Inspektionskriterien
| Bereich | Elementname | Inspektionskriterien |
|---|---|---|
| Kontoverwaltung | AD-Benutzerkontenverwaltung | Gute Kriterien: Es gibt keine multiplen Konten mit administrativen Privilegien und es existieren keine unnötigen Konten. Anfällige Kriterien: Es existieren multiple Konten mit administrativen Privilegien oder es sind unnötige Konten vorhanden. |
| AD-Benutzerprofil- und Verzeichnisidentifikationsverwaltung | Gute Kriterien: Obligatorische Profilfelder (ID, Arbeitsinformationen, Kontaktdaten usw.) sind ausgefüllt. Anfällige Kriterien: Obligatorische Profilfelder (ID, Arbeitsinformationen, Kontaktdaten usw.) sind nicht ausgefüllt. | |
| AD-Gruppenbesitzer- und Mitgliederverwaltung | Gute Kriterien: Der Gruppe sind ein Besitzer und Mitglieder zugewiesen. Anfällige Kriterien: Der Gruppe sind kein Besitzer oder keine Mitglieder zugewiesen. | |
| AD-Gastbenutzer | Gute Kriterien: Gastbenutzerkonten (einschließlich unnötiger Konten mit abgelaufener Nutzung) sind nicht in Gebrauch. Anfällige Kriterien: Gastbenutzerkonten (einschließlich unnötiger Konten mit abgelaufener Nutzung) sind in Gebrauch. | |
| AD-Passwort-Reset-Richtlinienverwaltung | Gute Kriterien: Die Richtlinie zum Zurücksetzen des Passworts ist gemäß den verbindlichen Konfigurationsstandards konfiguriert. Anfällige Kriterien: Die Richtlinie zum Zurücksetzen des Passworts ist nicht gemäß den verbindlichen Konfigurationsstandards konfiguriert. | |
| SSH-Schlüssel-Zugriffsverwaltung | Gute Kriterien: Erstellung, Änderung und Löschung von SSH-Schlüsseln sind auf Administrator- und Besitzerkonten beschränkt. Anfällige Kriterien: Erstellung, Änderung und Löschung von SSH-Schlüsseln sind nicht auf Administrator- und Besitzerkonten beschränkt. | |
| MFA-Konfiguration (Multi-Faktor-Authentifizierung) | Gute Kriterien: MFA ist für AD-Benutzerkonten aktiviert und wird verwendet. Anfällige Kriterien: MFA ist für AD-Benutzerkonten nicht aktiviert oder wird nicht verwendet. | |
| MFA-Kontosperrrichtlinienverwaltung | Gute Kriterien: Die Kontosperreinstellungen sind gemäß der Richtlinie konfiguriert. Anfällige Kriterien: Die Kontosperreinstellungen sind nicht gemäß der Richtlinie konfiguriert. | |
| Azure-Passwortrichtlinienverwaltung | Gute Kriterien: Passwortschutzrichtlinien werden gemäß der Richtlinie angewendet und verwendet. Anfällige Kriterien: Passwortschutzrichtlinien werden nicht gemäß der Richtlinie angewendet oder verwendet. | |
| Berechtigungsverwaltung | Abonnement-Zugriffskontrolle (IAM) Rollenverwaltung | Gute Kriterien: Die für das Abonnement festgelegten Zugriffskontrollrollen werden als eindeutige Berechtigungen (schreibgeschützt) für jeden Dienst gewährt. Anfällige Kriterien: Die für das Abonnement festgelegten Zugriffskontrollrollen werden mit vollen Dienstberechtigungen gewährt (Besitzer, Mitwirkender, Benutzerzugriffsadministrator, Leser). |
| Ressourcengruppen-Zugriffskontrolle (IAM) Rollenzuweisung | Gute Kriterien: AZURE-Benutzerberechtigungen/-Gruppen sind Rollen entsprechend ihrem Zweck angemessen zugewiesen. Anfällige Kriterien: AZURE-Benutzerberechtigungen/-Gruppen sind Rollen nicht entsprechend ihrem Zweck angemessen zugewiesen. | |
| AD-Benutzerrollen-Berechtigungsverwaltung | Gute Kriterien: AD-Verwaltungsrollen werden entsprechend den Geschäfts- und Dienstnutzungszwecken angemessen gewährt. Anfällige Kriterien: AD-Verwaltungsrollen werden nicht entsprechend den Geschäfts- und Dienstnutzungszwecken angemessen gewährt. | |
| Instanzdienst-Zugriffsrichtlinienverwaltung | Gute Kriterien: Die Zugriffskontrolle (IAM) für Instanzdienste wird entsprechend den Benutzerrollen gewährt. Anfällige Kriterien: Die Zugriffskontrolle (IAM) für Instanzdienste wird nicht entsprechend den Benutzerrollen gewährt. | |
| Netzwerkdienst-Zugriffsrichtlinienverwaltung | Gute Kriterien: Die Zugriffskontrolle (IAM) für Netzwerkdienste wird entsprechend den Benutzerrollen gewährt. Anfällige Kriterien: Die Zugriffskontrolle (IAM) für Netzwerkdienste wird nicht entsprechend den Benutzerrollen gewährt. | |
| Sonstige Dienst-Zugriffsrichtlinienverwaltung | Gute Kriterien: Die Zugriffskontrolle (IAM) für sonstige Dienste wird entsprechend den Benutzerrollen gewährt. Anfällige Kriterien: Die Zugriffskontrolle (IAM) für sonstige Dienste wird nicht entsprechend den Benutzerrollen gewährt. | |
| Virtuelle Ressourcenverwaltung | Verwaltung virtueller Netzwerkressourcen | Gute Kriterien: Es existieren keine öffentlichen IP-Adressen für Ressourcen, die innerhalb verbundener Geräte nur das interne Netzwerk nutzen. Anfällige Kriterien: Es existieren öffentliche IP-Adressen für Ressourcen, die innerhalb verbundener Geräte nur das interne Netzwerk nutzen. |
| Interne virtuelle Netzwerksicherheitsverwaltung | Gute Kriterien: Zugriffskontrolle (VPN, Bastion) wird beim Zugriff auf interne Ressourcen angewendet. Anfällige Kriterien: Zugriffskontrolle (VPN, Bastion) wird beim Zugriff auf interne Ressourcen nicht angewendet. | |
| Sicherheitsgruppen Inbound/Outbound 'ANY'-Einstellungsverwaltung | Gute Kriterien: Ports in den Inbound/Outbound-Regeln der Sicherheitsgruppe sind nicht als "Any" (Alle) zugelassen. Anfällige Kriterien: Ports in den Inbound/Outbound-Regeln der Sicherheitsgruppe sind als "Any" (Alle) zugelassen. | |
| Sicherheitsgruppen Inbound/Outbound Verwaltung unnötiger Richtlinien | Gute Kriterien: Es gibt keine unnötigen Richtlinien (Quelle, Ziel) innerhalb der Inbound/Outbound-Regeln der Sicherheitsgruppe. Anfällige Kriterien: Es gibt unnötige Richtlinien (Quelle, Ziel) innerhalb der Inbound/Outbound-Regeln der Sicherheitsgruppe. | |
| Firewall 'ANY'-Richtlinieneinstellungsverwaltung | Gute Kriterien: Firewall-Richtlinienregeln (Quelle, Ziel, Port) sind nicht als "Any" zugelassen. Anfällige Kriterien: Firewall-Richtlinienregeln (Quelle, Ziel, Port) sind als "Any" zugelassen. | |
| Firewall Verwaltung unnötiger Richtlinien | Gute Kriterien: Es gibt keine unnötigen Regeln in der Firewall-Richtlinie. Anfällige Kriterien: Es gibt unnötige Regeln in der Firewall-Richtlinie. | |
| NAT-Gateway Subnetz-Verbindungsverwaltung | Gute Kriterien: Nur Subnetze, die einen öffentlichen Netzwerkzugriff benötigen, sind verbunden. Anfällige Kriterien: Subnetze, die keinen öffentlichen Netzwerkzugriff benötigen, sind verbunden. | |
| Speicherkonto-Sicherheitseinstellungen | Gute Kriterien: Sichere Übertragung ist aktiviert, TLS-Version ist auf 1.2 eingestellt und der öffentliche Zugriff ist blockiert. Anfällige Kriterien: Sichere Übertragung ist deaktiviert, TLS-Version ist auf 1.2 oder niedriger eingestellt oder der öffentliche Zugriff ist nicht blockiert. | |
| Verwaltung der SAS-Richtlinien (Shared Access Signature) für Speicherkonten | Gute Kriterien: Bei Verwendung einer SAS sind die zulässigen Berechtigungen und IP-Adressen minimal konfiguriert. Anfällige Kriterien: Bei Verwendung einer SAS sind die zulässigen Berechtigungen und IP-Adressen nicht minimal konfiguriert. | |
| Betriebsverwaltung | Datenbank-Verschlüsselungseinstellungen Verwaltung | Gute Kriterien: Transparente Datenverschlüsselung (TDE) und Datenverschlüsselungsfunktionen sind aktiviert. Anfällige Kriterien: Transparente Datenverschlüsselung (TDE) und Datenverschlüsselungsfunktionen sind nicht aktiviert. |
| Speicher-Verschlüsselungseinstellungen | Gute Kriterien: Die Verschlüsselung ist mit dienstverwalteten Schlüsseln und kundenverwalteten Schlüsseln konfiguriert. Anfällige Kriterien: Die Verschlüsselung ist nicht mit dienstverwalteten Schlüsseln und kundenverwalteten Schlüsseln konfiguriert. | |
| Festplatten-Verschlüsselungseinstellungen | Gute Kriterien: Die Verschlüsselung ist mit dienstverwalteten Schlüsseln und kundenverwalteten Schlüsseln konfiguriert. Anfällige Kriterien: Die Verschlüsselung ist nicht mit dienstverwalteten Schlüsseln und kundenverwalteten Schlüsseln konfiguriert. | |
| Verschlüsselungseinstellungen für Kommunikationskanäle | Gute Kriterien: Verschlüsselungseinstellungen werden innerhalb der Kommunikationskanäle von Cloud-Ressourcen angewendet. Anfällige Kriterien: Verschlüsselungseinstellungen werden innerhalb der Kommunikationskanäle von Cloud-Ressourcen nicht angewendet. | |
| Key Vault Rotationsrichtlinienverwaltung | Gute Kriterien: Die Rotationsrichtlinie für benutzerverwaltete Schlüssel ist gemäß dem Standard konfiguriert (90 Tage). Anfällige Kriterien: Die Rotationsrichtlinie für benutzerverwaltete Schlüssel ist nicht gemäß dem Standard konfiguriert (über 90 Tage). | |
| AD-Audit-Protokolleinstellungen | Gute Kriterien: Eine Aufbewahrungsrichtlinie für AD-Audit-Protokolle existiert. Anfällige Kriterien: Eine Aufbewahrungsrichtlinie für AD-Audit-Protokolle existiert nicht. | |
| Instanzdienst Audit-Protokolleinstellungen | Gute Kriterien: Eine Aufbewahrungsrichtlinie für Instanzdienst-Protokolle existiert. Anfällige Kriterien: Eine Aufbewahrungsrichtlinie für Instanzdienst-Protokolle existiert nicht. | |
| Netzwerkdienst Audit-Protokolleinstellungen | Gute Kriterien: Eine Aufbewahrungsrichtlinie für Netzwerkdienst-Protokolle existiert. Anfällige Kriterien: Eine Aufbewahrungsrichtlinie für Netzwerkdienst-Protokolle existiert nicht. | |
| Sonstige Dienst Audit-Protokolleinstellungen | Gute Kriterien: Eine Protokollaufbewahrungsrichtlinie existiert für sonstige Dienste. Anfällige Kriterien: Eine Protokollaufbewahrungsrichtlinie existiert nicht für sonstige Dienste. | |
| Ressourcengruppensperre | Gute Kriterien: Kundendienste (kommerziell) und betriebliche Dienste nutzen die Sperrfunktion durch Aktivierung. Anfällige Kriterien: Kundendienste (kommerziell) und betriebliche Dienste nutzen die Sperrfunktion nicht. |