Ensure that 'Enable Data Access Authentication Mode' is 'Checked'

Warum dies wichtig ist

Nicht vertrauenswürdige Benutzer können SAS-Token generieren, um verwaltete Datenträger oder VM-Statusdaten zu exportieren, wenn der Datenzugriffs-Authentifizierungsmodus deaktiviert ist. Dies stellt ein erhebliches Risiko für die Datenexfiltration dar. Wenn dieser Modus aktiviert ist, müssen Benutzer über die Rolle "Data Operator für verwaltete Datenträger" in Entra ID verfügen, bevor sie Export-URLs erstellen können.

Was Aether365 prüft

Aether365 überprüft, ob die Einstellung 'Enable Data Access Authentication Mode' für jeden verwalteten Datenträger in Ihrem Azure-Abonnement aktiviert ist. Diese Überprüfung wird im Aether365-Dashboard im Bereich azure-azure-disks angezeigt.

Behebung

1. Melden Sie sich beim Azure-Portal an und navigieren Sie zu Ihrem verwalteten Datenträger.
2. Stoppen Sie alle VMs, die mit dem Datenträger verbunden sind, und heben Sie ihre Zuordnung auf. Trennen Sie dann den Datenträger von der VM.
3. Wählen Sie im linken Menü des Datenträgers unter 'Settings' die Option 'Configuration'.
4. Aktivieren Sie unter 'Data Access Authentication Mode' das Kontrollkästchen 'Enable Data Access Authentication Mode'.
5. Wählen Sie oben im Konfigurationsbereich 'Save'.
6. Schließen Sie den Datenträger wieder an seine VM an und starten Sie die VM neu.

Compliance

• CIS Microsoft Azure Foundations 3.0.0 8.6 (Level 1)
• EIDSCA (Entra ID Security Configuration Analyzer)

Verwandte Ressourcen

• Sichere Downloads und Uploads mit Microsoft Entra ID

Microsoft references

• Download vhd