Get best of the week

Office 365- und Microsoft-Teams - Einfache Zusammenarbeit und Auswirkungen auf die Sicherheit



In diesem Artikel möchten wir zeigen, wie die Arbeit mit Microsoft Teams aus Sicht von Benutzern, IT-Administratoren und IS-Mitarbeitern aussieht.

Lassen Sie uns zunächst den Unterschied zwischen Teams und den meisten anderen Microsoft-Produkten in ihrem Office 365-Angebot klären (im Folgenden der Kürze halber - O365).

Teams ist nur ein Client, der keine eigene Cloud-Anwendung hat. Die verwalteten Daten werden in verschiedenen O365-Anwendungen gespeichert.

Wir werden zeigen, was „unter der Haube“ passiert, wenn Benutzer in Teams, SharePoint Online (im Folgenden: SPO) und OneDrive arbeiten.

Wenn Sie jetzt mit dem praktischen Teil zur Bereitstellung von Sicherheit mithilfe von Microsoft-Tools fortfahren möchten (1 Stunde der gesamten Kurszeit), empfehlen wir dringend, unseren hier verfügbaren Office 365 Sharing Audit-Kurs anzuhören . Dieser Kurs behandelt unter anderem die Freigabeeinstellungen in O365, die nur über PowerShell bearbeitet werden können.

Treffen Sie das interne Projektteam von Acme Co.




So sieht dieses Team in Teams aus, nachdem es vom Eigentümer dieses Teams - Amelia - erstellt und seinen Mitgliedern einen angemessenen Zugang gewährt wurde:



Team beginnt mit der Arbeit


Linda impliziert, dass nur James und William, mit denen sie dies besprochen haben, die Datei mit dem in ihrem Kanal platzierten Bonuszahlungsplan kontaktieren.



James wiederum leitet einen Link zum Zugriff auf diese Datei an eine Mitarbeiterin der Personalabteilung, Emma, ​​weiter, die nicht zum Team gehört.



William sendet einen Vertrag mit den persönlichen Daten eines Dritten über den Chat von MS Teams an ein anderes Teammitglied:



Wir klettern unter die Haube


Zoey kann jetzt mit der leichten Hand von Amelia jederzeit jemanden zum Team hinzufügen oder daraus entfernen:



Linda, die ein Dokument mit kritischen Daten auslegte, die nur von zwei ihrer Kollegen verwendet werden sollten, wurde beim Erstellen mit dem Kanaltyp verwechselt, und die Datei wurde



Zugriff auf alle Teammitglieder: Glücklicherweise gibt es eine Microsoft-Anwendung für O365, in der Sie (vollständig für andere Zwecke verwenden) schnell sehen können, auf welche kritischen Daten alle Benutzer Zugriff haben , um einen Benutzer zu testen, der nur in der am häufigsten verwendeten Sicherheitsgruppe enthalten ist .

Selbst wenn sich die Dateien innerhalb der privaten Kanäle (Private Channels) befinden, kann dies möglicherweise keine Garantie dafür sein, dass nur ein bestimmter Personenkreis Zugriff auf sie hat.

In dem Beispiel mit James stellte er einen Link zur Emma-Datei bereit, die nicht einmal im Befehl enthalten ist, ganz zu schweigen vom Zugriff auf den privaten Kanal (falls vorhanden).

In dieser Situation ist das Schlimmste, dass wir in den Sicherheitsgruppen in Azure AD nirgendwo Informationen dazu sehen, da ihm direkt Zugriffsrechte gewährt werden.

Die von William gesendete PDN-Datei steht Margaret jederzeit zur Verfügung, nicht nur während des Online-Chats.

Wir klettern bis zur Taille


Wir verstehen weiter. Lassen Sie uns zunächst sehen, was genau passiert, wenn ein Benutzer ein neues Team in MS-Teams erstellt:



  • In Azure AD wird eine neue Office 365-Sicherheitsgruppe erstellt, einschließlich Teambesitzern und Mitgliedern
  • Die Website des neuen Teams wird in SharePoint Online (im Folgenden: SPO) erstellt.
  • In SPO werden drei neue lokale Gruppen (die nur in diesem Dienst aktiv sind) erstellt: Eigentümer, Mitglieder, Besucher
  • Änderungen werden in Exchange Online vorgenommen

MS Teams Daten und wo sie leben


Teams ist kein Data Warehouse oder keine Plattform. Es ist in alle Office 365-Lösungen integriert.



  • O365 bietet viele Anwendungen und Produkte, aber die Daten werden immer an folgenden Orten gespeichert: SharePoint Online (SPO), OneDrive (im Folgenden: OD), Exchange Online, Azure AD
  • Die Daten, die Sie über MS Teams teilen oder empfangen, werden auf diesen Plattformen und nicht in Teams selbst gespeichert
  • In diesem Fall ist das Risiko ein wachsender Trend zur Zusammenarbeit. Jeder, der Zugriff auf Daten auf den SPO- und OD-Plattformen hat, kann diese jedem innerhalb und außerhalb des Unternehmens zur Verfügung stellen.
  • ( ) SPO,
  • Documents SPO:
    • Documents SPO ( , )
    • Email-, , “Email Messages”

  • , SPO, , ( — SPO)
  • , , OneDrive ( “Microsoft Teams Chat Files”),
  • Chat und Chat-Inhalte werden in den Benutzer- und Team-Postfächern in versteckten Ordnern gespeichert. Jetzt gibt es keine Möglichkeit mehr, zusätzlichen Zugriff auf sie zu erhalten.

Wasser im Vergaser fließen im Laderaum


Die wichtigsten Punkte, die im Hinblick auf die Informationssicherheit wichtig sind :

  • Die Zugriffskontrolle und das Verständnis, wem Rechte an wichtigen Daten gewährt werden können, werden auf die Endbenutzerebene übertragen. Es gibt keine vollständige zentrale Steuerung oder Überwachung .
  • Wenn jemand Unternehmensdaten teilt, sind Ihre „blinden Flecken“ für andere sichtbar, aber nicht für Sie.



In der Liste der Personen, die Teil des Teams sind (über die Sicherheitsgruppe in Azure AD), sehen wir Emma nicht, aber sie hat Zugriff auf eine bestimmte Datei, einen Link, an den James sie gesendet hat.



Auf die gleiche Weise werden wir nicht herausfinden, ob über die Team-Oberfläche auf Dateien zugegriffen werden kann:



Können wir irgendwie Informationen darüber erhalten, auf welches Objekt Emma Zugriff hat? Ja, das können wir, aber nur, indem wir die Zugriffsrechte auf alles oder auf ein bestimmtes Objekt in der SPO untersuchen, für das wir Verdacht haben.

Nachdem wir solche Rechte untersucht haben, werden wir sehen, dass Emma und Chris Rechte an dem Objekt auf SPO-Ebene haben.



Chris? Wir kennen keinen Chris. Wo kommt er her?

Und er "kam" von der "lokalen" Sicherheitsgruppe SPO zu uns, zu der wiederum bereits die Azure AD-Sicherheitsgruppe mit Mitgliedern des Vergütungsteams gehört.



Vielleicht kann Microsoft Cloud App Security (MCAS) Licht in Fragen bringen, die für uns von Interesse sind, indem es das richtige Verständnis bietet?

Leider, nein ... Trotz der Tatsache, dass wir Chris und Emma sehen können, können wir nicht die spezifischen Benutzer sehen, denen Zugriff gewährt wird.

O365 Zugriffsebenen und -techniken - IT-Herausforderungen


Der einfachste Prozess zum Bereitstellen des Zugriffs auf Daten in Dateispeichern innerhalb des Bereichs von Organisationen ist nicht besonders kompliziert und bietet praktisch keine Möglichkeit, die gewährten Zugriffsrechte zu umgehen.



O365 bietet viele Möglichkeiten für die Zusammenarbeit und den Datenzugriff.

  • , , , , , ,
  • ,

Microsoft bei O365 hat wahrscheinlich zu viele Möglichkeiten bereitgestellt, um Zugriffssteuerungslisten zu ändern. Solche Einstellungen befinden sich auf der Ebene des Mandanten, der Websites, Ordner, Dateien, der Objekte selbst und der Links zu diesen. Das Konfigurieren der Eingabehilfeneinstellungen ist wichtig und sollte nicht vernachlässigt werden.

Wir bieten die Möglichkeit, einen kostenlosen, etwa anderthalb Stunden dauernden Videokurs über die Konfiguration dieser Parameter zu absolvieren, auf den am Anfang dieses Artikels verwiesen wird.

Ohne nachzudenken, können Sie alle externen Dateifreigaben blockieren, aber dann:

  • Einige der Funktionen der O365-Plattform bleiben ungenutzt, insbesondere wenn einige Benutzer daran gewöhnt sind, sie zu Hause oder bei einem früheren Auftrag zu verwenden
  • "Fortgeschrittene Benutzer" helfen anderen Mitarbeitern, Ihre Regeln auf andere Weise zu verletzen

Das Konfigurieren von Freigabefunktionen umfasst:

  • Unterschiedliche Konfigurationen für jede Anwendung: OD-, SPO-, AAD- und MS-Teams (ein Teil der Konfiguration kann nur vom Administrator vorgenommen werden, ein Teil - nur von den Benutzern selbst).
  • Konfigurationskonfigurationen auf Mandantenebene und auf der Ebene jedes bestimmten Standorts

Was bedeutet das für IB?


Wie wir oben gesehen haben, können vollständige zuverlässige Zugriffsrechte auf Daten nicht in einer einzigen Schnittstelle



angezeigt werden: Um zu verstehen, wer Zugriff auf JEDE bestimmte Datei oder jeden bestimmten Ordner hat, müssen Sie unabhängig eine Zugriffsmatrix erstellen, Daten dafür sammeln und dabei Folgendes berücksichtigen:

  • Teammitglieder In Azure AD und Teams sichtbar, jedoch nicht in SPO
  • Teambesitzer können Miteigentümer bestimmen, die die Teamliste selbst erweitern können
  • TEAMs können auch EXTERNE Benutzer umfassen - "Gäste"
  • Links, die zum Teilen oder Herunterladen bereitgestellt werden, sind in Teams oder in Azure AD nicht sichtbar - nur in SPO und nur nach lästigen Klicks auf die Masse der Links
  • Der Zugriff nur auf die SPO-Site ist in Teams nicht sichtbar

Das Fehlen einer zentralisierten Kontrolle bedeutet, dass Sie nicht:

  • Sehen Sie, wer Zugriff auf welche Ressourcen hat
  • Sehen Sie, wo sich kritische Daten befinden
  • Erfüllen Sie die Anforderungen von Vorschriften, die einen Ansatz für die Planung von Diensten erfordern, wobei der Schwerpunkt auf der Vertraulichkeit des Zugriffs liegt
  • Erkennen Sie abnormales Verhalten in Bezug auf kritische Daten
  • Angriffsbereich begrenzen
  • Wählen Sie einen effektiven Weg, um das Risiko basierend auf ihrer Bewertung zu reduzieren

Zusammenfassung


Abschließend können wir das sagen

  • , O365, , , , - O365
  • , , , - O365 , O365

More articles:


All Articles