:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/74/8d744322f5404e58e35ede9a656bd8f6/0111572445.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/16/70/1670e0b2f524899b0af813ce4105f882/0111866524.jpeg "Die Forscher des 32Guards-Research-Teams registrierten besonders im Juli 2022 und Ende Oktober 2022 ein erhöhtes Spam-Aufkommen. Besonders ruhig war es dagegen – wie auch in den Vorjahren – in den ersten beiden Januarwochen. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/b7/ebb733db7b47d492e23de27663d5d722/0111892587.jpeg "Wie gehen Angreifer vor, um Unternehmen in Microsoft 365 zu attackieren und was sollten Unternehmen als Schutz dagegen tun? (Bild: Amgun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/cd/23cd04136e527ec8ac226206f27f54f1/0112178275.jpeg "Der 365 Permission Manager ermöglicht Unternehmen die einfache Überwachung interner und externer Richtlinien für die Freigabe von Sites, Dateien und Ordnern. (Bild: Terablete - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/4a/a94a6bb011745090ce53140a6ed498eb/0111343516.jpeg "Die EU will im Kampf gegen Kindesmissbrauch digitale Datenaustauschdienste lückenlos überwachen – und verstößt damit nach Expertenmeinung gegen das deutsche Recht auf informationelle Selbstbestimmung. (Bild: rolffimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d0/e8d089e2fef18a46c1dba398f3895447/0111885922.jpeg "Warum die Kombination von Cyber-Sicherheit und Cyber-Versicherung unerlässlich ist, erklären Vincent Weafer, CTO und Oliver Delvos, Head of International, bei Corvus Insurance. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/3f/623fb0e26fafb675966311f8f170b3fd/0111189652.jpeg "Unter Security-as-a-Service (SECaaS) versteht man die Verlagerung von Sicherheitsprozessen in die Cloud mit Sicherheitslösungen als Service einer Cloud-Plattform. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Privileged Access Management aus Windows Server 2022 richtig nutzen Admin auf Zeit in Active Directory
Mit Privileged Access Management ist es möglich privilegierte Benutzer- und Administratorkonten in Active Directory besser zu schützen und Missbrauch von Rechten zu verhindern. Wir zeigen nachfolgend die Möglichkeiten und die Einrichtung.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Privileged Access Management ist eine Funktion in Windows Server 2016/2019 und auch in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen. Das optionale Feature schränkt die Rechte von Administratoren so ein, dass diese nur zu bestimmten Zeiten festgelegte Aufgaben erledigen können. Privileged Access Management (PAM) ist eine einfachere Variante von Just-In-Time (JIT) Administration und auch für kleinere Umgebungen sinnvoll einsetzbar, um den Missbrauch von Administratorrechten zu verhindern.
PAM hat die Aufgabe Benutzerkonten für eine bestimmte Zeit zu einer Gruppe zuzuordnen. Dabei muss es sich nicht unbedingt um eine Admin-Gruppe handeln. Auch andere Gruppen lassen sich damit zeitbasiert steuern. Admin-Rechte können damit zum Beispiel über temporäre Gruppenmitgliedschaften in den AD-Gruppen gesteuert werden. Andere Rechte lassen sich dann wiederum flexibel über die Mitgliedschaft in anderen Gruppen festlegen.
:quality(80)/images.vogel.de/vogelonline/bdb/1904400/1904459/original.jpg "Überprüfen der Gesamtstrukturebene von Active Directory in der PowerShell.")
:quality(80)/images.vogel.de/vogelonline/bdb/1904400/1904460/original.jpg "Überprüfen der Domänenfunktionsebene in Active Directory-Domänen und Vertrauensstellungen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1904400/1904461/original.jpg "Überprüfen der Gesamtstrukturfunktionsebene in Active Directory-Domänen und Vertrauensstellungen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1904400/1904463/original.jpg "Anzeigen der Gesamtstrukturebene von AD.")
PAM ist einfacher als JIT einzurichten
Die Einrichtung von PAM ist einfacher als die Konfiguration von JIT, da keine verschiedenen AD-Strukturen und auch keine zusätzlichen Server zum Einsatz kommen müssen. Damit PAM genutzt werden kann, müssen Gesamtstruktur und Domäne im Betriebsmodus „Windows Server 2016“ betrieben werden. Dieser Modus ist auch in Windows Server 2019/2022 noch der aktuelle Wert.
Der Wert kann in der PowerShell mit dem Cmdlet „(Get-ADForest).ForestMode“ abgefragt werden. Die Informationen dazu, und auch die Möglichkeit zum Heraufstufen ist auch im Verwaltungsprogramm „Active Directoy-Domänen und -Vertrauensstellungen“ zu finden. Über das Kontextmenü des oberen Menüpunktes lässt sich über „Gesamtstrukturfunktionsebene heraufstufen“ herausfinden, welche Funktionsebene die Gesamtstruktur hat. Über das Kontextmenü der einzelnen Domänen steht „Domänenfunktionsebene heraufstufen“ zur Verfügung.
PAM in der PowerShell überprüfen und aktivieren
In der PowerShell lässt sich auch überprüfen, ob PAM in der Gesamtstruktur bereits aktiviert ist:
Get-ADOptionalFeature "Privileged Access Management Feature" | fl Name,EnabledScopesWenn bei „EnabledScopes“ kein Wert eingetragen ist, dann ist die Funktion auch nicht aktiv. Um PAM für eine Gesamtstruktur zu aktivieren, kann der folgende Befehl verwendet werden. Als Beispieldomäne wird „joos.int“ verwendet:
Enable-ADOptionalFeature -Identity "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target "joos.int"Ob die Funktion erfolgreich aktiviert ist, kann wiederum mit dem oberen Befehl überprüft werden. Hier muss auch darauf geachtet werden, dass sich PAM in der Umgebung nicht mehr deaktivieren lässt. Einmal aktiv, ist das PAM-Feature dauerhaft aktiv, lässt sich aber anpassen.
Sicherheit der Admin-Gruppen in AD mit PAM steuern
Nur durch die Aktivierung von PAM wird die Sicherheit in AD noch nicht erhöht. Es müssen erst Einstellungen vorgenommen, Gruppen erstellt und Benutzer zugewiesen werden, die unter diesen Schutz fallen. Die Konfiguration dazu kann ebenfalls in der PowerShell vorgenommen werden.
PAM kann zeitweise Benutzerkonten zu Gruppen zuordnen. Neben der Absicherung von Freigaben über benutzerdefinierte Gruppen, spielen natürlich vor allem die Admin-Gruppen von Windows-Server in Netzwerken eine Rolle.
In Active Directory gibt es verschiedene Administratorengruppen, die über unterschiedliche Berechtigungen verfügen. Diese Gruppen befinden sich in der OU „Users“:
- Domänen-Admins: Enthalten die Administratoren, welche die lokale Domäne verwalten und umfassende Rechte in dieser Domäne haben. Domänen-Admins haben in einer Domäne umfassendere Rechte als Organisations-Admins, aber dafür auch nur Rechte in ihrer eigenen Domäne.
- Organisations-Admins: Sind Administratoren, die Berechtigungen für alle Domänen in Active Directory besitzen. Organisations-Admins gibt es nur in der Rootdomäne.
- Schema-Admins: Mitglieder dieser Gruppe dürfen Veränderungen am Schema von Active Directory vornehmen. Produkte, die das Schema von Active Directory erweitern, wie zum Beispiel Exchange, können nur installiert werden, wenn der installierende Administrator in dieser Gruppe Mitglied ist.
Darüber hinaus gibt es in Windows weitere Administrator-Gruppen, deren Mitglieder unterschiedliche Rechte haben:
- DHCP-Administratoren: Dürfen DHCP-Server in der Domäne verwalten.
- DHCP-Benutzer: Enthält Benutzerkonten, die lesend auf die Informationen des DHCP-Diensts zugreifen, aber keine Änderungen vornehmen dürfen.
- DnsAdmins: Die Gruppe kann verwendet werden, um die Administration von DNS-Servern zu delegieren.
- DnsUpdateProxy: In dieser Gruppe befinden sich Computer, die als Proxy für die dynamische Aktualisierung von DNS-Einträgen fungieren können.
- Richtlinien-Ersteller-Besitzer: Diese Gruppe enthält Anwender, die Gruppenrichtlinien für die Domäne erstellen.
PAM nach der Aktivierung konfigurieren
Mit PAM lassen sich Benutzerkoten über einen bestimmten Zeitraum Gruppenmitgliedschaften und damit Rechte zuweisen. Soll zum Beispiel der Benutzer „Paula Joos“ mit dem Anmeldenamen „joosp“ für 8 Stunden Admin-Rechte in der Domäne erhalten, kann in der PowerShell die entsprechende Konfiguration dazu vorgenommen werden.
Im ersten Schritt wird die Zeitspanne definiert, in welcher das Benutzerkonto Mitglied der jeweiligen Gruppe ist. Dazu wird der Wert am besten als Variablen gespeichert. Neben Minuten und Stunden lassen sich Rechte auch für mehrere Tage definieren, zum Beispiel mit:
$timespan = New-TimeSpan -Days 5$timespan = New-TimeSpan -Hours 8Neben Stunden und Tagen kann auch ein Enddatum definiert werden. In diesem Fall kommt der Parameter „-End“ zum Einsatz. Der Befehl umfasst folgende Parameter:
New-TimeSpan -<Minutes|Hours|Days|End> <Count|End-Date>Ein Enddatum lässt sich zum Beispiel mit dem folgenden Befehl definieren:
New-TimeSpan -End 10.10.2022Es lassen sich auch Zeitspannen definieren:
New-TimeSpan -Start 09.10.2022 -End 10.10.2022Anschließend kann ein Benutzer eine gewisse Zeit einer Gruppe zugeordnet werden. Im folgenden Beispiel verwenden wir den Benutzer „Paula Joos“ mit dem Anmeldenamen „joosp“ der für 8 Stunden Mitglied der Gruppe „Domänen-Admins“ sein soll:
Get-ADGroup Domänen-Admins | Add-ADGroupMember -Members joosp -MemberTimeToLive $timespanDie Vorgänge lassen sich auch mit Variablen speichern, zum Beispiel mit:
$timespan = New-TimeSpan -Hours 8$pamuser = Get-ADUser -Identity joosp$pamgroup = Get-ADGroup -Identity 'Domain Admins'Add-ADGroupMember -Identity $pamgroup -Members $pamuser -MemberTimeToLive $timespanDie Konfiguration lässt sich anschließend auch in der PowerShell überprüfen:
Get-ADGroup "<Name der Gruppe >" -Properties Member -ShowMemberTimeToLiveIn diesem Beispiel:
Get-ADGroup "Domänen-Admins" -Properties Member -ShowMemberTimeToLiveDas Benutzerkonto ist in allen Konsolen zur Verwaltung von AD zu sehen, auch im Active Directory-Verwaltungscenter und Active Directory-Benutzer und -Computer. Wie lange das Benutzerkonto Mitglied der Gruppe ist zeigen die Konsolen nicht an. Hier kommt aber die PowerShell zum Einsatz, zum Beispiel mit:
Get-ADGroup Domänen-Admins -Property member -ShowMemberTimeToLive(ID:47825787)
:quality(80)/images.vogel.de/vogelonline/bdb/1765600/1765674/original.jpg "Sicherheit muss nicht immer Geld kosten. Windows Server 2016 lässt sich auch mit Microsoft Defender und der Microsoft Defender Firewall grundlegend absichern. (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945981/original.jpg "Mit Delinea Cloud Suite 22.1 können Benutzer aus Cloud-Verzeichnissen zu bestehenden lokalen Gruppen auf Linux-Systemen hinzugefügt werden, um einen sicheren Zugriff zu ermöglichen. (gemeinfrei)")