Erweiterte Sicherheitsadministratorumgebung

Die Architektur der erweiterten Sicherheitsadministratorumgebung (ESAE) (häufig als rote Gesamtstruktur, Administratorstruktur oder gehärtete Gesamtstruktur bezeichnet) ist ein Ansatz, um eine sichere Umgebung für Windows Server Active Directory-Administratoren (AD) zu bieten.

Die Empfehlung von Microsoft, dieses Architekturmuster zu verwenden, wurde durch die moderne Strategie für den privilegierten Zugriff und den Leitfaden für den schnellen Modernisierungsplan (Rapid Modernization Plan, RAMP) als empfohlenen Standardansatz zum Schützen privilegierter Benutzer ersetzt. Die gehärtete ESAE-Gesamtstruktur (vor Ort oder in der Cloud) wird jetzt als benutzerdefinierte Konfiguration betrachtet, die nur für die folgenden Ausnahmefälle geeignet ist.

Was, wenn ich bereits ESAE einsetze?

Für Kunden, die diese Architektur bereits bereitgestellt haben, um die Sicherheit zu erhöhen bzw. die Verwaltung von mehreren Gesamtstrukturen zu vereinfachen, ist es nicht dringend erforderlich, eine ESAE-Implementierung zurückzuziehen oder zu ersetzen, wenn sie wie vorgesehen betrieben wird. Wie bei allen Unternehmenssystemen sollten Sie deren Software verwalten, indem Sie Sicherheitsupdates anwenden und sicherstellen, dass sich Software innerhalb des Supportlebenszyklus befindet.

Außerdem empfiehlt Microsoft Organisationen, die ESAE bzw. gehärtete Gesamtstrukturen verwenden, die moderne Strategie für privilegierten Zugriff mithilfe des Leitfadens für den Schnellen Modernisierungsplan (Rapid Modernization Plan, RAMP) einzusetzen. Dies ergänzt eine vorhandene ESAE-Implementierung und bietet angemessene Sicherheit für Rollen, die nicht bereits durch ESAE geschützt sind, einschließlich Azure AD globalen Administratoren, sensiblen Geschäftsbenutzern und Standardbenutzern von Unternehmen. Weitere Informationen finden Sie im Artikel Schützen von Sicherheitsebenen für privilegierten Zugriff.

Warum sollte die Empfehlung geändert werden?

Als ESAE vor 10 Jahren entwickelt wurde, lag der Schwerpunkt auf lokalen Umgebungen mit AD als lokalem Identitätsanbieter. Implementierungen von ESAE bzw. gehärteten Gesamtstrukturen konzentrieren sich auf den Schutz von Windows Server Active Directory-Administratoren.

Microsoft empfiehlt die neuen cloudbasierten Lösungen, da sie schneller bereitgestellt werden können, um ein breiteres Spektrum administrativer und geschäftskritischer Rollen und Systeme zu schützen.

Die Strategie für privilegierten Zugriff bietet Schutz und Überwachung für einen viel größeren Satz sensibler Benutzer und bietet gleichzeitig inkrementelle, kostengünstigere Schritte, um schnell Sicherheitsgarantien zu erstellen.

Obwohl sie für bestimmte Anwendungsfälle immer noch gültig sind, sind die Implementierungen von gehärteten Gesamtstrukturen mit ESAE teurer und schwieriger anzuwenden und erfordern im Vergleich zur neueren cloudbasierten Lösung (aufgrund des komplexen Aufbaus dieser Architektur) eine größere betriebsbezogene Unterstützung. ESAE-Implementierungen sind so konzipiert, dass nur Windows Server Active Directory-Administratoren geschützt werden. Die cloudbasierte Strategie für privilegierten Zugriff bietet Schutz und Überwachung für eine viel größere Gruppe vertraulicher Benutzer, während inkrementelle schritte zur schnellen Erstellung von Sicherheitsüberprüfungen bereitgestellt werden.

Was sind gültige Anwendungsfälle für ESAE?

Obwohl es sich nicht um eine gängige Empfehlung handelt, ist dieses Architekturmuster in einer begrenzten Gruppe von Szenarien gültig.

In diesen Ausnahmefällen muss die Organisation die erhöhte technische Komplexität und die Betriebskosten der Lösung akzeptieren. Die Organisation muss über ein ausgereiftes Sicherheitsprogramm verfügen, um Risiken zu messen, zu überwachen und konsistente betriebsbereite Genauigkeit auf die Nutzung und Wartung der ESAE-Implementierung anzuwenden.

Beispielszenarios umfassen:

  • Isolierte lokale Umgebungen, in denen Clouddienste nicht verfügbar sind, z. B. Offline-Forschungsumgebungen, kritische Infrastrukturen oder Dienstprogramme, nicht verbundene Betriebstechnologieumgebungen wie SCADA (Supervisory Control and Data Acquisition) bzw. ICS (Industrial Control Systems) sowie Kunden des öffentlichen Sektor, die vollständig auf lokale Technologien angewiesen sind.
  • Stark regulierte Umgebungen: Branchen- oder behördliche Vorschriften erfordern möglicherweise speziell eine Konfiguration der administrativen Gesamtstruktur.
  • Hohe Sicherheitsstufe vorgeschrieben: Organisationen mit geringer Risikotoleranz, die bereit sind, die erhöhte Komplexität und Betriebskosten der Lösung zu akzeptieren.

Hinweis

Microsoft empfiehlt zwar kein isoliertes gehärtetes Gesamtstrukturmodell für die meisten Szenarios in Organisationen, arbeitet jedoch intern mit einer ähnlichen Architektur (mit den zugehörigen Supportprozessen und Mitarbeitern) aufgrund der extremen Sicherheitsanforderungen für die Bereitstellung vertrauenswürdiger Clouddienste für Organisationen auf der ganzen Welt.

Nächste Schritte

Lesen Sie die Anleitungen zur Strategie für privilegierten Zugriff und zum Schnellen Modernisierungsplan (Rapid Modernization Plan, RAMP), um sichere Umgebungen für privilegierte Benutzer bereitzustellen.