Beschränken Sie Administratorrechte

Kontrolle von Essential Eight	Implementierungsleitfaden	AWS Ressourcen	AWS Well-Architected Beratung
Anfragen für privilegierten Zugriff auf Systeme und Anwendungen werden bei der ersten Anfrage bestätigt.	Thema 4: Identitäten verwalten: Implementieren Sie einen Identitätsverbund	Erfordert menschliche Benutzer, sich mit einem Identitätsanbieter zu verbinden, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können	SEC02- BP04 Verlassen Sie sich auf einen zentralen Identitätsanbieter SEC03- BP01 Definieren Sie die Zugriffsanforderungen
Der privilegierte Zugriff auf Systeme und Anwendungen wird nach 12 Monaten automatisch deaktiviert, sofern er nicht erneut bestätigt wird.	Thema 4: Identitäten verwalten: Implementieren Sie einen Identitätsverbund	Erfordert menschliche Benutzer, sich mit einem Identitätsanbieter zu verbinden, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können	SEC02- BP04 Verlassen Sie sich auf einen zentralen Identitätsanbieter
	Thema 4: Identitäten verwalten: Zugangsdaten rotieren	Erfordert, dass Workloads IAM-Rollen für den Zugriff verwenden AWS Automatisieren Sie das Löschen ungenutzter IAM-Rollen Wechseln Sie die Zugriffsschlüssel regelmäßig für Anwendungsfälle, für die langfristige Anmeldeinformationen erforderlich sind AWS Summit ANZ 2023: Ihr Weg zu temporären Anmeldeinformationen in der Cloud (YouTubeVideo)	SEC02- Überprüfen Sie BP05 die Anmeldeinformationen regelmäßig und wechseln Sie sie ab
Der privilegierte Zugriff auf Systeme und Anwendungen wird nach 45 Tagen Inaktivität automatisch deaktiviert.	Thema 4: Identitäten verwalten: Implementieren Sie einen Identitätsverbund Thema 4: Identitäten verwalten: Anmeldeinformationen rotieren	Erfordert menschliche Benutzer, sich mit einem Identitätsanbieter zu verbinden, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können Erfordern Sie, dass Workloads für den Zugriff IAM-Rollen verwenden AWS Automatisieren Sie das Löschen ungenutzter IAM-Rollen Wechseln Sie die Zugriffsschlüssel regelmäßig für Anwendungsfälle, für die langfristige Anmeldeinformationen erforderlich sind AWS Summit ANZ 2023: Ihr Weg zu temporären Anmeldeinformationen in der Cloud (YouTubeVideo)	SEC02- BP04 Verlassen Sie sich auf einen zentralen Identitätsanbieter SEC02- Überprüfen Sie BP05 die Anmeldeinformationen regelmäßig und wechseln Sie sie ab
Der privilegierte Zugriff auf Systeme und Anwendungen ist auf das beschränkt, was Benutzer und Dienste zur Erfüllung ihrer Aufgaben benötigen.	Thema 4: Identitäten verwalten: Wenden Sie Berechtigungen mit den geringsten Rechten an	Schützen Sie Ihre Root-Benutzeranmeldedaten und verwenden Sie sie nicht für alltägliche Aufgaben Verwenden Sie IAM Access Analyzer, um auf der Grundlage der Zugriffsaktivitäten Richtlinien mit den geringsten Rechten zu generieren Überprüfen Sie mit IAM Access Analyzer den öffentlichen und kontoübergreifenden Zugriff auf Ressourcen Verwenden Sie IAM Access Analyzer, um Ihre IAM-Richtlinien auf sichere und funktionale Berechtigungen zu überprüfen Richten Sie Richtlinien für Berechtigungen für mehrere Konten ein Verwenden Sie Berechtigungsgrenzen, um die maximalen Berechtigungen festzulegen, die eine identitätsbasierte Richtlinie gewähren kann Verwenden Sie Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken Überprüfen und entfernen Sie regelmäßig ungenutzte Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten Verwenden Sie die Funktion für Berechtigungssätze in IAM Identity Center	SEC01- BP02 Sicheres Konto, Root-Benutzer und Eigenschaften SEC03- BP02 Gewähren Sie den Zugriff mit den geringsten Rechten
Privilegierte Konten können nicht auf das Internet, E-Mail und Webdienste zugreifen.	Siehe technisches Beispiel: Administratorrechte einschränken (ACSC-Website)	Erwägen Sie die Implementierung eines SCP, das verhindert, dass VPC, die noch keinen Internetzugang haben, diesen erhalten.	Nicht zutreffend
Privilegierte Benutzer verwenden separate privilegierte und unprivilegierte Betriebsumgebungen.	Thema 5: Richten Sie einen Datenperimeter ein	Richten Sie einen Datenperimeter ein. Erwägen Sie die Implementierung von Datenperimetern zwischen Umgebungen mit unterschiedlichen Datenklassifizierungen, wie z. B. `OFFICIAL:SENSITIVE` oder`PROTECTED`, oder unterschiedlichen Risikostufen, z. B. bei Entwicklung, Test oder Produktion.	SEC06- BP03 Reduzieren Sie die manuelle Verwaltung und den interaktiven Zugriff
Privilegierte Betriebsumgebungen werden innerhalb unprivilegierter Betriebsumgebungen nicht virtualisiert.
Unprivilegierte Konten können sich nicht in privilegierten Betriebsumgebungen anmelden.
Privilegierte Konten (ausgenommen lokale Administratorkonten) können sich nicht an unprivilegierten Betriebsumgebungen anmelden.
Just-in-time Administration wird für die Verwaltung von Systemen und Anwendungen verwendet.	Thema 4: Identitäten verwalten: Implementieren Sie einen Identitätsverbund	Erfordert menschliche Benutzer, sich mit einem Identitätsanbieter zu verbinden, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können Implementieren Sie temporären erweiterten Zugriff auf Ihre AWS Umgebungen (AWS Blogbeitrag)	SEC02- BP04 Verlassen Sie sich auf einen zentralen Identitätsanbieter
Administrative Aktivitäten werden über Jump-Server abgewickelt.	Thema 1: Managed Services nutzen Thema 3: Verwaltung veränderbarer Infrastrukturen mit Automatisierung: Verwenden Sie Automatisierung statt manueller Prozesse	Verwenden Sie Session Manager oder Run Command anstelle des direkten SSH- oder RDP-Zugriffs	SEC01- BP05 Reduzieren Sie den Umfang des Sicherheitsmanagements SEC06- BP03 Reduzieren Sie die manuelle Verwaltung und den interaktiven Zugriff
Die Anmeldeinformationen für lokale Administrator- und Dienstkonten sind einzigartig, unvorhersehbar und werden verwaltet.	Siehe technisches Beispiel: Administratorrechte einschränken (ACSC-Website)	Nicht zutreffend	Nicht zutreffend
Windows Defender Credential Guardund Windows Defender Remote Credential Guard sind aktiviert.		Nicht zutreffend	Nicht zutreffend
Die Nutzung von privilegiertem Zugriff wird zentral protokolliert und vor unbefugter Änderung und Löschung geschützt, auf Anzeichen einer Beeinträchtigung überwacht und bei Erkennung von Cybersicherheitsereignissen Maßnahmen ergriffen.	Thema 7: Zentralisierung der Protokollierung und Überwachung: Protokollierung aktivieren Thema 7: Zentralisierung der Protokollierung und Überwachung: Zentralisieren Sie Protokolle	Verwenden Sie den CloudWatch Agenten, um Protokolle auf Betriebssystemebene in Logs zu veröffentlichen CloudWatch CloudTrail Für Ihre Organisation aktivieren Zentralisieren Sie CloudWatch Logs zu Prüfungs- und Analysezwecken in einem Konto (AWS Blogbeitrag) Zentralisieren Sie die Verwaltung von Amazon Inspector Zentralisieren Sie die Verwaltung von Security Hub CSPM Erstellen Sie einen organisationsweiten Aggregator in (Blogbeitrag) AWS ConfigAWS Zentralisieren Sie die Verwaltung von GuardDuty Erwägen Sie die Verwendung von Amazon Security Lake Empfangen Sie CloudTrail Protokolle von mehreren Konten Senden Sie Protokolle an ein Protokollarchiv-Konto	SEC04- BP01 Konfigurieren Sie die Dienst- und Anwendungsprotokollierung SEC04- BP02 Erfassen Sie Protokolle, Ergebnisse und Kennzahlen an standardisierten Orten
Änderungen an privilegierten Konten und Gruppen werden zentral protokolliert und vor unbefugter Änderung und Löschung geschützt, auf Anzeichen einer Beeinträchtigung überwacht und bei Erkennung von Cybersicherheitsereignissen Maßnahmen ergriffen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Härtung von Benutzeranwendungen

Betriebssysteme patchen