Verwenden von Arbeitsstationen mit privilegiertem Zugriff
Beim Durcharbeiten des von den Beratern für Contoso erstellten Sicherheitsberichts haben Sie gelernt, dass böswillige Hacker sich auf Arbeitsstationen konzentrieren, die regelmäßig von Administratoren mit hohem Zugriff auf die Infrastruktur verwendet werden. Daher ist es besonders wichtig, sicherzustellen, dass solche Arbeitsstationen sicher sind.
Was ist eine Arbeitsstation mit privilegiertem Zugriff?
Eine privilegierte administrative Arbeitsstation (Privileged Administrative Workstations, PAW) ist ein Computer, den Sie für die Durchführung von Verwaltungsaufgaben verwenden können, z. B. für die Verwaltung von Identitätssystemen, Clouddiensten und anderen sensiblen Funktionen. Dieser Computer wird vor dem Internet geschützt und so eingeschränkt, dass nur die erforderlichen Verwaltungs-Apps ausgeführt werden können.
Achtung
Stellen Sie sicher, dass administrative Benutzerkonten nicht als Standardbenutzerkonten verwendet werden dürfen.
Sie sollten diese Arbeitsstation niemals für das Surfen im Internet, für E-Mail- und andere gängige Endbenutzer-Apps verwenden, und sie sollte über eine strenge Anwendungssteuerung verfügen. Sie sollten keine Verbindung zu drahtlosen Netzwerken oder zu externen USB-Geräten zulassen. Eine PAW sollte Sicherheitsfeatures wie z. B. die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) implementieren.
Tipp
Sie müssen privilegierte Server so konfigurieren, dass keine Verbindungen mit nicht privilegierten Arbeitsstationen akzeptiert werden.
Microsoft empfiehlt, Windows 10 Enterprise für Ihre PAWs zu verwenden. Der Grund hierfür ist, dass Windows 10 Enterprise Sicherheitsfeatures unterstützt, die in anderen Editionen nicht verfügbar sind. Diese Windows Defender-Features werden in der folgenden Tabelle beschrieben.
| Funktion | BESCHREIBUNG |
|---|---|
| Windows Defender Application Control | Abkehr vom traditionellen Anwendungsvertrauensmodell, bei dem alle Anwendungen standardmäßig als vertrauenswürdig gelten, hin zu einem Modell, bei dem Anwendungen Vertrauen verdienen müssen, um ausgeführt werden zu können. |
| Windows Defender Credential Guard | Schützt NTLM-Kennworthashes, Kerberos-Tickets und Anmeldeinformationen, die von Anwendungen als Domänenanmeldeinformationen gespeichert werden. Da sie nicht mehr in der lokalen Sicherheitsautorität (LSA) gespeichert werden, kann der Diebstahl von Anmeldeinformationen selbst auf einem kompromittierten System verhindert werden. |
| Windows Defender Device Guard | Kombiniert die Features von Windows Application Control mit der Möglichkeit, den Windows Hyper-V-Hypervisor zu nutzen, um Windows-Kernelmodusprozesse vor Einschleusung und Ausführung von bösartigem oder nicht verifiziertem Code zu schützen. |
| Windows Defender Exploit Guard | Ermöglicht Administratoren Richtlinien für die Reduzierung von Oberflächenangriffen und Exploits zu definieren und zu verwalten, Netzwerkschutz einzurichten und das System davor zu schützen, dass verdächtige Apps auf häufig angegriffene Verzeichnisse zugreifen. |
Hardwareprofile von PAWs
Vergessen Sie nicht, dass Administratoren auch Benutzer sind. Dies bedeutet, dass sie E-Mails verwenden, im Internet surfen und Produktivitäts-Apps wie Microsoft Office ausführen. Wenn es sich bei dem Computer des Administrators um eine PAW handelt, wirkt sich dies schwerwiegend auf die Fähigkeit des Benutzers aus, nicht administrative Aufgaben produktiv zu erledigen.
Achtung
Es lohnt sich, zu berücksichtigen, dass Benutzer dazu neigen, sichere Lösungen, die die Produktivität einschränken, zugunsten von unsicheren Lösungen aufzugeben, die die Produktivität erhöhen.
Um die Sicherheit zu gewährleisten, sollten Administratoren zwei Arbeitsstationen zur Verfügung gestellt werden. Eine Arbeitsstation ist eine PAW, während die andere für alltägliche Aufgaben verwendet wird, für die keine Erhöhung der Rechte erforderlich ist. Diese Trennung können Sie mithilfe von PAW-Hardwareprofilen erreichen. Microsoft empfiehlt, eines der folgenden Hardwareprofile zu verwenden:
- Dedizierte Hardware. Separate, dedizierte Geräte für Benutzeraufgaben oder administrative Aufgaben. Die Arbeitsstation des Administrators muss Hardwaresicherheitsmechanismen wie Trusted Platform Module (TPM) unterstützen und die bereits besprochenen Windows 10 Enterprise-Sicherheitsfeatures implementieren.
- Gleichzeitige Verwendung. Ein einziges Gerät, auf dem Benutzeraufgaben oder administrative Aufgaben gleichzeitig durchgeführt werden können, indem zwei Betriebssysteme ausgeführt werden, wobei eines ein Benutzersystem und das andere ein Administratorsystem ist. Hierfür können Sie ein separates Betriebssystem auf einem virtuellen Computer für die tägliche Nutzung ausführen.
Achtung
Wenn Sie ein einziges Gerät verwenden, stellen Sie sicher, dass die PAW auf dem physischen Computer ausgeführt wird, während Ihre reguläre Arbeitsstation als VM ausgeführt wird. Dies bietet die richtige Sicherheit.
In der folgenden Tabelle werden die Vor- und Nachteile der Ansätze beschrieben.
| Szenario | Vorteile | Nachteile |
|---|---|---|
| Dedizierte Hardware | Strikte Sicherheitstrennung | Erfordert zwei Geräte. Dies erfordert mehr Speicherplatz und geht mit höheren Kosten für die Implementierung einher. |
| Gleichzeitige Verwendung | Niedrigere Hardwarekosten | Die gemeinsame Verwendung derselben Tastatur und Maus kann zu Fehlern und Sicherheitsrisiken führen. |