Microsoft hat in einem Blog-Beitrag skizziert, wie man intern die Sicherheit in seinem Unternehmensnetzwerk im Hinblick auf das Identitäts-Management mittels spezieller Maßnahmen gewährleistet.
Anzeige
Der Blog-Beitrag 3 investments Microsoft is making to improve identity management des Microsoft Sicherheitsteams ist bereits am 8. Mai 2019 erschienen. Ich bin über den ZDNet-Artikel Microsoft recommends using a separate device for administrative tasks auf das Thema aufmerksam geworden. Mir sprang die Botschaft ins Auge, dass Microsoft separate Geräte für administrative Aufgaben empfiehlt. Der ZDNet-Artikel zieht folgende Kernaussagen mit Empfehlungen aus dem Blog-Beitrag:
- Gemäß dem Sicherheitsteam von Microsoft sollten Mitarbeiter mit Administratorzugriff ein separates Gerät verwenden, das nur für administrative Vorgänge vorgesehen ist.
- Dieses Gerät sollte immer mit den neuesten Software- und Betriebssystempatches auf dem neuesten Stand gehalten werden.
- Administratorkonten sollten standardmäßig keine Rechte gewährt werden, Konten sollten Just-in-time (JIT)-Privilegien anfordern, die begrenzte Zeit Zugang gewähren.
Aber die Redmonder investieren wesentlich mehr in den Ansatz, die Angreifbarkeit in Sachen Phishing von Benutzerzugängen zu minimieren bzw. gänzlich zu unterbinden.
Sichern von Administratorkonten
Administratoren haben Zugriff auf die sensibelsten Daten und Systeme von Microsoft, was sie zu einem Ziel von Angreifern macht. Um den Schutz des Unternehmens zu verbessern, und die Wahrscheinlichkeit zu verringern, das Angreifer Erfolg haben, ist es wichtig, die Anzahl der Personen zu begrenzen, die privilegierten Zugriff haben. Und es muss erweiterte Kontrollen geben, wer wann, wie und wofür Administratorkonten verwenden darf.
- Sichere Geräte: Für diesen Zweck werden separate Geräte für administrative Aufgaben bereitgestellt. Dieses muss mit der neuesten Software und dem neuesten Betriebssystem aktualisiert und gepatcht sein. Die Microsoft-Regularien verlangen, dass die Sicherheitskontrollen auf ein hohes Niveau eingestellt sind. Zudem ist zu verhindern, dass administrative Aufgaben remote ausgeführt werden.
- Isolierte Identität: Der Administratoridentität wird ein separate Namensraum (Name Space) oder Forest Tree zugewiesen. Diese Identität darf keinen Zugriff auf das Internet haben. Zudem muss sich diese Identität von der Identität des betreffenden Mitarbeiters bei Microsoft unterscheiden (also keinen Rückschluss aus der Identität auf den Namen oder die Funktion des Microsoft-Mitarbeiters erlaubt). Administratoren sind bei Microsoft verpflichtet, für den Zugriff auf dieses Konto eine Smartcard zu verwenden.
- Nicht persistenter Zugriff: Die Konfigurationsvorgabe lautet bei Microsoft 'Bieten Sie standardmäßig keine Rechte für Administratorkonten an'. Fordern Sie bei der Konfiguration, dass Operationen Just-in-time (JIT)-Privilegien anfordern, die den Administratoren nur für eine begrenzte Zeit Zugriff gewähren. Diese Zugriffe sind in einem System zu protokollieren.
Der Artikel gesteht zwar zu, dass Budgetvergaben den Betrag, den ein Bereich oder Mitarbeiter in diese drei oben genannten Punkte investieren kann, einschränken können. Die Unternehmensrichtlinien empfehlen jedoch, dass die Verantwortlichen alle drei obigen Maßnahmen in einem für das Unternehmen sinnvollen Maß durchführen. Die Richtlinie empfiehlt, das Niveau der Sicherheitskontrollen auf dem sicheren Gerät so zu wählen, dass es dem Risikoprofil entspricht.
Eliminierung von Passwörtern
Sicherheitsforscher haben bereits seit einigen Jahren erkannt, dass Passwörter nicht sicher sind. Benutzer haben Mühe, Dutzende von komplexen Passwörtern zu erstellen und sich daran zu erinnern. Angreifer zeichnen sich dadurch aus, Passwörter durch Methoden wie Passwort-Spraying und Phishing abzugreifen. Als Microsoft zum ersten Mal den Einsatz von Multi-Factor Authentication (MFA) für seine Mitarbeiter erforschte, bekamen die Mitarbeiter Smartcards. Dies war eine sehr sichere Authentifizierungsmethode, die jedoch für die Mitarbeiter zu schwerfällig war. Die Leute nutzen Abhilfemaßnahmen, wie z.B. das Weiterleiten von Arbeits-E-Mails an ein persönliches Konto. Schließlich stellte man fest, dass die Beseitigung von Passwörtern eine viel bessere Lösung ist. Nun gibt es folgende Unternehmensempfehlungen:
- Verwenden der Multifaktor-Authentifizierung (MFA-Konformität) nach dem Fast Identity Online (FIDO) 2.0 Standard, so dass Benutzer anstelle eines Passworts eine PIN und eine Biometrieinformation zur Authentifizierung benötigen. Windows Hello ist ein gutes Beispiel, aber Microsoft empfiehlt, die MFA-Methode zu wählen, die für das Unternehmen funktioniert.
- Reduzieren Sie Legacy-Authentifizierungs-Workflows – Platzieren Sie Anwendungen, die Passwörter erfordern, in einem separaten Benutzerzugriffsportal und migrieren Sie Benutzer für die meiste Zeit auf moderne Authentifizierungsabläufe. Bei Microsoft geben nur 10 Prozent der Benutzer an einem bestimmten Tag ein Passwort ein.
- Passwörter entfernen – Stellen Sie Konsistenz zwischen Active Directory und Azure Active Directory (Azure AD) her, damit Administratoren Passwörter aus dem Identitätsverzeichnis entfernen können.
Mit diesen Maßnahmen sinkt die Gefahr, dass Phisher oder Angreifer Zugangsdaten durch einen Angriff erbeuten können.
Vereinfachung der Identitätsbereitstellung
Microsoft plädiert zudem, im Bereich Identitätsmanagement die Bereitstellung von Identitäten zu vereinfachen. Das Ziel: Die Identitäten so einzurichten, dass der Zugriff auf genau die richtigen Systeme und Tools möglich ist. Das ist natürlich eine komplexe Sache. Gewährt man einer Identität zu weitreichende Zugriffsmöglichkeiten, gefährdet diese u.U. das Unternehmen, nämlich wenn die Identität erfolgreich angegriffen wird. Eine unzureichende Bereitstellung von Privilegien für eine Identität kann jedoch laut Microsoft dazu führen, dass Menschen den Zugang für mehr als die von ihnen benötigte Zeit beantragen, um zu vermeiden, dass sie erneut eine Genehmigung anfordern müssen. Hier verfolgt Microsoft folgende Ansätze:
- Rollenbasierter Zugriff einrichten – Identifizieren der Systeme, Werkzeuge und Ressourcen, die jede Rolle benötigt, um eine Arbeit zu erledigen. Einrichten von Zugriffsregeln, die es Administratoren leicht machen, einem neuen Benutzer die richtigen Berechtigungen zu erteilen, wenn diese sein Konto einrichten oder der Benutzer die Rollen wechselt.
- Etablierung eines Identitätsverwaltungsprozesses – Es ist sicherzustellen, dass Personen, die in andere Rollen verschoben werden, keinen Zugriff mehr erhalten, den sie nicht mehr benötigen.
Die Festlegung des richtigen Zugriffs für jede Rolle ist so wichtig, dass Microsoft ein generelle Empfehlung gibt. Ist ein Administrator nur in der Lage, einer der Empfehlungen zu folgen, soll der Fokus auf Identitätsbereitstellung und Lifecycle-Management liegen. Das sind natürlich alles Dinge, die hehr und schnell niedergeschrieben sind, aber in der Praxis eine intelligente Umsetzung erfordern. Ich fand diese Hinweise aber recht interessant. Von daher die Frage, wie dies bei Euch in administrativen Unternehmensumgebungen gehandhabt wird?
Anzeige
2015
Separate Admin-Workstations, Admin-VMs oder Terminalserver werden schon länger empfohlen. Im Artikel finden sich auch Hinweise auf "Red Forest", das heißt, diese administrativen Tätigkeiten sollten aus einer per Trust verbundenen separaten Domäne erfolgen, in der Domäne mit den Benutzern gibts dann außer für den Notfall mit sehr komplexem Passwort ausgestattet gar keine Adminaccouns mehr, nur noch Admingruppen, in die dann die Admins aus der anderen Domäne aufgenommen werden. Und das ganze nach dem "Tier" Modell… Letztendlich ist dies ein Armutszeugnis für MS, weil man die Pass_the_Hash/Silver/Golden-Ticket-Sache von mimikatz nicht in den Griff bekommt, ohne Windows komplett auf den Kopf zu stellen, weil das kompatiblitätsprobleme noch und nöcher verursachen würde.