Why are dormant guest accounts a security risk?

Dormant guest accounts belong to former contractors, vendors, or collaborators who no longer need access but whose accounts remain active. Attackers target these accounts because they are less monitored than employee accounts and often retain the same permissions they were originally granted. The 2013 Target breach began through a compromised HVAC vendor account that still had network access. Regular audits that disable accounts after 30-90 days of inactivity are the primary defense.

What is the principle of least privilege for guest access?

The principle of least privilege means granting external users access to only the specific resources they need, for only the duration they need them, and nothing more. A vendor troubleshooting a billing system should not have access to the HR database. Guest access should be scoped to individual folders, applications, or environments, with automatic expiration dates. Time-bound access that requires renewal forces periodic review and prevents the accumulation of unnecessary permissions over time.

Gastzugangsverwaltung

Control what external users can reach and for how long.

What Is Gastzugangsverwaltung?

Durch den Gastzugriff können externe Mitarbeiter, Anbieter und Kunden auf Ihre Unternehmenstools zugreifen, aber diese Konten überleben oft die Beziehung, durch die sie entstanden sind. Diese Übung führt Sie in einen Teams-Arbeitsbereich, in dem mehrere Gastkonten noch Monate nach Ende ihrer Projekte aktiv sind. Ein ehemaliger Anbieter hat immer noch Zugriff auf interne Kanäle mit Produkt-Roadmaps. Ein weiteres Gastkonto wurde für eine eintägige Prüfung erstellt und nie entfernt. Sie überprüfen jedes Gastkonto, stellen fest, ob der Zugriff noch gerechtfertigt ist, und widerrufen oder schränken bei Bedarf Berechtigungen ein. Die Simulation schreitet dann zeitlich voran: Ein neuer Partner beantragt Zugang zur Zusammenarbeit an einem gemeinsamen Vorschlag. Sie durchlaufen den Entscheidungsprozess darüber, was gewährt werden soll, auf welcher Ebene, für wie lange und mit welcher Überwachung. In der Übung geht es auch darum, wie man eine strukturierte Offboarding-Checkliste für Gastkonten erstellt, damit sich die Zugriffe nicht stillschweigend anhäufen. Denn das größte Risiko beim Gastzugang ist nicht die anfängliche Gewährung. Es ist der Zugang, an den niemand gedacht hat, ihn wegzunehmen.

What You'll Learn in Gastzugangsverwaltung

Führen Sie eine Prüfung des Gastzugriffs durch, um inaktive, überprivilegierte oder vergessene externe Konten zu identifizieren
Wenden Sie zeitgebundene Zugriffsrichtlinien mit automatischem Ablauf für Gast- und Anbieterkonten an
Bestimmen Sie die Mindestberechtigungen, die für die spezifische Aufgabe eines externen Mitarbeiters erforderlich sind
Erstellen und befolgen Sie eine Offboarding-Checkliste, die den Gastzugang widerruft, wenn Projekte oder Verträge enden
Überwachen Sie die Aktivität von Gastkonten auf ungewöhnliche Zugriffsmuster, die auf kompromittierte Anmeldeinformationen hinweisen können

Gastzugangsverwaltung — Training Steps

Ein neuer Auftragnehmer kommt

Heute beginnt ein neuer Auftragnehmer von DataSync Solutions, bei der Systemintegration zu helfen. Marcus Chen benötigt in den nächsten drei Monaten Zugriff auf mehrere interne Systeme.
Die Zugriffsanforderungs-E-Mail

Alice erhält von ihrem Vorgesetzten eine E-Mail bezüglich der Bereitstellung des Zugriffs für den neuen Auftragnehmer.
Kritische Anforderungen

Sarahs E-Mail enthält wichtige Details darüber, wie Marcus' Konto konfiguriert werden soll. Achten Sie genau auf die spezifischen Zugriffsebenen und das Vertragsendedatum.
Das GUEST-Framework

Northbridge Logistics nutzt das GUEST-Framework zur Verwaltung temporärer Konten. Bevor Sie Marcus' Konto erstellen, überprüfen Sie diese Grundsätze: Gewähren Sie einen Mindestzugriff (nur das, was für das spezifische Projekt benötigt wird) Verwenden Sie Ablaufdaten (jedes Gastkonto muss ein Enddatum haben) E Etablieren Sie ein Sponsoring (jeder Gast benötigt ein interner Mitarbeitersponsor) Umfang Projekt (Zugriff an spezifische Geschäftsanforderungen gebunden) Verfolgen und Auditieren (Gastkonten monatlich überprüfen)
Durch das Setup rasen

Alice hat eine Teambesprechung, die in 15 Minuten beginnt. Sie öffnet das Formular zur Erstellung eines Gastkontos und füllt schnell die Grundlagen aus – überspringt aber das Feld für das Ablaufdatum, weil sie denkt, dass sie es jederzeit später hinzufügen kann. Das Formular schreibt kein verbindliches Ablaufdatum vor.
Eine Abkürzung für Berechtigungen verwenden

Auf der Berechtigungsseite werden verfügbare Systeme mit unterschiedlichen Zugriffsebenen angezeigt. Anstatt die von Sarah angeforderten bereichsbezogenen Berechtigungen sorgfältig auszuwählen, gewährt Alice Volladministrator -Zugriff auf alle Systeme – in der Annahme, dass Marcus dadurch später keinen zusätzlichen Zugriff mehr beantragen muss. Dies verstößt gegen das Prinzip der geringsten Privilegien.
Ohne Rezension eingereicht

Die Überprüfungsseite zeigt eine Zusammenfassung der Gastkontokonfiguration. Alice wirft einen kurzen Blick darauf, bemerkt aber weder das fehlende Ablaufdatum noch die übermäßigen Administratorrechte. Sie klickt auf „Senden“ und eilt zu ihrer Besprechung.
Eine Sicherheitswarnung

Drei Wochen sind vergangen. Alice erhält eine dringende E-Mail vom Security Operations Center.
Die Kette des Scheiterns

Das Sicherheitsteam hat genau nachverfolgt, wie Alices Abkürzungen zu einem umfassenden Sicherheitsvorfall führten.
Was ist schief gelaufen?

Nehmen Sie sich einen Moment Zeit und überlegen Sie, welche von Alices Entscheidungen die Sicherheitslücke verursacht hat.

What Is Gastzugangsverwaltung?

What You'll Learn in Gastzugangsverwaltung

Gastzugangsverwaltung — Training Steps

Ein neuer Auftragnehmer kommt

Die Zugriffsanforderungs-E-Mail

Kritische Anforderungen

Das GUEST-Framework

Durch das Setup rasen

Eine Abkürzung für Berechtigungen verwenden

Ohne Rezension eingereicht

Eine Sicherheitswarnung

Die Kette des Scheiterns

Was ist schief gelaufen?