AD-Tiering: Schutz des Administratorzugriffs auf die Ebenen 1 und 2 

Home » Blog » AD-Tiering: Schutz des Administratorzugriffs auf die Ebenen 1 und 2 

Da sich die Angriffsfläche für Identitäten durch neue Methoden zur Kompromittierung von Organisationen ständig weiterentwickelt, ist es notwendig, die Identität eines Unternehmens zu schützen. Active Directory (AD) wird immer wichtiger. Während Active Directory Die Aufteilung in Tiering ist eine grundlegende Methode zur Trennung und zum Schutz von Konten mit hohen Berechtigungen. Dennoch wird ihre Bedeutung von vielen Organisationen außer Acht gelassen, was sie anfällig für böswillige Akteure macht.  

Die Implementierung strenger Sicherheitskontrollen für Zugriffsgruppen ist unerlässlich, um unbefugten Zugriff zu verhindern und seitliche Bewegung innerhalb des Netzwerks. In diesem Blog werden wir die Grundlagen der AD-Tiering und allgemeine Schutzherausforderungen untersuchen und diskutieren, wie Silverfort Schutzfunktionen helfen Unternehmen, diese Herausforderungen zu meistern, und gestalten den Schutz der AD-Stufen einfacher und effizienter. 

Häufige Herausforderungen bei der Ausweitung der Zugriffskontrollen über Tier 0 hinaus

Einmal an Active Directory Das Tiering-Projekt hat die Implementierungsphase erreicht, normalerweise werden native Steuerelemente (Active Directory Gruppenrichtlinien mit Anmeldebeschränkungen) und / oder Silos für Authentifizierungsrichtlinien werden verwendet, um den Zugriff auf Tier 0 (Domänencontroller, PKI-Online-Signatur-CA, Entra Connect/AD FS) zu sperren, der dann ausschließlich über dedizierte Administratorkonsolen, die Privilege Access Workstations, verwaltet wird. 

Aus verschiedenen Gründen fällt es Organisationen jedoch oft schwer, diesen Ansatz auf Tier 1 auszudehnen – wo normalerweise 98 % aller Administratorkonten und privilegierten Dienstkonten wohnen. Daher werden wir oft von potenziellen Kunden gefragt, wie wir ihnen bei der Implementierung effektiver Zugriffskontrollen über Tier 0 hinaus helfen können.

Im Folgenden sind die wichtigsten Herausforderungen aufgeführt, denen die meisten Organisationen gegenüberstehen, wenn sie versuchen, sichere Beglaubigung und Zugriffskontrollen für Tier 1 und Tier 2:  

GPOs (Gruppenrichtlinienobjekte) skalieren nicht

Die große Anzahl unterschiedlicher Zugriffskontrollpermutationen, die für jede Kombination aus Rolle (App-Eigentümer, Datenbankadministrator, Backup usw.), Ressource (Anwendungsname) und Umgebung (Entwicklung/Test/Staging/Produktion) erforderlich sind, erfordern eine so große Anzahl von GPOs, dass deren Implementierung und Betrieb zu komplex werden würde, um sie erfolgreich zu verwalten. geringstes Privileg innerhalb der Stufe 1. 

Zentral definierte, aber lokal angewendete Anmeldebeschränkungen

Anmeldebeschränkungen – die häufigste Methode zur Implementierung von Zugriffskontrollen – werden zentral definiert und in der SYSVOL-Dateifreigabe gespeichert, mit einem Gruppenrichtlinien-Mapper auf jeden Computer heruntergeladen und lokal angewendet. Dieser Ansatz hat mehrere Nachteile: 

  • Benutzer oder Prozesse mit Administratorrechten auf einem System können Benutzeranmeldebeschränkungen für andere Konten ändern/deaktivieren/modifizieren.  
  • Probleme beim Parsen von Gruppenrichtlinien können dazu führen, dass Anmeldebeschränkungen nicht angewendet werden.  

Um Probleme bei der Anwendung der Richtlinien oder Versuche, diese zu umgehen (z. B. durch ntrights.exe or Kohlenstoff) ist eine Überwachung lokaler Konfigurationsänderungen auf jedem System sowie eine zentrale Meldung aller Meldungen zur Nichteinhaltung erforderlich.  

Separate Zugriffskontrollen für Nicht-Windows Active Directory Details

Ein beträchtlicher Anteil nicht-Windows-Infrastruktur, die irgendwie integriert ist mit Active Directory; ob *NIX-Systeme über eine Form von AD-Bridging verbunden sind, Anwendungen und Appliances, die auf LDAP angewiesen sind, Kerberos oder NTLM-Authentifizierungen mit AD – oft mit einem Dienstkonto statt einer Maschinenidentität und verarbeiten keine oder nur wenige Gruppenrichtlinien. Diese Geräte, Anwendungen und Appliances benötigen ihre eigenen Zugriffskontrollen, die normalerweise lokal definiert und an die AD-Gruppenmitgliedschaft gebunden sind. 

Diese Ressourcen erfordern jeweils eine dedizierte Konfiguration für Zugriffskontrollen und Compliance-Überwachung. 

Microsoft-Authentifizierungsrichtliniensilos – kein Allheilmittel

Um die Probleme zu lösen, die mit den lokal auf jedem Teil der Infrastruktur angewendeten Zugriffskontrollen verbunden sind, schlägt Microsoft vor Silos für Authentifizierungsrichtlinien. Diese können effektiv sein, um Authentifizierungsgrenzen für Konten und Assets zentral zu verwalten und durchzusetzen, und werden vom Domänencontroller für jede Authentifizierung ausgewertet. Dies ist zwar eine großartige Methode, um Tier 0 abzusperren, aber ihre mangelnde Flexibilität verhindert tendenziell den Rollout auf Tier 1, was dazu führt, dass Assets (Ressourcen und Konten) jeweils nur Teil eines einzigen Authentifizierungsrichtliniensilos sind. Oftmals sind verschiedene Gruppen von privilegierte Benutzer Sie benötigen Zugriff auf unterschiedliche Systemsätze, die sich teilweise überschneiden können, was nicht zu Authentifizierungsrichtliniensilos passt. 

Um Authentication Policy Silos zu verwenden, muss Kerberos Armoring (FAST) aktiviert werden. Nicht alle vorhandenen Tools, insbesondere einige Privileged Access Management / Lösungen vom Typ Bastion sind mit Kerberos Armoring kompatibel.  

Nach der Implementierung effektiver Zugriffskontrollen in Tier 0 kommt es häufig zu Verzögerungen bei der Einführung in andere Tiers, da das IT-Personal auf eine oder mehrere der oben genannten Herausforderungen stößt, die bisher nur schwer zu umgehen waren. Lassen Sie uns einige der Dinge besprechen, die Silverfort tun können, um die Implementierung von Zugriffskontrollen zu erweitern und MFA über Tier 0 hinaus. 

Wie Silverfort Hilft bei AD-Tiering   

Silverfort verbessern kann Active Directory (AD) Staffelung durch Angebot Umfassende Transparenz und Kontrolle über den Benutzerzugriff im gesamten Unternehmen. Es überwacht kontinuierlich Authentifizierungs- und Zugriffsaktivitäten, weist Benutzern und Maschinen auf der Grundlage ihrer Verhaltensmuster Risikoindikatoren und -bewertungen zu und prüft, ob der Authentifizierungskontext mit einem Silverfort Authentifizierungsrichtlinien. Wenn eine Übereinstimmung vorliegt, definiert die Richtlinie, ob die Authentifizierung zugelassen, die Authentifizierung angehalten oder blockiert werden soll, um MFA durchzusetzen. ähnlich einer Ampel für Ihre Active Directory Authentifizierungen. Dieser Prozess hilft dabei, den Zugriff auf risikoreiche oder hochwertige Assets zu identifizieren und zu verwalten, was für die AD-Tiering-Funktion von entscheidender Bedeutung ist. Darüber hinaus SilverfortIntegration mit Azure AD bietet weitere Einblicke in das Benutzerverhalten und das Risiko und unterstützt die Implementierung einer effektiven AD-Tiering-Strategie. 

Mal sehen, wie genau das gemacht wird SilverfortKonsole: 

Schutz 

Silverfort Richtlinien erweitern das Konzept der bedingten Zugriffskontrollen auf Active Directory, wodurch die Kontrolle darüber ermöglicht wird, wer sich wo authentifizieren kann, sowie über die Authentifizierungssicherheitsstufe (ob MFA erforderlich ist, sowie der akzeptierte Authentifizierungstyp während des sekundären Authentifizierungsschritts), basierend auf dem Benutzerkontext, angereichert mit einer eigenen Risiko-Engine sowie allen von Risiko-Engines von Drittanbietern, wie z. B. Teilen von EDR, XDR und Cloud-Identitätssilos, erkannten Risiken, und die zentral beim Domänencontroller durchgesetzt werden. 

Hier sind einige Beispiele Silverfort Authentifizierungsrichtlinien, die bei der Implementierung eines AD-Tiering-Modells hilfreich sein können: 

Blockieren Sie die interaktive Anmeldung über mehrere Ebenen hinweg  

Nach einer Sensibilisierungsschulung für IT-Administratoren, die mit ihren Tier-0- oder Tier-1-Konten Tier-Barrieren überschritten haben (z. B. entdeckt durch die Verwendung der NOTIFY-Richtlinien, die in der AD Tiering-Blogartikel zur Sichtbarkeit), kann es an der Zeit sein, diese Richtlinien von der Aktion „Notify“ auf „Deny“ umzustellen, um die unangemessene Kontonutzung auf allen Ebenen zu blockieren und Echtzeitwarnungen sowie tägliche Berichte zu allen entsprechenden Versuchen zu erhalten. 

Abbildung 1 - Beispielrichtlinie in Silverfort um Authentifizierungen mit Tier-1-Konten auf Tier-2-Vermögenswerten zu blockieren

Privilegierte schützen Anwender-konten Mit geeignetem MFA

Der Zugriff mit privilegierten Konten in jeder Ebene kann mit geeigneten MFA-Methoden geschützt werden. Beispielsweise kann die Remote-Verwaltung von „Anwendung X in PROD“ durch Anwendungsadministratoren der Ebene 1 für diesen Perimeter mit FIDO2 und/oder geschützt werden. Silverfort Mobile Push-MFA, wenn für die Tier-1-Konten keine dedizierte MFA von Drittanbietern verfügbar ist. 

Abbildung 2 - Richtlinie zum Schutz des Zugriffs mit Tier-1-Administratorkonten durch Verwendung geeigneter MFA-Methoden. 

Sicherer Konsolenzugriff auf Domänencontroller

 Wenn der Zugriff auf Domänencontroller auf der Konsole möglich ist (z. B. über den Hypervisor) und nicht ausreichend geschützt ist, Silverfort Die Windows-Anmelderichtlinie kann zum Schutz des Konsolenzugriffs beitragen. 

Abbildung 3 – Richtlinie zum Schutz des Zugriffs auf die Domänencontrollerkonsole mit MFA 

Erzwingen Sie die Nutzung tierspezifischer Admin-Lösungen

Um die Administration von einem dedizierten Admin-Jump-Server aus zu erzwingen oder PAM-Lösung In T1 kann die RDP- und Remote-PowerShell-Authentifizierung von jedem anderen Ursprung mithilfe einer DENY-Richtlinie verweigert werden. 

Abbildung 4 – Authentifizierungsrichtlinie zur Verhinderung der Umgehung der Admin-Station (administrative Jump-Hosts, PAM, PAW, VDI oder andere), die zum Verwalten bestimmter Assets in Tier 1 vorhanden ist. 

Unterbinden der Lateralbewegung von Benutzerkonten innerhalb einer Ebene

Um die laterale Bewegung zu begrenzen bzw. das Prinzip der geringsten Berechtigungen innerhalb der Stufe 1 zu implementieren, kann die Remoteverwaltung einer Servergruppe „Anwendung X in PROD“ mithilfe einer DENY-Richtlinie auf die Administratorgruppe(n) für die Anwendungsserver beschränkt werden. 

Abbildung 5 – Beispielrichtlinie zum Unterbinden von Lateralbewegungen durch Implementierung der geringsten Berechtigungen für die Remoteverwaltung von Application X-Servern in PROD. 

Unterbinden der Lateral Movement von Service-Konten innerhalb einer Ebene

Um die laterale Bewegung zu begrenzen bzw. das Prinzip der geringsten Berechtigungen innerhalb der Stufe 1 umzusetzen, können Dienstkonten „abgeschirmt“ werden, um nur Zugriff auf den Bereich zu gewähren, in dem sie ausgeführt werden sollen. 

Abbildung 6 – Ein Beispiel für eine Ring-Fence-Richtlinie für ein privilegiertes Servicekonto, um seitliche Bewegungen verhindern

Silverfort Schutzrichtlinien helfen bei der Erweiterung des AD-Tierings über Tier 0 hinaus 

Die Kombination von Silverfort Authentifizierungs-Firewall, MFA-Richtlinien und Ringfencing-Richtlinien für Dienstkonten bieten einen eleganten und effektiven Ansatz zur Beschleunigung der Bereitstellung von Active Directory Tiering über Tier 0 hinaus 

Silverfort kann helfen, Konten von Active Directory Ebene mit einer MFA-Methode, die für die Aufgabe am besten geeignet ist. Die Silverfort Die Authentifizierungs-Firewall ermöglicht die Erkennung und Verhinderung von ebenenübergreifendem Zugriff durch privilegierte Konten, um Privilegeskalation Angriffe sowie die Beschränkung des horizontalen Zugriffs innerhalb einer Ebene, um laterale Bewegungen zu verhindern. Dabei wird eine zentrale Durchsetzung verwendet und gleichzeitig die typische Komplexität bestehender Methoden vermieden.  

Sowohl Benutzer- als auch Dienstkonten können gesichert werden, indem unbefugter Zugriff blockiert wird, um laterale Bewegungen zu stoppen und die Ausweitung von Berechtigungen durch einen Angreifer zu verhindern. Mithilfe der Sicherheitskontrollen von Silverfort kann die Umsetzung einer Active Directory Tiering-Projekt oder kann helfen, das Projekt wieder auf Kurs zu bringen, wenn es am Ende der Abdeckung von Tier 0 ins Stocken geraten ist. Möchten Sie Ihr AD-Tiering-Management stärken und vollständige Transparenz über Ihre Umgebung erlangen? Wenden Sie sich an einen unserer Experten Hier

Stoppen Sie Identitätsbedrohungen jetzt