Sicherheitsstrategie für Verwaltungsaufgaben mit administrativen Rechten

Autor: Wolfgang Haag, IT-Senior Consultant, CEMA Mannheim

Im Rahmen einer IT-Sicherheitsstrategie nimmt der Schutz von Administratorenrechten (Konten mit privilegierten Rechten) einen zentralen Stellenwert ein.

Neben den gängigen Empfehlungen, das Administrator-Konto generell zu deaktivieren, mit personalisierten und eingeschränkten Admin-Accounts zu arbeiten, bestehen dennoch weitere Gefahren, die unbefugten Zugriff auf Serversysteme ermöglichen.

Pass-the-Hash-Attacken

Eine mögliche Gefahr besteht durch sogenannte „Pass-the-Hash-Attacken“. Damit kann sich ein Angreifer an entfernten Servern anzumelden, ohne die eigentlichen Passwörter zu kennen. Auch ohne die eigentlichen Klartext-Passwörter ist er damit in der Lage, sich mit allen entsprechenden Rechten an Servern sowie oft auch in Anwendungen anzumelden und im Zweifel unternehmenskritische Daten auszulesen oder zu korrumpieren.

PAW

Um hier den Schutzgrad zu erhöhen, empfiehlt es sich einen dedizierten Computer -bezeichnet als PAW (Privileged Access Workstations)-, für Verwaltungsaufgaben einzusetzen.

In der Praxis können hierbei sowohl gehärtete Windows 10 Computer als auch dedizierte (virtuelle) Serversysteme eingesetzt werden. Mit Hilfe von „application whitelisting“ können auf diesen Systemen ausschließlich administrative Anwendungen ausgeführt werden, wie z.B.

  • Remote Desktop Connection Manager
  • System Center Endpoint Protection
  • Azure RemoteApp
  • Skype for Business

Weitere Sicherheitsfunktionen sind in der Windows 10 Enterprise Architektur eingebaut und unterstützen diesen Ansatz. Somit stellt der PAW-Ansatz eine konsequente Erweiterung der Trennung von Administratoren- und Benutzerkonten auf Computerebene (Admin- und Benutzercomputer) dar.

PAW-Referenzarchitektur

Diese beiden Aspekte (administrative Trennung auf Account- und Computerebene) sind Bestandteil einer übergeordneten Architektur zum Schutz von privilegierten Zugriffen. Daraus ergibt sich in Praxis eine sogenannte „administrative Gesamtstruktur“ (ESAE – Enhanced Security Administrative Environment).

Diese erstreckt sich – von dedizierten Managementnetzen (Netzsegmentierung) ausgehend – über dedizierte Verwaltungssysteme hin zum Einsatz definierter Pufferzonen. Die Pufferzonen stellen sicher, dass die Übernahme von Identitäten (Accounts), Systemen und Anwendungen unterbunden wird.

Eine unternehmensweite IT-Sicherheitsarchitektur muss daher immer auch die „administrative Gesamtstruktur“ in den Mittelpunkt stellen.

Auf Basis bewährter Referenzarchitekturen können die wesentlichen Komponenten einer solcher „administrativen Gesamtstruktur“ identifiziert und in die bestehenden oder neu konzipierten IT-Architekturen übertragen werden.

Kontaktieren Sie jetzt Ihren CEMA IT-Spezialisten!

Klicken Sie hier, um E-Mails von CEMA zu erhalten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.