AD-Tiering: Schutz des Administratorzugriffs auf die Ebenen 1 und 2
Da sich die Angriffsfläche für Identitäten durch neue Methoden zur Kompromittierung von Organisationen ständig weiterentwickelt, ist es notwendig, die Identität eines Unternehmens zu schützen. Active Directory (AD) wird immer wichtiger. Während Active Directory Die Aufteilung in Tiering ist eine grundlegende Methode zur Trennung und zum Schutz von Konten mit hohen Berechtigungen. Dennoch wird ihre Bedeutung von vielen Organisationen außer Acht gelassen, was sie anfällig für böswillige Akteure macht.
Die Implementierung strenger Sicherheitskontrollen für Zugriffsgruppen ist unerlässlich, um unbefugten Zugriff zu verhindern und seitliche Bewegung innerhalb des Netzwerks. In diesem Blog werden wir die Grundlagen der AD-Tiering und allgemeine Schutzherausforderungen untersuchen und diskutieren, wie Silverfort Schutzfunktionen helfen Unternehmen, diese Herausforderungen zu meistern, und gestalten den Schutz der AD-Stufen einfacher und effizienter.
Inhaltsverzeichnis
Häufige Herausforderungen bei der Ausweitung der Zugriffskontrollen über Tier 0 hinaus
Einmal an Active Directory Das Tiering-Projekt hat die Implementierungsphase erreicht, normalerweise werden native Steuerelemente (Active Directory Gruppenrichtlinien mit Anmeldebeschränkungen) und / oder Silos für Authentifizierungsrichtlinien werden verwendet, um den Zugriff auf Tier 0 (Domänencontroller, PKI-Online-Signatur-CA, Entra Connect/AD FS) zu sperren, der dann ausschließlich über dedizierte Administratorkonsolen, die Privilege Access Workstations, verwaltet wird.
Aus verschiedenen Gründen fällt es Organisationen jedoch oft schwer, diesen Ansatz auf Tier 1 auszudehnen – wo normalerweise 98 % aller Administratorkonten und privilegierten Dienstkonten wohnen. Daher werden wir oft von potenziellen Kunden gefragt, wie wir ihnen bei der Implementierung effektiver Zugriffskontrollen über Tier 0 hinaus helfen können.
Im Folgenden sind die wichtigsten Herausforderungen aufgeführt, denen die meisten Organisationen gegenüberstehen, wenn sie versuchen, sichere Beglaubigung und Zugriffskontrollen für Tier 1 und Tier 2:
GPOs (Gruppenrichtlinienobjekte) skalieren nicht
Die große Anzahl unterschiedlicher Zugriffskontrollpermutationen, die für jede Kombination aus Rolle (App-Eigentümer, Datenbankadministrator, Backup usw.), Ressource (Anwendungsname) und Umgebung (Entwicklung/Test/Staging/Produktion) erforderlich sind, erfordern eine so große Anzahl von GPOs, dass deren Implementierung und Betrieb zu komplex werden würde, um sie erfolgreich zu verwalten. geringstes Privileg innerhalb der Stufe 1.
Zentral definierte, aber lokal angewendete Anmeldebeschränkungen
Anmeldebeschränkungen – die häufigste Methode zur Implementierung von Zugriffskontrollen – werden zentral definiert und in der SYSVOL-Dateifreigabe gespeichert, mit einem Gruppenrichtlinien-Mapper auf jeden Computer heruntergeladen und lokal angewendet. Dieser Ansatz hat mehrere Nachteile:
- Benutzer oder Prozesse mit Administratorrechten auf einem System können Benutzeranmeldebeschränkungen für andere Konten ändern/deaktivieren/modifizieren.
- Probleme beim Parsen von Gruppenrichtlinien können dazu führen, dass Anmeldebeschränkungen nicht angewendet werden.
Um Probleme bei der Anwendung der Richtlinien oder Versuche, diese zu umgehen (z. B. durch ntrights.exe or Kohlenstoff) ist eine Überwachung lokaler Konfigurationsänderungen auf jedem System sowie eine zentrale Meldung aller Meldungen zur Nichteinhaltung erforderlich.
Separate Zugriffskontrollen für Nicht-Windows Active Directory Details
Ein beträchtlicher Anteil nicht-Windows-Infrastruktur, die irgendwie integriert ist mit Active Directory; ob *NIX-Systeme über eine Form von AD-Bridging verbunden sind, Anwendungen und Appliances, die auf LDAP angewiesen sind, Kerberos oder NTLM-Authentifizierungen mit AD – oft mit einem Dienstkonto statt einer Maschinenidentität und verarbeiten keine oder nur wenige Gruppenrichtlinien. Diese Geräte, Anwendungen und Appliances benötigen ihre eigenen Zugriffskontrollen, die normalerweise lokal definiert und an die AD-Gruppenmitgliedschaft gebunden sind.
Diese Ressourcen erfordern jeweils eine dedizierte Konfiguration für Zugriffskontrollen und Compliance-Überwachung.
Microsoft-Authentifizierungsrichtliniensilos – kein Allheilmittel
Um die Probleme zu lösen, die mit den lokal auf jedem Teil der Infrastruktur angewendeten Zugriffskontrollen verbunden sind, schlägt Microsoft vor Silos für Authentifizierungsrichtlinien. Diese können effektiv sein, um Authentifizierungsgrenzen für Konten und Assets zentral zu verwalten und durchzusetzen, und werden vom Domänencontroller für jede Authentifizierung ausgewertet. Dies ist zwar eine großartige Methode, um Tier 0 abzusperren, aber ihre mangelnde Flexibilität verhindert tendenziell den Rollout auf Tier 1, was dazu führt, dass Assets (Ressourcen und Konten) jeweils nur Teil eines einzigen Authentifizierungsrichtliniensilos sind. Oftmals sind verschiedene Gruppen von privilegierte Benutzer Sie benötigen Zugriff auf unterschiedliche Systemsätze, die sich teilweise überschneiden können, was nicht zu Authentifizierungsrichtliniensilos passt.
Um Authentication Policy Silos zu verwenden, muss Kerberos Armoring (FAST) aktiviert werden. Nicht alle vorhandenen Tools, insbesondere einige Privileged Access Management / Lösungen vom Typ Bastion sind mit Kerberos Armoring kompatibel.
Nach der Implementierung effektiver Zugriffskontrollen in Tier 0 kommt es häufig zu Verzögerungen bei der Einführung in andere Tiers, da das IT-Personal auf eine oder mehrere der oben genannten Herausforderungen stößt, die bisher nur schwer zu umgehen waren. Lassen Sie uns einige der Dinge besprechen, die Silverfort tun können, um die Implementierung von Zugriffskontrollen zu erweitern und MFA über Tier 0 hinaus.
Wie Silverfort Hilft bei AD-Tiering
Silverfort verbessern kann Active Directory (AD) Staffelung durch Angebot Umfassende Transparenz und Kontrolle über den Benutzerzugriff im gesamten Unternehmen. Es überwacht kontinuierlich Authentifizierungs- und Zugriffsaktivitäten, weist Benutzern und Maschinen auf der Grundlage ihrer Verhaltensmuster Risikoindikatoren und -bewertungen zu und prüft, ob der Authentifizierungskontext mit einem Silverfort Authentifizierungsrichtlinien. Wenn eine Übereinstimmung vorliegt, definiert die Richtlinie, ob die Authentifizierung zugelassen, die Authentifizierung angehalten oder blockiert werden soll, um MFA durchzusetzen. ähnlich einer Ampel für Ihre Active Directory Authentifizierungen. Dieser Prozess hilft dabei, den Zugriff auf risikoreiche oder hochwertige Assets zu identifizieren und zu verwalten, was für die AD-Tiering-Funktion von entscheidender Bedeutung ist. Darüber hinaus SilverfortIntegration mit Azure AD bietet weitere Einblicke in das Benutzerverhalten und das Risiko und unterstützt die Implementierung einer effektiven AD-Tiering-Strategie.
Mal sehen, wie genau das gemacht wird SilverfortKonsole:
Schutz
Silverfort Richtlinien erweitern das Konzept der bedingten Zugriffskontrollen auf Active Directory, wodurch die Kontrolle darüber ermöglicht wird, wer sich wo authentifizieren kann, sowie über die Authentifizierungssicherheitsstufe (ob MFA erforderlich ist, sowie der akzeptierte Authentifizierungstyp während des sekundären Authentifizierungsschritts), basierend auf dem Benutzerkontext, angereichert mit einer eigenen Risiko-Engine sowie allen von Risiko-Engines von Drittanbietern, wie z. B. Teilen von EDR, XDR und Cloud-Identitätssilos, erkannten Risiken, und die zentral beim Domänencontroller durchgesetzt werden.
Hier sind einige Beispiele Silverfort Authentifizierungsrichtlinien, die bei der Implementierung eines AD-Tiering-Modells hilfreich sein können:
Blockieren Sie die interaktive Anmeldung über mehrere Ebenen hinweg
Nach einer Sensibilisierungsschulung für IT-Administratoren, die mit ihren Tier-0- oder Tier-1-Konten Tier-Barrieren überschritten haben (z. B. entdeckt durch die Verwendung der NOTIFY-Richtlinien, die in der AD Tiering-Blogartikel zur Sichtbarkeit), kann es an der Zeit sein, diese Richtlinien von der Aktion „Notify“ auf „Deny“ umzustellen, um die unangemessene Kontonutzung auf allen Ebenen zu blockieren und Echtzeitwarnungen sowie tägliche Berichte zu allen entsprechenden Versuchen zu erhalten.
Privilegierte schützen Anwender-konten Mit geeignetem MFA
Der Zugriff mit privilegierten Konten in jeder Ebene kann mit geeigneten MFA-Methoden geschützt werden. Beispielsweise kann die Remote-Verwaltung von „Anwendung X in PROD“ durch Anwendungsadministratoren der Ebene 1 für diesen Perimeter mit FIDO2 und/oder geschützt werden. Silverfort Mobile Push-MFA, wenn für die Tier-1-Konten keine dedizierte MFA von Drittanbietern verfügbar ist.
Sicherer Konsolenzugriff auf Domänencontroller
Wenn der Zugriff auf Domänencontroller auf der Konsole möglich ist (z. B. über den Hypervisor) und nicht ausreichend geschützt ist, Silverfort Die Windows-Anmelderichtlinie kann zum Schutz des Konsolenzugriffs beitragen.
Erzwingen Sie die Nutzung tierspezifischer Admin-Lösungen
Um die Administration von einem dedizierten Admin-Jump-Server aus zu erzwingen oder PAM-Lösung In T1 kann die RDP- und Remote-PowerShell-Authentifizierung von jedem anderen Ursprung mithilfe einer DENY-Richtlinie verweigert werden.
Unterbinden der Lateralbewegung von Benutzerkonten innerhalb einer Ebene
Um die laterale Bewegung zu begrenzen bzw. das Prinzip der geringsten Berechtigungen innerhalb der Stufe 1 zu implementieren, kann die Remoteverwaltung einer Servergruppe „Anwendung X in PROD“ mithilfe einer DENY-Richtlinie auf die Administratorgruppe(n) für die Anwendungsserver beschränkt werden.
Unterbinden der Lateral Movement von Service-Konten innerhalb einer Ebene
Um die laterale Bewegung zu begrenzen bzw. das Prinzip der geringsten Berechtigungen innerhalb der Stufe 1 umzusetzen, können Dienstkonten „abgeschirmt“ werden, um nur Zugriff auf den Bereich zu gewähren, in dem sie ausgeführt werden sollen.
Silverfort Schutzrichtlinien helfen bei der Erweiterung des AD-Tierings über Tier 0 hinaus
Die Kombination von Silverfort Authentifizierungs-Firewall, MFA-Richtlinien und Ringfencing-Richtlinien für Dienstkonten bieten einen eleganten und effektiven Ansatz zur Beschleunigung der Bereitstellung von Active Directory Tiering über Tier 0 hinaus
Silverfort kann helfen, Konten von Active Directory Ebene mit einer MFA-Methode, die für die Aufgabe am besten geeignet ist. Die Silverfort Die Authentifizierungs-Firewall ermöglicht die Erkennung und Verhinderung von ebenenübergreifendem Zugriff durch privilegierte Konten, um Privilegeskalation Angriffe sowie die Beschränkung des horizontalen Zugriffs innerhalb einer Ebene, um laterale Bewegungen zu verhindern. Dabei wird eine zentrale Durchsetzung verwendet und gleichzeitig die typische Komplexität bestehender Methoden vermieden.
Sowohl Benutzer- als auch Dienstkonten können gesichert werden, indem unbefugter Zugriff blockiert wird, um laterale Bewegungen zu stoppen und die Ausweitung von Berechtigungen durch einen Angreifer zu verhindern. Mithilfe der Sicherheitskontrollen von Silverfort kann die Umsetzung einer Active Directory Tiering-Projekt oder kann helfen, das Projekt wieder auf Kurs zu bringen, wenn es am Ende der Abdeckung von Tier 0 ins Stocken geraten ist. Möchten Sie Ihr AD-Tiering-Management stärken und vollständige Transparenz über Ihre Umgebung erlangen? Wenden Sie sich an einen unserer Experten Hier .