Privileged Access Management aus Windows Server 2022 richtig nutzen Admin auf Zeit in Active Directory

Von Thomas Joos

Mit Privileged Access Management ist es möglich privilegierte Benutzer- und Administratorkonten in Active Directory besser zu schützen und Missbrauch von Rechten zu verhindern. Wir zeigen nachfolgend die Möglichkeiten und die Einrichtung.

Anbieter zum Thema

Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen.
Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen.
(Bild: NicoElNino - stock.adobe.com)

Privileged Access Management ist eine Funktion in Windows Server 2016/2019 und auch in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen. Das optionale Feature schränkt die Rechte von Administratoren so ein, dass diese nur zu bestimmten Zeiten festgelegte Aufgaben erledigen können. Privileged Access Management (PAM) ist eine einfachere Variante von Just-In-Time (JIT) Administration und auch für kleinere Umgebungen sinnvoll einsetzbar, um den Missbrauch von Administratorrechten zu verhindern.

PAM hat die Aufgabe Benutzerkonten für eine bestimmte Zeit zu einer Gruppe zuzuordnen. Dabei muss es sich nicht unbedingt um eine Admin-Gruppe handeln. Auch andere Gruppen lassen sich damit zeitbasiert steuern. Admin-Rechte können damit zum Beispiel über temporäre Gruppenmitgliedschaften in den AD-Gruppen gesteuert werden. Andere Rechte lassen sich dann wiederum flexibel über die Mitgliedschaft in anderen Gruppen festlegen.

Bildergalerie
Bildergalerie mit 7 Bildern

PAM ist einfacher als JIT einzurichten

Die Einrichtung von PAM ist einfacher als die Konfiguration von JIT, da keine verschiedenen AD-Strukturen und auch keine zusätzlichen Server zum Einsatz kommen müssen. Damit PAM genutzt werden kann, müssen Gesamtstruktur und Domäne im Betriebsmodus „Windows Server 2016“ betrieben werden. Dieser Modus ist auch in Windows Server 2019/2022 noch der aktuelle Wert.

Der Wert kann in der PowerShell mit dem Cmdlet „(Get-ADForest).ForestMode“ abgefragt werden. Die Informationen dazu, und auch die Möglichkeit zum Heraufstufen ist auch im Verwaltungsprogramm „Active Directoy-Domänen und -Vertrauensstellungen“ zu finden. Über das Kontextmenü des oberen Menüpunktes lässt sich über „Gesamtstruktur­funktionsebene heraufstufen“ herausfinden, welche Funktionsebene die Gesamtstruktur hat. Über das Kontextmenü der einzelnen Domänen steht „Domänen­funktions­ebene heraufstufen“ zur Verfügung.

PAM in der PowerShell überprüfen und aktivieren

In der PowerShell lässt sich auch überprüfen, ob PAM in der Gesamtstruktur bereits aktiviert ist:

Get-ADOptionalFeature "Privileged Access Management Feature" | fl Name,EnabledScopes

Wenn bei „EnabledScopes“ kein Wert eingetragen ist, dann ist die Funktion auch nicht aktiv. Um PAM für eine Gesamtstruktur zu aktivieren, kann der folgende Befehl verwendet werden. Als Beispieldomäne wird „joos.int“ verwendet:

Enable-ADOptionalFeature -Identity "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target "joos.int"

Ob die Funktion erfolgreich aktiviert ist, kann wiederum mit dem oberen Befehl überprüft werden. Hier muss auch darauf geachtet werden, dass sich PAM in der Umgebung nicht mehr deaktivieren lässt. Einmal aktiv, ist das PAM-Feature dauerhaft aktiv, lässt sich aber anpassen.

Sicherheit der Admin-Gruppen in AD mit PAM steuern

Nur durch die Aktivierung von PAM wird die Sicherheit in AD noch nicht erhöht. Es müssen erst Einstellungen vorgenommen, Gruppen erstellt und Benutzer zugewiesen werden, die unter diesen Schutz fallen. Die Konfiguration dazu kann ebenfalls in der PowerShell vorgenommen werden.

PAM kann zeitweise Benutzerkonten zu Gruppen zuordnen. Neben der Absicherung von Freigaben über benutzerdefinierte Gruppen, spielen natürlich vor allem die Admin-Gruppen von Windows-Server in Netzwerken eine Rolle.

In Active Directory gibt es verschiedene Administratorengruppen, die über unterschiedliche Berechtigungen verfügen. Diese Gruppen befinden sich in der OU „Users“:

  • Domänen-Admins: Enthalten die Administratoren, welche die lokale Domäne verwalten und umfassende Rechte in dieser Domäne haben. Domänen-Admins haben in einer Domäne umfassendere Rechte als Organisations-Admins, aber dafür auch nur Rechte in ihrer eigenen Domäne.
  • Organisations-Admins: Sind Administratoren, die Berechtigungen für alle Domänen in Active Directory besitzen. Organisations-Admins gibt es nur in der Rootdomäne.
  • Schema-Admins: Mitglieder dieser Gruppe dürfen Veränderungen am Schema von Active Directory vornehmen. Produkte, die das Schema von Active Directory erweitern, wie zum Beispiel Exchange, können nur installiert werden, wenn der installierende Administrator in dieser Gruppe Mitglied ist.

Darüber hinaus gibt es in Windows weitere Administrator-Gruppen, deren Mitglieder unterschiedliche Rechte haben:

  • DHCP-Administratoren: Dürfen DHCP-Server in der Domäne verwalten.
  • DHCP-Benutzer: Enthält Benutzerkonten, die lesend auf die Informationen des DHCP-Diensts zugreifen, aber keine Änderungen vornehmen dürfen.
  • DnsAdmins: Die Gruppe kann verwendet werden, um die Administration von DNS-Servern zu delegieren.
  • DnsUpdateProxy: In dieser Gruppe befinden sich Computer, die als Proxy für die dynamische Aktualisierung von DNS-Einträgen fungieren können.
  • Richtlinien-Ersteller-Besitzer: Diese Gruppe enthält Anwender, die Gruppenrichtlinien für die Domäne erstellen.
Bildergalerie
Bildergalerie mit 7 Bildern

PAM nach der Aktivierung konfigurieren

Mit PAM lassen sich Benutzerkoten über einen bestimmten Zeitraum Gruppenmitgliedschaften und damit Rechte zuweisen. Soll zum Beispiel der Benutzer „Paula Joos“ mit dem Anmeldenamen „joosp“ für 8 Stunden Admin-Rechte in der Domäne erhalten, kann in der PowerShell die entsprechende Konfiguration dazu vorgenommen werden.

Im ersten Schritt wird die Zeitspanne definiert, in welcher das Benutzerkonto Mitglied der jeweiligen Gruppe ist. Dazu wird der Wert am besten als Variablen gespeichert. Neben Minuten und Stunden lassen sich Rechte auch für mehrere Tage definieren, zum Beispiel mit:

$timespan = New-TimeSpan -Days 5$timespan = New-TimeSpan -Hours 8

Neben Stunden und Tagen kann auch ein Enddatum definiert werden. In diesem Fall kommt der Parameter „-End“ zum Einsatz. Der Befehl umfasst folgende Parameter:

New-TimeSpan -<Minutes|Hours|Days|End> <Count|End-Date>

Ein Enddatum lässt sich zum Beispiel mit dem folgenden Befehl definieren:

New-TimeSpan -End 10.10.2022

Es lassen sich auch Zeitspannen definieren:

New-TimeSpan -Start 09.10.2022 -End 10.10.2022

Anschließend kann ein Benutzer eine gewisse Zeit einer Gruppe zugeordnet werden. Im folgenden Beispiel verwenden wir den Benutzer „Paula Joos“ mit dem Anmeldenamen „joosp“ der für 8 Stunden Mitglied der Gruppe „Domänen-Admins“ sein soll:

Get-ADGroup Domänen-Admins | Add-ADGroupMember -Members joosp -MemberTimeToLive $timespan

Die Vorgänge lassen sich auch mit Variablen speichern, zum Beispiel mit:

$timespan = New-TimeSpan -Hours 8$pamuser = Get-ADUser -Identity joosp$pamgroup = Get-ADGroup -Identity 'Domain Admins'Add-ADGroupMember -Identity $pamgroup -Members $pamuser -MemberTimeToLive $timespan

Die Konfiguration lässt sich anschließend auch in der PowerShell überprüfen:

Get-ADGroup "<Name der Gruppe >" -Properties Member -ShowMemberTimeToLive

In diesem Beispiel:

Get-ADGroup "Domänen-Admins" -Properties Member -ShowMemberTimeToLive

Das Benutzerkonto ist in allen Konsolen zur Verwaltung von AD zu sehen, auch im Active Directory-Verwaltungscenter und Active Directory-Benutzer und -Computer. Wie lange das Benutzerkonto Mitglied der Gruppe ist zeigen die Konsolen nicht an. Hier kommt aber die PowerShell zum Einsatz, zum Beispiel mit:

Get-ADGroup Domänen-Admins -Property member -ShowMemberTimeToLive

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47825787)