geräte angewendet.


Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!

Buy me a coffee