Hardening
Baselines konsequent umgesetzt
Härtung und Absicherung von Microsoft‑Produkten in der Cloud und On‑Prem. Fokus: typische Angriffsszenarien, häufige Schwachstellen und ein umsetzbares Vorgehen – inklusive Microsoft‑Tooling.
Hardening‑Workflow
- ✓BaselineSoll‑Konfiguration (Policies, Baselines, RBAC)
- ✓DriftAbweichungen erkennen (CSPM, Config Audits)
- ✓Enforcementtechnische Durchsetzung (Policy/GPO/MDM)
- ✓NachweisLogging, Reports, Exceptions mit Begründung
Ziel: Hardening als Programm mit messbarem Sicherheitsniveau und verwertbaren Audit‑Nachweisen – nicht als Einmalmaßnahme
- ✓OutcomeBaseline + Exception‑Register + Continuous Compliance
- ✓RisikohebelIdentity/Privileged Access, Tier‑0‑Schutz, Logging & Response‑Fähigkeit
- ✓NachweisPolicies/Reports/Runbooks statt PowerPoint
Cloud: Tenant- und Azure-Hardening
| Control | Technische Umsetzung | Evidence / Nachweis |
|---|---|---|
| CA Baseline (MFA, device compliant, geo/risk) | Conditional Access Policies inkl. Named Locations, Risk-based CA (falls lizenziert), Break‑Glass ausgeschlossen | Policy Export, Sign‑in Logs, MFA Registration Reports |
| Phishing-resistente MFA | FIDO2/Passkeys, Authenticator Number Matching, CAE aktivieren | Authentication Methods Report, Sign‑in Details |
| PIM für alle privilegierten Rollen | JIT-Activation, Approval/Justification, MFA on activation, Alerting | PIM Audit Logs, Role Assignments, Access Reviews |
| Legacy Auth deaktivieren | Block Legacy Protocols, SMTP Auth nur falls begründet; Modern Auth erzwingen | CA Policy, Sign‑in Logs (legacy), Message trace |
| Privileged Access Workstations | Admin‑Zugriffe nur von gehärteten Admin‑Geräten / separaten Accounts | Device Compliance, CA device filter, Inventory |
| Azure Landing Zone / Guardrails | Management Groups, RBAC‑Model, Network Hub/Spoke, Blueprint/ALZ | MG Tree, RBAC Exports, Architecture Decision Records |
| Azure Policy (Policy as Code) | Baseline-Initiativen, Deny/DeployIfNotExists, CI/CD für Policies | Policy Compliance Reports, Repo/PR Evidence |
| Secrets & Keys zentral | Key Vault, RBAC, Private Endpoints, Rotation | KV Access Policies/RBAC, Diagnostic Logs |
| Logging verpflichtend | Diagnostic Settings: Entra, Azure Activity, Defender, Key Vault, Storage, Network | Log Analytics/Sentinel Tables, Data Ingestion Summary |
| Defender for Cloud / Defender XDR | Secure Score, Vulnerability Mgmt, Attack Path Analysis (falls verfügbar), Alert routing | Secure Score Reports, Incidents, Recommendations Exports |
Angriffsszenarien und Schwachstellen
Token‑Diebstahl / Consent‑Phishing
Conditional Access
MFA/Phishing‑resistent, Session Controls, Risk‑Based Policies
Fehlkonfiguration in Azure (CSPM‑Findings)
Landing‑Zone‑Guardrails
Management Groups, Standard‑Policies, Naming/Tagging
Unzureichendes Logging und Retention
Logging‑Blueprint
Quellen, Parser, Normalisierung, KQL‑Standards
Retention‑Tiering
Hot/Warm/Archive, Kosten‑Modelle
Datenabfluss über Collaboration
Externes Sharing „by design“
B2B‑Settings, Access Reviews, CA für Gäste
On-Premises: AD, Server und Endpoint-Hardening
| Control | Technische Umsetzung | Evidence / Nachweis |
|---|---|---|
| Tier‑Modell (0/1/2) | Separate Admin‑Konten, Jump/PAW, Admin‑Trennung nach Kritikalität | AD Gruppenstruktur, GPO Export, Admin Logons |
| LAPS / Local Admin Controls | Windows LAPS, keine identischen lokalen Admin‑Passwörter, Rotation | LAPS Policies, Event Logs, Compliance Report |
| NTLM/SMB Hardening | NTLM einschränken, SMB Signing, SMBv1 deaktivieren, Kerberos priorisieren | Security Baseline Report, GPO Export |
| Protected Users / Authentication Silos | Schutz gegen Credential Delegation; restriktive Logon‑Rights | AD Objektkonfiguration, DC Security Logs |
| Kerberos Hardenings | AES-only wo möglich, Delegation minimieren, krbtgt Rotation geplant | AD Settings, Change Records |
| Patch- und Vulnerability Programm | Ringmodell, Wartungsfenster, EOL Tracking, regelmäßige Scans | Patch Reports, Scanner Findings + Remediation Tickets |
| ASR/EDR Baseline | Defender for Endpoint, ASR rules, Tamper Protection | MDE Baseline Compliance, Alerts/Incidents |
| WDAC / App Control (wo geeignet) | Allowlisting für kritische Systeme (Tier‑0/Server) | Policy Deployment Evidence, Block Events |
| Credential Guard / LSASS Schutz | Virtualization‑based Security, Protected Process Light (PPL) | Device Compliance, Event Logs |
| Backup/Recovery immutabel | Offline/Immutable Backups, regelmäßige Restore‑Tests, getrennte Admins | Restore Test Protokolle, Backup Logs, RTO/RPO |
Angriffsszenarien und Schwachstellen
Credential Theft → Lateral Movement → Domain Dominance
Typisch: Admin‑Credentials auf Workstations, fehlendes Tiering, unsichere Service Accounts.
- ✓AD Tiering (Tier 0/1/2), Admin‑Pfad strikt getrennt
- ✓PAW / Privileged Access Workstations, Jump‑Hosts, keine Internet‑Nutzung
- ✓LAPS/Windows LAPS, Kerberos‑Härtung, Delegation‑Hygiene
Unsichere Standard‑Konfiguration (Servers/Clients)
Fehlende Baselines, lokale Adminrechte, übermäßige Angriffsfläche (Makros, Script Hosts, SMB‑Settings).
- ✓Microsoft Security Baselines / Security Compliance Toolkit
- ✓Attack Surface Reduction, Controlled Folder Access (wo möglich)
- ✓WDAC / App Control, PowerShell Logging, TLS‑Hardening
Patch‑Lücken bei Internet‑exponierten Systemen
Patch‑Runbook
Wartungsfenster, Pre‑Checks, Rollback, Monitoring
Exposure reduzieren
Reverse Proxy, Netzwerk‑Segmente, MFA‑Gateways
Domain Controller & Tier‑0‑Assets
Tier‑0 muss als eigene Sicherheitszone betrieben werden – inklusive spezieller Monitoring‑ und Recovery‑Vorgehen.
- ✓DC‑Hardening, Backup/Restore (System State) und regelmäßige DR‑Tests
- ✓MDI Sensors, Event Forwarding, zentrale Alarmierung
- ✓Separation of Duties und strikte Change‑Kontrolle
Hardening als Programm – nicht als Einmalprojekt
Controls nach Ebenen
- ✓Identity: CA‑Baseline, PIM/JIT, Admin‑Tiering, Legacy Auth abschalten
- ✓Device/Server: Baselines, ASR/WDAC, LAPS, Credential Guard
- ✓Cloud: Landing Zones, Policy, RBAC, Private Endpoints, Key Vault
- ✓Data: Labels, DLP, Retention, eDiscovery/Audit
- ✓Detection: Use‑Case‑Katalog, Log‑Quellenliste, Alert‑Tuning, SOAR‑Runbooks
Vorgehen für Ausnahmen
- ✓Exception‑Register: Begründung, Risiko, Kompensation, Ablaufdatum
- ✓Technische Kompensation: zusätzliche Detection, strengere Monitoring‑Regeln
- ✓Review: monatliche Exception‑Reviews mit CISO/SOC/Plattform
- ✓Nachweis: Decision Record + Ticket + relevante Logs/Reports
Ziel ist eine kontrollierte Abweichung – nicht eine stillschweigende Erosion der Baseline.
Beispiel-Playbooks
Entra / Identity
- ✓CA‑Baseline (MFA, Device Compliance, Risk‑based)
- ✓PIM Rollen + Approval‑Flow
- ✓Break‑Glass Tests & Alarmierung
Endpoint/Server
- ✓Security Baselines + Drift‑Reports
- ✓ASR/Attack Surface Reduction im Wellenrollout
- ✓Lokale Adminrechte via LAPS
Cloud Governance
- ✓Policy Initiative Sets (CIS‑orientiert)
- ✓Privileged Access für Azure Ressourcen
- ✓Log‑Retention + Kostenmodell
Validation & Continuous Compliance
Hardening ist nur dann wirksam, wenn Abweichungen erkannt und behoben werden. Deshalb gehört ein kontinuierlicher „Check‑Fix‑Prove“-Zyklus dazu: Messen → Remediate → Nachweisen.
- ✓Messen: Secure Score/Compliance Trends, Policy Compliance, TVM Findings, Coverage
- ✓Remediate: definierte Owner, Change‑Fenster, Rollback‑Plan
- ✓Nachweisen: Evidence‑Artefakte + Review‑Protokoll
Was möchten Sie jetzt tun?
Die Spezialisten der XELANED stehen Ihnen für die nächsten Schritte jederzeit zur Verfügung. Gemeinsam priorisieren wir Themen, klären Abhängigkeiten und wählen ein Vorgehen, das fachlich und organisatorisch zu Ihrer Umgebung passt.
Projektplanung
Wir besprechen Scope, Abhängigkeiten und erstellen eine belastbare Vorgehensplanung.