AD absichern mit Security Rapid Modernization Plan
Schilde hoch!
von Dr. Matthias Wübbeling
Veröffentlicht in Ausgabe 02/2024 - PRAXIS
Erhalten Kriminelle einmal Zugriff auf privilegierte Benutzerkonten, gibt es kaum noch Möglichkeiten, die Unternehmensinfrastruktur erfolgreich zu schützen. Daher ist Prävention hier maßgeblich für die IT-Sicherheit und die Maßnahmen sollten nicht auf die leichte Schulter genommen werden. Der Security Rapid Modernization Plan von Microsoft ist ein praktikabler Leitfaden, um das Active Directory entsprechend abzusichern. Der Security-Tipp in diesem Monat gibt Ihnen einen Einblick in die nötigen Maßnahmen.
Mit der Empfehlung "Enhanced
Security Admin Environment" (ESAE) hat Microsoft die logische Trennung unterschiedlich privilegierter Benutzerkonten in verschiedenen Ebenen vorgegeben. Die oft auch "Red Forest" genannte Umsetzung findet auch heute noch in vielen Unternehmen Anwendung. Privilegierte unternehmensweite Administratorkonten werden dabei in einem eigenen Forest verwaltet und sind damit getrennt von den lokalen Administratorkonten der Server, Workstations und anderer Geräte. Erhält ein Angreifer Zugriff auf ein lokales Administratorkonto, ist sein Wirkungsbereich damit auf den Gültigkeitsbereich dieses einen Kontos eingeschränkt – und kann damit vor allem nicht im gesamten Active Directory des Unternehmens sein Unwesen treiben.
Der nun weitergeführte "Security Rapid Modernization Plan" (RAMP) [1] unterstützt Sie dabei, die wichtigsten Schritte der Privileged Access Strategy von Microsoft umzusetzen und ersetzt damit ESAE. Mit diesem Plan und den damit verknüpften Dokumenten erhalten Sie eine Schritt-für-Schritt-Anleitung, um den Zugriff auf Ihre Unternehmensressourcen abzusichern. Wichtigste Voraussetzung dafür ist natürlich, dass Sie Microsofts Entra ID einsetzen, vormals bekannt als Azure Active Directory.
Mit der Empfehlung "Enhanced
Security Admin Environment" (ESAE) hat Microsoft die logische Trennung unterschiedlich privilegierter Benutzerkonten in verschiedenen Ebenen vorgegeben. Die oft auch "Red Forest" genannte Umsetzung findet auch heute noch in vielen Unternehmen Anwendung. Privilegierte unternehmensweite Administratorkonten werden dabei in einem eigenen Forest verwaltet und sind damit getrennt von den lokalen Administratorkonten der Server, Workstations und anderer Geräte. Erhält ein Angreifer Zugriff auf ein lokales Administratorkonto, ist sein Wirkungsbereich damit auf den Gültigkeitsbereich dieses einen Kontos eingeschränkt – und kann damit vor allem nicht im gesamten Active Directory des Unternehmens sein Unwesen treiben.
Der nun weitergeführte "Security Rapid Modernization Plan" (RAMP) [1] unterstützt Sie dabei, die wichtigsten Schritte der Privileged Access Strategy von Microsoft umzusetzen und ersetzt damit ESAE. Mit diesem Plan und den damit verknüpften Dokumenten erhalten Sie eine Schritt-für-Schritt-Anleitung, um den Zugriff auf Ihre Unternehmensressourcen abzusichern. Wichtigste Voraussetzung dafür ist natürlich, dass Sie Microsofts Entra ID einsetzen, vormals bekannt als Azure Active Directory.
Separate Administratorkonten
Ähnlich wie bei ESAE gibt es eine strikte Trennung unterschiedlicher administrativer Funktionskonten. Das Schaubild zeigt Ihnen die konzeptuelle Trennung der Accounts in privilegierte und unprivilegierte Konten sowie die Angriffsoberfläche, die es zu reduzieren gilt.
Da es bei Entra ID im Gegensatz zu einem lokalen Active Directory im Notfall nicht so einfach möglich ist, den Zugriff auf das Verzeichnis wiederherzustellen, ist der erste Schritt bei der Umsetzung das Erstellen von zwei oder mehr sogenannten Emergency Access Accounts. Dabei handelt es sich im Grunde um normale Konten mit globalen Administratorrechten, die der Clouddomäne "onmicrosoft.com", jedoch keinem Benutzer zugeordnet sind, und deren Passwörter anschließend für den Notfall sicher hinterlegt werden. Microsofts Vorschlag lautet, diese auf verschiedenen Zetteln zu notieren und an unterschiedlichen Orten im Unternehmen aufzubewahren.
Mit aktiviertem Entra Privileged Identity Management (alternativ über die PowerShell-API) geht es dann auf die Suche nach allen Accounts in der Organisation, die globale oder lokale Administratoren sind und die Administrationsrechte für Exchange- oder SharePoint-Server besitzen. Für die Auswahl relevanter Accounts können Sie den Überblick der in Entra eingebauten Rollen [2] verwenden. Bevor Sie nun zur Klassifikation der gefundenen Konten übergehen, sollten Sie nicht mehr benötigte Zugänge entfernen. Nun klassifizieren Sie die Konten etwa nach Benutzeraccounts von Admins, geteilten Administratorzugängen, Konten für Skripte und administrative Accounts für externe Mitarbeiter.
Betreiben Sie neben Entra noch ein lokales AD, müssen Sie dieses nun ebenfalls absichern. Vor allem empfiehlt Microsoft für On-Premises-Administratortätigkeiten eigene Admin-Konten im AD anzulegen und für den Zugriff auf diese ausschließlich sogenannte Privileged-Access-Workstations zu verwenden. Zusätzliche sollten Sie separat lokale Administratorkonten mit individuellen Passwörtern für lokale Computer und Server erstellen.
Zum Schutz der privilegierten Accounts bietet Microsoft den Defender for Identity an [3]. Dieser schützt natürlich nicht nur die Admin-Konten, für diese ist er aber umso wichtiger. Defender for Identity überwacht sicherheitsrelevante Aktivitäten der Benutzerkonten, wie sie von Hackern bei der Bewegung im Unternehmensnetzwerk verursacht werden. Dazu gehören etwa Bruteforce-Anmeldeversuche, ungewöhnliche Änderungen der Gruppenmitgliedschaften von Konten oder unerwartete Zugriffe auf Ressourcen anderer Unternehmensbereiche. Natürlich kann der Defender solche Vorfälle nur protokollieren und Sie entsprechend informieren, Reaktionen auf solche Events müssen Sie als Administrator selbst festlegen und durchführen.
Für das Durchführen administrativer Aufgaben gibt es also separate Konten für Admins, damit diese ihre Standardaufgaben wie Dokumentation, Websurfen oder E-Mails mit weniger privilegierten Zugängen durchführen können. Diese separaten Accounts dürfen aber nicht auf den einfachen Workstations der Mitarbeiter zum Einsatz kommen. Microsoft sieht die Einrichtung separater Workstations für administrative Aufgaben vor, bestenfalls einen Computer für jeden administrativen Account – und nur für die mit diesem durchgeführten Tätigkeiten [4].
Account-Management in Entra
Auch das Account-Management müssen Sie RAMP entsprechend modernisieren. Als ersten Schritt sieht Microsoft hier das von Entra angebotene Self-Service der Benutzer an. Wenn Benutzer eigenständig Passwörter vergeben und Multifaktor aktivieren können, ergibt sich daraus eine bessere User-Experience und eine Reduktion der Aufwände im Helpdesk. Vergessen Sie nicht, dabei die automatische Information über entsprechende Aktivitäten auch per E-Mail an den Benutzer zu versenden, sodass diesem ungewöhnliche Aktivitäten zeitnah auffallen sollten. Natürlich sollten Sie auch für Administratorkonten die Benachrichtigung für den Fall aktivieren, dass ein anderer Administrator einen Passwort-Reset durchführt. Beachten Sie, dass der Self-Service für On-Prem Administratoren nicht zur Verfügung steht, diese können ihre Passwörter ausschließlich lokal verwalten.
Um die Accountsicherheit der privilegierten Benutzer in Entra ID zu gewährleisten, sollten Sie für jeden Admin die Multifaktor-Authentifikation (MFA) erzwingen. Alternativ können Sie auf Passwörter auch ganz verzichten und mit Windows Hello oder Microsoft Authenticator auf die passwortlose Anmeldung umschalten. Microsoft empfiehlt die Prüfung dieser Einstellung für alle aktiven Administratorkonten einmal im Quartal.
Der Zugriff auf veraltete Anwendungen ist über Legacy-Protokolle zur Authentifikation auch mit Entra möglich. Dazu gehören etwa die Mailserver-Protokolle SMTP, POP3 und IMAP, aber auch Autodiscover, ActiveSync (EAS) oder das Offline-Adressbuch (OAB) von Exchange, die Exchange Web Services (EWS) und MAPI über HTTP. Leider können alle diese Protokolle die Vorteile von Multifaktor-Authentifikation nicht nutzen, was dazu führt, dass trotz aktivierter MFA ein Login nur mit dem Passwort möglich ist. Das führt insbesondere dazu, dass Angreifer diese Protokolle für Credential-Stuffing- oder Passwort-Spraying-Angriffe verwenden können.
Risikobewertung
Die praktische Umsetzung von IT-Sicherheit ist eine ständige Risikobetrachtung und die Abwägung, welche Gefahren ihr Unternehmen eingehen kann und möchte. In Entra können Sie den Risikolevel für Ihre Benutzer und die Logins separat konfigurieren und überwachen [5]. Ein hohes Risikolevel minimiert dabei die Anzahl der Einschränkungen für Benutzer in der täglichen Arbeit, erhöht aber natürlich den Aufwand in der Administration – damit allerdings auch die Sicherheit.
Fazit
Wenn Sie Microsofts Weg in die Cloud mitgehen und Ihr Unternehmen bereits Entra ID oder ein hybrides Active Directory einsetzt, ergibt es Sinn, den Vorschlägen zur Absicherung zu folgen. Die umfangreichen Dokumente geben zum Teil Schritt-für-Schritt-Anleitungen, die Sie nur noch umsetzen müssen.