Privileged Access Management für Active Directory-DomänendienstePrivileged Access Management for Active Directory Domain Services

Die privilegierte Zugriffsverwaltung (PAM) ist eine Lösung, mit der Organisationen den privilegierten Zugriff innerhalb einer vorhandenen Active Directory-Umgebung einschränken können.Privileged Access Management (PAM) is a solution that helps organizations restrict privileged access within an existing Active Directory environment.

Mit Privileged Access Management lassen sich zwei Ziele erreichen:Privileged Access Management accomplishes two goals:

  • Wiederherstellen der Kontrolle über eine gefährdete Active Directory-Umgebung durch Verwalten einer separaten geschützten Umgebung, die bekanntermaßen nicht von Angriffen betroffen ist.Re-establish control over a compromised Active Directory environment by maintaining a separate bastion environment that is known to be unaffected by malicious attacks.
  • Isolieren der Verwendung von privilegierten Konten, um das Risiko zu reduzieren, dass diese Anmeldeinformationen gestohlen werden.Isolate the use of privileged accounts to reduce the risk of those credentials being stolen.

Hinweis

PAM ist eine Instanz von Privileged Identity Management (PIM), das mithilfe von Microsoft Identity Manager (MIM) implementiert wird.PAM is an instance of Privileged Identity Management (PIM) that is implemented using Microsoft Identity Manager (MIM).

Welche Probleme lassen sich mit PAM lösen?What problems does PAM help solve?

Viele Unternehmen machen sich heute Sorgen um den Zugriff auf Ressourcen innerhalb einer Active Directory-Umgebung.A real concern for enterprises today is resource access within an Active Directory environment. Folgende Aspekte sind besonders beunruhigend:Particularly troubling are:

  • SicherheitsrisikenVulnerabilities.
  • Nicht autorisierte Ausweitung von BerechtigungenUnauthorized privilege escalations.
  • Pass-the-hashPass-the-hash.
  • Pass-the-TicketPass-the-ticket.
  • Spear-Phishingspear phishing.
  • Gefährdung von KerberosKerberos compromises.
  • Andere AngriffeOther attacks.

Derzeit ist es für Angreifer zu einfach, sich Anmeldeinformationen von Domänenadministratorkonten zu verschaffen, und zu schwierig, diese Angriffe nachträglich zu erkennen.Today, it’s too easy for attackers to obtain Domain Admins account credentials, and it’s too hard to discover these attacks after the fact. Ziel von PAM ist es, Zugriffschancen für böswillige Benutzer zu reduzieren und gleichzeitig die Kontrolle und Überwachung der Umgebung zu verbessern.The goal of PAM is to reduce opportunities for malicious users to get access, while increasing your control and awareness of the environment.

PAM erschwert es Angreifern, in ein Netzwerk einzudringen und Zugriff auf privilegierte Konten zu erhalten.PAM makes it harder for attackers to penetrate a network and obtain privileged account access. PAM bietet mehr Schutz für privilegierte Gruppen, die den Zugriff auf die zur Domäne gehörenden Computer und die Anwendungen auf diesen Computern steuern.PAM adds protection to privileged groups that control access across a range of domain-joined computers and applications on those computers. PAM erweitert auch die Überwachung und Transparenz und bietet differenziertere Steuerungsmöglichkeiten.It also adds more monitoring, more visibility, and more fine-grained controls. So können Organisationen feststellen, wer ihre Administratoren mit hohen Berechtigungen sind und welche Aufgaben diese ausführen.This allows organizations to see who their privileged administrators are and what are they doing. PAM bietet Organisationen mehr Einblick in die Verwendung administrativer Konten in der Umgebung.PAM gives organizations more insight into how administrative accounts are used in the environment.

Einrichten eines PAM-SystemsSetting up PAM

PAM baut auf dem Prinzip der Just-in-Time-Verwaltung auf, die mit Just Enough Administration (JEA) verwandt ist.PAM builds on the principle of just-in-time administration, which relates to just enough administration (JEA). JEA ist ein Windows PowerShell-Toolkit, das einen Satz von Befehlen zum Ausführen von Aktivitäten mit Berechtigungen definiert.JEA is a Windows PowerShell toolkit that defines a set of commands for performing privileged activities. Es handelt sich um einen Endpunkt, an dem Administratoren die Autorisierung zum Ausführen von Befehlen erhalten können.It is an endpoint where administrators can get authorization to run commands. In JEA entscheidet ein Administrator, dass ein Benutzer mit einer bestimmten Berechtigung eine bestimmte Aufgabe ausführen darf.In JEA, an administrator decides that users with a certain privilege can perform a certain task. Jedes Mal, wenn ein berechtigter Benutzer diese Aufgabe ausführen muss, aktiviert er diese Berechtigung.Every time an eligible user needs to perform that task, they enable that permission. Die Berechtigung läuft nach einem bestimmten Zeitraum ab, sodass ein böswilliger Benutzer den Zugriff nicht stehlen kann.The permissions expire after a specified time period, so that a malicious user can't steal the access.

Für Einrichtung und Betrieb von PAM sind vier Schritte erforderlich.PAM setup and operation has four steps.

PAM-Schritte: Vorbereiten, Schützen, Betreiben, Überwachen – Diagramm

  1. Vorbereiten: Bestimmen Sie, welche Gruppen in Ihrer vorhandenen Gesamtstruktur maßgebliche Berechtigungen haben.Prepare: Identify which groups in your existing forest have significant privileges. Erstellen Sie diese Gruppen ohne Mitglieder in der geschützten Gesamtstruktur neu.Recreate these groups without members in the bastion forest.
  2. Schützen: Richten Sie einen Lebenszyklus- und Authentifizierungsschutz ein, wie z. B. die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA), wenn Benutzer die Just-in-Time-Verwaltung anfordern.Protect: Set up lifecycle and authentication protection, such as Multi-Factor Authentication (MFA), for when users request just-in-time administration. Die MFA verhindert programmgesteuerte Angriffe mittels Schadsoftware oder im Anschluss an den Diebstahl von Anmeldeinformationen.MFA helps prevent programmatic attacks from malicious software or following credential theft.
  3. Betreiben: Nachdem die Authentifizierungsvoraussetzungen erfüllt sind und eine Anforderung genehmigt wurde, wird ein Benutzerkonto temporär einer privilegierten Gruppe in der geschützten Gesamtstruktur hinzugefügt.Operate: After authentication requirements are met and a request is approved, a user account gets added temporarily to a privileged group in the bastion forest. Während eines vorher festgelegten Zeitraums besitzt der Administrator alle Rechte und Zugriffsberechtigungen, die dieser Gruppe zugewiesen sind.For a pre-set amount of time, the administrator has all privileges and access permissions that are assigned to that group. Nach Ablauf des Zeitraums wird das Konto aus der Gruppe entfernt.After that time, the account is removed from the group.
  4. Überwachen: PAM bietet die Überwachung von, Benachrichtigungen zu und Berichte zu Anforderungen des privilegierten Zugriffs.Monitor: PAM adds auditing, alerts, and reports of privileged access requests. Sie können den Verlauf privilegierter Zugriffe überprüfen und sehen, wer eine Aktivität ausgeführt hat.You can review the history of privileged access, and see who performed an activity. Sie können entscheiden, ob die Aktivität zulässig ist oder nicht, und nicht autorisierte Aktivitäten ermitteln, wie z. B. einen Versuch, einen Benutzer direkt einer privilegierten Gruppe in der ursprünglichen Gesamtstruktur hinzuzufügen.You can decide whether the activity is valid or not and easily identify unauthorized activity, such as an attempt to add a user directly to a privileged group in the original forest. Dieser Schritt ist nicht nur wichtig für die Erkennung von Schadsoftware, sondern auch für die Überwachung auf "interne" Angreifer.This step is important not only to identify malicious software but also for tracking "inside" attackers.

Wie funktioniert PAM?How does PAM work?

PAM basiert auf neuen Funktionen in den Active Directory-Domänendiensten, insbesondere für die Domänenauthentifizierung und -autorisierung, sowie neuen Funktionen in Microsoft Identity Manager.PAM is based on new capabilities in AD DS, particularly for domain account authentication and authorization, and new capabilities in Microsoft Identity Manager. PAM trennt privilegierte Konten von einer vorhandenen Active Directory-Umgebung.PAM separates privileged accounts from an existing Active Directory environment. Wenn ein privilegiertes Konto verwendet werden muss, muss es zunächst angefordert und dann genehmigt werden.When a privileged account needs to be used, it first needs to be requested, and then approved. Nach der Genehmigung erhält das privilegierte Konto Berechtigungen über eine fremde Prinzipalgruppe in einer neuen geschützten Gesamtstruktur anstatt in der aktuellen Gesamtstruktur des Benutzers oder der Anwendung.After approval, the privileged account is given permission via a foreign principal group in a new bastion forest rather than in the current forest of the user or application. Der Einsatz einer geschützten Gesamtstruktur bietet der Organisation mehr Kontrolle, z. B. ob ein Benutzer Mitglied einer privilegierten Gruppe sein darf und wie der Benutzer sich authentifizieren muss.The use of a bastion forest gives the organization greater control, such as when a user can be a member of a privileged group, and how the user needs to authenticate.

Active Directory, der MIM-Dienst und andere Teile dieser Lösung können auch in einer Konfiguration mit Hochverfügbarkeit bereitgestellt werden.Active Directory, the MIM Service, and other portions of this solution can also be deployed in a high availability configuration.

Das folgende Beispiel zeigt, wie PIM im Detail funktioniert.The following example shows how PIM works in more detail.

PIM-Verfahren und -Teilnehmer – Diagramm

Die geschützte Gesamtstruktur gibt zeitlich begrenzte Gruppenmitgliedschaften aus, die wiederum zeitlich begrenzte TGTs (Ticket-Granting Tickets) ausstellen.The bastion forest issues time-limited group memberships, which in turn produce time-limited ticket-granting tickets (TGTs). Kerberos-basierte Anwendungen oder Dienste können diese TGTs erkennen und durchsetzen, wenn sich die Anwendungen und Dienste in Gesamtstrukturen befinden, die der geschützten Gesamtstruktur vertrauen.Kerberos-based applications or services can honor and enforce these TGTs, if the apps and services exist in forests that trust the bastion forest.

Täglich verwendete Benutzerkonten müssen nicht in eine neue Gesamtstruktur verschoben werden.Day-to-day user accounts do not need to move to a new forest. Dasselbe gilt für Computer, Anwendungen und ihre Gruppen.The same is true with the computers, applications, and their groups. Sie bleiben, wo sie derzeit sind, d. h. in einer vorhandenen Gesamtstruktur.They stay where they are today in an existing forest. Nehmen wir als Beispiel eine Organisation, die derzeit von Cybersicherheitsproblemen betroffen ist, jedoch nicht unmittelbar plant, ein Upgrade der Serverinfrastruktur auf die nächste Version von Windows Server vorzunehmen.Consider the example of an organization that is concerned with these cybersecurity issues today, but has no immediate plans to upgrade the server infrastructure to the next version of Windows Server. Diese Organisation kann dennoch diese kombinierte Lösung durch den Einsatz von MIM und einer neuen geschützten Gesamtstruktur nutzen und den Zugriff auf vorhandenen Ressourcen besser steuern.That organization can still take advantage of this combined solution by using MIM and a new bastion forest, and can better control access to existing resources.

PAM bietet die folgenden Vorteile:PAM offers the following advantages:

  • Isolation bzw. Bestimmung des Geltungsbereichs von Berechtigungen: Benutzer besitzen keine Berechtigungen in Konten, die auch für Aufgaben ohne Berechtigungen wie das Lesen von E-Mails oder den Internetzugriff verwendet werden.Isolation/scoping of privileges: Users do not hold privileges on accounts that are also used for non-privileged tasks like checking email or browsing the Internet. Benutzer müssen Berechtigungen anfordern.Users need to request privileges. Anforderungen werden anhand von MIM-Richtlinien, die von einem PAM-Administrator festgelegt werden, genehmigt oder abgelehnt.Requests are approved or denied based on MIM policies defined by a PAM administrator. Erst nachdem eine Anforderung genehmigt wurde, ist der privilegierte Zugriff verfügbar.Until a request is approved, privileged access is not available.

  • Hochstufung und Nachweis: Es gibt neue Herausforderungen an die Authentifizierung und Autorisierung, die zum Verwalten des Lebenszyklus getrennter Administratorkonten bewältigt werden müssen.Step-up and proof-up: These are new authentication and authorization challenges to help manage the lifecycle of separate administrative accounts. Der Benutzer kann die Hochstufung eines Administratorkontos anfordern, woraufhin diese Anforderung MIM-Workflows durchläuft.The user can request the elevation of an administrative account and that request goes through MIM workflows.

  • Zusätzliche Protokollierung: Neben den integrierten MIM-Workflows gibt es eine zusätzliche Protokollierung für PAM, die die Anforderung, ihre Autorisierung sowie nach der Genehmigung aufgetretene Ereignisse identifiziert.Additional logging: Along with the built-in MIM workflows, there is additional logging for PAM that identifies the request, how it was authorized, and any events that occur after approval.

  • Anpassbarer Workflow: Die MIM-Workflows können für unterschiedliche Szenarien konfiguriert werden. Basierend auf den Parametern des anfordernden Benutzers bzw. der angeforderten Rollen können mehrere Workflows verwendet werden.Customizable workflow: The MIM workflows can be configured for different scenarios, and multiple workflows can be used, based on the parameters of the requesting user or requested roles.

Wie können Benutzer einen privilegierten Zugriff anfordern?How do users request privileged access?

Es gibt verschiedene Möglichkeiten für Benutzer, eine Anforderung zu übermitteln, z. B. die folgenden:There are a number of ways in which a user can submit a request, including:

  • Die Webdienste-API für die MIM-DiensteThe MIM Services Web Services API
  • Ein REST-EndpunktA REST endpoint
  • Windows PowerShell (New-PAMRequest)Windows PowerShell (New-PAMRequest)

Details zu Privileged Access Management-Cmdlets.Get details about the Privileged Access Management cmdlets.

Welche Workflows und Überwachungsoptionen stehen zur Verfügung?What workflows and monitoring options are available?

Lassen Sie uns als Beispiel annehmen, dass ein Benutzer Mitglied einer administrativen Gruppe war, bevor PIM eingerichtet wurde.As an example, let’s say a user was a member of an administrative group before PIM is set up. Als Teil der Einrichtung von PIM werden der Benutzer aus der administrativen Gruppe entfernt und eine Richtlinie in MIM erstellt.As part of PIM setup, the user is removed from the administrative group, and a policy is created in MIM. Die Richtlinie gibt an, dass wenn dieser Benutzer Administratorrechte anfordert und mittels MFA authentifiziert wird, die Anforderung genehmigt und ein gesondertes Konto für den Benutzer der privilegierten Gruppe in der geschützten Gesamtstruktur hinzugefügt wird.The policy specifies that if that user requests administrative privileges and is authenticated by MFA, the request is approved and a separate account for the user will be added to the privileged group in the bastion forest.

Bei Genehmigung der Anforderung kommuniziert der Aktionsworkflow direkt mit der geschützten Active Directory-Gesamtstruktur, um einen Benutzer einer Gruppe hinzuzufügen.Assuming the request is approved, the Action workflow communicates directly with bastion forest Active Directory to put a user in a group. Wenn die Benutzerin Jen beispielsweise die Verwaltung der Datenbank der Personalabteilung anfordert, wird das Administratorkonto für Jen binnen Sekunden der privilegierten Gruppe in der Gesamtstruktur hinzugefügt.For example, when Jen requests to administer the HR database, the administrative account for Jen is added to the privileged group in the bastion forest within seconds. Ihre Mitgliedschaft im Administratorkonto läuft nach einem festgelegten Zeitraum ab.Her administrative account’s membership in that group will expire after a time limit. Unter Windows Server Technical Preview ist diese Gruppenmitgliedschaft in Active Directory einer Frist zugeordnet. Bei Windows Server 2012 R2 in der geschützten Gesamtstruktur wird diese Frist von MIM erzwungen.With Windows Server Technical Preview, that membership is associated in Active Directory with a time limit; with Windows Server 2012 R2 in the bastion forest, that time limit is enforced by MIM.

Hinweis

Wenn Sie einer Gruppe ein neues Mitglied hinzufügen, muss die Änderung auf andere Domänencontroller (DCs) in der geschützten Gesamtstruktur repliziert werden.When you add a new member to a group, the change needs to replicate to other domain controllers (DCs) in the bastion forest. Die Replikationslatenz kann sich bei Benutzern auf den Ressourcenzugriff auswirken.Replication latency can impact the ability for users to access resources. Weitere Informationen zur Replikationslatenz finden Sie im Artikel How Active Directory Replication Topology Works (Funktionsweise der Active Directory-Replikationstopologie).For more information about replication latency, see How Active Directory Replication Topology Works.

Ein abgelaufener Link dagegen wird von der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) in Echtzeit ausgewertet.In contrast, an expired link is evaluated in real time by the Security Accounts Manager (SAM). Obwohl das Hinzufügen eines Gruppenmitglieds vom Domänencontroller, der die Zugriffsanforderung empfängt, repliziert werden muss, wird das Entfernen eines Gruppenmitglieds sofort auf einem beliebigen Domänencontroller ausgewertet.Even though the addition of a group member needs to be replicated by the DC that receives the access request, the removal of a group member is evaluated instantaneously on any DC.

Dieser Workflow ist speziell für diese Administratorkonten vorgesehen.This workflow is specifically intended for these administrative accounts. Administratoren (oder sogar Skripts), die nur gelegentlich Zugriff auf privilegierte Gruppen benötigen, können genau diesen Zugriff anfordern.Administrators (or even scripts) who need only occasional access for privileged groups, can precisely request that access. MIM protokolliert die Anforderung und die Änderungen in Active Directory. Sie können die Daten in der Ereignisanzeige anzeigen oder an Lösungen für die Unternehmensüberwachung wie System Center 2012 - Operations Manager-Überwachungssammeldienste oder an Drittanbietertools senden.MIM logs the request and the changes in Active Directory, and you can view them in Event Viewer or send the data to enterprise monitoring solutions such as System Center 2012 - Operations Manager Audit Collection Services (ACS), or other third-party tools.

Nächste SchritteNext steps