Da sich die Angriffsfläche für Identitäten durch neue Methoden zur Kompromittierung von Organisationen ständig weiterentwickelt, ist es notwendig, die Identität eines Unternehmens zu schützen. Active Directory (AD) wird immer wichtiger. Obwohl Active Directory Tiering eine grundlegende Praxis zur Trennung und zum Schutz von Konten mit hohen Berechtigungen ist, übersehen viele Organisationen dessen Bedeutung – und machen sich dadurch anfällig für böswillige Akteure.
Die Implementierung strenger Sicherheitskontrollen für Zugriffsgruppen ist unerlässlich, um unbefugten Zugriff und lateraler Bewegung ausnutzen innerhalb des Netzwerks zu verhindern. In diesem Blog beleuchten wir die Grundlagen des AD-Tiering sowie häufige Herausforderungen beim Schutz und zeigen, wie die Schutzfunktionen von Silverfort Unternehmen dabei helfen, diese Herausforderungen zu meistern und den Schutz von AD-Tiering einfacher und effizienter zu gestalten.
Häufige Herausforderungen bei der Ausweitung der Zugriffskontrollen über Tier 0 hinaus
Sobald ein Active-Directory-Tiering-Projekt die Implementierungsphase erreicht hat, werden in der Regel native Kontrollen (Active-Directory-Gruppenrichtlinien mit Anmeldebeschränkungen) und / oder Authentication Policy Silos vor eingesetzt, um den Zugriff auf Tier 0 (Domänencontroller, PKI-Online-Signatur-CA, Entra Connect / AD FS) abzusichern. Diese Systeme werden anschließend ausschließlich über dedizierte Administrationskonsolen – die Privileged Access Workstations – verwaltet.
Aus verschiedenen Gründen fällt es Organisationen jedoch oft schwer, diesen Ansatz auf Tier 1 auszudehnen – wo sich normalerweise 98 % aller Administratorkonten und privilegierten Service Accounts befinden. Daher werden wir oft von potenziellen Kunden gefragt, wie wir ihnen bei der Implementierung effektiver Zugriffskontrollen über Tier 0 hinaus helfen können.
Im Folgenden sind die wichtigsten Herausforderungen aufgeführt, denen die meisten Organisationen gegenüberstehen, wenn sie versuchen, sichere AD-Authentifizierung und Zugriffskontrollen für Tier 1 und Tier 2 zu erweitern:
GPOs (Group Policy Objects) skalieren nicht
Die große Anzahl unterschiedlicher Zugriffskontroll-Kombinationen, die sich aus jeder Kombination von Rolle (z. B. Applikationsverantwortlicher, Datenbankadministrator, Backup usw.), Ressource (Anwendungsname) und Umgebung (Dev/Test/Staging/Prod) ergibt, erfordert eine derart hohe Anzahl an Gruppenrichtlinienobjekten (GPOs), dass deren Implementierung und Betrieb zu komplex würden, um das Least-Privilege-Prinzip innerhalb von Tier 1 erfolgreich umzusetzen.
Zentral definierte, aber lokal angewendete Anmeldebeschränkungen
Anmeldebeschränkungen – die am häufigsten verwendete Methode zur Umsetzung von Zugriffskontrollen – werden zentral definiert und in der SYSVOL-Dateifreigabe gespeichert, auf jeden Computer über einen Group Policy Mapper heruntergeladen und lokal angewendet. Dieser Ansatz weist mehrere Nachteile auf:
- Benutzer oder Prozesse mit Administratorrechten auf einem System können Benutzeranmeldebeschränkungen für andere Konten ändern/deaktivieren/modifizieren.
- Probleme beim Parsen von Gruppenrichtlinien können dazu führen, dass Anmeldebeschränkungen nicht angewendet werden.
Um Probleme bei der Anwendung der Richtlinien oder Versuche, diese zu umgehen (z. B. mithilfe von ntrights.exe or Carbon) zu erkennen, ist sowohl eine Überwachung lokaler Konfigurationsänderungen auf jedem einzelnen System als auch ein zentrales Reporting aller Benachrichtigungen über Richtlinienverstöße erforderlich.
Separate Zugriffskontrollen für Nicht-Windows Active Directory Details
Eine umfangreiche Nicht-Windows-Infrastruktur, die auf irgendeine Weise in Active Directory integriert ist – sei es durch *NIX-Systeme, die über eine Form von AD-Bridging angebunden sind, oder durch Anwendungen und Appliances, die LDAP-, Kerberos- oder NTLM-Authentifizierungen mit AD nutzen – häufig über ein Servicekonto statt einer Maschinenidentität – und die keine oder nur sehr wenige Gruppenrichtlinien verarbeiten. Diese Geräte, Anwendungen und Appliances benötigen eigene Zugriffskontrollen, die typischerweise lokal definiert und an die Mitgliedschaft in AD-Gruppen gekoppelt sind.
Diese Ressourcen erfordern jeweils eine dedizierte Konfiguration für Zugriffskontrollen und Compliance-Überwachung.
Microsoft Authentication Policy Silos – kein Allheilmittel
Um die mit lokal auf einzelnen Infrastrukturkomponenten angewendeten Zugriffskontrollen verbundenen Probleme zu überwinden, schlägt Microsoft den Einsatz von Authentication Policy Silos vor. Diese können effektiv sein, um Authentifizierungsgrenzen für Konten und Assets zentral zu verwalten und durchzusetzen, da sie bei jeder Authentifizierung vom Domänencontroller ausgewertet werden. Obwohl sie sich hervorragend zur Absicherung von Tier 0 eignen, verhindert ihre mangelnde Flexibilität häufig einen Rollout in Tier 1. Der Grund dafür ist, dass Assets (Ressourcen und Konten) jeweils nur Teil eines einzigen Authentication Policy Silos sein können. In der Praxis benötigen jedoch oft unterschiedliche Gruppen privilegierte Benutzer Zugriff auf unterschiedliche – teilweise überlappende – Systemmengen, was sich mit Authentication Policy Silos nicht abbilden lässt.
Um Authentication Policy Silos zu verwenden, muss Kerberos Armoring (FAST) aktiviert werden. Nicht alle vorhandenen Tools, insbesondere einige Privileged-Access-Management- / Bastion-typische Lösungen sind mit Kerberos Armoring kompatibel.
Nach der Implementierung effektiver Zugriffskontrollen in Tier 0 kommt es häufig zu Verzögerungen bei der Einführung in andere Tiers, da das IT-Personal auf eine oder mehrere der oben genannten Herausforderungen stößt, die bisher nur schwer zu umgehen waren. Lassen Sie uns einige der Möglichkeiten betrachten, mit denen Silverfort die Umsetzung von Zugriffskontrollen und MFA über Tier 0 hinaus erweitern kann.
Wie Silverfort bei AD-Tiering hilft
Silverfort kann das Active-Directory-(AD-)Tiering verbessern, indem es umfassende Transparenz und Kontrolle über den Benutzerzugriff in der gesamten Organisation bietet. Die Lösung überwacht kontinuierlich Authentifizierungs- und Zugriffsaktivitäten, weist Benutzern und Maschinen anhand ihrer Verhaltensmuster Risikoindikatoren und -scores zu und prüft, ob der Authentifizierungskontext mit einer der Silverfort-Authentifizierungsrichtlinien übereinstimmt. Gibt es eine Übereinstimmung, legt die Richtlinie fest, ob die Authentifizierung zugelassen, zur Durchsetzung von MFA pausiert oder blockiert wird – vergleichbar mit einer Ampel für Ihre Active-Directory-AuthentifizierungenDieser Prozess hilft dabei, den Zugriff auf besonders risikoreiche oder hochwertige Assets zu identifizieren und zu steuern, was für ein effektives AD-Tiering entscheidend ist. Darüber hinaus liefert die Integration von Silverfort mit Azure AD weitere Einblicke in das Benutzerverhalten und Risiken und unterstützt so die Umsetzung einer wirksamen AD-Tiering-Strategie.
So lässt sich das in der Silverfort-Konsole im Detail nachvollziehen:
Schutz
Silverfort-Richtlinien erweitern das Konzept der bedingten Zugriffskontrollen auf Active Directory und ermöglichen es, zu steuern, wer sich wo authentifizieren darf sowie das Authentifizierungs-Sicherheitsniveau (ob MFA erforderlich ist und welcher Authentifizierungstyp im sekundären Authentifizierungsschritt akzeptiert wird). Dies geschieht auf Basis des Benutzerkontexts, der sowohl durch die eigene Risiko-Engine von Silverfort als auch durch Risiken angereichert wird, die von Drittanbieter-Risiko-Engines stammen, etwa aus EDR-, XDR- oder Cloud-Identity-Silos. Die Durchsetzung dieser Richtlinien erfolgt zentral auf dem Domain Controller.
Hier sind einige Beispiel-Authentifizierungsrichtlinien von Silverfort, die bei der Umsetzung eines AD-Tiering-Modells unterstützen können:
Interaktive Anmeldungen über Tier-Grenzen hinweg blockieren
Nach einer Sensibilisierungsschulung für IT-Administratoren, die mit ihren Tier-0- oder Tier-1-Konten Tier-Grenzen überschritten haben (z. B. erkannt durch die im AD-Tiering-Blogartikel zur Transparenzvorgeschlagenen NOTIFY-Richtlinien), kann es sinnvoll sein, diese Richtlinien von NOTIFY auf DENY umzustellen. So lässt sich eine unangemessene kontenübergreifende Nutzung zwischen den Tiers blockieren, während gleichzeitig Echtzeit-Alarme sowie tägliche Berichte über entsprechende Zugriffsversuche bereitgestellt werden.
Privilegierte Benutzerkonten mit geeigneter MFA schützen
Der Zugriff mit privilegierten Konten in jedem Tier kann mit geeigneten MFA-Methoden geschützt werden. So kann beispielsweise die Remote-Administration von „Application X in PROD“ durch Tier-1-Anwendungsadministratoren in diesem Perimeter mit FIDO2 und/oder Silverfort Mobile Push MFA abgesichert werden, wenn für die Tier-1-Konten keine dedizierten MFA-Lösungen von Drittanbietern verfügbar sind.
Sicherer Konsolenzugriff auf Domänencontroller
Wenn der Zugriff auf Domain Controller über die Konsole möglich ist (z. B. über den Hypervisor) und nicht ausreichend abgesichert ist, kann die Silverfort-for-Windows-Logon-Richtlinie dabei helfen, diesen Konsolenzugriff zu schützen.
Setzen Sie die Nutzung Tier-spezifischer Admin-Lösungen durch
Um die Administration ausschließlich über einen dedizierten Admin-Jump-Server oder eine PAM-Lösung in Tier 1 zu erzwingen, können RDP- und Remote-PowerShell-Authentifizierungen von allen anderen Ursprüngen mithilfe einer DENY-Richtlinie blockiert werden.
Laterale Bewegungen von Benutzerkonten innerhalb eines Tiers unterbinden
Um laterale Bewegungen einzuschränken und das Least-Privilege-Prinzip innerhalb von Tier 1 umzusetzen, kann die Remote-Administration einer Gruppe von Servern („Application X in PROD“) per DENY-Richtlinie auf die Administratorengruppe(n) der jeweiligen Applikationsserver beschränkt werden.
Laterale Bewegungen von Servicekonten innerhalb eines Tiers unterbinden
Um laterale Bewegungen einzuschränken und das Least-Privilege-Prinzip innerhalb von Tier 1 umzusetzen, können Servicekonten „eingezäunt“ (ring-fenced) werden, sodass sie ausschließlich Zugriff auf den Perimeter erhalten, in dem sie vorgesehen sind.
Silverfort Protection Policies helfen, AD-Tiering über Tier 0 hinaus zu erweitern
Die Kombination aus Silverfort Authentication Firewall, MFA-Richtlinien und Ring-Fencing-Richtlinien für Servicekonten stellt einen eleganten und effektiven Ansatz dar, um die Umsetzung von Active-Directory-Tiering über Tier 0 hinaus zu beschleunigen.
Silverfort kann Konten aller Active-Directory-Tiers mit der jeweils für den Anwendungsfall am besten geeigneten MFA-Methode schützen. Die Silverfort Authentication Firewall ermöglicht es, tierübergreifende Zugriffe privilegierter Konten zu erkennen und zu verhindern, um Privilege-Escalation-Angriffe zu unterbinden. Gleichzeitig lassen sich horizontale Zugriffe innerhalb eines Tiers einschränken, um laterale Bewegungen zu verhindern – und das durch zentrale Durchsetzung, ohne die typischen Komplexitäten bestehender Methoden in Kauf nehmen zu müssen.
Sowohl Benutzer- als auch Service Accounts können abgesichert werden, indem unautorisierte Zugriffe blockiert werden, um laterale Bewegungen zu unterbinden und Privilege-Escalation-Angriffe durch Angreifer zu verhindern. Der Einsatz der von Silverfort bereitgestellten Sicherheitskontrollen kann die Umsetzung eines Active-Directory-Tiering-Projekts erheblich beschleunigen – oder dabei helfen, ein Projekt wieder auf Kurs zu bringen, wenn es nach der Absicherung von Tier 0 ins Stocken geraten ist. Möchten Sie Ihr AD-Tiering-Management stärken und vollständige Transparenz über Ihre gesamte Umgebung gewinnen? Kontaktieren Sie einen unserer Experten. werden auf dieser Seite erläutert.