:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Just-In-Time-Administration (JIT) Sichere Benutzerkonten in Windows Server 2016
Mit Privileged Account Management (PAM), Just-In-Time-Administration (JIT) und Just Enough Administration (JEA) können Unternehmen unter Windows Server 2016 sicherstellen, dass die Administratorkonten nicht für Angriffe auf das Netzwerk verwendet werden können, und nur die notwendigen Sicherheitsberechtigungen genau für den Zeitpunkt erhalten, der notwendig ist.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Windows Server 2016 ermöglicht mit Privileged Account Management (PAM) und Just-In-Time-Administration (JIT) eine temporäre Vergabe von Benutzerrechten. Das stellt sicher, dass es keine Benutzerkonten mit erhöhten Rechten gibt, die aktuell für eine Administrator-Aufgabe nicht notwendig sind.
In vielen Unternehmen werden Sicherheitsempfehlungen von Microsoft bezüglich der Benutzerkonten kaum beachtet. So sollen zum Beispiel die Domänen-Administrator-Konten nur zur Anmeldung auf einem Domänencontroller verwendet werden, weder für andere Server, noch für Arbeitsstationen. Wird das Konto eines Domänen-Administrators kompromittiert, hat der Angreifer Zugriff auf nahezu das komplette Netzwerk. Ein solcher Fall sollte unbedingt ausgeschlossen werden.
Dazu kommt ein weiteres Problem: Erhält ein Konto erhöhte Rechte, werden diese Rechte in den meisten Fällen nicht wieder zurückgenommen, sondern das Konto behält diese Rechte. Auch das ist ein Sicherheitsproblem. Microsoft empfiehlt auch hier die Rechte möglichst schnell wieder zu entfernen.
Just-In-Time in Windows Server 2016
In Windows Server 2016 hat Microsoft JIT direkt integriert. Unternehmen bauen ein so genanntes „Bastion Active Directory“ auf. In diesem AD sind die Benutzerkonten mit erhöhten Rechten isoliert. Zusammen mit einer neuen Vertrauensstellung zwischen Bastion AD und dem herkömmlichen AD, lassen sich Benutzerkonten und deren Rechte wesentlich leichter delegieren.
Durch die Verwendung von PAM müssen Administrator-Benutzer erhöhte Rechte für eine Administratoraufgabe anfordern. Erst wenn die Anfrage genehmigt wurde, erhält der Anwender das Recht auf den Zugriff mit einem Schatten-Konto aus dem Bastion-AD. Nach Ablauf einer bestimmten Zeit werden die Rechte wieder entzogen. Ohne ein solches Bastion-AD kann daher PAM in Windows Server 2016 nicht genutzt werden.
Dazu kommt die temporäre Mitgliedschaft in Sicherheits-Gruppen, die Rechte erhält Verwaltungsaufgaben durchzuführen. Auch diese Gruppen sind im Bastion-AD positioniert. Die Berechtigungen laufen über Kerberos-Tickets. Kerberos ist daher die Grundlage für das PAM- und JIT-Modell in Windows Server 2016.
Zusammen mit PAM, dem Microsoft Identity Manager 2016 (MIM) und dem neuen Bastion Active Directory Forest stehen auch Shadow Groups in Windows Server 2016 zur Verfügung. Diese verfügen über administrative Rechte, jedoch ist die Mitgliedschaft zeitlich begrenzt. Dazu wird der TTL von Kerberos-Tickets verringert, und die Gruppe überwacht. Die Zeitdauer lässt sich von Minuten, über Stunden, bis hin zu Monaten steuern, ist jedoch niemals unendlich.
Das bedeutet aber auch, dass nur Anwendungen und Verwaltungsaufgaben mit PAM und JIT in Windows Server 2016 genutzt werden können, die Kerberos unterstützen.
Just Enough Administration (JEA)
Die Gesamtstruktur mit den Administratorkonten, also der „Bastion Active Directory Forest“ wird durch den Microsoft Indentity Manager zur Verfügung gestellt, überwacht und gesteuert. Diese Lösung ist für den Einsatz von PAM und JIT in einem Microsoft-AD notwendig. Bei dieser Technik wird eine neue Active Directory-Gesamtstruktur mit MIM erstellt, und mit PAM geschützt. Um PAM mit Windows Server 2016 zu nutzen, sind also mindestens zwei Active Directory-Gesamtstrukturen notwendig.
In sicheren AD-Umgebungen arbeiten Administratoren also nicht mit Administratorkonten in der Active Directory-Umgebung, sondern erhalten einen Zugang mit Just Enough Administration (JEA). Dazu wird eine Gruppe an CMDlets in der PowerShell definiert sowie eine genaue Zielgruppe an Objekten, die für einen bestimmten administrativen Vorgang nötig sind.
Auch die Zeitdauer für diese Rechte lässt sich über JEA steuern. Sobald der Zeitraum abgelaufen ist, kann der Zugang nicht mehr für die Administration genutzt werden, auch nicht für den fest definierten Zielbereich. Microsoft erklärt die Vorgehensweise in der TechNet genauer.
Einbinden der Cloud mit Microsoft Azure Active Directory
Zusammen mit Microsoft Azure Active Directory Premium kann Microsoft Identity Manager mit gebucht werden. Das erlaubt die Ausdehnung dieser sicheren Authentifizierungsumgebung in die Cloud. MIM kann wesentlich mehr als JEA, PAM und JIT im Netzwerk umsetzen. Benutzerkonten lassen sich zwischen verschiedenen Gesamtstrukturen und der Cloud synchronisieren.
Auch die Verwaltung von Zertifikaten sowie Self-Service-Aufgaben sind umsetzbar. Dazu kommt das Management von Smartcards sowie die Möglichkeit Kennwörter automatisiert zurückzusetzen. Im Fokus steht der komplette Lebenszyklus von Benutzerkonten sowie deren Rechte. Neben Active Directory und Microsoft Azure wird auch Office 365 unterstützt. Unternehmen die neben Active Directory auch noch auf andere Dienste von Microsoft setzen, sollten daher den Einsatz von MIM in Erwägung ziehen.
Fazit
Administratoren von Active Directory-Umgebungen sollten sich mit den Themen Just Enough Administration (JEA), Privileged Account Management (PAM) und Just-In-Time-Administration (JIT) auseinandersetzen und den Einsatz einer solchen Lösung prüfen. Umso größer ein Unternehmen und damit ein Active Directory ist, desto sinnvoller ist der Einsatz einer sicheren Verwaltungsumgebung. Aus diesem Grund ist die Migration zu Windows Server 2016 durchaus gerechtfertigt, da dadurch die Sicherheit in Netzwerken enorm erhöht werden kann.
(ID:44858836)
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904510/original.jpg "Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen. (NicoElNino - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1916800/1916884/original.jpg "Mit diesen 10 Tipps wird die Verwendung von Microsoft Azure sicherer. (Connect world - stock.adobe.com)")