Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
2 l 2020 sicherheit & Datenschutz l Privileged Account Management l 43 ➤ Ein Angriff kann über Phishing-Attacken ausgelegte USB-Sticks oder Driveby-Downloads geschehen wenn durch leichtfertiges Surfverhalten im Internet beim Besuch einer präparierten Webseite Malware mit heruntergeladen wird IT-Sicherheitsteams sollten außerdem das Darknet nicht außer Acht lassen in dem ausgeforschte Anmeldeinformationen auch für Administratoren-Accounts gehandelt werden Dabei ist es wichtig gerade auch für die Fälle gewappnet zu sein in denen Kriminelle die Perimeter der Unternehmens-IT bereits überwunden haben und sich mehr oder weniger frei im Firmennetz bewegen Im gleichen Atemzug können IT-Sicherheitsverantwortliche sich auch gegen anderen Missbrauch von privilegierten Konten schützen die etwa frühere Mitarbeiter nutzten und noch nicht deaktiviert wurden Sind Angreifer bereits im Netzwerk? Um auch diesen Gefahren entgegenzutreten setzen viele Unternehmen und Organisationen auf den Assume-Breach-Ansatz Dabei gehen IT-Sicherheitsfachleute davon aus dass sich der Angreifer bereits im eigenen Netzwerk befindet und auf Systemressourcen zugreifen kann Ausgehend von dieser Annahme werden Schwachstellen identifiziert und Sicherheitslücken geschlossen Dabei ist es wichtig sich nicht allein auf die Abwehrmechanismen zu verlassen Zusätzlich sollten privilegierte Konten und ihre Verwaltung im Fokus stehen Der Assume-Breach-Ansatz ist hier wichtig da der Schadensfall vorweggenommen wird und so passende Abwehrmaßnahmen von vornherein definiert und getestet werden können Üblicherweise werden Konten durch den Benutzernamen und ein zugehöriges Passwort gesichert Diese Methode reicht allerdings nicht aus denn geraten diese Informationen in die falschen Hände ist Kriminellen Tür und Tor geöffnet Aus diesem Grund sollten Accounts generell durch eine starke Zwei-Faktor-Authentifizierung gesichert sein So können Kriminelle mit den Anmeldedaten wenig anfangen da beispielsweise ein Verifikationscode an ein Smartphone gesendet wird So müsste auch das entsperrte Smartphone in den Besitz des Angreifers gelangen was weniger wahrscheinlich ist Mit PAM die Übersicht behalten Die nächste Hürde gegen den Missbrauch privilegierter Konten ist die Einführung eines Privileged Account Managements PAM Dieses Management-Werkzeug automatisiert die Verwaltung und Kontrolle von Administratoren-Accounts und sollte in keiner wirkungsvollen Active-Directory-Sicherheitsstrategie fehlen Außerdem können IT-Sicherheitsteams mit seiner Hilfe die Aktivitäten von Administratoren nachverfolgen Einen strukturellen Ansatz Administratoren-Konten nach ihren Sicherheitsaspekten einzuordnen bietet die Red-Forest-Architektur oder wie sie offiziell heißt Enhanced Security Administrative Environment ESAE Sie wurde von Microsoft eingeführt um Angriffe auf das Active Directory zu erschweren In dieser Architektur kommen drei Bereiche zum Tragen Zunächst sind innerhalb Tier 0 Enterprise-Admins mit Forestweiten Rechten zusammengefasst In Tier 1 finden sich Administratoren für Server Anwendungen und Cloud und in Tier 2 solche mit Rechten bei Workstations und lokalen Endgeräten Der Vorteil dieser Unterteilung ist dass IT-Sicherheitsverantwortliche ihren Fokus bei der Beobachtung auf die Konten legen können von denen im Falle eines Missbrauchs der größte Schaden ausgeht Hier können je nach Bereich verschiedene Sicherheitsmaßnahmen angewendet werden etwa die Pflicht sich mit dem Account nur auf entsprechend gesicherten Workstations anzumelden oder Ähnliches Sicherheitsmaßnahmen stoßen an ihre Limits Jedoch haben diese präventiven Maßnahmen auch ihre Grenzen So stößt eine Zwei-Wege-Authentifizierung bei einigen Nutzern auf Widerstand da sie die Verwendung mehrerer Geräte zur Anmeldung aufgrund einer Unterbrechung des Arbeitsablaufs ablehnen Sicherheitsfragen die sich auf den privaten Bereich wie etwa Geburtsort oder Geburtsname beziehen können Kriminelle aus den Angaben in den sozialen Medien ersehen Darüber hinaus ist die Einrichtung von ESAE auch nicht trivial denn sämtliche Administratorenkonten müssen mit ihren spezifischen Rechten berücksichtigt werden was bei komplexen Strukturen leicht unübersichtlich wird Auch können Konten von Endnutzern denen bestimmte Rechte eingeräumt werden nicht sofort erkannt und nicht gleichwertig abgesichert werden Somit sollten die bestehenden Sicherheitsmaßnahmen in eine tiefergehende Active-Directory-Sicherheitsstrategie eingebunden werden Um den Überblick über die verschiedenen Administratoren-Konten zu behalten empfiehlt es sich die verschiedenen Typen dieser Konten genau zu betrachten Administratoren-Konten auf Forest-Ebene Die mächtigsten Accounts finden sich wohl auf der Forest-Ebene also auf der hierarchisch höchsten Hier sind zwei Account-Arten möglich Einerseits gibt es Mitglieder der Gruppe Enterprise Admins die die sämtlichen Domänen des Forests kontrollieren können Sie verfügen über unlimitierte Rechte und können auf sämtliche Ressourcen zugreifen Die zweite herausragende Gruppe auf Forest-Ebene sind die Schema-Admins die ebenfalls über Administratorenrechte verfügen Diese können das Schema also das Grundgerüst des Active Directory welches alle Objekte und ihre Attribute definiert verändern Da es nur selten notwendig ist eine solche Anpassung vorzunehmen empfiehlt es sich diese Rechte nur bei anfallenden Arbeiten zu vergeben und anschließend wieder zu entziehen Zusätzlich existieren auf der Domänen-Ebene weitere sehr weitgehend berechtigte Sicherheitsgruppen Domain Admins Administratoren sowie Account Operators Mitglieder der Domain Admins besitzen die vollständige Kontrolle über die Domäne während Mitglieder der Account Operators die Konten von Nutzern Gruppen und Rechnern in der Domäne bearbeiten können Auf lokaler Ebene ist die Vielfalt bei den Admin-Gruppen etwas größer Hier gibt es neben den Administratoren die Zugriff auf das Gerät haben auch die für die Datensicherungen verantwortlichen Backup Operator die Power User mit den Rechten auch Legacy-Anwendungen ausführen zu dürfen sowie die Hyper-V-Administratoren die ohne lokale Admin-Rechte sämtliche Operationen des Hyper-Vausführen dürfen