Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beschränken Sie Administratorrechte
****
- **Anfragen für privilegierten Zugriff auf Systeme und Anwendungen werden bei der ersten Anfrage bestätigt.**
- **Implementierungsleitfaden:** [Thema 4: Identitäten verwalten](theme-4.md): Implementieren Sie einen Identitätsverbund
- **AWS Ressourcen:** [Erfordert menschliche Benutzer, sich mit einem Identitätsanbieter zu verbinden, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
- **AWS Well-Architected Beratung:** [SEC02- BP04 Verlassen Sie sich auf einen zentralen Identitätsanbieter](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
[SEC03- BP01 Definieren Sie die Zugriffsanforderungen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
- **Der privilegierte Zugriff auf Systeme und Anwendungen wird nach 12 Monaten automatisch deaktiviert, sofern er nicht erneut bestätigt wird.**
- **Implementierungsleitfaden:** [Thema 4: Identitäten verwalten](theme-4.md): Implementieren Sie einen Identitätsverbund / **AWS Ressourcen:** [Erfordert menschliche Benutzer, sich mit einem Identitätsanbieter zu verbinden, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) / **AWS Well-Architected Beratung:** [SEC02- BP04 Verlassen Sie sich auf einen zentralen Identitätsanbieter](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
- **Implementierungsleitfaden:** [Thema 4: Identitäten verwalten](theme-4.md): Zugangsdaten rotieren / **AWS Ressourcen:** [Erfordert, dass Workloads IAM-Rollen für den Zugriff verwenden AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
[Automatisieren Sie das Löschen ungenutzter IAM-Rollen](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
[Wechseln Sie die Zugriffsschlüssel regelmäßig für Anwendungsfälle, für die langfristige Anmeldeinformationen erforderlich sind](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)
[AWS Summit ANZ 2023: Ihr Weg zu temporären Anmeldeinformationen in der Cloud](https://www.youtube.com/watch?v=jZnh9U-TA6Q) (YouTubeVideo) / **AWS Well-Architected Beratung:** [SEC02- Überprüfen Sie BP05 die Anmeldeinformationen regelmäßig und wechseln Sie sie ab](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
- **Der privilegierte Zugriff auf Systeme und Anwendungen wird nach 45 Tagen Inaktivität automatisch deaktiviert.**
- **Implementierungsleitfaden:** [Thema 4: Identitäten verwalten](theme-4.md): Implementieren Sie einen Identitätsverbund
[Thema 4: Identitäten verwalten](theme-4.md): Anmeldeinformationen rotieren
- **AWS Ressourcen:** [Erfordert menschliche Benutzer, sich mit einem Identitätsanbieter zu verbinden, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
[Erfordern Sie, dass Workloads für den Zugriff IAM-Rollen verwenden AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
[Automatisieren Sie das Löschen ungenutzter IAM-Rollen](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
[Wechseln Sie die Zugriffsschlüssel regelmäßig für Anwendungsfälle, für die langfristige Anmeldeinformationen erforderlich sind](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)
[AWS Summit ANZ 2023: Ihr Weg zu temporären Anmeldeinformationen in der Cloud](https://www.youtube.com/watch?v=jZnh9U-TA6Q) (YouTubeVideo)
- **AWS Well-Architected Beratung:** [SEC02- BP04 Verlassen Sie sich auf einen zentralen Identitätsanbieter](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
[SEC02- Überprüfen Sie BP05 die Anmeldeinformationen regelmäßig und wechseln Sie sie ab](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
- **Der privilegierte Zugriff auf Systeme und Anwendungen ist auf das beschränkt, was Benutzer und Dienste zur Erfüllung ihrer Aufgaben benötigen.**
- **Implementierungsleitfaden:** [Thema 4: Identitäten verwalten](theme-4.md): Wenden Sie Berechtigungen mit den geringsten Rechten an
- **AWS Ressourcen:** [Schützen Sie Ihre Root-Benutzeranmeldedaten und verwenden Sie sie nicht für alltägliche Aufgaben](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
[Verwenden Sie IAM Access Analyzer, um auf der Grundlage der Zugriffsaktivitäten Richtlinien mit den geringsten Rechten zu generieren](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
[Überprüfen Sie mit IAM Access Analyzer den öffentlichen und kontoübergreifenden Zugriff auf Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
[Verwenden Sie IAM Access Analyzer, um Ihre IAM-Richtlinien auf sichere und funktionale Berechtigungen zu überprüfen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
[Richten Sie Richtlinien für Berechtigungen für mehrere Konten ein](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
[Verwenden Sie Berechtigungsgrenzen, um die maximalen Berechtigungen festzulegen, die eine identitätsbasierte Richtlinie gewähren kann](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
[Verwenden Sie Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
[Überprüfen und entfernen Sie regelmäßig ungenutzte Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
[Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
[Verwenden Sie die Funktion für Berechtigungssätze in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)
- **AWS Well-Architected Beratung:** [SEC01- BP02 Sicheres Konto, Root-Benutzer und Eigenschaften](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_aws_account.html)
[SEC03- BP02 Gewähren Sie den Zugriff mit den geringsten Rechten](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
- **Privilegierte Konten können nicht auf das Internet, E-Mail und Webdienste zugreifen.**
- **Implementierungsleitfaden:** Siehe [technisches Beispiel: Administratorrechte einschränken](https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/small-business-cyber-security/small-business-cloud-security-guide/technical-example-restrict-administrative-privileges) (ACSC-Website)
- **AWS Ressourcen:** Erwägen Sie die Implementierung eines SCP, [das verhindert, dass VPC, die noch keinen Internetzugang haben, diesen erhalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_vpc.html#example_vpc_2).
- **AWS Well-Architected Beratung:** Nicht zutreffend
- **Privilegierte Benutzer verwenden separate privilegierte und unprivilegierte Betriebsumgebungen.**
- **Implementierungsleitfaden:** [Thema 5: Richten Sie einen Datenperimeter ein](theme-5.md)
- **AWS Ressourcen:** [Richten Sie einen Datenperimeter ein.](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) Erwägen Sie die Implementierung von Datenperimetern zwischen Umgebungen mit unterschiedlichen Datenklassifizierungen, wie z. B. OFFICIAL:SENSITIVE oderPROTECTED, oder unterschiedlichen Risikostufen, z. B. bei Entwicklung, Test oder Produktion.
- **AWS Well-Architected Beratung:** [SEC06- BP03 Reduzieren Sie die manuelle Verwaltung und den interaktiven Zugriff](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
- **Privilegierte Betriebsumgebungen werden innerhalb unprivilegierter Betriebsumgebungen nicht virtualisiert.**
- **Unprivilegierte Konten können sich nicht in privilegierten Betriebsumgebungen anmelden.**
- **Privilegierte Konten (ausgenommen lokale Administratorkonten) können sich nicht an unprivilegierten Betriebsumgebungen anmelden.**
- **Just-in-time Administration wird für die Verwaltung von Systemen und Anwendungen verwendet.**
- **Implementierungsleitfaden:** [Thema 4: Identitäten verwalten](theme-4.md): Implementieren Sie einen Identitätsverbund
- **AWS Ressourcen:** [Erfordert menschliche Benutzer, sich mit einem Identitätsanbieter zu verbinden, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
[Implementieren Sie temporären erweiterten Zugriff auf Ihre AWS Umgebungen](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) (AWS Blogbeitrag)
- **AWS Well-Architected Beratung:** [SEC02- BP04 Verlassen Sie sich auf einen zentralen Identitätsanbieter](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
- **Administrative Aktivitäten werden über Jump-Server abgewickelt.**
- **Implementierungsleitfaden:** [Thema 1: Managed Services nutzen](theme-1.md)
[Thema 3: Verwaltung veränderbarer Infrastrukturen mit Automatisierung](theme-3.md): Verwenden Sie Automatisierung statt manueller Prozesse
- **AWS Ressourcen:** Verwenden Sie [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) oder [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) anstelle des direkten SSH- oder RDP-Zugriffs
- **AWS Well-Architected Beratung:** [SEC01- BP05 Reduzieren Sie den Umfang des Sicherheitsmanagements](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_reduce_management_scope.html)
[SEC06- BP03 Reduzieren Sie die manuelle Verwaltung und den interaktiven Zugriff](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
- **Die Anmeldeinformationen für lokale Administrator- und Dienstkonten sind einzigartig, unvorhersehbar und werden verwaltet.**
- **Implementierungsleitfaden:** Siehe [technisches Beispiel: Administratorrechte einschränken](https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/small-business-cyber-security/small-business-cloud-security-guide/technical-example-restrict-administrative-privileges) (ACSC-Website)
- **AWS Ressourcen:** Nicht zutreffend
- **AWS Well-Architected Beratung:** Nicht zutreffend
- **Windows Defender Credential Guardund Windows Defender Remote Credential Guard sind aktiviert.**
- **Die Nutzung von privilegiertem Zugriff wird zentral protokolliert und vor unbefugter Änderung und Löschung geschützt, auf Anzeichen einer Beeinträchtigung überwacht und bei Erkennung von Cybersicherheitsereignissen Maßnahmen ergriffen.**
- **Implementierungsleitfaden:** [Thema 7: Zentralisierung der Protokollierung und Überwachung](theme-7.md): Protokollierung aktivieren
[Thema 7: Zentralisierung der Protokollierung und Überwachung](theme-7.md): Zentralisieren Sie Protokolle
- **AWS Ressourcen:** [Verwenden Sie den CloudWatch Agenten, um Protokolle auf Betriebssystemebene in Logs zu veröffentlichen CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
[ CloudTrail Für Ihre Organisation aktivieren](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
[Zentralisieren Sie CloudWatch Logs zu Prüfungs- und Analysezwecken in einem Konto](https://aws.amazon.com/blogs/architecture/stream-amazon-cloudwatch-logs-to-a-centralized-account-for-audit-and-analysis/) (AWS Blogbeitrag)
[Zentralisieren Sie die Verwaltung von Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)
[Zentralisieren Sie die Verwaltung von Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)
[Erstellen Sie einen organisationsweiten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) Aggregator in (Blogbeitrag) AWS ConfigAWS
[Zentralisieren Sie die Verwaltung von GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
[Erwägen Sie die Verwendung von Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)
[Empfangen Sie CloudTrail Protokolle von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
[Senden Sie Protokolle an ein Protokollarchiv-Konto](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account)
- **AWS Well-Architected Beratung:** [SEC04- BP01 Konfigurieren Sie die Dienst- und Anwendungsprotokollierung](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html)
[SEC04- BP02 Erfassen Sie Protokolle, Ergebnisse und Kennzahlen an standardisierten Orten](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html)
- **Änderungen an privilegierten Konten und Gruppen werden zentral protokolliert und vor unbefugter Änderung und Löschung geschützt, auf Anzeichen einer Beeinträchtigung überwacht und bei Erkennung von Cybersicherheitsereignissen Maßnahmen ergriffen.**