Erweiterte Sicherheitsadministratorumgebung

Die Enhanced Security Admin Environment (ESAE)-Architektur (oft auch als Red Forest, Admin Forest oder Hardened Forest bezeichnet) ist ein älterer Ansatz zur Bereitstellung einer sicheren Umgebung für Windows Server Active Directory (AD) Administrator-Identitäten.

Die Empfehlung von Microsoft, dieses Architekturmuster zu verwenden, wurde durch die moderne Strategie für den privilegierten Zugriff und den Leitfaden für den schnellen Modernisierungsplan (Rapid Modernization Plan, RAMP) als empfohlenen Standardansatz zum Schützen privilegierter Benutzer ersetzt. Diese Richtlinie soll die Anpassung einer breiteren Strategie hin zu einer Zero-Trust-Architektur beinhalten. Angesichts dieser modernisierten Strategien wird die robuste ESAE-Administrationsforest-Architektur (vor Ort oder in der Cloud) jetzt als eine benutzerdefinierte Konfiguration betrachtet, die nur für Ausnahmefälle geeignet ist.

Szenarien für die weitere Nutzung

Obwohl es sich nicht mehr um eine empfohlene Architektur handelt, kann ESAE (oder einzelne Komponenten darin) immer noch in einer begrenzten Anzahl von ausgenommenen Szenarien gültig sein. In der Regel sind diese lokalen Umgebungen isoliert, wenn Cloud-Dienste nicht verfügbar sind. Dieses Szenario kann kritische Infrastrukturen oder andere nicht verbundene operative Technologieumgebungen (OT) umfassen. Es sollte jedoch beachtet werden, dass die abgekapselten ICS/SCADA-Segmente (Industrial Control System/Supervisory Control and Data Acquisition) der Umgebung in der Regel keine eigene Active Directory-Bereitstellung nutzen.

Wenn sich Ihr Unternehmen in einem dieser Szenarien befindet, kann die Beibehaltung einer derzeit bereitgestellten ESAE-Architektur in ihrer Gesamtheit immer noch sinnvoll sein. Sie müssen sich jedoch darüber im Klaren sein, dass Ihr Unternehmen aufgrund der erhöhten technischen Komplexität und der Betriebskosten für die Wartung von ESAE ein zusätzliches Risiko eingeht. Microsoft empfiehlt allen Unternehmen, die noch immer ESAE oder andere Legacy-Kontrollen für die Identitätssicherheit verwenden, die damit verbundenen Risiken besonders streng zu überwachen, zu identifizieren und zu minimieren.

Hinweis

Microsoft empfiehlt zwar kein isoliertes gehärtetes Gesamtstrukturmodell für die meisten Szenarios in Organisationen, arbeitet jedoch intern mit einer ähnlichen Architektur (mit den zugehörigen Supportprozessen und Mitarbeitern) aufgrund der extremen Sicherheitsanforderungen für die Bereitstellung vertrauenswürdiger Clouddienste für Organisationen auf der ganzen Welt.

Richtlinien für bestehende Bereitstellungen

Für Kunden, die diese Architektur bereits bereitgestellt haben, um die Sicherheit zu erhöhen und/oder die Verwaltung mehrerer Wälder zu vereinfachen, besteht keine Dringlichkeit, eine ESAE-Implementierung außer Betrieb zu nehmen oder zu ersetzen, wenn sie wie geplant und vorgesehen betrieben wird. Wie bei allen Unternehmenssystemen sollten Sie deren Software verwalten, indem Sie Sicherheitsupdates anwenden und sicherstellen, dass sich Software innerhalb des Supportlebenszyklus befindet.

Außerdem empfiehlt Microsoft Organisationen, die ESAE bzw. gehärtete Gesamtstrukturen verwenden, die moderne Strategie für privilegierten Zugriff mithilfe des Leitfadens für den Schnellen Modernisierungsplan (Rapid Modernization Plan, RAMP) einzusetzen. Diese Richtlinie ergänzt eine bestehende ESAE-Implementierung und bietet angemessene Sicherheit für Rollen, die nicht bereits durch ESAE geschützt sind, darunter Microsoft Entra Global Administrators, sensible Benutzer und Standardbenutzer in Unternehmen. Weitere Informationen finden Sie im Artikel Schützen von Sicherheitsebenen für privilegierten Zugriff.

Als ESAE vor mehr als 10 Jahren entwickelt wurde, lag der Schwerpunkt auf lokalen Umgebungen, in denen Active Directory (AD) als lokaler Identitätsanbieter diente. Dieser herkömmliche Ansatz basiert auf Makro-Segmentierungstechniken zur Erreichung der geringsten Privilegien und berücksichtigt hybride oder Cloud-basierte Umgebungen nicht angemessen. Darüber hinaus konzentrieren sich ESAE- und Hardened-Forest-Implementierungen nur auf den Schutz von Windows Server Active Directory-Administratoren (Identitäten) vor Ort und berücksichtigen nicht die feinkörnigen Identitätskontrollen und andere Techniken, die in den übrigen Säulen einer modernen Zero-Trust-Architektur enthalten sind. Microsoft hat seine Empfehlung für Cloud-basierte Lösungen aktualisiert, da diese schneller bereitgestellt werden können, um ein breiteres Spektrum an administrativen und geschäftskritischen Rollen und Systemen zu schützen. Außerdem sind sie weniger komplex, skalierbar und erfordern weniger Kapitalinvestitionen für die Wartung.

Hinweis

Obwohl ESAE nicht mehr in seiner Gesamtheit empfohlen wird, hat Microsoft erkannt, dass viele darin enthaltene Einzelkomponenten als gute Cyber-Hygiene definiert sind (z. B. dedizierte Privileged Access Workstations). Die Abschaffung von ESAE soll Unternehmen nicht dazu zwingen, gute Cyber-Hygiene-Praktiken aufzugeben, sondern lediglich aktualisierte architektonische Strategien zum Schutz privilegierter Identitäten stärken.

Beispiele für gute Cyber-Hygiene-Praktiken in ESAE, die auf die meisten Unternehmen anwendbar sind

  • Verwendung von Arbeitsplätzen mit privilegiertem Zugang (PAWs) für alle administrativen Aktivitäten
  • Erzwingen einer Token-basierten oder Multi-Faktor-Authentifizierung (MFA) für administrative Anmeldeinformationen, auch wenn diese nicht überall in der Umgebung verwendet wird
  • Durchsetzung des Least Privilege-Verwaltungsmodells durch regelmäßige Überprüfung der Gruppen-/Rollenzugehörigkeit (erzwungen durch strenge Unternehmensrichtlinien)

Best Practice für die Absicherung von lokalem AD

Wie in Szenarien für die fortgesetzte Nutzung beschrieben, kann es Umstände geben, unter denen eine Migration in die Cloud (entweder teilweise oder vollständig) aufgrund unterschiedlicher Umstände nicht möglich ist. Für diese Unternehmen empfiehlt Microsoft, sofern sie nicht bereits über eine ESAE-Architektur verfügen, die Angriffsfläche von lokalem AD zu verringern, indem sie die Sicherheitsvorkehrungen für Active Directory und privilegierte Identitäten erhöhen. Die folgende Liste ist zwar nicht erschöpfend, doch sollten Sie die folgenden Empfehlungen mit hoher Priorität berücksichtigen.

  • Verwenden Sie einen mehrstufigen Ansatz, der ein Verwaltungsmodell mit den geringsten Privilegien implementiert:
    • Setzen Sie absolute minimale Berechtigungen durch.
    • Entdecken, überprüfen und kontrollieren Sie berechtigte Identitäten (starke Bindung an Unternehmensrichtlinien).
      • Die exzessive Gewährung von Berechtigungen ist eines der am häufigsten festgestellten Probleme in bewerteten Umgebungen.
    • MFA für administrative Konten (auch wenn diese nicht überall in der Umgebung verwendet werden).
    • Zeitbasierte Berechtigungen (Reduzierung übermäßiger Konten, Stärkung der Genehmigungsprozesse).
    • Aktivieren und konfigurieren Sie alle verfügbaren Überprüfungen für berechtigte Identitäten (Benachrichtigung über Aktivierung/Deaktivierung, Passwortrücksetzung, andere Änderungen).
  • Verwenden Sie Workstations mit Berechtigung (PAWs):
    • Verwalten Sie PAWs nicht über einen weniger vertrauenswürdigen Host.
    • Verwenden Sie MFA für den Zugriff auf PAWs.
    • Vergessen Sie nicht die physische Sicherheit.
    • Stellen Sie sicher, dass auf den PAWs immer die neuesten und/oder aktuell unterstützten Betriebssysteme laufen.
  • Verstehen Sie Angriffswege und risikoreiche Konten/Anwendungen:
    • Priorisieren Sie die Überwachung von Identitäten und Systemen, die das größte Risiko darstellen (Gelegenheitsziele / hohe Auswirkungen).
    • Beseitigen Sie die Wiederverwendung von Passwörtern, auch über Betriebssystemgrenzen hinweg (gängige Technik der lateralen Bewegung).
    • Setzen Sie Richtlinien durch, die Aktivitäten einschränken, die das Risiko erhöhen (Internet-Browsing von gesicherten Arbeitsplätzen, lokale Administratorkonten auf mehreren Systemen usw.).
    • Reduzieren Sie die Anzahl der Anwendungen auf Active Directory/Domänencontrollern (jede zusätzliche Anwendung stellt eine zusätzliche Angriffsfläche dar).
      • Beseitigen Sie unnötige Anwendungen.
      • Verschieben Sie Anwendungen, die noch benötigt werden, auf andere Workloads außerhalb von / DC, wenn möglich.
  • Unveränderliches Backup von Active Directory:
    • Entscheidende Komponente für die Wiederherstellung nach einer Ransomware-Infektion.
    • Regelmäßiger Backup-Zeitplan.
    • Gespeichert in der Cloud oder an einem externen Ort, der vom Notfallplan vorgegeben wird.
  • Führen Sie eine Active Directory-Sicherheitsbewertung durch:
    • Zur Anzeige der Ergebnisse (angepasstes Log Analytics-Dashboard) ist ein Azure-Abonnement erforderlich.
    • On-demand oder von Microsoft-Ingenieuren unterstützte Angebote.
    • Validieren / identifizieren Sie Richtlinien aus der Bewertung.
    • Microsoft empfiehlt, die Bewertungen jährlich durchzuführen.

Eine umfassende Richtlinie zu diesen Empfehlungen finden Sie in den Best Practices for Securing Active Directory.

Zusätzliche Empfehlungen

Microsoft ist sich darüber im Klaren, dass einige Unternehmen aufgrund unterschiedlicher Einschränkungen möglicherweise nicht in der Lage sind, eine Cloud-basierte Zero-Trust-Architektur vollständig bereitzustellen. Einige dieser Einschränkungen wurden bereits im vorherigen Abschnitt erwähnt. Anstelle einer vollständigen Bereitstellung können Unternehmen Risiken angehen und Fortschritte auf dem Weg zu Zero-Trust machen, während sie gleichzeitig ältere Geräte oder Architekturen in der Umgebung beibehalten. Zusätzlich zu den bereits erwähnten Richtlinien können die folgenden Funktionen dabei helfen, die Sicherheit Ihrer Umgebung zu erhöhen und als Ausgangspunkt für die Einführung einer Zero-Trust-Architektur dienen.

Microsoft Defender for Identity (MDI)

Microsoft Defender for Identity (MDI) (ehemals Azure Advanced Threat Protection oder ATP) untermauert die Microsoft Zero-Trust-Architektur und konzentriert sich auf die Säule der Identität. Diese Cloud-basierte Lösung nutzt Signale von AD und Microsoft Entra ID, um Bedrohungen von Identitäten zu identifizieren, zu erkennen und zu untersuchen. MDI überwacht diese Signale, um abnormales und bösartiges Verhalten von Benutzern und Unternehmen zu erkennen. MDI erleichtert es, den Weg eines Angreifers zu visualisieren, indem es aufzeigt, wie ein bestimmtes Konto oder bestimmte Konten im Falle einer Kompromittierung genutzt werden könnten. Die Verhaltensanalyse- und Benutzer-Baseline-Funktionen von MDI sind Schlüsselelemente für die Ermittlung abnormaler Aktivitäten innerhalb Ihrer AD-Umgebung.

Hinweis

MDI sammelt zwar Signale von AD vor Ort, benötigt aber eine Cloud-basierte Verbindung.

Microsoft Defender für das Internet der Dinge (D4IoT)

Zusätzlich zu den anderen Richtlinien, die in diesem Dokument beschrieben werden, können Unternehmen, die in einem der oben genannten Szenarien arbeiten, Microsoft Defender for IoT (D4IoT) bereitstellen. Diese Lösung verfügt über einen passiven Netzwerksensor (virtuell oder physisch), der die Erkennung von Vermögenswerten, die Bestandsverwaltung und die risikobasierte Verhaltensanalyse für das Internet der Dinge (IoT) und betriebliche Technologieumgebungen (OT) ermöglicht. Es kann in lokalen Umgebungen mit Luftabdeckung oder in Cloud-Umgebungen bereitgestellt werden und ist in der Lage, eine Deep Packet Inspection für über 100 proprietäre ICS/OT-Netzwerkprotokolle durchzuführen.

Nächste Schritte

Lesen Sie die folgenden Artikel:

  1. Strategie für den berechtigten Zugriff
  2. Sicherheitsplan für die schnelle Modernisierung (RAMP)
  3. Bewährte Methoden für den Schutz von Active Directory