bakhtiarzein - Fotolia
Berechtigungen im Active Directory effektiv steuern
Bei Windows Server 2016 kann man mit Just Enough Administration (JEA) die Rechte von Administratoren zeitlich und örtlich begrenzen. Dies erhöht die Sicherheit merklich.
Mit „Just enough Administration“ können im Netzwerk Administrationsaufgaben so konfiguriert werden, dass nur die notwendigen Rechte vorhanden sein müssen. Das stellt sicher, dass Administrator-Konten nicht von Angreifern übernommen werden können und über zu viel Rechte verfügen.
Durch die granulare Delegierung von Rechten können Administrator-Konten recht zuverlässig abgesichert werden. Außerdem sinkt das Risiko von fehlerhaften Konfigurationen durch falsch verwendete administrative Berechtigungen.
Werden die Anmeldedaten von Administratoren gestohlen, besteht große Gefahr, dass der Angreifer das komplette Netzwerk lahmlegen kann. Arbeiten Unternehmen mit JEA, werden die Berechtigungen auf Sitzungen in der PowerShell begrenzt.
JEA wird vor allem in Windows Server 2016 und Windows 10 unterstützt, aber generell auch in Windows Server 2012 R2 und Windows 8.1. Zahlreiche Beispiele und Informationen sind auch auf der Github-Seite von Microsoft zum Thema JEA zu finden. Auch im TechNet bietet Microsoft Hilfen für die Einrichtung und Verwendung von JEA.
JEA und die PowerShell
Wichtige Basis von JEA ist die PowerShell. Hier kann für bestimmte Sitzungen genau festgelegt werden, welche Cmdlets zur Verfügung stehen und welche Optionen für diese Cmdlets genutzt werden dürfen.
Mit JEA können also alle Serverrollen in Windows Server 2012 R2 und Windows Server 2016 verwaltet werden, die eine Verwaltung über die PowerShell ermöglichen. Das sind mittlerweile im Grunde genommen alle Aufgaben, die auf einem Windows-Server durchgeführt werden können. Bei JEA können Administratoren also ähnliche Gruppierungen durchführen und delegieren, wie in Exchange mit Role Based Access Control (RBAC).
Durch JEA sind keine Gruppenmitgliedschaften notwendig, um administrative Aufgaben vorzunehmen. Die Rechte in einer PowerShell-Sitzung lassen sich natürlich jederzeit anpassen.
Die Verbindung des entsprechenden Support-Mitarbeiters oder Administrators erfolgt über die PowerShell. Dazu verbindet sich der Mitarbeiter mit dem Endpunkt in JEA. Hier sind die entsprechenden Berechtigungen für seine Aufgabe hinterlegt.
Über den JEA-Endpunkt erfolgt schließlich die Verbindung zum entsprechenden Server. Dazu wird mit Remote-Sitzungen der PowerShell gearbeitet. Der Benutzer ist also nicht direkt mit dem Server verbunden, sondern über eine JEA-Schnittstelle.
Die Konfiguration der Rechte erfolgt über Rollenfunktionsdateien (Role Capability Files) (*.psrc) und Session Configuration Files (*.pssc). In der Praxis ist es natürlich sinnvoll, die Rechte, die mit JEA genutzt werden sollen, nicht einem einzelnen Benutzer zuzuweisen, sondern einer Gruppe in Active Directory. Alle Benutzer dieser Gruppe haben das Recht, die Cmdlets und die dazugehörigen Optionen zu nutzen, die mit JEA festgelegt wurden.
PowerShell-Cmdlets für die Verwaltung von JEA
Die beiden Konfigurationsdateien *.psrc und *.pssc werden mit den beiden Cmdlets New-PSRoleCapabilityFile und New-PSSessionConfigurationFile erstellt.
Die Hilfe dazu ist in der PowerShell aufgeführt. Die Daten lassen sich nachträglich bearbeiten, um Rechte zuzuteilen. Dazu werden die Cmdlets aufgenommen, die für die entsprechende Rolle verwendet werden dürfen. Um zum Beispiel eine neue PSRC-Datei zu erstellen, kann folgender Befehl verwendet werden:
New-PSRoleCapabilityFile -Path .\MyFirstJEARole.psrc
In der Datei tragen Sie in verschiedenen Zeilen die Cmdlets ein, die mit dieser PSRC-Datei verwendet werden dürfen. Dazu verwenden Sie die Bereiche bei VisbibleCmdlets oder VisibleFunctionsCmdlets, um Benutzern das Ausführen von Cmdlets oder Funktionen zu erlauben. Mehr dazu ist in der Hilfe zu diesem Thema zu finden.
Eine PSSC-Datei erstellen Sie zum Beispiel mit dem folgenden Befehl:
New-PSSessionConfigurationFile -SessionType RestrictedRemoteServer -Path .\MyJEAEndpoint.pssc
Der JEA-Endpunkt wird wiederum mit „Register-PSSessionConfiguration“ konfiguriert. Die ausführliche Vorgehensweise zeigt Microsoft auf der Hilfe-Seite für Just Enough Administration.
Just-in-Time-Administration als Ergänzung zu JEA
Just-in-Time-Administration (JIT) kann in Windows Server 2016 die Berechtigungen, die in Just Enough Administration (JEA) gesetzt sind, zeitlich begrenzen. Daher ergänzen sich diese beiden Sicherheitsmodelle ideal. Sinnvoll einsetzen lassen sich die beiden Technologien vor allem in Netzwerken, in denen auch auf Active Directory gesetzt wird.
Zusätzlich wird noch auf Privileged Access Management (PAM) gesetzt. Dazu wird im Netzwerk eine weitere AD-Gesamtstruktur integriert, über welche die Rechte in der produktiven AD-Umgebung mit JEA und JIT gesteuert werden können.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!