Privileged Access Management

Admins und Admin-Konten vor Angriffen schützen

| Autor / Redakteur: Christian Lechner / Peter Schmitz

Dem Missbrauch von Administrator-Rechten und Service Accounts mit erhöhter Sicherheitsfreigabe lässt sich mit Privileged Access Management ein wirkungsvoller Sicherheitsriegel vorschieben.
Dem Missbrauch von Administrator-Rechten und Service Accounts mit erhöhter Sicherheitsfreigabe lässt sich mit Privileged Access Management ein wirkungsvoller Sicherheitsriegel vorschieben. (© photon_photo - Fotolia)

Manipulationen in IT-Systemen oder Datendiebstahl gehen oft auf das Konto von Administratoren. Dieser vorsätzliche oder unwissentliche Missbrauch von erweiterten Rechten lässt sich durch Privilegd Access Management effizient und automatisiert eindämmen. Welche Anforderung eine solche Software, die den Zugang zu privilegierten Konten begrenzt, erfüllen muss.

Ins Fadenkreuz von Cyberkriminellen geraten immer wieder Accounts, die mit erhöhten Rechten verbunden sind. Als bevorzugtes Angriffsziel kristallisieren sich Admin-Konten heraus. Oder die Bedrohung richtet sich direkt gegen Accounts, die über Rechte eines Domänenadministrators verfügen. Es spielt keine Rolle, ob es bei einem ersten Angriff gelingt, einen solchen Domänenadministrator-Account zu übernehmen. Schließlich sollten Unternehmen damit rechnen, dass ein Angreifer in der Lage ist, die gestohlenen Berechtigungen weiter auszudehnen.

Privilege Escalation nennt sich ein solches Angriffsszenario, das die Berechtigungen nicht autorisiert hochstuft. Dafür lässt sich jeder Account mit erweiterten Berechtigungen missbrauchen. Eine erhöhte Sicherheitsfreigabe macht deshalb jeden Account zum potenziellen Angriffsziel. Es ist daher absolut notwendig, den Zugriff (Access) und alle zugehörigen Accounts zu verwalten. Denn neben Privilege Escalation sind noch andere Angriffsszenarien wie Pass-the-Hash, Pass-the-Ticket und Spear-Phishing an der Tagesordnung, vor denen ein sensibler Umgang mit privilegierten Benutzerkonten schützt.

Der privilegierte Zugriff auf kritische Daten

Hinter einem privilegierten Account verbirgt sich also ein Benutzer, der eine erhöhte Berechtigung zugewiesen bekommen hat. Das kann sowohl ein Administrator als auch ein Service-Account sein. Privilegierte Accounts dienen häufig dazu, Systeme, Netzwerke und die darin befindlichen Daten zu verwalten. Sie sind deshalb privilegiert, weil sie die Berechtigungen besitzen, auf kritische Unternehmensinformationen zuzugreifen, etwa ein E-Mail-Administrator. Zu seinen Aufgaben gehört es, Mailboxen oder ganze Microsoft-Exchange-Server einzurichten, zu verwalten, darauf zuzugreifen und auch zu löschen.

Aufgaben des Privileged Account Managements

Das manuelle Verwalten und Überwachen von privilegierten Benutzerkonten im gesamten Unternehmen ist aufwändig – und fehleranfällig. Wertvolle Unterstützung leisten Lösungen für das Privileged Access Management (PAM), die einen hohen Automatisierungsgrad mitbringen. PAM schützt vor vorsätzlichem, aber auch unbewusstem Missbrauch privilegierter Zugänge. Die Begriffe Privileged Account Management oder Privileged Session Management meinen in der Regel das gleiche. PAM-Lösungen lassen sich in bestehende Identity-Management-Systeme integrieren. Automatisierte Verwaltungssysteme bieten auch häufig die Möglichkeit, komplexe Berechtigungs- und Genehmigungsabläufen abzubilden.

Während sich PAM auf Privileged User Access bezieht, erkennt und autorisiert das Identity Management (IdM) alle Nutzer auf einem System. Jemand der eine Anwendung benutzen will, loggt sich ein. Eine IdM-Lösung wie Microsoft Active Directory verifiziert den Nutzer. Active Directory basiert auf dem Lightweight Directory Access Protocol (LDAP) und erlaubt keine Verwaltung von privilegierten Nutzern. IdM will große Freiheiten bieten, PAM soll dagegen den Zugang begrenzen.

Was PAM leisten kann und soll

Eine PAM-Lösung zielt darauf ab, privilegierte Accounts einfach, sicher, effizient und automatisiert zu verwalten. Das gelingt, wenn sie eine Reihe von Kriterien erfüllt. Dazu zählt, Zugriffe für bestimmte Accounts auf ausgewählte Systeme und Daten zu limitieren. Der Zugang wird außerdem zeitlich nur auf bestimmte Bereiche gewährt und wieder entzogen. Diese Funktionalität lässt durch das Verwenden von „temporary group memberships“ in Windows Server 2016 realisieren. Eine weitere Verbesserung ergibt sich, wenn Unternehmen überflüssige Passwortverwaltung und Kennworteingaben vermeiden. Die praktische Variante dafür stellen Password Vaults dar. So werden Passwörter zu kritischen Systemen auch vor den privilegierten Nutzern geschützt. Ein Ändern dieser Passwörter ohne Absprache ist damit ausgeschlossen. Die Zugangsdaten liegen in einem sicheren Tresor ab. Der Zugang wird erst freigeschaltet, nachdem ein Nutzer diesen beim Access-Manager angefragt hat. Dieses Modul reguliert den Zugriff von privilegierten Accounts, weil hier die Richtlinien für das PAM definiert und durchgesetzt werden.

Ein erfolgreiches PAM gewährleistet zudem ein zentrales Verwalten von Zugriffsrechten über heterogene Netzwerke. Für das Umsetzen liefern generische Gruppenmitgliedschaften den Ansatz. PAM-Lösungen bilden darüber hinaus Workflows für Zugriffsgenehmigungen ab und erstellen Audit-Trails. Für letzteres protokolliert die Software jede Aktion eines privilegierten Benutzers über einen definierten Zeitraum. Das dient nicht nur der Überwachung, sondern vereinfacht im Fehlerfall, Systeme oder Daten wieder herzustellen. In der Praxis findet häufig ein Audit-Trail statt, wenn Unternehmen Lösungen für „Operational Intelligence“ und „Log Management“ einsetzen. Bei Operational Intelligence, erfolgen Parsing und Indexierung direkt, wodurch diese Methode Ursachen für Fehler schneller identifiziert und behebt. Dieser Business-Analytics-Ansatz in Echtzeit erhöht die Sicherheit im Unternehmen enorm.

Software unter Einsatzbedingungen betrachtet

Die Softwarehersteller verfolgen unterschiedliche Ansätze für das PAM. Microsoft Identity Manager 2016 (MIM) setzt auf eine Just-in-Time-Verwaltung (JIT) und Just Enough Administration (JEA). Mit JEA entscheidet ein Administrator, dass ein Account mit einer bestimmten Berechtigung eine bestimmte Aufgabe ausführen darf. Jedes Mal, wenn ein berechtigter Account nun diese Aufgabe ausführen muss, aktiviert er diese Berechtigung. Die Berechtigung läuft nach einem bestimmten Zeitraum ab, sodass ein Angreifer zwar den Account stehlen, nicht jedoch die Berechtigung anwenden kann. Die Microsoft MIM-PAM-Lösung eignet sich sehr gut, die auf Microsoft basierten Infrastrukturen zu verwalten. Das Active Directory dient hierbei als zentraler Verzeichnisdienst. Die resultierenden Workflows für die Berechtigungsverwaltung zeichnen sich durch eine hohe Flexibilität aus.

Die PAM-Lösung von Microsoft erschwert es Angreifern, auf Ressourcen innerhalb einer Active-Directory-Umgebung zuzugreifen. Sie basiert auf neuen Funktionen in den Active-Directory-Domänendiensten und im Microsoft Identity Manager. PAM trennt privilegierte Konten von einer vorhandenen Active-Directory-Umgebung. Ein privilegiertes Konto muss zunächst angefordert werden. Nach der Genehmigung erhält es Berechtigungen in einer neuen, geschützten Gesamtstruktur anstatt in der aktuellen Gesamtstruktur des Benutzers oder der Anwendung. Dadurch kann die gefährdete Active-Directory-Umgebung besser kontrolliert werden.

Cyberark, ein weiterer Anbieter einer PAM-Lösung, hat sich auf SSH Key und Password Management sowie Privileged Session Management spezialisiert. Seine Lösungen fokussieren sich auf Recording und Monitoring einer privilegierten Sitzung. Cyberark hat seine Stärken in heterogenen Umgebungen, wenn es darum geht, privilegierte Anmeldedaten auf entfernten und eigentlich unsicheren Endgeräten über eine verschlüsselte Netzwerkverbindung zu managen.

Fazit

Dem Missbrauch von Administrator-Rechten und Service Accounts, die eine erhöhte Sicherheitsfreigabe erhalten haben, lässt sich mit Privileged Access Management ein wirkungsvoller Sicherheitsriegel vorschieben. Automatisierte PAM-Lösungen bieten einen umfassenden Schutz vor Attacken von außen wie innen. Mit der entsprechenden Unterstützung und Expertise können Unternehmen die firmenspezifischen Anforderungen klar definieren. Das liefert die Basis, um ein individuell erforderliches sowie praxiserprobtes PAM zu installieren.

Über den Autor: Christian Lechner ist Senior Consultant Cybersecurity & Enterprise Mobility bei Axians IT Solutions.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44693448 / Benutzer und Identitäten)