In diesem zweiten Teil meines Beitrags zur Absicherung von Microsoft Teams widme ich mich der Rolle von Richtlinien, der Sicherung von Dateien sowie den unterschiedlichen Administratorenrollen und ihren Rechten, um ein abschließendes Resümee zu ziehen. (Teil 1 finden Sie hier).
Stärkerer Schutz mittels Richtlinien
Microsoft Teams verfügt zudem über administrative Richtlinien, die die Möglichkeiten aller wichtigen Funktionen für die Zusammenarbeit regeln. Dazu gehören Richtlinien, die Chats, Meetings, Live-Events, Teams-Apps, Geräte, Anrufe und die Option, private Kanäle zu erstellen, festlegen.
Administratoren sind hier in der Lage, globale und spezifische Richtlinien zu definieren, die auf bestimmte Personen oder Benutzergruppen angewendet werden. Hierbei gilt, dass stets die granularste Richtlinie wirksam wird. Folglich setzt beispielsweise eine Richtlinie, die auf ein Benutzerobjekt angewendet wird, die auf globaler Ebene definierten Einstellungen außer Kraft. Jede globale Richtlinie sollte von den Verantwortlichen eingehend überprüft und grundlegend definiert werden.
Sicherheit für Dateien in Microsoft Teams
Die Sicherheitsfunktionen von Microsoft Teams umfassen auch die Speicherung von Dateien. In dieser Hinsicht besteht ein großer Vorteil von Microsoft Teams darin, dass die gesamte zugrundeliegende Sicherheitsarchitektur von SharePoint und OneDrive for Business genutzt wird, um Daten zu schützen. Beispielsweise wird die externe Freigabe von Daten im Kanal eines Teams durch die Steuerelemente für die externe Freigabe in der zugehörigen SharePoint-Website-Sammlung geregelt.
Hier gilt es für die Verantwortlichen zu beachten, dass es der Microsoft-Teams-Dienst den Nutzern ermöglicht, die Inhalte in Teams-Kanälen auch bei Drittanbietern für Cloud-Storage wie Google Drive, Box und Dropbox zu speichern. Diese Berechtigung ist standardmäßig aktiviert. Die Einstellungen für diese Berechtigung lassen sich im Microsoft Teams Admin Center verwalten. Die Aktivierung bzw. Deaktivierung dieser Funktion sollte immer im Einklang zur allgemeinen Datensicherheitsstrategie des Unternehmens erfolgen. Sofern kein zwingender Grund vorliegt, Daten außerhalb von Microsoft 365 zu speichern, sollte die Speicherung aufgrund von Sicherheits- und Governance-Vorgaben durch das Security-Team auf SharePoint und OneDrive for Business beschränkt werden.
Rollenverwaltung und privilegierte Administratorzugriffe bei Teams
Wie auch für andere Microsoft-365-Anwendungen wird der administrative Zugriff auf Microsoft Teams durch die rollenbasierte Zugriffskontrolle (RBAC) von Azure AD geregelt. Administratorkonten verfügen über eine oder mehrere der folgenden Teams-spezifischen Admin-Rollen und besitzen folglich die damit verbundenen Zugriffsrechte:
Darüber hinaus müssen die Verantwortlichen beachten, dass viele der privilegierten administrativen Rollen auf der Microsoft-365-Mandantenebene auch über Admin-Zugriff auf den Teams-Dienst verfügen. Sollte eine Organisation beispielsweise über drei globale Microsoft-365-Administratoren verfügen, haben alle von ihnen auch freien Zugang zu den Teams-Admin-Einstellungen. Das Security-Team muss bei der Verwaltung und dem Schutz von Microsoft Teams darauf achten, dass die globale Administratorrollen – insbesondere die des Teams Service Administrators – ein Höchstmaß an Schutz genießen und streng kontrolliert werden. Auch hier ist der Schutz der zugrundeliegenden Azure AD-Identität der wichtigste Schritt. Denn wenn ein Konto eines Teams Service Administrators von Cyberkriminellen kompromittiert wird, ist die gesamte Teams-Umgebung der betreffenden Organisation in Gefahr.
Resümee
Auch wenn noch nicht ganz abzusehen ist, inwieweit die Verlagerung der Arbeit ins Homeoffice von Dauer sein wird, lässt sich bereits eine Tendenz erkennen. Das ortsunabhängige Arbeiten wird zunehmend an Bedeutung gewinnen und die dazu nötigen Tools entsprechend unerlässlich. Umso wichtiger ist es für die Security-Verantwortlichen daher, den Schutz der Mitarbeiter und Daten des Unternehmens auch unter diesen Vorzeichen zu gewährleisten.
Die Sicherheit bei der Nutzung von Microsoft Teams ist wie erläutert eng verknüpft mit den Schutzvorkehrungen des Active Directory bzw. Azure Active Directory. Da sich letzterer jedoch nicht selten nur unzureichend mit Bordmitteln umsetzen lassen, sind die IT-Teams gut beraten, die Verwendung einer Drittanbieter-Lösung zur Absicherung des AD und Azure AD in Erwägung zu ziehen. Auch beim direkten Schutz von Teams können Lösungen von Drittanbietern wie Quest Software die Security-Verantwortlichen dabei unterstützen, ihre Kollaborations-Umgebungen abzusichern und deren Sicherheit umfassend zu gewährleisten.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…