Enhanced Security Administrative Environment

Active Directory Management mit dem „Red Forest“

| Autor / Redakteur: Susanne Haase / Peter Schmitz

Microsofts Enhanced Security Administrative Environment (ESAE), alias "Red Forest", bietet bis zu einem gewissen Punkt ein Risikomanagement für AD und die Windows-Betriebssysteme im Unternehmen.
Microsofts Enhanced Security Administrative Environment (ESAE), alias "Red Forest", bietet bis zu einem gewissen Punkt ein Risikomanagement für AD und die Windows-Betriebssysteme im Unternehmen. (Bild: gemeinfrei / Pixabay)

Fast alle Unternehmen verlassen sich auf das Active Directory als primären Authentifizie­rungs­mechanismus in ihrem Netzwerk. Dadurch ist Active Directory auch das beliebteste Ziel von Angriffen. Ein zusätzliches Maß an Sicherheit soll Microsofts Active Directory Red Forest Design, alias Enhanced Security Administrative Environment (ESAE) bieten.

Eine Reihe von Ereignissen und Datenschutzverletzungen in den letzten Jahren hat bestimmte Kategorien von Schwachstellen ans Tageslicht gebracht. Perimetersicherheit allein reicht längst nicht mehr aus, um unsere hochdynamischen, vernetzten und mobilen Unternehmen zu schützen. Zusätzliche Treiber wie „Insider Threat“ -Programme lassen zunehmend erkennen, wie notwendig es ist, Identitäten zu schützen. 99 Prozent aller Unternehmen verlassen sich auf Active Directory als dem primären Authentifizierungsmechanismus. Dadurch ist Active Directory das beliebteste Ziel von Angriffen.

PAM: Privileged Account Management

Die Sicherheitsrisiken privilegierter Admin-Konten

PAM: Privileged Account Management

18.04.19 - Ganz gleich ob sie „nur“ Zugriff auf die Be­triebs­sys­teme oder (was wohl häufiger der Fall sein dürfte) auf das gesamte Unter­neh­mens­netz­werk haben: Administratoren haben sehr viel Macht sowohl über die IT- als auch über die Business-Ressourcen. Ihre „Privilegierten Konten“ können sich dabei allerdings auch schnell zu einer Gefahr entwickeln: Ein Überblick über PAM-Techniken und -Ansätze, die solche Probleme lösen sollen. lesen

AD-Kompromittierung

Die von Active Directory erzeugten veralteten NTLM-Hashes sind eines der Hauptziele von Angreifern. Wie eine solche „Pass-the Hash“-Attacke aussehen kann, sei hier kurz zusammengefasst:

  • Die Workstation des Benutzers wird kompromittiert - häufig durch Phishing-Angriffe.
  • Ein böswilliger Akteur erlangt Administratorrechte für die Workstation des Benutzers und verursacht dort ein Problem, das nur eine Person mit höheren Berechtigungen beseitigen kann.
  • Der Administrator meldet sich an der Workstation an um das Problem zu beheben. Dabei verbleibt der Hash des Administrators im Speicher.
  • Der Angreifer führt anschließend eine Software aus um den Hash zu extrahieren, und stellt dann als privilegierter Benutzer Netzwerkverbindungen von der Workstation zu Ressourcen, Datenspeichern, Datenbanken usw. her.

Das grundlegende Forest-Design der ESAE-Umgebung sieht in etwa so aus.
Das grundlegende Forest-Design der ESAE-Umgebung sieht in etwa so aus. (Bild: One Identity)

Privilegierten Konten zu schützen gilt für Active Directory wie für jedes andere System. Konten, Passwörter, Anmeldeinformationen sind primäre Ziele, unabhängig davon, ob das System geschützt ist oder welche Sicherheitsmaßnahmen bereits implementiert wurden. Ein zusätzliches Maß an Sicherheit soll Microsofts „Enhanced Security Administrative Environment (ESAE)“ … alias „Red Forest” AD-Architektur bieten.

Es ist wichtig zu wissen, dass jetzt der Forest und nicht die Domäne die Sicherheitsgrenze ist. In diesem ESAE-Design vertrauen die Benutzer- und Ressourcen- / Anwendungs-Forests der Authentifizierung über Red Forest.in einer unidirektionalen Vertrauensbeziehung.

Die Verwaltung verteilt sich auf unterschiedliche Ebenen:

  • Tier 0: Accounts und Gruppen befinden sich im Red Forest und haben die Kontrolle über Unternehmensidentitäten. Ein Tier-0-Account sollte eine Privileged Access Workstation (PAW) verwenden, die sich im Red Forest befindet und darüber verwaltet wird. Dieser Account sollte sich niemals interaktiv in ein System außerhalb des Red Forest einloggen.
  • Tier 1: Diese Accounts sollten sich im Ressourcen- oder Anwendungs-Forest befinden und sich nur interaktiv auf Systeme in diesem Forest anmelden. Sie werden bei der Verwaltung von Cloud-Diensten oder Unternehmensanwendungen sowie Betriebssystemen in diesem Forest verwendet. Administratoren dieser Ebene sollten eine Privileged Access Workstation (PAW) im Ressourcen-Forest nutzen.
  • Tier 2: Diese Administratorkonten werden zur Kontrolle von Workstations und anderen Geräten im Forest der Benutzer verwendet.
  • Durch diese segmentierte Verwaltung lässt sich eine potenzielle Kompromittierung eingrenzen. Wird beispielsweise ein Tier-2-Administratorkonto kompromittiert, beschränkt sich der Zugriff auf die Assets im Benutzer-Forest. Bewegt man sich allerdings zwischen diesen Ebenen und Konten, müssen die Schutzmaßnahmen und Richtlinien beim Verwenden dieser Accounts deutlich restriktiver sein.

Zu beachten sind folgende Einschränkungen bezüglich des interaktiven Logins. Das größte Problem beim interaktiven Login ist, das Reste des Authentifizierungsvorgangs im Speicher oder in der Registry verbleiben. Wenn ein Administrator auf eine Ressource einer anderen als seiner Ebene zugreifen möchte, muss er zur Anmeldung den Typ „Netzwerkanmeldung“ verwenden. Die interaktive Anmeldung muss dabei über Gruppen-Policies oder lokale Richtlinien strikt kontrolliert werden.

Was leistet ESAE?

ESAE (alias "Red Forest") bietet bis zu einem gewissen Punkt ein Risikomanagement für AD und die Windows-Betriebssysteme im Unternehmen. Wird ein System kompromittiert und der Angriff entdeckt, muss nicht sofort die gesamte Infrastruktur neu aufgesetzt werden. Das Design erstellt effektiv "entbehrliche" Administratorkonten oder Verbindungen, die getrennt werden können, um den Umfang einer Datenschutzverletzung einzuschränken. Man kann anschließend den betroffenen Forest aus der Vertrauensstellung entfernen.

Wie kann eine Multifaktor-Authentifizierung helfen?

MFA bietet Administratoren einen nicht unerheblichen Vorteil, gerade im Kontext von Phishing-Angriffen. Tatsächlich sind Schwachstellen, die ESAE verhindern soll, Pass-the-Hash-Attacken.

Passwörter selbst sind nicht Teil dieses Angriffs. Wenn sich ein Benutzer oder Administrator mit einem Benutzernamen/Passwort oder über MFA interaktiv authentifiziert, wird ein Hash generiert, und dieser ist das eigentliche Ziel.

Die Herausforderung

Mit der Implementierung eines ESAE-Designs sind unterschiedliche Herausforderungen verbunden, die auch mit der Größe des Unternehmens zusammenhängen. Extrem große Unternehmen beschäftigen zahlreiche Administratoren auf allen Ebenen (oder Tiers). In diesem Fall muss die komplette Administration sehr strikt gehandhabt werden. Jede Ausnahme oder "ad-hoc" vergebene Berechtigung kann für Schwachstellen sorgen, die das gesamte Sicherheitskonzept gefährden. In mittelständischen und kleineren Unternehmen ist es durchaus üblich, dass Administratoren Aufgaben auf vielen verschiedenen Tiers ausüben. In diesem Fall benötigen sie separate Konten auf diesen Tiers.

Es empfiehlt sich, die Administration zu unterteilen, wobei es sich als schwierig erweisen kann, die Bereiche zu trennen. Auch hier gefährden Abweichungen oder das Zusammenlegen von Berechtigungen die gesamte Organisation. Effektive Kontrollen lassen sich aber auch einführen, ohne die Komplexität des Enhanced Security Admin Environment-Designs implementieren zu müssen. Der erste Schritt besteht in einer grundlegenden Bestandsaufnahme. Sie umfasst alle Prozesse innerhalb der administrativen Umgebung, die auszuführenden Aufgaben und die dazu benötigten Berechtigungen.

Eine bewährte Methode für mehr Sicherheit bei den administrativen Accounts besteht darin, die Passwörter kontinuierlich über eine Lösung wie One identity Safeguard zu wechseln und somit die Hashes unbrauchbar zu machen. Wenn Accounts in diese Lösung zur Verwaltung aufgenommen werden, ermöglicht dies einen kontrollierten Zugriff und ein automatisches Wechseln der Passwörter nach jeder Verwendung. Alle verbliebenen Spuren der letzen Anmeldung werden dadurch unbrauchbar. Darüber hinaus lassen sich Administrator-Sitzungen über das Session Management der Lösung schützen. In diesem Szenario fordert der Administrator einfach eine Sitzung am Endsystem an, ohne ein Passwort oder eine andere Anmeldeinformation kennen oder schützen zu müssen.

Diese Lösungen sind so konzipiert, dass Unternehmen nicht den mit ESAE verbundenen Aufwand betreiben müssen. Die potentiell gefährdeten Administratorkonten werden über diese Lösung verwaltet und die Pass-the-Hash-Schwachstelle eliminiert. Mithilfe der Session-Verwaltung lassen sich sämtliche Administratorensitzungen wiedergeben und die damit verbundenen Aktivitäten auditieren. Während der Sitzung kann man über die Privileged Analytics-Funktion die administrativen Aktivitäten auswerten und Abweichungen vom normalen Verhalten erkennen. Beispielsweise basierend auf den Standort, den Systemen, auf die zugegriffen wurde, den ausgeführten Befehlen und Tageszeiten. Ebenso können abweichende Mustern beim Tippverhalten und der Mausbewegung erkannt werden. Wird eine Anomalie vom System entdeckt, kann man Gegenmaßnahmen ergreifen, wie zum Beispiel eine Benachrichtigung an die IT-Sicherheitsabteilung senden, die Session pausieren oder beenden lassen.

One Identity Active Roles steuert und automatisiert die Vergabe von AD-Berechtigungen. Die Administration erfolgt nur innerhalb dieser Lösung, alle Änderungen werden dann über einen Service Account in Active Directory umgesetzt. Dies gestattet die Vergabe der erforderlichen administrativen Berechtigungen auf einer weit granulareren Ebene als dies mit nativen Werkzeugen möglich ist. Die Administration wird genau passend delegiert, ohne Berechtigungsanhäufung oder ungewollten Abweichungen unabhängig von der OU-Struktur.

Die Mitgliedschaft in administrativen Gruppen sollte man regelbasiert und automatisiert verwalten. Diese Mitgliedschaft sollte nur für den tatsächlich benötigten Zeitraum bestehen. Tools wie One Identity Active Roles ermöglicht dies mit Hilfe von Genehmigung-Workflows sowie über dynamische und temporäre Vergabe von Gruppenmitgliedschaften. Administratorkonten werden nur dann zu privilegierten Gruppen hinzugefügt, wenn die Berechtigung notwendig ist um eine bestimmte Aufgabe auszuführen. Diese Gruppenmitgliedschaft ist nur für genau diesen Zeitraum gültig. Dieser Ansatz minimiert die Angriffsfläche des Verzeichnisses und schützt damit den administrativen Account.

Unabhängig davon, ob es sich um ein multinationales Unternehmen oder eine Organisation mit nur einem Forest handelt, ist es wichtig genau zu verstehen wie die administrativen Aufgaben erledigt werden, welche Berechtigungen dazu notwendig sind, wem der Zugriff gewährt wurde und wer die nötigen Berechtigungen hatte. Die ESAE-Architektur ist zwar komplex, aber sie bietet deutlich mehr Sicherheit und Resilienz als ein einzelner AD-Forest mit nativen Berechtigungen und Rollen.

Lösungen von One Identity sind so konzipiert, dass sie besonders das Verwalten von komplexen Umgebungen vereinfachen und standardisieren. Sie können wie im Fall der ESAE speziell auf eine Active Directory-Umgebung fokussiert sein oder alle Systeme, Geräte und Anwendungen abdecken.

Über die Autorin: Susanne Haase ist Senior Solutions Architect bei One Identity.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45981544 / Benutzer und Identitäten)