Implementieren sicherer Verwaltungshosts

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Sichere Administrative Hosts sind Arbeitsstationen oder Server, die speziell für die Erstellung sicherer Plattformen konfiguriert wurden, auf denen privilegierte Konten administrative Aufgaben in Active Directory oder auf Domänencontrollern, in die Domäne eingebundenen Systemen und Anwendungen ausführen können, die auf in die Domäne eingebundenen Systemen ausgeführt werden. In diesem Fall bezieht sich "privilegierte Konten" nicht nur auf Konten, die Mitglieder der privilegiertesten Gruppen in Active Directory sind, sondern auch auf Konten, denen Rechte und Berechtigungen delegiert wurden, die das Ausführen von Verwaltungsaufgaben ermöglichen.

Bei diesen Konten kann es sich um Helpdeskkonten mit der Möglichkeit zum Zurücksetzen von Kennwörtern für die meisten Benutzer in einer Domäne, konten, die zum Verwalten von DNS-Einträgen und -Zonen verwendet werden, oder konten, die für die Konfigurationsverwaltung verwendet werden, handelt. Sichere Administratorhosts sind für administrative Funktionen vorgesehen und führen keine Software wie E-Mail-Anwendungen, Webbrowser oder Produktivitätssoftware wie Microsoft Office aus.

Obwohl die Konten und Gruppen mit den meisten Berechtigungen entsprechend streng geschützt sein sollten, entfällt dadurch nicht die Notwendigkeit, Konten und Gruppen zu schützen, denen Berechtigungen über denen von Standardbenutzerkonten gewährt wurden.

Ein sicherer Administratorhost kann eine dedizierte Arbeitsstation sein, die nur für administrative Aufgaben verwendet wird, ein Mitgliedsserver, auf dem die Remotedesktop Gatewayserverrolle ausgeführt wird und mit dem IT-Benutzer eine Verbindung herstellen, um die Verwaltung von Zielhosts auszuführen, oder ein Server, auf dem die Hyper-V-Rolle ausgeführt wird und der für jeden IT-Benutzer einen eindeutigen virtuellen Computer bereitstellt, der für seine administrativen Aufgaben verwendet werden kann. In vielen Umgebungen können Kombinationen aller drei Ansätze implementiert werden.

Die Implementierung sicherer Verwaltungshosts erfordert eine Planung und Konfiguration, die mit der Größe, den Verwaltungspraktiken, der Risikobereitschaft und dem Budget Ihrer Organisation konsistent ist. Überlegungen und Optionen für die Implementierung sicherer Administratorhosts finden Sie hier, damit Sie eine für Ihre Organisation geeignete Verwaltungsstrategie entwickeln können.

Prinzipien zum Erstellen sicherer Administrativer Hosts

Um Systeme effektiv vor Angriffen zu schützen, sollten einige allgemeine Prinzipien beachtet werden:

  1. Sie sollten niemals ein vertrauenswürdiges System (d. b. einen sicheren Server wie einen Domänencontroller) von einem weniger vertrauenswürdigen Host (d. b. einer Arbeitsstation, die nicht in demselben Maße geschützt ist wie die von ihm verwalteten Systeme) verwalten.

  2. Sie sollten sich nicht auf einen einzelnen Authentifizierungsfaktor verlassen, wenn Sie privilegierte Aktivitäten ausführen. Das heißt, Kombinationen aus Benutzername und Kennwort sollten nicht als akzeptable Authentifizierung betrachtet werden, da nur ein einzelner Faktor (was Sie wissen) dargestellt wird. Sie sollten berücksichtigen, wo Anmeldeinformationen generiert und zwischengespeichert oder in Administrativen Szenarien gespeichert werden.

  3. Obwohl die meisten Angriffe in der aktuellen Bedrohungslandschaft Schadsoftware und böswilliges Hacken nutzen, lassen Sie die physische Sicherheit beim Entwerfen und Implementieren sicherer administrativer Hosts nicht aus.

Kontokonfiguration

Auch wenn Ihre Organisation derzeit keine Smartcards verwendet, sollten Sie erwägen, diese für privilegierte Konten und sichere Administratorhosts zu implementieren. Administratorhosts sollten so konfiguriert werden, dass die Smartcardanmeldung für alle Konten erforderlich ist, indem sie die folgende Einstellung in einem Gruppenrichtlinienobjekt ändern, das mit den Organisationseinheiten verknüpft ist, die Administratorhosts enthalten:

Computerkonfiguration\Richtlinien\Windows Einstellungen\Lokale Richtlinien\Sicherheitsoptionen\Interaktive Anmeldung: Smartcard erforderlich

Für diese Einstellung müssen alle interaktiven Anmeldungen eine Smartcard verwenden, unabhängig von der Konfiguration für ein einzelnes Konto in Active Directory.

Sie sollten auch sichere Administratorhosts konfigurieren, um Anmeldungen nur von autorisierten Konten zuzulassen, die in folgendem Bereich konfiguriert werden können:

Computerkonfiguration\Richtlinien\Windows Einstellungen\Lokale Richtlinien\Sicherheit Einstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Dadurch werden interaktive (und ggf. Remotedesktopdienste) Anmelderechte nur autorisierten Benutzern des sicheren Administratorhosts gewährt.

Physische Sicherheit

Damit Administratorhosts als vertrauenswürdig eingestuft werden, müssen sie so konfiguriert und geschützt werden, wie die von ihnen verwalteten Systeme. Die meisten Empfehlungen unter Schützen von Domänencontrollern vor Angriffen gelten auch für die Hosts, die zum Verwalten von Domänencontrollern und der AD DS Datenbank verwendet werden. Eine der Herausforderungen bei der Implementierung sicherer Verwaltungssysteme in den meisten Umgebungen besteht darin, dass die Implementierung der physischen Sicherheit schwieriger sein kann, da sich diese Computer häufig in Bereichen befinden, die nicht so sicher sind wie Server, die in Rechenzentren gehostet werden, z. B. Desktops von Administratoren.

Physische Sicherheit umfasst die Steuerung des physischen Zugriffs auf Administrative Hosts. In einer kleinen Organisation kann dies bedeuten, dass Sie eine dedizierte Administrative Arbeitsstation verwalten, die in einem Büro oder in einer Desk-Schublade gesperrt bleibt, wenn sie nicht verwendet wird. Oder es kann bedeuten, dass Sie sich direkt beim Domänencontroller anmelden, wenn Sie die Verwaltung von Active Directory oder Ihren Domänencontrollern durchführen müssen.

In mittelgroßen Organisationen können Sie erwägen, sichere administrative "Jumpserver" zu implementieren, die sich an einem sicheren Ort in einem Büro befinden und verwendet werden, wenn die Verwaltung von Active Directory oder Domänencontrollern erforderlich ist. Sie können auch administrative Arbeitsstationen implementieren, die an sicheren Speicherorten gesperrt sind, wenn sie nicht verwendet werden, mit oder ohne Jumpserver.

In großen Organisationen können Sie über Rechenzentren bereitgestellte Jumpserver bereitstellen, die streng kontrollierten Zugriff auf Active Directory ermöglichen. Domänencontroller; und Datei-, Druck- oder Anwendungsserver. Die Implementierung einer Jumpserverarchitektur umfasst höchstwahrscheinlich eine Kombination aus sicheren Arbeitsstationen und Servern in großen Umgebungen.

Unabhängig von der Größe Ihrer Organisation und dem Entwurf Ihrer administrativen Hosts sollten Sie physische Computer vor unbefugtem Zugriff oder Diebstahl schützen und BitLocker-Laufwerkverschlüsselung verwenden, um die Laufwerke auf Administrativen Hosts zu verschlüsseln und zu schützen. Indem Sie BitLocker auf Administratorhosts implementieren, können Sie sicherstellen, dass nicht autorisierten Benutzern auf die Daten auf dem Laufwerk nicht zugegriffen werden kann, selbst wenn ein Host gestohlen wird oder seine Datenträger entfernt werden.

Betriebssystemversionen und -konfiguration

Alle Administrativen Hosts, ob Server oder Arbeitsstationen, sollten aus den weiter oben in diesem Dokument beschriebenen Gründen das neueste betriebssystem in Ihrer Organisation ausführen. Durch die Ausführung aktueller Betriebssysteme profitieren Ihre Administratoren von neuen Sicherheitsfeatures, vollständigem Anbietersupport und zusätzlichen Funktionen, die im Betriebssystem eingeführt wurden. Wenn Sie ein neues Betriebssystem auswerten, indem Sie es zuerst auf Administratorhosts bereitstellen, müssen Sie sich außerdem mit den neuen Features, Einstellungen und Verwaltungsmechanismen des Betriebssystems vertraut machen, die anschließend bei der Planung einer umfassenderen Bereitstellung des Betriebssystems genutzt werden können. Bis dahin sind die ausgereiftesten Benutzer in Ihrer Organisation auch die Benutzer, die mit dem neuen Betriebssystem vertraut und für die Unterstützung am besten positioniert sind.

Sicherheitskonfigurations-Assistent von Microsoft

Wenn Sie Jumpserver im Rahmen Ihrer Strategie für Administrative Hosts implementieren, sollten Sie den integrierten Sicherheitskonfigurations-Assistenten verwenden, um Dienst-, Registrierungs-, Überwachungs- und Firewalleinstellungen zu konfigurieren, um die Angriffsfläche des Servers zu reduzieren. Wenn die Konfigurationseinstellungen des Sicherheitskonfigurations-Assistenten gesammelt und konfiguriert wurden, können die Einstellungen in ein Gruppenrichtlinienobjekt konvertiert werden, das verwendet wird, um eine konsistente Baselinekonfiguration auf allen Sprungservern zu erzwingen. Sie können das Gruppenrichtlinienobjekt weiter bearbeiten, um spezifische Sicherheitseinstellungen für Jumpserver zu implementieren, und alle Einstellungen mit zusätzlichen Baselineeinstellungen kombinieren, die aus dem Microsoft Security Compliance Manager extrahiert wurden.

Microsoft Security Compliance Manager

Microsoft Security Compliance Manager ist ein frei verfügbares Tool, das Sicherheitskonfigurationen integriert, die von Microsoft basierend auf der Betriebssystemversion und Rollenkonfiguration empfohlen werden, und diese in einem einzigen Tool und einer Benutzeroberfläche sammelt, die zum Erstellen und Konfigurieren von Baselinesicherheitseinstellungen für Domänencontroller verwendet werden können. Microsoft Security Compliance Manager-Vorlagen können mit den Einstellungen des Sicherheitskonfigurations-Assistenten kombiniert werden, um umfassende Konfigurationsbaselines für Sprungserver zu erstellen, die von Gruppenrichtlinienobjekten bereitgestellt und erzwungen werden, die in den Organisationseinheiten bereitgestellt werden, in denen sich Sprungserver in Active Directory befinden.

Hinweis

In diesem Artikel enthält Microsoft Security Compliance Manager keine spezifischen Einstellungen für Jumpserver oder andere sichere Administrative Hosts, aber Security Compliance Manager (SCM) kann weiterhin verwendet werden, um anfängliche Baselines für Ihre administrativen Hosts zu erstellen. Um die Hosts ordnungsgemäß zu schützen, sollten Sie jedoch zusätzliche Sicherheitseinstellungen anwenden, die für hochsichere Arbeitsstationen und Server geeignet sind.

AppLocker

Administrative Hosts und virtuelle Computer sollten mit Skripts, Tools und Anwendungen über AppLocker oder eine Drittanbietersoftware für Anwendungseinschränkungen konfiguriert werden. Alle administrativen Anwendungen oder Hilfsprogramme, die keine sicheren Einstellungen einhalten, sollten aktualisiert oder durch Tools ersetzt werden, die sicheren Entwicklungs- und Verwaltungspraktiken entsprechen. Wenn auf einem Administrativen Host neue oder zusätzliche Tools erforderlich sind, sollten Anwendungen und Hilfsprogramme gründlich getestet werden, und wenn die Tools für die Bereitstellung auf administrativen Hosts geeignet sind, können sie den Systemen hinzugefügt werden.

RDP-Einschränkungen

Obwohl die spezifische Konfiguration je nach Architektur Ihrer Verwaltungssysteme variieren wird, sollten Sie Einschränkungen hinsichtlich der Konten und Computer einschließen, die verwendet werden können, um rdp-Verbindungen (Remotedesktopprotokoll) mit verwalteten Systemen herzustellen, z. B. die Verwendung von Remotedesktop Gateway-Jumpservern (RD Gateway), um den Zugriff auf Domänencontroller und andere verwaltete Systeme von autorisierten Benutzern und Systemen zu steuern.

Sie sollten interaktive Anmeldungen durch autorisierte Benutzer zulassen und andere Anmeldetypen entfernen oder sogar blockieren, die für den Serverzugriff nicht benötigt werden.

Patch- und Konfigurationsverwaltung

Kleinere Organisationen können sich auf Angebote wie Windows Update oder Windows Server Update Services (WSUS) verlassen, um die Bereitstellung von Updates auf Windows Systemen zu verwalten, während größere Organisationen möglicherweise Software für die Patch- und Konfigurationsverwaltung von Unternehmen wie Microsoft Endpoint Configuration Manager implementieren. Unabhängig von den Mechanismen, die Sie zum Bereitstellen von Updates für die allgemeine Server- und Arbeitsstationsauffüllung verwenden, sollten Sie separate Bereitstellungen für hochsichere Systeme wie Domänencontroller, Zertifizierungsstellen und Administrative Hosts in Erwägung ziehen. Durch die Trennung dieser Systeme von der allgemeinen Verwaltungsinfrastruktur kann die Kompromittierung nicht einfach auf die sichersten Systeme in Ihrer Infrastruktur erweitert werden, wenn Ihre Verwaltungssoftware oder Dienstkonten kompromittiert sind.

Obwohl Sie keine manuellen Updateprozesse für sichere Systeme implementieren sollten, sollten Sie eine separate Infrastruktur zum Aktualisieren sicherer Systeme konfigurieren. Selbst in sehr großen Organisationen kann diese Infrastruktur in der Regel über dedizierte WSUS-Server und Gruppenrichtlinienobjekte für gesicherte Systeme implementiert werden.

Blockieren des Internetzugriffs

Administratoren dürfen weder auf das Internet zugreifen noch das Intranet einer Organisation durchsuchen können. Webbrowser und ähnliche Anwendungen sollten auf administrativen Hosts nicht zugelassen werden. Sie können den Internetzugriff für sichere Hosts über eine Kombination aus Umkreisfirewalleinstellungen, WFAS-Konfiguration und "Black Hole"-Proxykonfiguration auf sicheren Hosts blockieren. Sie können auch application allowslist verwenden, um zu verhindern, dass Webbrowser auf Administratorhosts verwendet werden.

Virtualisierung

Erwägen Sie nach Möglichkeit die Implementierung virtueller Computer als Administratorhosts. Mithilfe der Virtualisierung können Sie benutzerspezifische Verwaltungssysteme erstellen, die zentral gespeichert und verwaltet werden und einfach heruntergefahren werden können, wenn sie nicht verwendet werden. So wird sichergestellt, dass Anmeldeinformationen auf den Verwaltungssystemen nicht aktiv bleiben. Sie können auch vorschreiben, dass virtuelle Administratorhosts nach jeder Verwendung auf eine Anfangsmomentaufnahme zurückgesetzt werden, um sicherzustellen, dass die virtuellen Computer nicht zu kurz kommen. Weitere Informationen zu den Optionen für die Virtualisierung von administrativen Hosts finden Sie im folgenden Abschnitt.

Beispielansätze für die Implementierung sicherer administrativer Hosts

Unabhängig davon, wie Sie Ihre Administrative Host-Infrastruktur entwerfen und bereitstellen, sollten Sie die Richtlinien beachten, die weiter oben in diesem Thema unter "Principles for Creating Secure Administrative Hosts" (Prinzipien zum Erstellen sicherer Verwaltungshosts) bereitgestellt wurden. Jeder der hier beschriebenen Ansätze enthält allgemeine Informationen dazu, wie Sie die von Ihren IT-Mitarbeitern verwendeten "administrativen" und "Produktivitätssysteme" trennen können. Produktivitätssysteme sind Computer, die IT-Administratoren verwenden, um E-Mails zu überprüfen, das Internet zu durchsuchen und allgemeine Produktivitätssoftware wie Microsoft Office zu verwenden. Bei Verwaltungssystemen handelt es sich um Computer, die für die tägliche Verwaltung einer IT-Umgebung gehärtet und dediziert verwendet werden.

Die einfachste Möglichkeit zum Implementieren sicherer Verwaltungshosts besteht darin, Ihren IT-Mitarbeitern geschützte Arbeitsstationen bereitzustellen, auf denen sie administrative Aufgaben ausführen können. In einer reinen Arbeitsstationsimplementierung wird jede administrative Arbeitsstation verwendet, um Verwaltungstools und RDP-Verbindungen zum Verwalten von Servern und anderer Infrastruktur zu starten. Implementierungen nur auf Arbeitsstationen können in kleineren Organisationen effektiv sein, obwohl größere, komplexere Infrastrukturen von einem verteilten Entwurf für Administrative Hosts profitieren können, in dem dedizierte Verwaltungsserver und Arbeitsstationen verwendet werden, wie weiter unten in diesem Thema unter "Implementieren sicherer administrativer Arbeitsstationen und Sprungserver" beschrieben.

Implementieren separater physischer Arbeitsstationen

Eine Möglichkeit, administrative Hosts zu implementieren, besteht darin, jedem IT-Benutzer zwei Arbeitsstationen auszustellen. Eine Arbeitsstation wird mit einem "normalen" Benutzerkonto verwendet, um Aktivitäten wie das Überprüfen von E-Mails und die Verwendung von Produktivitätsanwendungen auszuführen, während die zweite Arbeitsstation ausschließlich administrativen Funktionen zugeordnet ist.

Für die Produktivitätsarbeitsstation können die IT-Mitarbeiter reguläre Benutzerkonten erhalten, anstatt privilegierte Konten zu verwenden, um sich bei unsicheren Computern anzumelden. Die Administrative Arbeitsstation sollte mit einer streng kontrollierten Konfiguration konfiguriert werden, und die IT-Mitarbeiter sollten ein anderes Konto verwenden, um sich bei der Administrativen Arbeitsstation anzumelden.

Wenn Sie Smartcards implementiert haben, sollten Administrative Arbeitsstationen so konfiguriert werden, dass Smartcardanmeldungen erforderlich sind, und IT-Mitarbeitern sollten separate Konten für die Verwaltung zur Verfügung gestellt werden, die auch so konfiguriert sind, dass Smartcards für die interaktive Anmeldung erforderlich sind. Der Administratorhost sollte wie zuvor beschrieben gehärtet werden, und nur bestimmte IT-Benutzer sollten sich lokal bei der Administrativen Arbeitsstation anmelden dürfen.

Vorteile

Durch die Implementierung separater physischer Systeme können Sie sicherstellen, dass jeder Computer entsprechend seiner Rolle konfiguriert ist und dass IT-Benutzer administrative Systeme nicht versehentlich einem Risiko aussetzen können.

Nachteile

  • Die Implementierung separater physischer Computer erhöht die Hardwarekosten.

  • Bei der Anmeldung bei einem physischen Computer mit Anmeldeinformationen, die zum Verwalten von Remotesystemen verwendet werden, werden die Anmeldeinformationen im Arbeitsspeicher zwischengespeichert.

  • Wenn administrative Arbeitsstationen nicht sicher gespeichert werden, sind sie möglicherweise anfällig für Kompromittierungen über Mechanismen wie physische Hardwareschlüsselprotokollierungen oder andere physische Angriffe.

Implementieren einer sicheren physischen Arbeitsstation mit einer virtualisierten Produktivitätsarbeitsstation

Bei diesem Ansatz erhalten IT-Benutzer eine geschützte Verwaltungsarbeitsstation, auf der sie tägliche Verwaltungsfunktionen ausführen können, indem sie Remoteserver-Verwaltungstools (RSAT) oder RDP-Verbindungen mit Servern innerhalb ihres Zuständigkeitsbereichs verwenden. Wenn IT-Benutzer Produktivitätsaufgaben ausführen müssen, können sie über RDP eine Verbindung mit einer Remote-Produktivitätsarbeitsstation herstellen, die als virtueller Computer ausgeführt wird. Für jede Arbeitsstation sollten separate Anmeldeinformationen verwendet werden, und Steuerelemente wie Smartcards sollten implementiert werden.

Vorteile

  • Administrative Arbeitsstationen und Produktivitätsarbeitsstationen sind getrennt.

  • IT-Mitarbeiter, die sichere Arbeitsstationen verwenden, um eine Verbindung mit Produktivitätsarbeitsstationen herzustellen, können separate Anmeldeinformationen und Smartcards verwenden, und privilegierte Anmeldeinformationen werden nicht auf dem weniger sicheren Computer gespeichert.

Nachteile

  • Die Implementierung der Lösung erfordert Entwurfs- und Implementierungsarbeit sowie stabile Virtualisierungsoptionen.

  • Wenn die physischen Arbeitsstationen nicht sicher gespeichert sind, sind sie möglicherweise anfällig für physische Angriffe, die die Hardware oder das Betriebssystem gefährden und sie anfällig für abfangende Kommunikation machen.

Implementieren einer einzelnen sicheren Arbeitsstation mit Verbindungen zum Trennen von "Produktivität" und "Verwaltung" Virtual Machines

Bei diesem Ansatz können Sie IT-Benutzern eine einzelne physische Arbeitsstation zur Verfügung stellen, die wie zuvor beschrieben gesperrt ist und auf die IT-Benutzer keinen privilegierten Zugriff haben. Sie können Remotedesktopdienste Verbindungen mit virtuellen Computern bereitstellen, die auf dedizierten Servern gehostet werden. It-Mitarbeiter erhalten einen virtuellen Computer, auf dem E-Mails und andere Produktivitätsanwendungen ausgeführt werden, und einen zweiten virtuellen Computer, der als dedizierter Administrative Host des Benutzers konfiguriert ist.

Sie sollten eine Smartcard oder eine andere mehrstufige Anmeldung für die virtuellen Computer mit anderen Konten als dem Konto benötigen, das für die Anmeldung am physischen Computer verwendet wird. Nachdem sich ein IT-Benutzer bei einem physischen Computer anmeldet, kann er seine Produktivitäts-Smartcard verwenden, um eine Verbindung mit seinem Remoteproduktivitätscomputer und einem separaten Konto und einer Smartcard herzustellen, um eine Verbindung mit dem Remoteverwaltungscomputer herzustellen.

Vorteile

  • IT-Benutzer können eine einzelne physische Arbeitsstation verwenden.

  • Da separate Konten für die virtuellen Hosts erforderlich sind und Remotedesktopdienste Verbindungen mit den virtuellen Computern verwendet werden, werden die Anmeldeinformationen von IT-Benutzern nicht im Arbeitsspeicher auf dem lokalen Computer zwischengespeichert.

  • Der physische Host kann auf das gleiche Maß wie administrative Hosts gesichert werden, was die Wahrscheinlichkeit einer Kompromittung des lokalen Computers verringert.

  • In Fällen, in denen der virtuelle Produktivitätscomputer eines IT-Benutzers oder dessen administrativer virtueller Computer kompromittiert wurden, kann der virtuelle Computer problemlos auf einen "bekannten guten" Zustand zurückgesetzt werden.

  • Wenn der physische Computer kompromittiert ist, werden keine privilegierten Anmeldeinformationen im Arbeitsspeicher zwischengespeichert, und die Verwendung von Smartcards kann die Kompromittierung von Anmeldeinformationen durch Tastatureingabeprotokollierung verhindern.

Nachteile

  • Die Implementierung der Lösung erfordert Entwurfs- und Implementierungsarbeit sowie stabile Virtualisierungsoptionen.

  • Wenn die physischen Arbeitsstationen nicht sicher gespeichert sind, sind sie möglicherweise anfällig für physische Angriffe, die die Hardware oder das Betriebssystem gefährden und sie anfällig für abfangende Kommunikation machen.

Implementieren sicherer Administrativer Arbeitsstationen und Sprungserver

Als Alternative zum Schützen administrativer Arbeitsstationen oder in Kombination mit diesen können Sie sichere Jumpserver implementieren, und Administrator können mithilfe von RDP und Smartcards eine Verbindung mit den Jumpservern herstellen, um administrative Aufgaben auszuführen.

Sprungserver sollten so konfiguriert werden, dass sie die Remotedesktop-Gatewayrolle ausführen, damit Sie Einschränkungen für Verbindungen mit dem Sprungserver und den Zielservern implementieren können, die von ihm verwaltet werden. Wenn möglich, sollten Sie auch die Hyper-V-Rolle installieren und persönliche virtuelle Desktops oder andere virtuelle Computer pro Benutzer erstellen, die Administrator für ihre Aufgaben auf den Sprungservern verwenden können.

Indem Sie den Administratorbenutzern pro Benutzer virtuelle Computer auf dem Jumpserver zur Verfügung stellen, stellen Sie physische Sicherheit für die Administrative Workstations zur Verfügung, und Administratorbenutzer können ihre virtuellen Computer zurücksetzen oder herunterfahren, wenn sie nicht verwendet werden. Wenn Sie die Hyper-V-Rolle und die Remotedesktop-Gatewayrolle nicht auf demselben Administratorhost installieren möchten, können Sie sie auf separaten Computern installieren.

Nach Möglichkeit sollten Remoteverwaltungstools zum Verwalten von Servern verwendet werden. Das feature Remoteserver-Verwaltungstools (RSAT) sollte auf den virtuellen Computern der Benutzer installiert sein (oder auf dem Jumpserver, wenn Sie keine benutzerspezifischen virtuellen Computer für die Verwaltung implementieren), und Verwaltungsmitarbeiter sollten über RDP eine RDP-Verbindung mit ihren virtuellen Computern herstellen, um administrative Aufgaben auszuführen.

In Fällen, in denen ein Administrator eine RDP-Verbindung mit einem Zielserver herstellen muss, um ihn direkt zu verwalten, sollte das RD-Gateway so konfiguriert werden, dass die Verbindung nur hergestellt werden kann, wenn der entsprechende Benutzer und Computer zum Herstellen der Verbindung mit dem Zielserver verwendet werden. Die Ausführung von RSAT-Tools (oder ähnlichen Tools) sollte auf Systemen, die nicht als Verwaltungssysteme festgelegt sind, nicht zulässig sein, z. B. arbeitsstationen mit allgemeiner Nutzung und Mitgliedsservern, die keine Sprungserver sind.

Vorteile

  • Durch das Erstellen von Sprungservern können Sie bestimmte Server "Zonen" (Sammlungen von Systemen mit ähnlichen Konfigurations-, Verbindungs- und Sicherheitsanforderungen) in Ihrem Netzwerk zuordnen und festlegen, dass die Verwaltung jeder Zone von Verwaltungsmitarbeitern erreicht wird, die eine Verbindung von sicheren Verwaltungshosts mit einem bestimmten "Zonenserver" herstellen.

  • Durch die Zuordnung von Sprungservern zu Zonen können Sie präzise Steuerungen für Verbindungseigenschaften und Konfigurationsanforderungen implementieren und Versuche, eine Verbindung von nicht autorisierten Systemen herzustellen, leicht identifizieren.

  • Durch die Implementierung von virtuellen Computern pro Administrator auf Sprungservern erzwingen Sie das Herunterfahren und Zurücksetzen der virtuellen Computer in einen bekannten bereinigten Zustand, wenn administrative Aufgaben abgeschlossen sind. Durch erzwingen des Herunterfahrens (oder Neustarts) der virtuellen Computer, wenn administrative Aufgaben abgeschlossen sind, können die virtuellen Computer nicht von Angreifern als Ziel verwendet werden, und es können auch keine Angriffe durch Diebstahl von Anmeldeinformationen durchgeführt werden, da die im Speicher zwischengespeicherten Anmeldeinformationen nicht nach einem Neustart beibehalten werden.

Nachteile

  • Dedizierte Server sind für Jumpserver erforderlich, egal ob physisch oder virtuell.

  • Die Implementierung von designierten Sprungservern und administrativen Arbeitsstationen erfordert eine sorgfältige Planung und Konfiguration, die allen in der Umgebung konfigurierten Sicherheitszonen zulässt.