Freigeben über


Privileged Access Management für Active Directory Domain Services

MIM Privileged Access Management (PAM) ist eine Lösung, mit der Organisationen den privilegierten Zugriff innerhalb einer vorhandenen Active Directory-Umgebung einschränken können.

Mit Privileged Access Management lassen sich zwei Ziele erreichen:

  • Wiederherstellen der Kontrolle über eine gefährdete Active Directory-Umgebung durch Verwalten einer separaten geschützten Umgebung, die bekanntermaßen nicht von Angriffen betroffen ist.
  • Isolieren Sie die Verwendung von privilegierten Konten, um das Risiko des Diebstahls dieser Anmeldeinformationen zu reduzieren.

Hinweis

Der von MIM PAM bereitgestellte PAM-Ansatz wird für neue Bereitstellungen in mit dem Internet verbundenen Umgebungen nicht empfohlen. MIM PAM soll in einer benutzerdefinierten Architektur für isolierte AD-Umgebungen verwendet werden, in denen der Internetzugriff nicht verfügbar ist, in dem diese Konfiguration durch die Regulierung erforderlich ist, oder in isolierten Umgebungen mit hohem Einfluss wie Offlineforschungslabors und getrennten betriebstechnischen oder aufsichtsrechtlichen Kontroll- und Datenerfassungsumgebungen. MIM PAM unterscheidet sich von Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM ist ein Dienst, mit dem Sie den Zugriff auf Ressourcen in Microsoft Entra ID, Azure und anderen Microsoft Online Services wie Microsoft 365 oder Microsoft Intune verwalten, steuern und überwachen können. Anleitungen zu lokalen, mit dem Internet verbundenen Umgebungen und Hybridumgebungen finden Sie unter Sichern des privilegierten Zugriffs. Siehe für weitere Informationen.

Welche Probleme hilft MIM PAM zu lösen?

Heute ist es für Angreifer zu einfach, Anmeldeinformationen für Domänenadministratoren zu erhalten, und es ist zu schwierig, diese Angriffe nach der Tatsache zu erkennen. Ziel von PAM ist es, die Chancen für böswillige Benutzer zu reduzieren, Zugriff zu erhalten, und gleichzeitig Ihre Kontrolle und das Bewusstsein für die Umgebung zu erhöhen.

PAM erschwert Es Angreifern, in ein Netzwerk einzudringen und privilegierten Kontozugriff zu erhalten. PAM fügt Schutz zu privilegierten Gruppen hinzu, die den Zugriff auf eine Reihe von in die Domäne eingebundenen Computern und Anwendungen auf diesen Computern steuern. Außerdem werden mehr Überwachung, mehr Sichtbarkeit und feiner abgestimmte Steuerelemente hinzugefügt. Auf diese Weise können Organisationen sehen, wer ihre privilegierten Administratoren sind und was sie tun. PAM bietet Organisationen mehr Einblick in die Nutzung von administrativen Konten in der Umgebung.

Der von MIM bereitgestellte PAM-Ansatz soll in einer benutzerdefinierten Architektur für isolierte Umgebungen verwendet werden, in denen der Internetzugriff nicht verfügbar ist, wenn diese Konfiguration durch die Regulierung oder in isolierten Umgebungen mit hohem Einfluss wie Offlineforschungslabors und getrennten betriebstechnischen oder aufsichtsrechtlichen Kontroll- und Datenerfassungsumgebungen erforderlich ist. Wenn Ihr Active Directory Teil einer mit dem Internet verbundenen Umgebung ist, finden Sie unter Schützen des privilegierten Zugriffs weitere Informationen dazu, wo Sie beginnen.

Einrichten von MIM PAM

PAM baut auf dem Prinzip der Just-in-Time-Verwaltung auf, das sich auf nur genügend Verwaltung (JEA) bezieht. JEA ist ein Windows PowerShell-Toolkit, das eine Reihe von Befehlen zum Ausführen privilegierter Aktivitäten definiert. Es ist ein Endpunkt, an dem Administratoren die Autorisierung zum Ausführen von Befehlen erhalten können. In JEA entscheidet ein Administrator, dass Benutzer mit bestimmten Berechtigungen eine bestimmte Aufgabe ausführen können. Jedes Mal, wenn ein berechtigter Benutzer diese Aufgabe ausführen muss, aktiviert er diese Berechtigung. Die Berechtigungen laufen nach einem bestimmten Zeitraum ab, sodass ein böswilliger Benutzer den Zugriff nicht stehlen kann.

Der PAM-Einrichtung und -Betrieb umfasst vier Schritte.

PAM-Schritte: Vorbereiten, Schützen, Betreiben, Überwachen - Diagramm

  1. Vorbereiten: Ermitteln Sie, welche Gruppen in Ihrem bestehenden Forest wichtige Privilegien haben. Erstellen Sie diese Gruppen ohne Mitglieder im Bastion Forest neu.
  2. Schutz: Einrichtung des Lebenszyklus- und Authentifizierungsschutzes, wenn Benutzer eine Just-in-Time-Administration anfordern.
  3. Ausführen: Nachdem die Authentifizierungsanforderungen erfüllt wurden und eine Anforderung genehmigt wurde, wird ein Benutzerkonto vorübergehend zu einer privilegierten Gruppe im Bastion Forest hinzugefügt. Für einen vordefinierten Zeitraum verfügt der Administrator über alle Berechtigungen und Zugriffsberechtigungen, die dieser Gruppe zugewiesen sind. Nach diesem Zeitpunkt wird das Konto aus der Gruppe entfernt.
  4. Monitor: PAM fügt Überwachung, Warnungen und Berichte von Anforderungen für privilegierten Zugriff hinzu. Sie können den Verlauf des privilegierten Zugriffs überprüfen und sehen, wer eine Aktivität ausgeführt hat. Sie können entscheiden, ob die Aktivität gültig ist oder nicht, und unautorisierte Aktivitäten leicht identifizieren, z. B. den Versuch, einen Benutzer direkt zu einer privilegierten Gruppe in der ursprünglichen Forest hinzuzufügen. Dieser Schritt ist nicht nur wichtig, um schadhafte Software zu identifizieren, sondern auch zum Nachverfolgen von "innen"-Angreifern.

Wie funktioniert MIM PAM?

PAM basiert auf neuen Funktionen in AD DS, insbesondere für die Authentifizierung und Autorisierung von Domänenkonten und neue Funktionen in Microsoft Identity Manager. PAM trennt privilegierte Konten von einer vorhandenen Active Directory-Umgebung. Wenn ein privilegiertes Konto verwendet werden muss, muss es zuerst angefordert und dann genehmigt werden. Nach der Genehmigung erhält das privilegierte Konto Berechtigungen über eine fremde Prinzipalgruppe in einer neuen geschützten Gesamtstruktur anstatt in der aktuellen Gesamtstruktur des Benutzers oder der Anwendung. Die Verwendung eines Bastion-Waldes gibt der Organisation bessere Kontrolle darüber, wann ein Benutzer Mitglied einer privilegierten Gruppe sein kann und wie der Benutzer sich authentifizieren muss.

Active Directory, der MIM-Dienst und andere Teile dieser Lösung können auch in einer Hochverfügbarkeitskonfiguration bereitgestellt werden.

Das folgende Beispiel zeigt, wie PIM ausführlicher funktioniert.

PIM-Prozess und -Teilnehmer - Diagramm

Der Bastionswald stellt zeitlich begrenzte Gruppenmitgliedschaften aus, die wiederum zeitlich begrenzte Tickets (TGTs) erzeugen. Kerberos-basierte Anwendungen oder Dienste können diese TGTs anerkennen und durchsetzen, wenn die Anwendungen und Dienste in Forests existieren, die dem Bastion Forest vertrauen.

Alltägliche Benutzerkonten müssen nicht in einen neuen Forest verschoben werden. Das gleiche gilt für Computer, Anwendungen und deren Gruppen. Sie bleiben dort, wo sie sich heute in einem vorhandenen Wald befinden. Betrachten Sie das Beispiel einer Organisation, die sich heute mit diesen Cybersicherheitsproblemen befasst, aber keine sofortigen Pläne hat, die Serverinfrastruktur auf die nächste Version von Windows Server zu aktualisieren. Diese Organisation kann die kombinierte Lösung weiterhin nutzen, indem sie MIM und einen neuen Bastionswald verwendet und den Zugriff auf vorhandene Ressourcen besser steuert.

PAM bietet die folgenden Vorteile:

  • Isolation/Eingrenzung von Berechtigungen: Benutzer halten keine Berechtigungen für Konten, die auch für nicht-privilegierte Aufgaben wie das Überprüfen von E-Mails oder das Surfen im Internet verwendet werden. Benutzer müssen Berechtigungen anfordern. Anforderungen werden basierend auf MIM-Richtlinien genehmigt oder abgelehnt, die von einem PAM-Administrator definiert wurden. Bis eine Anforderung genehmigt wurde, ist der privilegierte Zugriff nicht verfügbar.

  • Step-up und Proof-up: Dies sind neue Authentifizierungs- und Autorisierungsherausforderungen, die die Verwaltung des Lebenszyklus von separaten administrativen Konten erleichtern. Der Benutzer kann die Erhöhung eines Administratorkontos anfordern, und diese Anforderung wird von MIM-Workflows bearbeitet.

  • Zusätzliche Protokollierung: Zusammen mit den integrierten MIM-Workflows gibt es zusätzliche Protokollierung für PAM, die die Anforderung identifiziert, wie sie autorisiert wurde, und alle Ereignisse, die nach der Genehmigung auftreten.

  • Anpassbarer Workflow: Die MIM-Workflows können für unterschiedliche Szenarien konfiguriert werden, und mehrere Workflows können basierend auf den Parametern des anfordernden Benutzers oder der angeforderten Rollen verwendet werden.

Wie fordern Benutzer privilegierten Zugriff an?

Es gibt eine Reihe von Möglichkeiten, wie ein Benutzer eine Anforderung senden kann, einschließlich:

  • Die MIM Services-Webdienst-API
  • Ein REST-Endpunkt
  • Windows PowerShell (New-PAMRequest)

Weitere Informationen über die Privileged Access Management-cmdlets.

Welche Workflows und Überwachungsoptionen sind verfügbar?

Nehmen wir beispielsweise an, dass ein Benutzer Mitglied einer administrativen Gruppe war, bevor PAM eingerichtet wird. Im Rahmen des PAM-Setups wird der Benutzer aus der administrativen Gruppe entfernt, und eine Richtlinie wird in MIM erstellt. Die Richtlinie sieht vor, dass wenn ein Benutzer Administratorrechte anfordert, die Anforderung genehmigt wird und ein separates Konto für den Benutzer zur privilegierten Gruppe in der Bastion-Gesamtstruktur hinzugefügt wird.

Bei Genehmigung der Anforderung kommuniziert der Aktionsworkflow direkt mit der geschützten Active Directory-Gesamtstruktur, um einen Benutzer einer Gruppe hinzuzufügen. Wenn Jen z. B. beantragt, die HR-Datenbank zu verwalten, wird das Administratorkonto für Jen innerhalb von Sekunden zur privilegierten Gruppe im Bastion-Forst hinzugefügt. Die Mitgliedschaft ihres Administratorkontos in dieser Gruppe läuft nach einem Zeitlimit ab. Bei Windows Server 2016 oder höher ist diese Mitgliedschaft in Active Directory mit einem Zeitlimit verknüpft.

Hinweis

Wenn Sie einer Gruppe ein neues Mitglied hinzufügen, muss die Änderung auf andere Domänencontroller (DCs) in der geschützten Gesamtstruktur repliziert werden. Die Replikationslatenz kann sich auf die Möglichkeit auswirken, dass Benutzer auf Ressourcen zugreifen können. Weitere Informationen zur Replikationslatenz finden Sie unter Funktionsweise der Active Directory-Replikationstopologie.

Im Gegensatz dazu wird ein abgelaufener Link in Echtzeit vom Security Accounts Manager (SAM) ausgewertet. Obwohl das Hinzufügen eines Gruppenmitglieds von dem DC repliziert werden muss, der die Zugriffsanforderung empfängt, wird das Entfernen eines Gruppenmitglieds sofort auf jedem DC ausgewertet.

Dieser Workflow ist speziell für diese Administrativen Konten vorgesehen. Administratoren (oder sogar Skripts), die nur gelegentlichen Zugriff für privilegierte Gruppen benötigen, können diesen Zugriff genau anfordern. MIM protokolliert die Anforderung und die Änderungen in Active Directory, und Sie können sie in der Ereignisanzeige anzeigen oder die Daten an Unternehmensüberwachungslösungen wie System Center 2012 – Operations Manager Audit Collection Services (ACS) oder andere Tools von Drittanbietern senden.

Nächste Schritte