lucadp - stock.adobe.com
PAM: Geschütze Umgebung für Admin-Accounts
Eine Funktion namens Bastion Forest (geschützte Umgebung) ist die zentrale Komponente im neuen PAM-Modell von Microsoft, mit der sich Admin-Accounts schützen lassen sollen.
Kein Unternehmen kann darauf verzichten, einen Teil seiner IT-Mitarbeiter mit Admin-Accounts auszustatten. Dadurch entsteht aber auch ein hohes Risiko, da diese Daten in die falschen Hände fallen können. Eine Möglichkeit, die Sicherheit zu erhöhen, ist das Errichten einer geschützten Umgebung. Im Englischen wird dafür von Microsoft der Begriff „Bastion Forest“ verwendet.
Die Segmentierung von Ressourcen ist nicht neu, wenn es um IT-Sicherheit geht. Unter einem so genannten Bastion Host versteht man beispielsweise einen gehärteten Server, über den Anfragen an eine Ressource im Backend geleitet werden. Der Bastion Host schützt die Server im Backend vor zahlreichen Gefahren, da er keine direkten Zugriffe auf sie mehr zulässt. Ein Bastion Forest funktioniert ähnlich. Er schützt die administrativen Accounts für das Active Directory im Unternehmen und damit eine besonders sensible Ressource.
Die Kontrolle über die Admin-Accounts behalten
Bastion Forests sind Teil einer mehrschichtigen Architektur zum Privileged Access Management (PAM) von Microsoft. Die wichtigste Idee bei PAM ist dabei, IT-Mitarbeitern nur eng begrenzte administrative Rechte zu gewähren, die auch nur über einen vorübergehenden Zeitraum gelten.
Die Aufgaben eines Admins erfordern in der Regel ein oder mehrere spezifische Rechte. Für das Anlegen eines Nutzers im Active Directory werden dabei aber andere Rechte benötigt als für andere administrative Aufgaben wie etwa für das Verwalten von Gruppenrichtlinien. Dazu kommt, dass auch ein Admin nicht permanent auf administrative Rechte für ihre Arbeit angewiesen ist. Das bedeutet, dass PAM die erweiterten Rechte eines Admins beschränken kann, wenn er gerade keine Verwaltungsaufgaben zu erledigen hat.
Wie sich ein bestehendes Active Directory umstrukturieren lässt
Möglicherweise treten Bedenken auf, wenn eine PAM-Architektur und ein Bastion Forest in einem Unternehmen eingeführt werden sollen, dass noch mit einer der älteren Versionen von Windows Server arbeitet. Aber auch hier ist es möglich, PAM in einem bestehenden Active Directory einzusetzen, ohne gleich komplett zu Windows Server 2016 wechseln zu müssen.
Um PAM zu nutzen, muss das gesamte Active Directory des Unternehmens jedoch zumindest auf Windows Server 2012 R2 oder neuer basieren. Selbst auf dem Server mit dem Primary Active Directory muss Windows Server 2016 jedoch nicht installiert sein. An einer Stelle wird das neue Betriebssystem aber doch benötigt, auf den Domänencontrollern. Sie müssen so konfiguriert werden, dass sie die benötigten Funktionen für einen Bastion Forest bereitstellen.
Bastion Forests sind eine Kernkomponente in der Architektur von PAM. Sie wurden erstmals mit Windows Server 2016 eingeführt. Eine solche geschützte Umgebung isoliert Accounts mit erweiterten Rechten vom Rest des Active Directories. Dazu verwendet sie einen nur in eine Richtung offenen Weg, um es einem Angreifer zu erschweren, Admin-Accounts zu übernehmen und für seine Zwecke zu missbrauchen.
Ein Bastion Forest unterscheidet sich auch von einem so genannten Trusted Forest, in dem sich ebenfalls geschützte Accounts mit erweiterten Rechten befinden können. Bei einem Bastion Forest loggt sich ein Admin aber nicht auf die übliche Weise in seinen Account ein, um die Ressourcen im Active Directory zu verwalten. Stattdessen bietet PAM nur die aktuell benötigten Rechte und diese auch nur für einen eng begrenzten Zeitraum.
In einer mit PAM ausgestatten Umgebung haben Admins drei Möglichkeiten, um die Rechte anzufordern, mit denen sie zum Beispiel einen neuen Benutzer-Account im Active Directory des Unternehmens anlegen können: Entweder über einen REST-Client (Representational State Transfer), mit Hilfe des Cmdlets New-PAMRequest oder über die Microsoft-API Identity Manager Web Service. Nach dem Freigeben der Anfrage erhält der Admin die angeforderten Rechte über eine so genannte Foreign Principal Group im Bastion Forest.
Das interessante an diesem Setup ist, dass der Admin seine angeforderten Rechte nur über die Mitgliedschaft in einer Gruppe im Bastion Forest zugewiesen bekommt. Der Account selbst verfügt über keine eigenen erweiterten Rechte im Active Directory des Unternehmens.
Dazu kommt, dass auch wenn ein Account einer Gruppe mit erweiterten Nutzungsrechten zugeteilt wird, dies immer nur auf begrenzte Zeit gilt. Nach einer frei einstellbaren Spanne verliert er die Rechte automatisch wieder. Das gewünschte Zeitlimit kann mit einem Time-to-Live-Wert mit dem PowerShell-Cmdlet Set-ADObject konfiguriert werden.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!