App registrations should no longer use secrets
Warum dies wichtig ist
Anwendungsgeheimnisse wie Client Secrets oder Passwörter können kompromittiert werden, wenn sie unsachgemäß gespeichert oder in Code-Repositorys offengelegt werden. Angreifer, die diese Geheimnisse erlangen, können Ihre Anwendungen imitieren und ohne Autorisierung auf vertrauliche Daten zugreifen. Die Umstellung auf zertifikatsbasierte Authentifizierung oder verwaltete Identitäten beseitigt dieses Risiko, indem langlebige, statische Anmeldeinformationen entfernt werden.
Was Aether365 prüft
Diese Prüfung scannt Ihren Microsoft 365-Mandanten nach App-Registrierungen, die weiterhin auf Client Secrets zur Authentifizierung angewiesen sind. Sie erscheint im Aether365-Dashboard unter dem Bereich microsoft-365-checks und hebt Anwendungen hervor, die auf sicherere Authentifizierungsmethoden aktualisiert werden sollten.
So beheben Sie das Problem
- Melden Sie sich am Azure portal (portal.azure.com) an und navigieren Sie zu Azure Active Directory > App registrations.
- Wählen Sie die App-Registrierung aus, die Secrets verwendet.
- Klicken Sie unter Manage auf Certificates and secrets.
- Entfernen Sie alle vorhandenen Client Secrets und fügen Sie stattdessen ein Zertifikat hinzu. Laden Sie eine öffentliche Zertifikatsdatei (.cer) in die App-Registrierung hoch.
- Aktualisieren Sie den Anwendungscode, sodass er sich mit dem Zertifikat und nicht mit dem Secret authentifiziert.
- Für Anwendungen, die in Azure ausgeführt werden, sollten Sie die Verwendung von verwalteten Identitäten in Betracht ziehen, um die Verwaltung von Anmeldeinformationen zu vermeiden.
Compliance
- CIS Microsoft 365 Foundations Benchmark: Nicht direkt zugeordnet
- CISA Azure Security Baseline: Verweist auf bewährte Methoden für App-Registrierungen
- EIDSCA: Keine spezifische Zuordnung
Verwandte Ressourcen
- Microsoft Learn: Bewährte Methoden für App-Registrierungsgeheimnisse
- Microsoft Learn: Übersicht über verwaltete Identitäten