Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der privilegierte Zugriff befindet sich im Unternehmenszugriffsmodell und bietet den einzigen administrativen Pfad zur Kontrollebene. Es definiert, wer Systeme konfigurieren, Identitäten verwalten, Sicherheit erzwingen und letztendlich die Technologieumgebung der Organisation gestalten kann.
In modernen Unternehmen verfügt eine relativ kleine Anzahl von Identitäten – Administratoren, Dienstkonten und Control-Plane-Rollen – über weitreichende Befugnisse und Zugriff auf die meisten Unternehmensressourcen. Diese Identitäten können:
- Ändern von Zugriffssteuerelementen
- Ändern von Systemkonfigurationen
- Zugreifen auf vertrauliche Daten
- Deaktivieren oder Umgehen von Sicherheitsschutzmechanismen
Angreifer erkennen dies. Anstatt jedes System einzeln anzugreifen, konzentrieren sie sich auf:
- Das Stehlen von Anmeldeinformationen.
- Eskalieren von Berechtigungen.
- Seitlicher Wechsel in wertvollere Positionen.
Sobald privilegierter Zugriff abgerufen wurde, kann der Angreifer mit Geschwindigkeit und Skalierung arbeiten.
Aus diesem Grund behandeln moderne Sicherheitsmodelle privilegierten Zugriff anders:
- Sie muss explizit gesteuert werden. Definieren Sie beispielsweise privilegierte Rollen und das Onboarding über Identity Governance und Privileged Identity Management (PIM), wobei eine Genehmigung und eine zeitlich begrenzte Berechtigungserweiterung anstelle dauerhafter Rollenzuweisungen erforderlich sind.
- Sie muss von normaler Aktivität isoliert werden. Verwenden Sie beispielsweise separate Administratorkonten und dedizierte Privilegierte Zugriffsgeräte (Privileged Access Devices, PAWs), sodass privilegierte Aktionen nie aus Standardbenutzersitzungen oder nicht verwalteten Geräten auftreten.
- Sie muss kontinuierlich überwacht werden. Senden Sie z. B. privilegierte Anmeldungen, Rollenaktivierungen und Richtlinienänderungen an Überwachungstools wie Microsoft Sentinel, um ungewöhnliche Verwendungsmuster zu erkennen und Warnungen oder automatisierte Reaktionen auszulösen.
- Es muss vereinbart werden, dass privilegierter Zugriff ein primäres Ziel der Kompromittierung ist. Schützen Sie beispielsweise alle privilegierten Konten mit starker Multifaktor-Authentifizierung (MFA), ohne permanenten Zugriff und mit Kontrollen für Notfallkonten, unter der Annahme, dass Angreifer versuchen, Anmeldeinformationen zu stehlen und ihre Berechtigungen auszuweiten.
Der Schutz privilegierter Zugriffe erfordert, über Rollen und Konten hinauszublicken und alle Komponenten zu verstehen, die über privilegierte Zugriffsrechte verfügen. Dazu gehören:
- Die Identitätssteuerungsebene.
- Privilegierte Geräte, Apps und Schnittstellen.
- Zwischensysteme wie VPNs, PIM und Privileged Access Management (PAM)-Systeme.
Zusammen definieren diese, wie die Steuerung ausgeübt wird – und wie sie geschützt werden muss.
Die folgende Grafik zeigt die potenzielle Angriffsfläche für die Kompromittierung des privilegierten Zugriffs.
Identitätssteuerungsebene
Die Identity-Control-Plane ist die Schicht, die festlegt und regelt, wer privilegierte Rollen innehaben darf und wie diese Privilegien in der gesamten Organisation zugewiesen, hochgestuft und entzogen werden. In einem Kontext mit privilegiertem Zugriff umfasst es privilegierte Identitäten, Rollenzuweisungen und genehmigte Höhenpfade, die die Grundlage bilden, von der alle anderen Steuerelemente abhängen.
Durch die Sicherung der Identitätssteuerungsebene wird sichergestellt, dass Berechtigungen explizit, zeitgebunden, stark authentifiziert und auditierbar sind und nicht autorisierten oder unkontrollierten Zugriff auf die Systeme verhindern, die letztendlich die gesamte Umgebung steuern.
Das folgende Diagramm zeigt, dass die Steuerungsebene zentral in Clouddiensten (Microsoft Entra ID, Intune, Defender für Endpunkt) verwaltet wird und nur über eine Arbeitsstation mit privilegiertem Zugriff (PAW) zugegriffen werden kann, die Isolation, Kontrolle und sichere Verwaltung aller privilegierten Vorgänge erzwingt.
Rollen für die Steuerungsebene
Microsoft Entra ID verfügt über Rollen und Berechtigungen, die als privilegiert identifiziert werden.
Mit diesen Rollen und Berechtigungen können Sie die Verwaltung von Verzeichnisressourcen an andere Benutzer delegieren, Anmeldedaten, Authentifizierungs- oder Autorisierungsrichtlinien ändern oder auf eingeschränkte Daten zugreifen. Privilegierte Rollenzuweisungen können zur Erhöhung von Berechtigungen führen, wenn sie nicht sicher und beabsichtigt verwendet werden.
- Überprüfen Sie privilegierte Microsoft Entra Rollen.
- Erfahren Sie mehr über das Anzeigen und Verwenden privilegierter Rollen.
Arbeitsstationen mit privilegiertem Zugriff
Eine Privileged Access Workstation (PAW) ist ein dediziertes, gehärtetes Gerät, das nur für verwaltungstechnische Aufgaben verwendet wird. Sie ist von normalen Benutzergeräten getrennt und wird eng gesichert, um das Risiko von Diebstahl von Anmeldeinformationen, Schadsoftware oder lateraler Bewegung zu verringern. PAWs erzwingen wichtige Schutzmaßnahmen, wie zum Beispiel:
- Starke Authentifizierung (z. B. Windows Hello for Business)
- Gerätehärtung (Credential Guard, Device Guard, Exploit Guard, AppLocker)
- Eingeschränkte Nutzung (keine allgemeine Browser- oder Produktivitätsaktivität)
Ziel ist es, sicherzustellen, dass privilegierte Anmeldeinformationen und Aktionen niemals in nicht vertrauenswürdigen Umgebungen verfügbar gemacht werden.
Das folgende Diagramm zeigt, dass die PAW der einzige vertrauenswürdige Zugriffspunkt auf die Steuerungsebene ist.
Wie im Diagramm dargestellt, fließen alle administrativen Aktionen durch die PAW und werden in der Tabelle zusammengefasst gesteuert.
| Control | Implementierung |
|---|---|
| Explizit gesteuert | Der Administratorzugriff wird nur über richtlinienbasierte Identitätskontrollen gewährt, die eine starke Authentifizierung und genehmigte, zeitgebundene Rechteerweiterung erfordern. Der Gerätestatus muss auch die Complianceanforderungen erfüllen, bevor der Zugriff zulässig ist. |
| Isoliert von normaler Aktivität | Privilegierte Vorgänge sind auf ein dediziertes PAW-Gerät mit streng kontrollierter Nutzung und Konnektivität beschränkt. Die PAW wird nicht für die allgemeine Produktivität verwendet, mit eingeschränktem Internetzugang und sicherer Remotekonnektivität mit sensiblen Systemen. |
| Kontinuierlich überwacht | Alle Identitätsaktivitäten, Gerätestatus und Endpunktverhalten werden kontinuierlich gesammelt und analysiert, wodurch die Erkennung von abnormalen privilegierten Aktivitäten und schnelle Reaktionen ermöglicht wird. |
| Davon ausgegangen, dass sie gezielt ist | Die Umgebung wird gehärtet und kontinuierlich überprüft, vorausgesetzt, Angreifer zielen auf privilegierten Zugriff ab. Geräte werden auf dem neuesten Stand gehalten, und sicheres Bootstrapping wird erzwungen. |
Nächste Schritte
Stellen Sie eine Architektur für privilegierten Zugriff bereit.