Implementieren sicherer Verwaltungshosts

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Sichere Verwaltungshosts sind Arbeitsstationen oder Server, die speziell für die Erstellung sicherer Plattformen konfiguriert wurden. Von diesen aus können privilegierte Konten administrative Aufgaben in Active Directory oder auf Domänencontrollern, auf in die Domäne eingebundenen Systemen sowie in Anwendungen durchführen, die auf in die Domäne eingebundenen Systemen ausgeführt werden. In diesem Fall bezieht sich „privilegierte Konten“ nicht nur auf Konten, die Mitglieder der privilegiertesten Gruppen in Active Directory sind, sondern auf alle Konten, an die Rechte und Berechtigungen delegiert wurden, die die Ausführung administrativer Aufgaben ermöglichen.

Bei diesen Konten kann es sich um Helpdeskkonten handeln, Kennwörter für die meisten Benutzer in einer Domäne zurücksetzen können, um Konten, die zum Verwalten von DNS-Einträgen und -Zonen verwendet werden, oder um Konten, die für die Konfigurationsverwaltung verwendet werden. Sichere Verwaltungshosts sind für Verwaltungsfunktionen vorgesehen und führen keine Software wie E-Mail-Anwendungen, Webbrowser oder Produktivitätssoftware wie Microsoft Office aus.

Natürlich sollten die „privilegiertesten“ Konten und Gruppen am besten geschützt werden, aber auch Konten und Gruppen, denen über die von Standardbenutzerkonten hinausgehende Berechtigungen gewährt wurden, müssen geschützt werden.

Ein sicherer Verwaltungshost kann eine dedizierte Arbeitsstation sein, die nur für administrative Aufgaben verwendet wird, ein Mitgliedsserver, auf dem die Serverrolle „Remotedesktopgateway“ ausgeführt wird und mit dem IT-Benutzer eine Verbindung zum Verwalten von Zielhosts herstellen, oder ein Server, der die Hyper-V-Rolle ausführt und für jeden IT-Benutzer eine eindeutige VM bereitstellt, die für administrative Aufgaben verwendet werden kann. In vielen Umgebungen können Kombinationen aller drei Ansätze implementiert werden.

Die Implementierung sicherer Verwaltungshosts erfordert eine Planung und Konfiguration, die der Größe, den Verwaltungsmethoden, der Risikobereitschaft und dem Budget Ihrer Organisation entspricht. Hier finden Sie Überlegungen und Optionen zur Implementierung sicherer Verwaltungshosts, die Sie bei der Entwicklung einer für Ihre Organisation geeigneten Verwaltungsstrategie verwenden können.

Prinzipien zum Erstellen sicherer Verwaltungshosts

Um Systeme effektiv vor Angriffen zu schützen, sollten einige allgemeine Prinzipien beachtet werden:

1. Sie sollten niemals ein vertrauenswürdiges System (d. h. einen sicheren Server wie einen Domänencontroller) von einem weniger vertrauenswürdigen Host aus verwalten (d. h. einer Arbeitsstation, die nicht im gleichen Maße gesichert ist wie die von ihr verwalteten Systeme).

2. Verlassen Sie sich nicht auf einen einzelnen Authentifizierungsfaktor, wenn Sie privilegierte Aktivitäten durchführen. Das heißt, eine Kombination aus Benutzername und Kennwort sollte nicht als akzeptable Authentifizierung betrachtet werden, da nur ein einziger Faktor (Ihnen bekannte Informationen) abgebildet wird. Sie sollten sich überlegen, wo Anmeldeinformationen generiert und zwischengespeichert oder in Verwaltungsszenarien gespeichert werden.

3. Obwohl die meisten Angriffe in der aktuellen Bedrohungslandschaft Schadsoftware und böswilliges Hacking nutzen, sollten Sie die physische Sicherheit beim Entwerfen und Implementieren sicherer Verwaltungshosts nicht außer Acht lassen.

Kontokonfiguration

Auch wenn Ihre Organisation derzeit keine Smartcards verwendet, sollten Sie diese für privilegierte Konten und sichere Verwaltungshosts implementieren. Verwaltungshosts sollten so konfiguriert werden, dass die Smartcardanmeldung für alle Konten erforderlich ist. Ändern Sie dazu die folgende Einstellung in einem Gruppenrichtlinienobjekt, das mit den Organisationseinheiten verknüpft ist, die Verwaltungshosts enthalten:

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Lokale Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Smartcard erforderlich

Diese Einstellung erfordert, dass alle interaktiven Anmeldungen unabhängig von der Konfiguration für ein einzelnes Konto in Active Directory eine Smartcard verwenden müssen.

Außerdem sollten Sie sichere Verwaltungshosts so konfigurieren, dass Anmeldungen nur von autorisierten Konten zugelassen werden, die an folgender Stelle konfiguriert werden können:

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Lokale Richtlinien\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Dadurch werden interaktive Anmelderechte (und ggf. die für Remotedesktopdienste) nur autorisierten Benutzern des sicheren Verwaltungshosts gewährt.

Physische Sicherheit

Damit Verwaltungshosts als vertrauenswürdig gelten können, müssen sie in demselben Maße konfiguriert und geschützt werden wie die von ihnen verwalteten Systeme. Die meisten Empfehlungen, die unter Schützen von Domänencontrollern vor Angriffen bereitgestellt werden, gelten auch für die Hosts, die zum Verwalten von Domänencontrollern und der AD DS-Datenbank verwendet werden. Eine der Herausforderungen bei der Implementierung sicherer Verwaltungssysteme besteht in den meisten Umgebungen darin, dass die physische Sicherheit schwieriger zu implementieren ist, da sich diese Computer häufig in Bereichen befinden, die nicht so sicher sind wie in Rechenzentren gehostete Server (z. B. Desktops von Administratoren).

Die physische Sicherheit umfasst die Steuerung des physischen Zugriffs auf Verwaltungshosts. In einer kleinen Organisation kann dies bedeuten, dass Sie eine dedizierte Verwaltungsarbeitsstation verwenden, die in einem Büro oder einer Schreibtischschublade weggesperrt wird, solange sie nicht verwendet wird. Dies kann auch bedeuten, dass Sie sich direkt beim Domänencontroller anmelden, wenn Sie administrative Aufgaben für Active Directory oder Ihre Domänencontrollern durchführen müssen.

In mittelgroßen Organisationen können Sie die Implementierung sicherer administrativer „Sprungbrettserver“ in Erwägung ziehen, die sich an einem geschützten Standort in einem Büro befinden und verwendet werden, wenn Active Directory oder Domänencontroller verwaltet werden müssen. Sie können auch Verwaltungsarbeitsstationen implementieren, die an sicheren Orten weggesperrt werden, solange sie nicht verwendet werden – sowohl mit als auch ohne Sprungbrettserver.

In großen Organisationen können Sie im Rechenzentrum untergebrachte Sprungbrettserver bereitstellen, die streng kontrollierten Zugriff auf Active Directory, Domänencontroller sowie Datei-, Druck- oder Anwendungsserver bieten. Die Implementierung einer Sprungbrettserverarchitektur umfasst in großen Umgebungen höchstwahrscheinlich eine Kombination aus sicheren Arbeitsstationen und Servern.

Unabhängig von der Größe Ihrer Organisation und dem Design Ihrer Verwaltungshosts sollten Sie physische Computer vor nicht autorisiertem Zugriff oder Diebstahl schützen und die BitLocker-Laufwerkverschlüsselung verwenden, um die Laufwerke auf Verwaltungshosts zu verschlüsseln und zu schützen. Durch die Implementierung von BitLocker auf Verwaltungshosts können Sie sicherstellen, dass unbefugte Benutzer auch dann nicht auf die Daten auf dem Laufwerk zugreifen können, wenn Hosts gestohlen oder die zugehörigen Datenträger entfernt werden.

Betriebssystemversionen und Konfiguration

Alle Verwaltungshosts, ob Server oder Arbeitsstationen, sollten aus den zuvor in diesem Dokument beschriebenen Gründen das neueste in Ihrer Organisation verwendete Betriebssystem ausführen. Durch die Ausführung aktueller Betriebssysteme profitieren Ihre Administratoren von neuen Sicherheitsfeatures, vollständigem Anbietersupport und zusätzlichen Funktionen, die im Betriebssystem eingeführt werden. Wenn Sie ein neues Betriebssystem bewerten, indem Sie es zunächst auf Verwaltungshosts bereitstellen, müssen Sie sich zudem mit den neuen Features, Einstellungen und Verwaltungsmechanismen vertraut machen. Diese Kenntnisse können Sie anschließend bei der Planung einer umfassenderen Bereitstellung des Betriebssystems nutzen. Zu diesem Zeitpunkt werden die versiertesten Benutzer in Ihrer Organisation auch diejenigen sein, die mit dem neuen Betriebssystem vertraut und am besten dazu in der Lage sind, dafür Support zu leisten.

Sicherheitskonfigurations-Assistent von Microsoft

Wenn Sie im Rahmen Ihrer Verwaltungshoststrategie Sprungbrettserver implementieren, sollten Sie den integrierten Sicherheitskonfigurations-Assistenten verwenden, um Dienst-, Registrierungs-, Überwachungs- und Firewalleinstellungen zu konfigurieren und die Angriffsfläche des Servers zu verringern. Wenn die Konfigurationseinstellungen des Sicherheitskonfigurations-Assistenten erfasst und konfiguriert wurden, können die Einstellungen in ein Gruppenrichtlinienobjekt konvertiert werden, mit dessen Hilfe eine konsistente Baselinekonfiguration auf allen Sprungbrettservern durchgesetzt wird. Sie können das Gruppenrichtlinienobjekt weiter bearbeiten, um sicherheitsspezifische Einstellungen für Sprungbrettserver zu implementieren, und alle Einstellungen mit zusätzlichen Baselineeinstellungen kombinieren, die aus dem Microsoft Security Compliance Manager extrahiert wurden.

Microsoft Security Compliance Manager

Der Microsoft Security Compliance Manager ist ein frei verfügbares Tool, das von Microsoft empfohlene Sicherheitskonfigurationen basierend auf der Betriebssystemversion und der Rollenkonfiguration integriert und in einem einzigen Tool und einer einzigen Benutzeroberfläche zusammenfasst, das bzw. die zum Erstellen und Konfigurieren von Baselinesicherheitseinstellungen für Domänencontroller verwendet werden kann. Microsoft Security Compliance Manager-Vorlagen können mit den Einstellungen des Sicherheitskonfigurations-Assistenten kombiniert werden, um umfassende Konfigurationsbaselines für Sprungbrettserver zu erstellen. Diese werden von Gruppenrichtlinienobjekten bereitgestellt und erzwungen, die an den Organisationseinheiten mit Sprungbrettservern in Active Directory bereitgestellt werden.

Hinweis

Zum Zeitpunkt der Erstellung dieses Dokuments enthält der Microsoft Security Compliance Manager keine Einstellungen, die für Sprungbrettserver oder andere sichere Verwaltungshosts spezifisch sind. Dennoch kann der Security Compliance Manager (SCM) zum Erstellen der Anfangsbaselines für Ihre Verwaltungshosts verwendet werden. Um die Hosts ordnungsgemäß zu schützen, sollten Sie jedoch zusätzliche Sicherheitseinstellungen anwenden, die für hoch gesicherte Arbeitsstationen und Server geeignet sind.

AppLocker

Verwaltungshosts und VMs sollten mit Skripts, Tools und Anwendungen über AppLocker oder eine Anwendungseinschränkungssoftware eines Drittanbieters konfiguriert werden. Alle Verwaltungsanwendungen oder Hilfsprogramme, die sichere Einstellungen nicht berücksichtigen, sollten durch ein Upgrade aktualisiert oder durch Tools ersetzt werden, die sichere Entwicklungs- und Verwaltungsmethoden beachten. Wenn auf einem Verwaltungshost neue oder zusätzliche Tools erforderlich sind, sollten Anwendungen und Hilfsprogramme gründlich getestet werden, und wenn die Tools für die Bereitstellung auf Verwaltungshosts geeignet sind, können sie den Systemen hinzugefügt werden.

RDP-Einschränkungen

Auch wenn die spezifische Konfiguration je nach Architektur Ihrer Verwaltungssysteme variiert, sollten Sie in Einschränkungen festlegen, welche Konten und Computer zum Herstellen von RDP-Verbindungen (Remotedesktopprotokoll) mit verwalteten Systemen verwendet werden können. Nutzen Sie beispielsweise RD-Gateway-Sprungbrettserver (Remotedesktopgateway), um den Zugriff auf Domänencontroller und andere verwaltete Systeme über autorisierte Benutzer und Systeme zu steuern.

Sie sollten interaktive Anmeldungen durch autorisierte Benutzer zulassen und andere Anmeldetypen entfernen oder sogar blockieren, die für den Serverzugriff nicht erforderlich sind.

Change Management und Konfigurationsverwaltung

Kleinere Organisationen können Angebote wie Windows Update oder Windows Server Update Services (WSUS) nutzen, um die Bereitstellung von Updates auf Windows-Systemen zu verwalten, während größere Organisationen Unternehmenspatch- und Konfigurationsverwaltungssoftware wie Microsoft Endpoint Configuration Manager implementieren können. Unabhängig von den Mechanismen, die Sie zum Bereitstellen von Updates für Ihren allgemeinen Server- und Arbeitsstationsbestand verwenden, sollten Sie separate Bereitstellungen für hochsichere Systeme wie Domänencontroller, Zertifizierungsstellen und Verwaltungshosts in Betracht ziehen. Wenn Sie diese Systeme von der allgemeinen Verwaltungsinfrastruktur trennen, kann die Kompromittierung Ihrer Verwaltungssoftware oder Dienstkonten nicht einfach auf die sichersten Systeme in Ihrer Infrastruktur ausgeweitet werden.

Auch wenn Sie keine manuellen Updateprozesse für sichere Systeme implementieren sollten, empfiehlt es sich, eine separate Infrastruktur für die Aktualisierung sicherer Systeme zu konfigurieren. Selbst in sehr großen Organisationen kann diese Infrastruktur in der Regel über dedizierte WSUS-Server und GPOs für gesicherte Systeme implementiert werden.

Blockieren des Internetzugriffs

Verwaltungshosts sollten weder auf das Internet zugreifen dürfen, noch sollten sie das Intranet einer Organisation durchsuchen können. Webbrowser und ähnliche Anwendungen sollten auf Verwaltungshosts nicht zulässig sein. Sie können den Internetzugriff für sichere Hosts über eine Kombination aus Firewalleinstellungen für Umkreisnetzwerke, WFAS-Konfiguration und „Black Hole“-Proxykonfiguration auf sicheren Hosts blockieren. Sie können auch eine Positivliste für Anwendungen verwenden, um zu verhindern, dass Webbrowser auf Verwaltungshosts verwendet werden.

Virtualisierung

Erwägen Sie nach Möglichkeit die Implementierung von VMs als Verwaltungshosts. Mithilfe der Virtualisierung können Sie benutzerspezifische Verwaltungssysteme erstellen, die zentral gespeichert und verwaltet werden und die bei Nichtverwendung einfach heruntergefahren werden können, um sicherzustellen, dass die Anmeldeinformationen auf den Verwaltungssystemen nicht aktiv bleiben. Sie können auch verlangen, dass virtuelle Verwaltungshosts nach jeder Verwendung auf eine erste Momentaufnahme zurückgesetzt werden, um sicherzustellen, dass die VMs unverfälscht bleiben. Weitere Informationen zu Optionen für die Virtualisierung von Verwaltungshosts finden Sie im folgenden Abschnitt.

Beispielansätze für die Implementierung sicherer Verwaltungshosts

Unabhängig davon, wie Sie Ihre Verwaltungshostinfrastruktur entwerfen und bereitstellen, sollten Sie die Richtlinien beachten, die weiter oben in diesem Thema unter „Prinzipien zum Erstellen sicherer Verwaltungshosts“ beschrieben sind. Jeder der hier beschriebenen Ansätze bietet allgemeine Informationen dazu, wie Sie die von Ihren IT-Mitarbeitern verwendeten Verwaltungs- und Produktivitätssysteme trennen können. Produktivitätssysteme sind Computer, auf denen IT-Administratoren ihre E-Mails überprüfen, im Internet surfen und allgemeine Produktivitätssoftware wie Microsoft Office verwenden. Verwaltungssysteme sind Computer, die für die tägliche Verwaltung einer IT-Umgebung bestimmt und entsprechend gesichert sind.

Die einfachste Möglichkeit, sichere Verwaltungshosts zu implementieren, besteht darin, Ihren IT-Mitarbeitern gesicherte Arbeitsstationen zur Verfügung zu stellen, auf denen sie administrative Aufgaben ausführen können. In einer reinen Arbeitsstationsimplementierung wird jede Verwaltungsarbeitsstation zum Starten von Verwaltungstools und RDP-Verbindungen verwendet, um Server und andere Infrastrukturkomponenten zu verwalten. Reine Arbeitsstationsimplementierungen können in kleineren Organisationen effektiv sein. Größere, komplexere Infrastrukturen profitieren jedoch möglicherweise von einem verteilten Design für Verwaltungshosts, in dem dedizierte Verwaltungsserver und Arbeitsstationen verwendet werden, wie weiter unten in diesem Thema unter „Implementieren sicherer Verwaltungsarbeitsstationen und Sprungbrettserver“ beschrieben.

Implementieren separater physischer Arbeitsstationen

Eine Möglichkeit zur Implementierung von Verwaltungshosts besteht darin, jedem IT-Benutzer zwei Arbeitsstationen bereitzustellen. Eine Arbeitsstation wird mit einem „regulären“ Benutzerkonto verwendet, um Aktivitäten wie das Überprüfen von E-Mails und die Verwendung von Produktivitätsanwendungen auszuführen, während die zweite Arbeitsstation ausschließlich verwaltungstechnischen Funktionen vorbehalten ist.

Für die Produktivitätsarbeitsstation können die IT-Mitarbeiter reguläre Benutzerkonten erhalten, anstatt privilegierte Konten für die Anmeldung bei ungesicherten Computern zu verwenden. Die Verwaltungsarbeitsstation sollte eine streng kontrollierte Konfiguration aufweisen, und die IT-Mitarbeiter sollten ein anderes Konto verwenden, um sich bei der Verwaltungsarbeitsstation anzumelden.

Wenn Sie Smartcards implementieren, sollten Verwaltungsarbeitsstationen so konfiguriert werden, dass sie Smartcardanmeldungen erfordern, und IT-Mitarbeitern sollten separate Konten für die administrative Verwendung zugewiesen werden, die ebenfalls so konfiguriert sind, dass Smartcards zur interaktiven Anmeldung erforderlich sind. Der Verwaltungshost sollte wie zuvor beschrieben gehärtet werden, und nur bestimmte IT-Benutzer sollten sich lokal bei der Verwaltungsarbeitsstation anmelden dürfen.

Vorteile

Durch die Implementierung separater physischer Systeme können Sie sicherstellen, dass jeder Computer entsprechend seiner Rolle konfiguriert ist und dass IT-Benutzer Verwaltungssysteme nicht versehentlich einem Risiko aussetzen können.

Nachteile

• Die Implementierung separater physischer Computer erhöht die Hardwarekosten.

• Wenn Sie sich bei einem physischen Computer mit Anmeldeinformationen zum Verwalten von Remotesystemen anmelden, werden die Anmeldeinformationen im Arbeitsspeicher zwischengespeichert.

• Wenn Verwaltungsarbeitsstationen nicht sicher aufbewahrt werden, sind sie möglicherweise anfällig für Kompromittierungen durch Mechanismen wie physische Hardwareschlüsselprotokollierungen oder andere physische Angriffe.

Implementieren einer sicheren physischen Arbeitsstation mit einer virtualisierten Produktivitätsarbeitsstation

Bei diesem Ansatz erhalten IT-Benutzer eine gesicherte Verwaltungsarbeitsstation, von der aus sie alltägliche Verwaltungsfunktionen über RSAT (Remote Server Administration Tools, Remoteserver-Verwaltungstools) oder RDP-Verbindungen mit Servern in ihrem Zuständigkeitsbereich ausführen können. Wenn IT-Benutzer Produktivitätsaufgaben ausführen müssen, können sie über RDP eine Verbindung mit einer Remoteproduktivitätsarbeitsstation herstellen, die als VM ausgeführt wird. Für jede Arbeitsstation sollten separate Anmeldeinformationen verwendet und Kontrollen wie Smartcards implementiert werden.

Vorteile

• Verwaltungsarbeitsstationen und Produktivitätsarbeitsstationen werden voneinander getrennt.

• IT-Mitarbeiter, die sichere Arbeitsstationen zum Herstellen einer Verbindung mit Produktivitätsarbeitsstationen verwenden, können separate Anmeldeinformationen und Smartcards verwenden, und privilegierte Anmeldeinformationen werden nicht auf dem weniger sicheren Computer hinterlegt.

Nachteile

• Die Implementierung der Lösung erfordert Entwurfs- und Implementierungsarbeit sowie robuste Virtualisierungsoptionen.

• Wenn die physischen Arbeitsstationen nicht sicher aufbewahrt werden, sind sie möglicherweise anfällig für physische Angriffe, die die Hardware oder das Betriebssystem kompromittieren und sie anfällig für das Abfangen der Kommunikation machen.

Implementieren einer einzelnen sicheren Arbeitsstation mit Verbindungen mit separaten VMs für Produktivität und Verwaltung

Bei diesem Ansatz können Sie IT-Benutzern eine einzige physische Arbeitsstation bereitstellen, die wie zuvor beschrieben gesperrt wird und auf die IT-Benutzer keinen privilegierten Zugriff haben. Sie können RDS-Verbindungen (Remotedesktopdienste) mit VMs bereitstellen, die auf dedizierten Servern gehostet werden, und den IT-Mitarbeitern eine VM zur Ausführung von E-Mail- und anderen Produktivitätsanwendungen sowie eine zweite VM bereitstellen, die als dedizierter Verwaltungshost des Benutzers konfiguriert ist.

Sie sollten für die VMs eine Smartcard oder eine andere mehrstufige Anmeldung über andere Konten als das Konto verlangen, das zum Anmelden beim physischen Computer verwendet wird. Nachdem sich ein IT-Benutzer bei einem physischen Computer angemeldet hat, kann er seine Produktivitätssmartcard verwenden, um eine Verbindung mit dem Remoteproduktivitätscomputer herzustellen, und ein separates Konto und eine andere Smartcard, um eine Verbindung mit dem Remoteverwaltungscomputer herzustellen.

Vorteile

• IT-Benutzer können eine einzelne physische Arbeitsstation verwenden.

• Durch die Anforderung separater Konten für die virtuellen Hosts und durch die Verwendung von RDS-Verbindungen (Remotedesktopdienste) mit den VMs werden die Anmeldeinformationen der IT-Benutzer nicht im Arbeitsspeicher auf dem lokalen Computer zwischengespeichert.

• Der physische Host kann in demselben Maße wie Verwaltungshosts gesichert werden, um die Wahrscheinlichkeit einer Kompromittierung des lokalen Computers zu verringern.

• In Fällen, in denen die Produktivitäts-VM oder die Verwaltungs-VM eines IT-Benutzers möglicherweise kompromittiert wurde, kann die VM problemlos auf einen als funktionierend bekannten Zustand zurückgesetzt werden.

• Wenn der physische Computer kompromittiert wird, werden keine privilegierten Anmeldeinformationen im Arbeitsspeicher zwischengespeichert, und die Verwendung von Smartcards kann eine Kompromittierung der Anmeldeinformationen durch Keylogger (Tasteneingabeprotokollierer) verhindern.

Nachteile

• Die Implementierung der Lösung erfordert Entwurfs- und Implementierungsarbeit sowie robuste Virtualisierungsoptionen.

• Wenn die physischen Arbeitsstationen nicht sicher aufbewahrt werden, sind sie möglicherweise anfällig für physische Angriffe, die die Hardware oder das Betriebssystem kompromittieren und sie anfällig für das Abfangen der Kommunikation machen.

Implementieren sicherer Verwaltungsarbeitsstationen und Sprungbrettserver

Alternativ zu sicheren Verwaltungsarbeitsstationen oder in Kombination mit ihnen können Sie sichere Sprungbrettserver implementieren, und Administratoren können mithilfe von RDP und Smartcards eine Verbindung mit den Sprungbrettservern herstellen, um administrative Aufgaben auszuführen.

Sprungbrettserver sollten so konfiguriert sein, dass sie die Remotedesktopgateway-Rolle ausführen, damit Sie Einschränkungen für Verbindungen mit dem Sprungbrettserver und den Zielservern implementieren können, die von diesem verwaltet werden. Nach Möglichkeit sollten Sie auch die Hyper-V-Rolle installieren und persönliche virtuelle Desktops oder andere benutzerbezogene VMs erstellen, die Administratoren für ihre Aufgaben auf den Sprungbrettservern verwenden können.

Indem Sie den Administratoren benutzerspezifische VMs auf dem Sprungbrettserver zur Verfügung stellen, bieten Sie physische Sicherheit für die Verwaltungsarbeitsstationen, und Administratoren können ihre VMs zurücksetzen oder herunterfahren, wenn sie nicht verwendet werden. Wenn Sie die Hyper-V-Rolle und die Remotedesktopgateway-Rolle nicht auf demselben Verwaltungshost installieren möchten, können Sie sie auf separaten Computern installieren.

Nach Möglichkeit sollten Remoteverwaltungstools zum Verwalten von Servern verwendet werden. Das RSAT-Feature (Remote Server Administration Tools, Remoteserver-Verwaltungstools) sollte auf den VMs der Benutzer (bzw. auf dem Sprungbrettserver, wenn Sie keine benutzerspezifischen VMs für die Verwaltung implementieren) installiert sein, und Administratoren sollten mit ihren VMs eine Verbindung über RDP herstellen, um Verwaltungsaufgaben auszuführen.

In Fällen, in denen ein Administrator über RDP eine Verbindung mit einem Zielserver herstellen muss, um diesen direkt zu verwalten, sollte das RD-Gateway so konfiguriert werden, dass die Verbindung nur dann hergestellt werden kann, wenn das entsprechende Benutzerkonto und der entsprechende Computer zum Herstellen der Verbindung mit dem Zielserver verwendet werden. Die Ausführung von Tools wie RSAT sollte auf Systemen untersagt werden, bei denen es sich nicht um ausgewiesene Verwaltungssysteme handelt, z. B. Arbeitsstationen zur allgemeinen Verwendung und Mitgliedsserver, die keine Sprungbrettserver sind.

Vorteile

• Durch das Erstellen von Sprungbrettservern können Sie bestimmte Server „Zonen“ (Sammlungen von Systemen mit ähnlichen Konfigurations-, Verbindungs- und Sicherheitsanforderungen) in Ihrem Netzwerk zuordnen und verlangen, dass die Verwaltung der einzelnen Zone durch Administratoren erfolgt, die eine Verbindung zwischen sicheren Verwaltungshosts und einem angegebenen Zonenserver herstellen.

• Durch Zuordnen von Sprungbrettservern zu Zonen können Sie präzise Kontrollen für Verbindungseigenschaften und Konfigurationsanforderungen implementieren und problemlos Verbindungsversuche von nicht autorisierten Systemen identifizieren.

• Durch die Implementierung administratorbezogener VMs auf Sprungbrettservern erzwingen Sie das Herunterfahren und Zurücksetzen der VMs auf einen als fehlerfrei bekannten Zustand, wenn administrative Aufgaben abgeschlossen sind. Wenn Sie das Herunterfahren (oder den Neustart) der VMs nach Abschluss der administrativen Aufgaben erzwingen, können die VMs nicht angegriffen werden. Zudem sind Angriffe zum Diebstahl von Anmeldeinformationen nicht möglich, da zwischengespeicherte Anmeldeinformationen nicht über einen Neustart hinaus bestehen bleiben.

Nachteile

• Für Sprungbrettserver sind dedizierte Server (physisch oder virtuell) erforderlich.

• Die Implementierung festgelegter Sprungbrettserver und Verwaltungsarbeitsstationen erfordert eine sorgfältige Planung und Konfiguration, die allen in der Umgebung konfigurierten Sicherheitszonen zugeordnet wird.