Sådan beskytter I jeres hybride identiteter – og lukker hackerne ude

Klumme: Sørg nu for altid at have en proaktiv, gennemtestet genoprettelsesplan for Active Directory og Azure AD.

Artikel top billede

(Foto: Dan Jensen)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Identitet er en vigtig sikkerhedsperimeter. Ethvert brud kan give ondsindede brugere adgang til dine apps, data og forretningsaktiviteter.

Organisationer, der er afhængige af Azure Active Directory og Active Directory til at styre cloud- og on-premise identiteter, skal vide, at det er vitalt at sikre disse.

Men det er en kompleks og tidskrævende opgave.

Især hybride miljøer er tit udsat for fejl og fejlkonfigurationer, som åbner døren for cyberangreb. Ved at kompromittere dit on-premise Active Directory er det let for cyberkriminelle at gå videre til Azure AD – og vice versa. Det er SolarWinds-angrebet et godt eksempel på.

Udfordringerne ved at sikre hybride identiteter er helt anderledes end dem, der findes i on-prem miljøet. Så hvis I bruger Azure AD og Microsoft Office 365, så vær særligt opmærksomme på følgende:

Laterale angreb fra on-premise AD

Cyberkriminelle bruger ofte phishing- og social engineering-angreb på sårbare brugere og franarrer dem følsomme oplysninger, herunder identitetsoplysninger, som ved SolarWinds- og Colonial Pipeline-angrebene. Her overtog de kriminelle kontrollen med on-premise AD, forfalskede SAML-tokens og fik adgang til Azure AD.

For at sikre jeres hybride identiteter og afværge angreb skal I bruge multifaktorgodkendelse. Stjålne identitetsoplysninger kan bruges af de cyberkriminelle i lang tid uden at blive opdaget.

Det er ikke alle overvågningssystemer, der markerer usædvanlig kontoaktivitet, så et ekstra beskyttelseslag er vigtigt.

Dernæst er det vigtigt at forstå, at moderne hybrid identitetsstyring kræver sikkerhedskontroller ud over dem, der er tilgængelige i en traditionel ADFS-implementering. Active Directory Federation Services (ADFS) er en komponent, der installeres på en Windows Server, og som via Single Sign-on simplificerer adgangs-processerne, så der er hurtig adgang til de valgte systemer og applikationer.

Vedligeholdelse af den nødvendige infrastruktur til at hoste ADFS indebærer egne risici, herunder manglende patches, forældet hardware osv.

Overvej i stedet AD Pass-through Authentication, som gør det muligt at bruge den samme adgangskode til at logge ind på både on-prem- og cloud-applikationer.

Med denne tilgang bruges kun udgående forbindelser og certifikatbaseret godkendelse til at uddelegere godkendelsesprocessen til den lokale on-prem AD, hvilket giver et mere sikkert alternativ til ADFS.

I kan også integrere AD Pass-through Authentication med andre Azure AD-sikkerhedsforanstaltninger for at beskytte mod infiltrationer og tyveri af legitimationsoplysninger – og synkronisere AD password hashes til Azure AD.

Overvej også Azure AD Application Proxy. Her bruges Azure AD-legitimationsoplysninger til at konfigurere sikker fjernadgang til programmer, der hostes lokalt og giver samme brugeroplevelse som ethvert Azure AD-integreret program.

Konfigurationsforstyrrelser og kompleksitet

Hybrid identitetsbeskyttelse komplicerer arbejdet, uanset om du er AD-administrator, identitetsekspert eller sikkerhedsekspert. Trusler udvikler sig hele tiden, og det er en tidskrævende opgave at låse adgangen til dine Tier 0-aktiver – herunder AD og Azure AD. Men hvis det forsømmes, og I rammes af et cyberangreb, kommer I til at bruge lang tid på at genoprette AD.

Brug af Azure AD til godkendelse af tredjepartsapplikationer øger kompleksiteten i sikkerhedsmodellen. I nogle tilfælde kan disse apps læse og lagre data fra Azure AD, hvilket udvider risikorammen og gør datasikkerheden afhængig af den tredjepartsapplikation, som Azure AD integreres med.

Et andet muligt svagt punkt er niveauet af tilladelser, der gives til applikationer i Azure AD.

Hvis I ikke omhyggeligt gennemgår tilladelsesindstillingerne, før I giver adgang, kan disse apps ende med at have flere tilladelser i Azure AD, end de har brug for.

Dette øger risikoen for, at programmerne ændrer i AD. Ydermere er der sikkerhedsforanstaltninger, for eksempel multifaktorgodkendelse, som ikke fungerer i alle applikationer, og dermed er I afhængige af applikationens egne sikkerhedskontroller. Her er, hvad du kan gøre for at stramme adgangen:

Streng styring og regelmæssig revision af tilladelser, så I ved, hvor der skal ske yderligere begrænsninger, er alfa og omega. Få styr på alle løse ender og sørg for, at I har det rigtige sæt roller aktiveret i Azure AD, auditér applikationernes tilladelsesindstillinger og stram op på sikkerhedskonfigurationerne. Brug multifaktorgodkendelse.

Evaluér hvordan I administrerer role-based access control (RBAC). Tildelingen af roller i Azure AD adskiller sig fra traditionel AD-adgangshåndtering, så overvej nøje, hvordan roller defineres, og tilladelser tildeles.

Følg princippet om mindste privilegier. Tilføj ikke konti, som er synkroniseret fra on-prem AD til Azure AD, til en privilegeret RBAC-rolle, som f.eks. globale administratorer.

Reservér disse meget privilegerede roller til oprindelige Azure AD-konti. I kan også oprette administrative enheder i Azure AD. Med denne funktion kan I begrænse de objekter, som it-teamet kan administrere via en specifik RBAC-rolle, hvilket yderligere understøtter mindste privilegier.

Fejlkonfigurationer og andre sikkerhedssårbarheder

Fejlkonfigurationer og sikkerhedssårbarheder i jeres identitetsstyringsløsning åbner døren for cyberkriminelle. Azure AD består af administrerede tjenester, hvor Microsoft administrerer sikkerheden for den underliggende infrastruktur i skyen.

Men sikkerheden for dine data og Azure AD-konfigurationen er dit ansvar.

Under et cyberangreb kan hackerne ændre eller slette brugere, grupper, roller, politikker for betinget adgang osv. Medmindre I har en ordentlig genoprettelsesplan, kan I se frem til en ødelæggende og langvarig indvirkning. Der er kun få indbyggede kontroller til at beskytte data eller konfigurationer i Azure AD mod at blive overskrevet under et angreb.

En håndsrækning, der gør det lidt mindre kompliceret at sikre hybrid identitet, er papirkurven i AD. Den indeholder en funktion til blød sletning, som kan hjælpe dig med at gendanne slettede brugere. Denne funktion har dog minimale muligheder for at gendanne noget efter 30 dage.

Andre former for kompromittering kan være vanskelige at opdage og afhjælpe, især hvis hackerne bevæger sig lateralt fra on-prem AD til skyen. Ud over de indbyggede sikkerhedsforanstaltninger bør I se på værktøjer, der via avancerede funktioner kan hjælpe med at spore angreb, som går på tværs af hybride miljøer har funktioner, der kan spore ændringer og automatisk beskytte mod stjålne legitimationsoplysninger og hackere.

Uanset så skal I altid have en proaktiv, gennemtestet genoprettelsesplan for Active Directory og Azure AD.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS

    Guardsix har pr. 1. april 2026 ansat Annbritt Andersen som Global Chief Revenue Officer (CRO). Hun skal især beskæftige sig med at geare organisationen til en markant skalering i Europa. Hun har tidligere beskæftiget sig med globale kommercielle strategier for nogle af branchens allerstørste spillere, herunder Microsoft. Nyt job